什么是透明网桥

透明网桥能够检查遍历一个物理网络接口上的网络流量，并将流量转发到另一个网络接口（如果允许通过），具体取决于防火墙规则和其他现有的安全保护措施。

透明网桥需要最少两个物理网络接口：一个用于入站连接，一个用于出站连接。

透明网桥的位置

透明网桥一般放在以下位置：

1、调制解调器和路由器之间

如果是单独的调制解调器和单独的路由器，可以在调制解调器和路由器之间放置透明过滤桥，以便防火墙位于网络的最外层。

如果只对保护网络的边界感兴趣，则可以使用这种部署。

注意：

• 源或目标 IP 地址是路由器的公有WAN 地址，因此不会知道流量来自网络中的哪个设备，网络流量缺乏可见性。
• 虽然可以阻止进出网络的流量，但无法阻止网络内（各种 VLAN 之间等）的任何流量，因为网桥位于路由器的 WAN 接口之前。

2、路由器和网络交换机之间

如果是多合一调制解调器/路由器或其他路由器/网关设备，则可以在路由器和网络交换机之间放置透明网桥。

该部署的最大优势是，除了通过 WAN 接口进出网络的流量外，还可以过滤本地网络内的流量。对内部网络（在各种 VLAN 上）有更大的可见性，因为所有本地路由的网络流量都必须通过路由器，因此必须通过透明网桥。

3、在单个VLAN 上，如 DMZ 网络

即使主网络路由器具有强大的防火墙和其他安全功能，也可能希望部署第二个防火墙，以更好地保护本地网络免受面向公众的 DMZ 网络的影响。

企业可能希望选择为辅助防火墙使用不同的供应商，以最大限度地降低一个品牌防火墙的漏洞被辅助防火墙利用的可能性（如果它是同一供应商）。

从本质上讲，可以在网络上的任意两台设备之间放置一个透明网桥。我甚至测试了两台 PC 之间的透明过滤网桥，以便可以测试我的示例网络中使用的 Gown R86S-P2 的吞吐量。在启用 Intel N5105 CPU 的 Zenarmor 的情况下获得 1.8-2 Gbps，对于较旧、较慢的 CPU 来说相当不错。R86S-P2 几乎可以完全饱和 2.5 Gbps。

示例网络

下面是在本示例中使用的网络设备。包括现有路由器 （Grandstream GCC6010）、网络交换机 （Grandstream GWN7811P） 和无线接入点 （Grandstream GWN7664E） 组成。网络上还有一台 PC （ZimaBoard 832）。

在本指南的示例场景中，将把透明桥接设备 （Gowin R86S-P2） 放置在路由器和网络交换机之间，让设备的可见性更高。

大多数透明过滤桥指南将演示如何设置仅包含两个网络接口的过滤桥。但是，我将演示如何使用三个物理接口。我非常喜欢为我的所有网络基础设施（如路由器/防火墙、服务器、NAS 和其他设备）设置专用管理接口。

拥有专门用于管理的第三个界面的一个优点是，在配置桥接接口时，您不会被 OPNsense Web 界面锁定。这是我注意到经常发生的一个问题是，用户无意中将自己锁定在 Web 界面之外——即使桥接器本身工作正常。

安装OPNsense

对于本指南，只需让安装程序在不按任何键的情况下启动，以便它使用 WAN/LAN 接口分配的默认设置。在大多数情况下，OPNsense 默认将第一个接口作为LAN，第二个接口作为WAN 。安装程序运行到提示符后，输入installer/opnsense用户名和密码进行安装。安装完成后，访问 https://192.168.1.1 登录 OPNsense。

更改LAN接口IP

建议在配置新的 MGMT 接口之前，在 OPNsense 中更改 LAN 接口的默认 IP 地址范围，因为目标是将 MGMT 接口放在现有网络上。转到“Interfaces > [LAN]”页面，将“IPv4 地址”更改为192.168.2.1/24。

点击 “Save” 按钮，但不要点击 “Apply changes”！如果单击“应用更改”，将会断开与 Web UI 的连接，然后才能更改 DHCP 范围。

转到“Services > ISC DHCPv4 > [LAN]”页面。将“Range”更改为192.168.2.100-192.168.2.199。

返回“Interfaces > [LAN]”页面，然后单击“Apply changes”。会暂时无法访问 OPNsense Web UI。此时断开并重新连接 PC（或启动 DHCP 版本并续订），应该会获得一个新的192.168.2.x地址。访问 https://192.168.2.1， 重新登录 OPNsense。

配置管理接口

是否可以简单地使用默认的 LAN 接口作为管理接口，在另外两个物理接口上创建网桥？可以这样做，但如果不正确更改设置，可能会将自己锁定在 OPNsense Web UI 之外。

分配MGMT接口

转到 “Interfaces > Assignments” 页面。“Device（设备）”下拉列表中应该列出了未使用的网络接口，在本示例中，选择igc2作为 MGMT 接口。输入接口的描述信息MGMT，单击 “Add” 按钮分配接口。

启用MGMT接口

在接口菜单，单击 MGMT 接口，单击“Enable Interface（启用接口）”复选框，选中“Prevent interface removal（阻止接口删除）”选项，以减少在以后需要进行更改时意外删除接口的可能性。

选择用于为管理接口设置静态 IP 的选项，在对于 “IPv4 Configuration Type（IPv4 配置类型）”部分，选中Static IPv4。在“静态 IPv4 配置”部分中，输入“IPv4 地址”，需要确保静态 IP 地址不位于您在主路由器上设置的 DHCP 范围内，并且不会与管理网络上的任何其他静态 IP 地址冲突。点击页面底部的 “Save” 按钮，然后点击页面顶部的 “Apply changes” 按钮。

创建防火墙规则

默认情况下，新接口没有分配任何防火墙规则，这意味着接口上的所有网络流量都被阻止（由于防火墙的 “默认拒绝” 策略）。

在“Firewall > Rules > MGMT”页面上，需要添加以下规则：

动作	TCP/IP 版本	协议	源	目标	目标端口	描述
Pass	IPv4 协议	TCP 协议	MGMT net	MGMT address	443 （HTTPS）	Allow access to OPNsense web UI

测试MGMT接口

在配置网桥并删除现有 LAN 接口（因为它将成为过滤网桥的一部分）之前，先测试对 MGMT 接口的访问是否顺利。确保在设置过滤网桥时不会失去对 OPNsense 系统的访问权限。测试没有问题后，输入 https://192.168.1.99， 登录 OPNsense Web UI。

现在可以自由修改其他两个接口的配置，而不必担心失去对 OPNsense 的访问权限。即使没有正确配置透明桥，只要不修改 MGMT 接口的配置，仍然可以访问正常OPNsense。

配置透明网桥

本节中的步骤与 OPNsense 说明相对接近，但有一些细微的差异。由于已经配置了单独的物理 MGMT 接口，因此可以跳过有关在网桥上配置管理接口的OPNsense步骤。

禁用出NAT规则生成

由于OPNsense将作为过滤网桥而不是路由器运行，因此可以禁用出站 NAT。在“Firewall > NAT > Outbound”页面上，单击“Disable outbound NAT rule generation”的单选按钮。

点击 “Save” 和 “Apply changes”。

修改系统可调选项

导航到“System > Settings > Tunables”页面，修改几个系统可调参数。

在浏览器中按“Ctrl F”搜索文本，或向下滚动查找可调选项。单击铅笔图标来编辑条目。将net.link.bridge.pfil_bridger值更改为1以便在桥接接口上启用过滤。将net.link.bridge.pfil_member值更改为0禁用对单个物理接口的过滤。点击 “Apply changes”（应用更改）。

创建Bridge接口

转到“Interfaces > Devices > Bridge”，单击“ ”按钮添加桥接接口。“Member interfaces”选项选中LAN和WAN，输入桥的描述信息BRIDGE。

点击“Save”。

分配网桥接口

转到“Interfaces > Assignments”页面，“Device”选中bridge0 (BRIDGE)，输入接口的“描述”信息，如BRIDGE。点击 “Add” 。

启用桥接接口

转到 “Interfaces > [BRIDGE]” 启用桥接接口。单击 “Enable Interface” 和 “Prevent interface removal” 复选框。将所有内容保留为默认值。点击 “Save” 并 “Apply changes”。

禁用Block Private Networks和Bogons

转到 WAN 接口配置页面（“接口 > [WAN]）。

取消选中“阻止私有网络”和“阻止僵尸网络”选项，以防止阻止内部私有 IP 地址（因为网桥将过滤内部网络上的流量）。

WAN接口上禁用IP地址

过滤网桥的物理接口不需要为其分配任何 IP 地址，因为流量将仅通过过滤网桥。在WAN 接口，同时将“IPv4 配置类型”和“IPv6 配置类型”选项设置为 None。

LAN接口禁用DHCP服务器

在“Services > ISC DHCPv4 > [LAN]”页面上，取消选中“在 LAN 接口上启用 DHCP 服务器”复选框。点击“Save”。

LAN接口禁用IP地址

转到 “Interfaces > [LAN]” 页面，将“IPv4 配置类型”和“IPv6 配置类型”选项设置为 None。

在Bridge上创建防火墙规则

配置过滤桥的最后一步是创建防火墙规则。建议创建一个“允许所有”规则，以验证流量是否可以顺利通过透明桥，然后再实施更严格的防火墙规则。

在“Firewall > Rules > BRIDGE”页面上，单击“ ”按钮添加规则。

添加以下规则以允许所有流量：

动作	TCP/IP 版本	协议	源	目标	目标端口	描述
pass	IPv4 IPv6 协议	any	any	any	any	allow all

点击 “Save” 然后点击 “Apply changes”。

测试透明网桥

将以太网电缆从路由器的 LAN 接口插入其中一个透明过滤桥接接口，将另一根电缆从网络交换机插入另一个透明过滤桥接接口。OPNsense 盒子将位于路由器和网络交换机之间，网络上的其余设备都位于该位置（如果有其他设备连接到路由器的 LAN 端口，则来自这些设备的流量将不会被透明过滤桥过滤）。

创建阻止规则来测试过滤流量

如果想测试使用透明桥阻止流量，可以简单地阻止所有通过该桥的 HTTPS 流量（不用担心，仍然可以访问 OPNsense Web UI）。

在BRIDGE接口的 “allow all” 规则上方创建以下阻止规则：

动作	TCP/IP 版本	协议	源	目标	目标端口	描述
Block	IPv4 IPv6 协议	TCP 协议	any	any	443 （HTTPS）	Block HTTPS

尝试访问任何网站，应该会发现它已被阻止（除非打开了现有连接 – 默认情况下，防火墙状态不会自动清除）。完成该阻止规则的测试后，可以禁用或删除它，以便可以再次访问网站。

允许OPNsense访问Internet

透明网桥已经可以正常工作，但当尝试更新 OPNsense 时，它会失败。因为没有为OPNsense系统本身配置网关或 DNS。

虽然已为MGMT接口配置了静态IP地址，但不包括网关或 DNS 配置。转到“System > Gateways > Configuration”页面上，单击“ ”按钮。输入网关的 “Name” （名称），如 GatewayMGMTMGMT，Interface选择MGMT，IP Address输入主网络路由器的LAN接口IP地址，如 192.168.1.1。点击 “Save” 按钮。

添加系统DNS设置

默认情况下，“System > Settings > General”页面上没有指定 DNS 服务器，需要将 DNS 服务器添加到列表中。该页面上列出的 DNS 服务器是 OPNsense 系统本身将用于其 DNS 服务器的服务器。可以使用主路由器的 IP 地址作为 DNS 服务器。

更新OPNsense

现在转到“系统>固件>状态”页面，然后单击“检查更新”按钮来验证是否能够检查OPNsense更新。

配置其他功能

除了在透明桥上使用标准防火墙规则来保护您的网络外，还可以在OPNsense 系统上配置其他安全服务，以进一步提高网络的安全性。三个流行的选择是 Zenarmor、Suricata 和 CrowdSec。每项服务都提供不同类型的保护。

Zenarmor 提供云威胁情报来阻止广告、应用程序和恶意活动。此外，还有许多报告可用于帮助可视化和分析网络流量。免费版提供了一套基本的保护，但如果您希望拥有更多的安全功能和其他配置文件，它们提供家庭版订阅。

Suricata 拥有非常适合基于 Web 和应用程序的防火墙的规则集。免费规则集只能使用30 天前的列表，如果想阻止新出现的威胁，则需要为专业规则集付费。如果托管各种公开暴露的应用程序或处于不受信任的环境中，Suricata 非常有用。

CrowdSec 利用众包恶意 IP 数据集，这些数据集可用于阻止传入/传出的恶意 IP 地址（比 Zenarmor 和 Suricata 更广泛且资源效率更高）。此外，它还为 OPNsense Web UI 和 SSH 服务提供暴力破解和其他保护。它还可以用作网络上其他 CrowdSec 安装的 LAPI（本地 API）。

原文地址