在桥接模式下配置pfSense

一、禁用NAT

二、启用网桥过滤

默认情况下，流量是在成员接口上而不是在网桥接口上进行过滤。其中可调参数net.link.bridge.pfil_bridge决定是否将pf规则应用于网桥接口本身，可调参数net.link.bridge.pfil_member决定是否将pf规则应用于网桥成员接口。必须修改默认设定，从而忽略接口本身的规则 ，而只在网桥上执行过滤。

导航到System/Advianced/System Tunables，将net.link.bridge.pfil_bridge参数值更改为1，启过网桥过滤，将net.link.bridge.pfil_member参数值更改为0，禁用成员接口上的过滤规则。如下图所示。

三、创建网桥

转到Interfaces / Assignments / Bridges，并单击Add按钮。

在“Interfaces / Assignments”下，选择“Available network ports ”下的“BRIDGE0”，然后单击“ ADD”。

启用接口。在网桥上分配一个静态IP地址，用于访问pfSense，添加上游网关，保证pfSense能正常联网，以便安装插件，更新过滤规则。

现在编辑WAN和LAN接口，并将IPv4和IPv6配置类型设置为None。

在删除IP配置之前，需要先禁用DHCP，或DHCPv6的RA。

四、配置防火墙规则

配置网桥后，成员接口（WAN / LAN）上的规则将被忽略，因此可以跳过此步骤。为三个接口（WAN / LAN / OPT1）中的每个接口上的所有流量添加允许规则，是为了确保我们拥有完整的透明桥，而不会进行任何过滤。确认网桥正常工作后，再设置正确的规则。

导航到Firewall/Rules，选择WAN接口并创建允许通过接口传递所有流量的规则（LAN接口也进行类似设置），如下所示。

现在选择分配的网桥接口，如OPT1。

创建允许任意流量到OPT1 net规则，如下图所示：

如果网关提供DHCP服务，还要创建一个允许UDP端口67到任意端口的规则。

五、DNS配置

内部的DHCP服务器和静态分配的设备都应将DNS服务器设置为网桥的IP。

注意：在进行过程中，不要点击应用更改，待所有步骤完成后，再点击应用更改，以避免出现不能访问防火墙的情况。

至此，透明网桥配置完成。