OPNsense用户手册-透明过滤桥
透明防火墙可用于过滤流量,而无需创建不同的子网。此应用程序称为过滤网桥,因为它充当两个接口的网桥连接,并在此之上应用过滤规则。透明过滤网桥与流量整形不兼容,使用过滤网桥时,请勿启用流量整形器。有关在FreeBSD上过滤桥接的更多信息,请参阅过滤网桥

要求:为了设置方便,将OPNsense恢复为出厂默认设置。必须具有2个物理网络接口。

注意:使用的截图版本为18.7.6。如果您使用其他版本,则某些选项可能会有所不同。

10个简单步骤

  • 1、禁用出站NAT规则生成
  • 2、更改系统可调整项
  • 3、创建桥
  • 4、分配管理IP /接口
  • 5、禁用阻止专用网络和bogon
  • 6、禁用LAN上的DHCP服务器
  • 7、添加允许规则
  • 8、禁用默认防锁定规则
  • 9、调整LAN和WAN接口类型设置为“none”
  • 10、现在应用更改

警告:在配置期间,系统会要求您多次“应用”更改,但这可能会影响当前连接。所以在完成之前不要应用任何东西!您需要为每个步骤保存更改。

1、禁用出站NAT规则生成

要禁用出站NAT,请转到 防火墙 – > NAT – > 出站:禁用出站NAT规则生成

2、更改系统可调节参数

导航到系统 – > 设置 – > 参数,将net.link.bridge.pfil_bridge从默认值更改为1来启用桥过滤。

Filtering Bridge Step 2.png

net.link.bridge.pfil_member从默认值更改为0来禁用成员接口的过滤规则。

过滤Bridge Step2a.png

3、创建网桥

创建LAN和WAN的网桥,转到 接口 – > 其他类型 – >网桥:添加选择LAN和WAN。

Filtering Bridge Step 3a.png

过滤桥步骤3b.png

4、分配管理IP/接口

为了能够在之后配置和管理过滤网桥(OPNsense),我们需要为网桥分配新接口并设置IP地址。

转到接口 – > 分配 – > 添加接口,从列表中选择网桥,然后点击“+”

Filtering Bridge Step 4.png

现在将IP地址添加到您要用于管理网桥的接口。转到接口 – > OPT1,启用接口并填写IP地址和掩码。

5、禁用阻止专用网络和bogon

对于WAN接口,我们需要禁用阻止专用网络和bogon网络。

转到接口 – > WAN,取消选择阻止专用网络阻止bogon网络

Filtering Bridge Step 5.png

6、禁用LAN上的DHCP服务器

要在LAN上禁用DHCP服务器,请转到“ 服务” – >“ DHCPv4服务器” – >“ LAN”,然后取消选择“启用”。

Filtering Bridge Step 6.png

7、添加允许规则

配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。为三个接口(WAN / LAN / OPT1)中的每个接口添加允许规则。这一步是为了确保我们拥有一个完整的透明网桥而不进行任何过滤。确认网桥正常工作后,您可以设置正确的规则。

转到防火墙 – > 规则并为每个接口添加规则以允许任何类型的所有流量。

Filtering Bridge Step 7.png

8、禁用默认防锁定规则

配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。

由于我们现在已经为每个接口设置了允许规则,因此我们可以安全地删除LAN上的免锁规则。转到防火墙 – > 设置 – > 高级:找到禁用防锁定,然后选择此选项以禁用设置。

9、调整LAN和WAN接口类型设置

现在,通过将接口类型更改为none,删除用于LAN和WAN的IP子网。转到接口 – > LAN接口 – > WAN ,按照下图操作。

Filtering Bridge Step 9.png

10、应用更改

如果您按照每个步骤进行了操作,则现在可以应用更改。防火墙现在将转换为过滤网桥。完成后,你可以设置自己的过滤规则,可以创建正确的防火墙/过滤规则并应用它们。要访问防火墙,您需要使用为OPT1接口配置的IP地址。

警告:只能在网桥上配置规则,成员接口的规则将被忽略!

不要忘记确保你的电脑的IP地址在OPT1子网的IP范围!

上一篇
下一篇