透明防火墙可用于过滤流量而无需创建不同的子网。此应用程序称为过滤桥,因为它充当两个接口的桥接连接,并在此基础上应用过滤规则。
注意:透明过滤网桥与流量整形不兼容。使用过滤网桥时,请勿启用流量整形器。
有关在FreeBSD上过滤桥接的更多信息,请参阅过滤网桥
要求
- 对于这个方法,我们需要将OPNsense恢复为出厂默认设置。
- 具有2个物理网络接口。
注意事项
使用的截图版本为18.7.6。如果您使用其他版本,则某些选项可能会有所不同。
配置10个简单步骤
- 1.禁用出站NAT规则生成
- 2.更改系统可调整项
- 3.创建桥
- 4.分配管理IP /接口
- 5.禁用阻止专用网络和bogon
- 6.禁用LAN上的DHCP服务器
- 7.添加允许规则
- 8.禁用默认防锁定规则
- 9.将LAN和WAN接口类型设置为“none”
- 10.现在应用更改
警告:在配置期间,系统会要求您多次“应用”您的更改,但这可能会影响当前连接。所以在完成之前不要应用任何东西!您需要为每个步骤保存更改。
1.禁用出站NAT规则生成
要禁用出站NAT,请转到 防火墙 – > NAT – > 出站:禁用出站NAT规则生成
2.更改系统可调节参数
通过 在系统 – > 设置 – > 参数中将net.link.bridge.pfil_bridge从默认值更改为1来启用过滤桥
通过在系统 – > 设置 – > 参数中将net.link.bridge.pfil_member从默认值更改为0来禁用对成员接口的过滤
3.创建网桥
创建LAN和WAN的网桥,转到 接口 – > 其他类型 – >网桥:添加选择LAN和WAN。
4.分配管理IP /接口
为了能够在之后配置和管理过滤网桥(OPNsense),我们需要为网桥分配新接口并设置IP地址。
转到接口 – > 分配 – > 添加接口,从列表中选择网桥,然后按+。
现在将IP地址添加到您要用于管理网桥的接口。转到接口 – > OPT1,启用接口并填写IP地址和掩码。
5.禁用阻止专用网络和bogon
对于WAN接口,我们需要禁用阻止专用网络和bogon网络。
转到接口 – > WAN,取消选择阻止专用网络和阻止bogon网络。
6.禁用LAN上的DHCP服务器
要在LAN上禁用DHCP服务器,请转到“ 服务” – >“ DHCPv4服务器” – >“ LAN”,然后取消选择“启用”。
7.添加允许规则
配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。
为三个接口(WAN / LAN / OPT1)中的每个接口添加允许规则。
这一步是为了确保我们拥有一个完整的透明网桥而不进行任何过滤。确认网桥正常工作后,您可以设置正确的规则。
转到防火墙 – > 规则并为每个接口添加规则以允许任何类型的所有流量。
8.禁用默认防锁定规则
配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。
由于我们现在已经为每个接口设置了允许规则,因此我们可以安全地删除LAN上的免锁规则。转到防火墙 – > 设置 – > 高级:找到禁用防锁定,然后选择此选项以禁用设置。
9.将LAN和WAN接口类型设置为’none’
现在,通过将接口类型更改为none,删除用于LAN和WAN的IP子网。转到接口 – > LAN和接口 – > WAN ,按照下图操作。
10.现在应用更改
如果您按照每个步骤进行了操作,则现在可以应用更改。防火墙现在将转换为过滤网桥。
完成后,你可以设置自己的过滤规则,可以创建正确的防火墙/过滤规则并应用它们。要访问防火墙,您需要使用为OPT1接口配置的IP地址。
警告:只能在网桥上配置规则,成员接口的规则将被忽略!
不要忘记确保您的电脑配置了IP地址,该地址属于OPT1子网的IP范围!