OPNsense用户手册-透明过滤桥

透明防火墙可用于过滤流量而无需创建不同的子网。此应用程序称为过滤桥,因为它充当两个接口的桥接连接,并在此基础上应用过滤规则。

注意:透明过滤网桥与流量整形不兼容。使用过滤网桥时,请勿启用流量整形器。

有关在FreeBSD上过滤桥接的更多信息,请参阅过滤网桥

要求

  • 对于这个方法,我们需要将OPNsense恢复为出厂默认设置。
  • 具有2个物理网络接口。

注意事项

使用的截图版本为18.7.6。如果您使用其他版本,则某些选项可能会有所不同。

 

配置10个简单步骤

  • 1.禁用出站NAT规则生成
  • 2.更改系统可调整项
  • 3.创建桥
  • 4.分配管理IP /接口
  • 5.禁用阻止专用网络和bogon
  • 6.禁用LAN上的DHCP服务器
  • 7.添加允许规则
  • 8.禁用默认防锁定规则
  • 9.将LAN和WAN接口类型设置为“none”
  • 10.现在应用更改

警告:在配置期间,系统会要求您多次“应用”您的更改,但这可能会影响当前连接。所以在完成之前不要应用任何东西!您需要为每个步骤保存更改。

1.禁用出站NAT规则生成

要禁用出站NAT,请转到 防火墙 – > NAT – > 出站:禁用出站NAT规则生成

2.更改系统可调节参数

通过 在系统 – > 设置 – > 参数中将net.link.bridge.pfil_bridge从默认值更改为1来启用过滤桥

Filtering Bridge Step 2.png

通过在系统 – > 设置 – > 参数中将net.link.bridge.pfil_member从默认值更改为0来禁用对成员接口的过滤

过滤Bridge Step2a.png

3.创建网桥

创建LAN和WAN的网桥,转到 接口 – > 其他类型 – >网桥:添加选择LAN和WAN。

Filtering Bridge Step 3a.png

过滤桥步骤3b.png

4.分配管理IP /接口

为了能够在之后配置和管理过滤网桥(OPNsense),我们需要为网桥分配新接口并设置IP地址。

转到接口 – > 分配 – > 添加接口,从列表中选择网桥,然后按+

Filtering Bridge Step 4.png

现在将IP地址添加到您要用于管理网桥的接口。转到接口 – > OPT1,启用接口并填写IP地址和掩码。

5.禁用阻止专用网络和bogon

对于WAN接口,我们需要禁用阻止专用网络和bogon网络。

转到接口 – > WAN,取消选择阻止专用网络阻止bogon网络

Filtering Bridge Step 5.png

6.禁用LAN上的DHCP服务器

要在LAN上禁用DHCP服务器,请转到“ 服务” – >“ DHCPv4服务器” – >“ LAN”,然后取消选择“启用”。

Filtering Bridge Step 6.png

7.添加允许规则

配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。

为三个接口(WAN / LAN / OPT1)中的每个接口添加允许规则。

这一步是为了确保我们拥有一个完整的透明网桥而不进行任何过滤。确认网桥正常工作后,您可以设置正确的规则。

转到防火墙 – > 规则并为每个接口添加规则以允许任何类型的所有流量。

Filtering Bridge Step 7.png

8.禁用默认防锁定规则

配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。

由于我们现在已经为每个接口设置了允许规则,因此我们可以安全地删除LAN上的免锁规则。转到防火墙 – > 设置 – > 高级:找到禁用防锁定,然后选择此选项以禁用设置。

9.将LAN和WAN接口类型设置为’none’

现在,通过将接口类型更改为none,删除用于LAN和WAN的IP子网。转到接口 – > LAN接口 – > WAN ,按照下图操作。

Filtering Bridge Step 9.png

10.现在应用更改

如果您按照每个步骤进行了操作,则现在可以应用更改。防火墙现在将转换为过滤网桥。

完成后,你可以设置自己的过滤规则,可以创建正确的防火墙/过滤规则并应用它们。要访问防火墙,您需要使用为OPT1接口配置的IP地址。

警告:只能在网桥上配置规则,成员接口的规则将被忽略!

不要忘记确保您的电脑配置了IP地址,该地址属于OPT1子网的IP范围!