简介

透明防火墙可以过滤流量,无需创建单独的子网。该防火墙被称为过滤桥,因为它充当两个接口之间的桥梁,并在此基础上实现过滤规则。

注意:透明过滤桥和流量整形之间不兼容。使用过滤桥时,请勿激活流量整形器。

为方便配置,本教程使用 3 个网络接口:

  • WAN
  • LAN
  • LAN 管理接口

使用 LAN 管理接口访问OPNsense,并对其进行配置,WAN 和 LAN 接口将被配置为桥接接口的成员。

OPNsense 透明过滤桥拓扑
在 OPNsense 防火墙上配置透明网桥有以下几个步骤:

  1. 禁用出站 NAT 规则生成
  2. 更改系统可调参数
  3. 创建网桥
  4. 接口分配
  5. 取消阻止专用网络和Bogon网络
  6. 禁用DHCP 服务器
  7. 添加允许所有流量的防火墙规则
  8. 禁用默认防锁定规则
  9. LAN和WAN 接口类型设置为无
  10. 添加防火墙规则

禁用出站 NAT 规则生成

按照以下步骤操作:

1、导航到防火墙→ NAT →出站,选择“禁用出站 NAT 规则生成”。单击“保存”,单击“应用更改”激活配置。

在 OPNsense 防火墙上禁用出站 NAT

更改系统可调参数

要启用过滤桥,必须将net.link.bridge.pfil_bridge的值更改为1,将net.link.bridge.pfil_member的值更改为0。

1、导航到系统→设置→可调参数。在浏览器中按CTRL F查找:net.link.bridge.pfil_bridge 

编辑 net.link.bridge.pfil_bridge

2、单击编辑按钮设置net.link.bridge.pfil_bridge参数。输入1并单击保存,在桥接口上启用过滤。

3、在浏览器中按CTRL F查找:net.link.bridge.pfil_member

编辑 net.link.bridge.pfil_member

4、单击编辑按钮设置net.link.bridge.pfil_member参数,输入0并单击保存,禁用对桥接口成员的过滤。

创建网桥

按以下步骤操作:

1、导航到接口→其他类型→ 桥接,单击添加按钮创建新的桥接口。

添加新的桥接成员接口

2、在成员接口下拉菜单中选择LAN和WAN

为新桥选择成员接口

3、输入描述性名称,例如Bridge。

保存新的桥接口设置

4、其他选项保留为默认值,然后单击“保存”添加桥接接口。

接口分配

为了之后能够配置和管理网桥,我们需要为桥分配一个新接口并设置一个 IP 地址。

1、导航到接口→分配,在前面创建的桥接接口上输入描述性名称,然后单击添加按钮。

桥接网络端口的接口分配

2、启用bridge接口并设置 IP 配置。

编辑桥接口

3、在基本配置栏,选中启用接口。

4、在IPv4 配置类型选项,选中静态 IPv4。

5、设置 IPv4 地址和子网掩码。还可以通过选择默认网关选项并在WAN 配置上的网关 IPv4字段中键入 IP 地址来添加新网关。

设置 IPv4 配置
6、单击保存,保存桥接接口配置。单击应用更改,激活设置。

取消阻止专用网络和Bogon网络

在 WAN 接口上,需要取消对专用网络和 bogon 网络的阻止。

导航到接口→ WAN,取消选择“阻止专用网络”和“阻止 bogon 网络”选项。

在 WAN 接口上启用专用网络和 bogon 网络流量

在 WAN 接口上启用专用网络和 bogon 网络流量

禁用DHCP

导航到服务→ DHCPv4 → [LAN],在 LAN 接口上取消选中启用 DHCP 服务器。

添加允许所有流量的防火墙规则

此步骤确保网桥完全透明,不会发生任何过滤。主要验证网桥的功能,然后再根据需要添加过滤规则。

1、转到防火墙→规则,选择Bridge接口并单击添加按钮添加规则。

在 Bridge 接口上添加防火墙规则

2、动作选“通过”,方向选“进”,协议选“any”,源选择“any”。

3、目标选择“any”,选中启用记录此规则处理的数据包选项,描述说明输入Allow All。

在网桥接口上创建防火墙规则以允许所有传入流量
4、单击“保存”,然后单击“应用更改”来激活配置。

5、在 LAN 接口上定义防火墙规则。

在 LAN 接口上创建防火墙规则以允许所有传入流量

6、在 WAN 接口上定义防火墙规则。

在 WAN 接口上创建防火墙规则以允许所有传入流量

取消默认防锁定规则

配置网桥后,成员接口 (WAN/LAN) 规则将被忽略。因此,您可以跳过此步骤。由于每个接口现在都有允许规则,因此我们可以按照后续步骤安全地从 LAN 中删除反锁定规则。

导航到防火墙→设置→高级,取消选择禁用防锁定选项。

禁用防锁定规则

LAN和WAN接口IPv4配置为无

删除用于 LAN 和 WAN 的 IP 地址,执行以下步骤:

1、转至接口→ [LAN] ,将IPv4 配置为None类型。单击“保存”。

将 LAN 的 IPv4 配置类型设置为无

2、转至接口→ [WAN] ,将IPv4 配置为None类型,单击“保存”,单击“应用更改”激活配置。

将 WAN 的 IPv4 配置类型设置为无

添加防火墙过滤规则

现在,透明网桥已经配置完成,您可以根据需要在网桥上配置所需要的过滤规则。

  • 无标签
写评论...