透明防火牆可用於過濾流量而無需創建不同的子網。此應用程序稱爲過濾橋,因爲它充當兩個接口的橋接連接,並在此基礎上應用過濾規則。
有關在FreeBSD上過濾橋接的更多信息,請參閱過濾網橋。
注意:透明過濾網橋與流量整-形-器不兼容。使用過濾網橋時,請勿啓用流量整-形-器。
要求
對於這個方法,我們需要將OPNsense恢復爲出廠默認設置。
具有2個物理網絡接口。
注意事項
使用的截圖版本爲18.7.6。如果您使用其他版本,則某些選項可能會有所不同。
配置10個簡單步驟
1.禁用出站NAT規則生成
2.更改系統可調整項
3.創建橋
4.分配管理IP /接口
5.禁用阻止專用網絡和bogon
6.禁用LAN上的DHCP服務器
7.添加允許規則
8.禁用默認防鎖定規則
9.將LAN和WAN接口類型設置爲“none”
10.現在應用更改
警告:在配置期間,系統會要求您多次“應用”您的更改,但這可能會影響當前連接。所以在完成之前不要應用任何東西!您需要爲每個步驟保存更改。
1.禁用出站NAT規則生成
要禁用出站NAT,請轉到 防火牆 - > NAT - > 出站:禁用出站NAT規則生成
2.更改系統可調節參數
通過 在系統 - > 設置 - > 參數中將net.link.bridge.pfil_bridge從默認值更改爲1來啓用過濾橋
通過在系統 - > 設置 - > 參數中將net.link.bridge.pfil_member從默認值更改爲0來禁用對成員接口的過濾
3.創建網橋
創建LAN和WAN的網橋,轉到 接口 - > 其他類型 - >網橋:添加選擇LAN和WAN。
4.分配管理IP /接口
爲了能夠在之後配置和管理過濾網橋(OPNsense),我們需要爲網橋分配新接口並設置IP地址。
轉到接口 - > 分配 - > 添加接口,從列表中選擇網橋,然後按+。
現在將IP地址添加到您要用於管理網橋的接口。轉到接口 - > OPT1,啓用接口並填寫IP地址和掩碼。
5.禁用阻止專用網絡和bogon
對於WAN接口,我們需要禁用阻止專用網絡和bogon網絡。
轉到接口 - > WAN,取消選擇阻止專用網絡和阻止bogon網絡。
6.禁用LAN上的DHCP服務器
要在LAN上禁用DHCP服務器,請轉到“ 服務” - >“ DHCPv4服務器” - >“ LAN”,然後取消選擇“啓用”。
7.添加允許規則
配置網橋後,將忽略成員接口(WAN / LAN)上的規則。所以你可以跳過這一步。
爲三個接口(WAN / LAN / OPT1)中的每個接口添加允許規則。
這一步是爲了確保我們擁有一個完整的透明網橋而不進行任何過濾。確認網橋正常工作後,您可以設置正確的規則。
轉到防火牆 - > 規則併爲每個接口添加規則以允許任何類型的所有流量。
8.禁用默認防鎖定規則
配置網橋後,將忽略成員接口(WAN / LAN)上的規則。所以你可以跳過這一步。
由於我們現在已經爲每個接口設置了允許規則,因此我們可以安全地刪除LAN上的免鎖規則。轉到防火牆 - > 設置 - > 高級:找到禁用防鎖定,然後選擇此選項以禁用設置。
9.將LAN和WAN接口類型設置爲'none'
現在,通過將接口類型更改爲none,刪除用於LAN和WAN的IP子網。轉到接口 - > LAN和接口 - > WAN ,按照下圖操作。
10.現在應用更改
如果您按照每個步驟進行了操作,則現在可以應用更改。防火牆現在將轉換爲過濾網橋。
完成後,你可以設置自己的過濾規則,可以創建正確的防火牆/過濾規則並應用它們。要訪問防火牆,您需要使用爲OPT1接口配置的IP地址。
警告:只能在網橋上配置規則,成員接口的規則將被忽略!
不要忘記確保您的電腦配置了IP地址,該地址屬於OPT1子網的IP範圍!