NAT是英文Network Address Translation的简写，即”网络地址转换“。它是一个IETF标准，允许一个整体单位机构以一个公用IP地址出现在互联网上。通俗讲就是把单位或组织的所有的网络设备放在一个公用IP地址下使用，不仅能解决公网IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 所有类型的…

Zenarmor是一款全软件的即时防火墙，具有免设备、一体化、全软件、轻量级的特点，可以部署到任何具有网络访问权限的平台上。现在OPNsense上提供了Zenarmor安装包，帮助OPNsense防火墙实现了应用程序控制、网络分析和 TLS 检查等功能。 Zenarmor提供了免费版本，与订阅版本之间存在一些功能上的差异。如果是家庭用户，使用免费版…

对于没有固定公网地址的用户来说，如果想远程访问防火墙或内部服务器，使用动态DNS是一个解决方案。下面介绍在OPNsense中使用动态DNS的方法。 安装动态DNS插件 与一些开箱即用支持动态 DNS 的消费者路由器不同，OPNsense 默认没有安装动态 DNS 功能，但通过安装动态 DNS 插件可以轻松解决这个问题。转到“系统 > 固件 &…

经常有群友问我，怎样在ESXi上扩展pfSense虚拟机磁盘容量，我告诉他们，先备份配置，然后重新建个虚拟机，再导入配置。这种方法简单易用，不容易出现问题。由于pfSense的底层操作系统是freeBSD，我们也可以使用freeBSD的分区命令来扩容磁盘。下面介绍在pfSense的shell环境下扩充pfSense磁盘容量的方法。 在扩容之前，我的…

Crowdsec是一个开源的入侵防御系统 (IPS)，包含各种类型的威胁情报，它可以监控、警告和阻止网络中的恶意活动，保护网络免受已知威胁。虽然其他 IPS 平台可以使用各种签名/规则来阻止已知的恶意流量，但CrowdSec采用的方法是使用社区收集的威胁情报来计算IP地址的信誉分数，并阻止信誉评分较差的IP地址访问受保护的资源，这将更快速、高效。 …

前面介绍了移动客户端通过IPsec VPN访问pfSense防火墙的配置方法，本文将介绍通过IPsev VPN远程访问OPNsense的设置。所有示例都在OPNsense 22.1.6-amd64系统上完成。 防火墙IPsec配置 由于配置证书及在手机上导入证书操作相对复杂，本次配置的IPsec采用Mutual PSK + Xauth认证方式。防火…

很多人在设置OpenVPN时，在TCP和UDP之间不知如何选择。​下面介绍一下这两种协议之间的区别，以及在OpenVPN中如何进行选择。    TCP（传输控制协议）是一种网络协议，可通过 Internet 将数据从你的设备传输到 Web 服务器。当你在使用微信、QQ与朋友聊天、发送电子邮件、观看在线视频或只是浏览网络时，都会使用到TCP协议。TC…

如果不想让防火墙后面的客户端使用自定义或其他公共DNS，可以通过设置规则，将所有对外部服务器的DNS请求重定向到本地DNS服务器。这不但有助于确保网络设备的正常功能，而且还可以应用DNS的阻止/过滤功能。 创建端口转发规则 进入“防火墙 > NAT > 端口转发”页面，然后单击“添加”按钮。进行以下设置： 选项 值 接口 IOT 协议 …

DNS over TLS(DoT) 是一种加密DNS请求的方式。DoT和DoH之间的主要区别是DoT使用 UDP协议，一般使用853端口；而DoH使用TCP协议，一般使用443端口。通过DoH发送的DNS请求将与其他HTTPS流量混合，而基于DoT的DNS请求则单独使用853端口。这两种方法具有近似的安全级别，可能DoH相对会提升一些隐私。而DoT…

WireGuard 是一种简单快速的VPN协议，采用现代加密技术，比 IPsec、OpenVPN更快、更简单。它还有一个更小的代码库，这使得审计和维护更容易。虽然最初是为 Linux 内核设计的，但现在已经可以跨平台使用。 本教程介绍在OPNsense上安装WireGuard 服务器，配置一个或多个客户端来进行远程连接。使用的软件为OPNsense…