透明防火墙可以过滤流量,无需创建单独的子网。该防火墙被称为过滤桥,因为它充当两个接口之间的桥梁,并在此基础上实现过滤规则。
注意:透明过滤桥和流量整形之间不兼容。使用过滤桥时,请勿激活流量整形器。
为方便配置,本教程使用 3 个网络接口:
WAN
LAN
LAN管理接口
我们将使用 LAN 管理接口访问OPNsense,并对其进行配置,WAN 和 LAN 接口将被配置为桥接接口的成员。
在 OPNsense 防火墙上配置透明网桥有以下几个步骤:
禁用出站 NAT 规则生成
更改系统可调参数
创建网桥
接口分配
取消阻止专用网络和Bogon网络
禁用DHCP 服务器
添加允许所有流量的防火墙规则
禁用默认防锁定规则
LAN和WAN 接口类型设置为无
添加防火墙规则
禁用出站 NAT 规则生成
按照以下步骤操作:
1、导航到防火墙→ NAT →出站,选择“禁用出站 NAT 规则生成”。单击“保存”,单击“应用更改”激活配置。
更改系统可调参数
要启用过滤桥,必须将net.link.bridge.pfil_bridge的值更改为1,将net.link.bridge.pfil_member的值更改为0。
1、导航到系统→设置→可调参数。在浏览器中按CTRL F查找:net.link.bridge.pfil_bridge
2、单击编辑按钮设置net.link.bridge.pfil_bridge参数。输入1并单击保存,在桥接口上启用过滤。
3、在浏览器中按CTRL F查找:net.link.bridge.pfil_member
4、单击编辑按钮设置net.link.bridge.pfil_member参数,输入0并单击保存,禁用对桥接口成员的过滤。
创建网桥
按以下步骤操作:
1、导航到接口→其他类型→ 桥接,单击添加按钮创建新的桥接口。
2、在成员接口下拉菜单中选择LAN和WAN
3、输入描述性名称,例如Bridge。
4、其他选项保留为默认值,然后单击“保存”添加桥接接口。
接口分配
为了之后能够配置和管理网桥,我们需要为桥分配一个新接口并设置一个 IP 地址。
1、导航到接口→分配,在前面创建的桥接接口上输入描述性名称,然后单击添加按钮。
2、启用bridge接口并设置 IP 配置。
3、在基本配置栏,选中启用接口。
4、在IPv4 配置类型选项,选中静态 IPv4。
5、设置 IPv4 地址和子网掩码。还可以通过选择默认网关选项并在WAN 配置上的网关 IPv4字段中键入 IP 地址来添加新网关。
6、单击保存,保存桥接接口配置。单击应用更改,激活设置。
取消阻止专用网络和Bogon网络
在 WAN 接口上,需要取消对专用网络和 bogon 网络的阻止。
导航到接口→ WAN,取消选择“阻止专用网络”和“阻止 bogon 网络”选项。
禁用DHCP
导航到服务→ DHCPv4 → [LAN],在 LAN 接口上取消选中启用 DHCP 服务器。
添加允许所有流量的防火墙规则
此步骤确保网桥完全透明,不会发生任何过滤。主要验证网桥的功能,然后再根据需要添加过滤规则。
1、转到防火墙→规则,选择Bridge接口并单击添加按钮添加规则。
2、动作选“通过”,方向选“进”,协议选“any”,源选择“any”。
3、目标选择“any”,选中启用记录此规则处理的数据包选项,描述说明输入Allow All。
4、单击“保存”,然后单击“应用更改”来激活配置。
5、在 LAN 接口上定义防火墙规则。
6、在 WAN 接口上定义防火墙规则。
取消默认防锁定规则
配置网桥后,成员接口 (WAN/LAN) 规则将被忽略。因此,您可以跳过此步骤。由于每个接口现在都有允许规则,因此我们可以按照后续步骤安全地从 LAN 中删除反锁定规则。
导航到防火墙→设置→高级,取消选择禁用防锁定选项。
LAN和WAN接口IPv4配置为无
删除用于 LAN 和 WAN 的 IP 地址,执行以下步骤:
1、转至接口→ [LAN] ,将IPv4 配置为None类型。单击“保存”。
2、转至接口→ [WAN] ,将IPv4 配置为None类型,单击“保存”,单击“应用更改”激活配置。
添加防火墙过滤规则
现在,透明网桥已经配置完成,您可以根据需要在网桥上配置所需要的过滤规则。
文章评论