在pfSense、OPNsense防火墙上,有一些不常见的表述和简写表示特定的网络意义,这里收录并做个简要说明。
NR
在OPNsense的系统→快照页面, 活动项可能会出现NR标识。NR通常表示 “Not Reverted”(未回滚),具体来说,它表明该快照尚未被用于回滚系统配置。这意味着该快照仍然可用,并未影响当前系统的状态。如果系统进行了回滚,可能会显示其他状态,如R(Reverted),表示该快照已被回滚应用。
BPF
在OPNsense的接口 → 诊断→网络统计页面,会有BPF和NETISR两个选项卡,他们都是与网络流量处理相关的概念:
BPF(Berkeley Packet Filter)是一种高效的网络数据包过滤机制,主要用于流量监控、抓包和防火墙规则匹配。
它通常用于:
- tcpdump等工具进行数据包捕获和流量分析。
- IDS/IPS(如 Suricata) 进行流量过滤和检测。
- pf 防火墙 的部分规则匹配。
在接口诊断中,BPF可能会显示当前接口是否启用了BPF过滤功能,以及统计数据包的处理情况。
NETISR
NETISR (Network Interrupt Service Routine) 网络中断服务例程,它是FreeBSD(OPNsense的底层系统)中的一种异步网络包处理机制。
它的作用是:
- 提高网络性能:通过将网络处理任务从中断上下文转移到后台线程来减少延迟。
- 负载均衡:在多核CPU设备上,可以将网络处理分发到多个核,以提高吞吐量。
- 避免丢包:减少高流量负载时的瓶颈,提高数据包的处理能力。
在OPNsense的接口诊断页面,NETISR可能会显示网络队列的状态,例如:
- 是否启用了NETISR机制
- 处理队列的长度
- 丢弃的数据包数量
如果OPNsense需要高性能的网络处理(如高并发 NAT 或 VPN),NETISR可能会对系统性能产生影响,因此监测这些参数可以帮助优化网络性能。
HTTP_REFERER
检查(HTTP Referer Check)是一种安全机制,用于防止跨站请求伪造(CSRF,Cross-Site Request Forgery)攻击。
具体作用:
- 验证请求来源:当用户在OPNsense Web界面(Web GUI)执行某些管理操作时,系统会检查HTTP头中的Referer字段,确保请求来自合法的OPNsense管理页面,而不是第三方网站或恶意脚本。
- 防止CSRF攻击:如果攻击者诱骗管理员访问恶意网站,而该网站尝试向OPNsense发送未经授权的管理请求(如修改防火墙规则、重启系统等),Referer 检查可以阻止这些请求,因为它们的来源OPNsense不匹配。
- 增强管理界面安全性:确保OPNsense的管理操作不会被外部站点劫持,减少安全漏洞。
可能遇到的问题:
- Referer被浏览器或插件阻挡:部分浏览器或插件可能会屏蔽Referer头,导致OPNsense误判请求来源,进而阻止用户操作。
- 代理或防火墙修改了Referer:如果OPNsense部署在代理服务器或特定网络环境中,可能会遇到Referer变化的问题,导致管理界面无法正常使用。
如果由于HTTP_REFERER检查导致OPNsense管理界面出现访问问题,首先检查浏览器未禁用Referer头,也可以在OPNsense中禁用HTTP_REFERER检查。转到系统→设置→ 管理,找HTTP_REFERER强制检查项,选中禁用即可。
注意:禁用该检查可能会降低Web管理界面的安全性,建议仅在必要时关闭,并确保其他安全措施(如 HTTPS、IP 限制、强密码)已启用。
95th percentile
在pfSense的状态>监控页面的数据摘要部分,会有95th percentile(第95 百分位)检测项目。第95 百分位表示在特定时间段(通常是一个月或一天)的流量测量数据中,有95%的时间,流量低于该值,只有5%的时间流量高于该值。这种方法可以过滤掉短时间的带宽峰值,使计费或流量分析更加公平和稳定。
计算方法:
- 在设定的时间间隔(如 5 分钟或 1 分钟)内,定期测量网络流量速率(bps 或 Mbps)。
- 记录这些测量值,并在统计周期(如 1 个月)结束后,对所有测量值进行排序。
- 找到从低到高排序后,排名在 95% 位置的数据值,即第 95 百分位值。
- 该值作为计费或分析时的“有效带宽”。
实际应用:
- 带宽计费:很多ISP使用95百分位计费法,以避免因短时间流量激增而导致高昂费用。
- 流量分析:在pfSense的流量监控工具(如 RRD 图表或外部 NetFlow 采集器)中,第95百分位可用于衡量网络使用情况。
- QoS(服务质量管理):根据第 95 百分位值调整流量优先级,优化网络性能。