OPNsense支持在虚拟化环境下运行,本文介绍在Proxmox中安装配置OPNsense防火墙的过程。 这是一个简单示例,如果想让虚拟机获得最大性能,还需要调整接口设置,以及为网卡设置多队列选项等操作。 上传文件 下载OPNsense的 DVD ISO版安装镜像,将其上传到Proxmox 服务器。Proxmox支持通过 Web 界面创建虚拟机的I…
在Proxmox中安装OPNsense
手机使用IPsec VPN远程访问pfSense防火墙
前面介绍了在pfSense搭建中OpenVPN远程访问服务器,客户端远程访问防火墙的方法。本文介绍另一种远程访问方法,使用IPsec VPN远程访问pfSense防火墙。 本文所使用的防火墙版本为pfSense2.52,防火墙LAN接口IP:192.168.101.254 。 IPsec服务器配置 按照先配置移动客户端,再设置阶段1和阶段2,最后添…
在pfSense中配置使用Snort
概述 Snort是攻击检测和预防系统。它可以将检测到的网络事件记录到日志并阻止它们。Snort使用称为规则的检测签名进行操作。 Snort规则可以由用户自定义创建,或者可以启用和下载几个预打包规则集中的任何一个。 最常用的是Snort VRT(漏洞研究团队)的规则。 Snort VRT规则提供两种形式。一个是免费的注册用户版本,需要在snort.o…
pfSense搭建OpenVPN远程访问服务器
在外部访问pfSense防火墙的最佳方式是通过VPN连接来访问。在pfSense中,可供使用的VPN方式有IPsec VPN、OpenVPN以及在2.50版本以后添加的WireGuard VPN。本文介绍使用OpenVPN远程连接pfSense防火墙的方法,使用的软件版本为pfSense 2.52。 本文要实现的目标: 远程访问pfSense防火…
OPNsense用户手册-ClamAV设置
OPNsense中的插件ICAPc-icap是 ICAP 服务器的实现,可以与Squid 3.x HTTP代理服务器等支持ICAP协议的HTTP代理一起使用,实现内容适配/过滤服务。ClamAV则提供针对恶意软件的有效保护,例如勒索软件,特洛伊木马和病毒。内置的入侵防御系统和基于类别的Web过滤可以进一步增强这种保护能力。 需要说明的是,虽然反病毒…
在OPNsense中使用Nginx保护内部网站
Nginx是一款轻量级的Web服务器、反向代理服务器,由于它的内存占用少,启动快,高并发能力强,在互联网项目中广泛应用。 在OPNsense上,集成了Nginx插件,我们可以通过添加Nginx插件来保护内部网络和Web服务器,也可以实现服务器的负载平衡。 下面以访问内部NAS服务器(IP地址:192.168.100.16,http访问端口:4999…
pfSense主机覆盖配置示例
pfSense的DNS解析器和DNS转发器的主机覆盖(Host Overrides)部分可以创建自定义 DNS 条目。主机覆盖可以定义新记录,或覆盖现有记录,以便本地客户端接收该配置的响应,而不是来自上游 DNS 服务器的响应。这对于拆分 DNS 配置很有用 ,并且可以作为阻止访问某些特定网站的有效方法,当然也可以用来设定访问内部的服务器。 下面以…
OPNsense链路聚合配置(LAGG)
OPNsense的接口提供了配置LAGG,必须在未使用的接口上进行添加。LAGG有以下四种运行模式: Failover:只通过主网口收发数据。 如果主网口不可用, 则使用下一个激活的网口。 加入的第一个网口便会被视为主网口; 此后加入的其他网口, 则会被视为故障转移的备用网口。 如果发生故障转移之后, 原先的网口又恢复了可用状态, 它会恢复作为主网…
在pfSense上为HAProxy配置使用LetsEncrypt
本文介绍如何将 HAProxy 配置为使用 LetsEncrypt 来自动管理证书,以确保 HAProxy 后面的Web服务器上的证书受到 SSL 安全保护。 在开始介绍之前,有一些要点必须要说明: 你必须有权管理 Web 服务器域名所在的DNS区域。 LetsEncrypt 分发证书,必须证明你是域的所有者。有两种方法;一是让 LetsEncry…
OPNsense配置使用外部黑名单阻止恶意 IP
在防火墙上使用外部黑名单来阻止恶意 IP 是防火墙最常见的功能,这有助于保护内部网络的安全。当然你也可以使用DoH / DoT(基于 http 或 TLS 的 DNS)或 IPS来做这件事。但从配置的难度上来说,还是前者更方便。下面介绍一下配置方法。 创建外部黑名单别名 OPNsense 支持在别名中使用外部黑名单,别名可用在防火墙规则上。我们首先…