透明网桥是一种即插即用设备,不需要改动硬件和软件,不需要切换地址,不需要设置路由表或参数,通过把LAN和WAN接口桥接后接入网络,实现防火墙的过滤功能。本文介绍在pfSense中设置透明网桥的过程。
在pfSense中设置透明网桥建议至少配置三个网络接口,其中一个为管理口,用于访问和设置防火墙,如果需要定期更新规则,还需要另外增设一个WAN接口。下面的操作,都将通过管理口进行。
一、禁用NAT
二、启用网桥过滤
默认情况下,流量是在成员接口上而不是在网桥接口上进行过滤。其中可调参数net.link.bridge.pfil_bridge决定是否将pf规则应用于网桥接口本身,可调参数net.link.bridge.pfil_member决定是否将pf规则应用于网桥成员接口。必须修改默认设定,从而忽略接口本身的规则 ,而只在网桥上执行过滤。
导航到System/Advianced/System Tunables,将net.link.bridge.pfil_bridge参数值更改为1,启过网桥过滤,将net.link.bridge.pfil_member参数值更改为0,禁用成员接口上的过滤规则。如下图所示。
三、创建网桥
转到Interfaces / Assignments / Bridges,并单击Add按钮。
在“Interfaces / Assignments”下,选择“Available network ports ”下的“BRIDGE0”,然后单击“ ADD”。
启用接口。IPv4和IPv6地址配置类型都设为None。也可以在这里添加一个静态地址,用于访问防火墙。
编辑WAN和LAN接口,并将IPv4和IPv6配置类型设置为None。
在删除IP配置之前,需要先禁用DHCP,或DHCPv6的RA。
四、配置防火墙规则
配置网桥后,成员接口(WAN / LAN)上的规则将被忽略,因此可以跳过此步骤。为三个接口(WAN / LAN / OPT1)中的每个接口上的所有流量添加允许规则,是为了确保我们拥有完整的透明桥,而不会进行任何过滤。确认网桥正常工作后,再设置正确的规则。
导航到Firewall/Rules,选择WAN接口并创建允许通过接口传递所有流量的规则(LAN接口也进行类似设置),如下所示。
现在选择分配的网桥接口,如OPT1。
创建允许any to any规则。
至此,透明网桥配置完成。