OPNsense – 透明网桥

By | 2021-07-14

原文来自: https://www.twblogs.net/a/5bd361562b717778ac202d31

要求

  • 對於這個方法,我們需要將OPNsense恢復爲出廠默認設置。
  • 具有2個物理網絡接口。

注意事項

使用的截圖版本爲18.7.6。如果您使用其他版本,則某些選項可能會有所不同。

 

配置10個簡單步驟

  • 1.禁用出站NAT規則生成
  • 2.更改系統可調整項
  • 3.創建橋
  • 4.分配管理IP /接口
  • 5.禁用阻止專用網絡和bogon
  • 6.禁用LAN上的DHCP服務器
  • 7.添加允許規則
  • 8.禁用默認防鎖定規則
  • 9.將LAN和WAN接口類型設置爲“none”
  • 10.現在應用更改

警告:在配置期間,系統會要求您多次“應用”您的更改,但這可能會影響當前連接。所以在完成之前不要應用任何東西!您需要爲每個步驟保存更改。

1.禁用出站NAT規則生成

要禁用出站NAT,請轉到 防火牆 – > NAT – > 出站:禁用出站NAT規則生成

 

2.更改系統可調節參數

通過 在系統 – > 設置 – > 參數中將net.link.bridge.pfil_bridge從默認值更改爲1來啓用過濾橋

Filtering Bridge Step 2.png

通過在系統 – > 設置 – > 參數中將net.link.bridge.pfil_member從默認值更改爲0來禁用對成員接口的過濾

過濾Bridge Step2a.png

3.創建網橋

創建LAN和WAN的網橋,轉到 接口 – > 其他類型 – >網橋:添加選擇LAN和WAN。

Filtering Bridge Step 3a.png

過濾橋步驟3b.png

4.分配管理IP /接口

爲了能夠在之後配置和管理過濾網橋(OPNsense),我們需要爲網橋分配新接口並設置IP地址。

轉到接口 – > 分配 – > 添加接口,從列表中選擇網橋,然後按+

Filtering Bridge Step 4.png

現在將IP地址添加到您要用於管理網橋的接口。轉到接口 – > OPT1,啓用接口並填寫IP地址和掩碼。

5.禁用阻止專用網絡和bogon

對於WAN接口,我們需要禁用阻止專用網絡和bogon網絡。

轉到接口 – > WAN,取消選擇阻止專用網絡阻止bogon網絡

Filtering Bridge Step 5.png

6.禁用LAN上的DHCP服務器

要在LAN上禁用DHCP服務器,請轉到“ 服務” – >“ DHCPv4服務器” – >“ LAN”,然後取消選擇“啓用”。

Filtering Bridge Step 6.png

7.添加允許規則

配置網橋後,將忽略成員接口(WAN / LAN)上的規則。所以你可以跳過這一步。

爲三個接口(WAN / LAN / OPT1)中的每個接口添加允許規則。

這一步是爲了確保我們擁有一個完整的透明網橋而不進行任何過濾。確認網橋正常工作後,您可以設置正確的規則。

轉到防火牆 – > 規則併爲每個接口添加規則以允許任何類型的所有流量。

Filtering Bridge Step 7.png

8.禁用默認防鎖定規則

配置網橋後,將忽略成員接口(WAN / LAN)上的規則。所以你可以跳過這一步。

由於我們現在已經爲每個接口設置了允許規則,因此我們可以安全地刪除LAN上的免鎖規則。轉到防火牆 – > 設置 – > 高級:找到禁用防鎖定,然後選擇此選項以禁用設置。

9.將LAN和WAN接口類型設置爲’none’

現在,通過將接口類型更改爲none,刪除用於LAN和WAN的IP子網。轉到接口 – > LAN接口 – > WAN ,按照下圖操作。

Filtering Bridge Step 9.png

10.現在應用更改

如果您按照每個步驟進行了操作,則現在可以應用更改。防火牆現在將轉換爲過濾網橋。

完成後,你可以設置自己的過濾規則,可以創建正確的防火牆/過濾規則並應用它們。要訪問防火牆,您需要使用爲OPT1接口配置的IP地址。

警告:只能在網橋上配置規則,成員接口的規則將被忽略!

不要忘記確保您的電腦配置了IP地址,該地址屬於OPT1子網的IP範圍!

發佈回覆