原文转载自:https://docs.opnsense.org/manual/how-tos/transparent_bridge.html
透明过滤桥
警告
透明过滤桥与流量整形不兼容。使用过滤桥时请勿启用流量整形器。
抽象的
透明防火墙可用于过滤流量,而无需创建不同的子网。此应用程序称为过滤桥,因为它充当连接两个接口的桥梁,并在此基础上应用过滤规则。
有关 FreeBSD 上的 Filtering Bridged 的更多信息,请参阅 filtering-bridges
要求
-
对于本指南,我们需要以出厂默认设置作为起点,对 OPNsense 进行基本安装。
-
以及具有 2 个物理接口的设备。
注意事项
为创建此操作指南,我们使用了 OPNsense 15.7.11 版本。一些屏幕截图可能已过时,但设置应至少适用于 17.1.6 版本。如果您使用其他版本,某些选项可能会有所不同。
笔记
用户界面的菜单系统已更新,包含子项。屏幕截图中显示的选项卡现在可能显示为子菜单。
10 个简单步骤即可完成配置
-
1. 禁用出站 NAT 规则生成
-
2. 更改系统可调参数
-
3. 创建桥梁
-
4. 分配管理 IP/接口
-
5. 禁用阻止私有网络和 bogon
-
6. 禁用 LAN 上的 DHCP 服务器
-
7.添加允许规则
-
8.禁用默认防锁定规则
-
9.将 LAN 和 WAN 接口类型设置为“无”
-
10.现在应用更改
警告
在配置过程中,系统会多次要求您“应用”更改,但这可能会影响当前连接。因此,在完全完成之前,请勿应用任何内容!您需要保存每个步骤的更改。
2. 更改系统可调参数
net.link.bridge.pfil_bridge 从默认值更改为 1来启用过滤桥。
net.link.bridge.pfil_member从默认值更改为 0 来禁用成员接口上的过滤 。
4. 分配管理 IP/接口
为了能够随后配置和管理过滤桥(OPNsense),我们需要为桥分配一个新接口并设置一个 IP 地址。
转到,从列表中选择网桥,然后点击+。
现在将 IP 地址添加到您想要用来管理网桥的接口。转到,启用接口并填写 ip/netmask。
7.添加允许规则
配置网桥后,成员接口(WAN/LAN)上的规则将被忽略。因此您可以跳过此步骤。
在三个接口(WAN/LAN/OPT1)上分别添加所有流量的允许规则。
此步骤是为了确保我们拥有一个完全透明的桥接,不会发生任何过滤。当您确认桥接正常工作时,您可以设置正确的规则。
转到并为每个接口添加一条规则以允许任何类型的所有流量。
8.禁用默认防锁定规则
配置网桥后,成员接口(WAN/LAN)上的规则将被忽略。因此您可以跳过此步骤。
由于我们现在已经为每个接口设置了允许规则,因此我们可以安全地删除 LAN 上的防锁定规则
进入: 防锁定 并选择此选项以禁用
10.现在应用更改
如果您遵循了每个步骤,那么您现在可以应用更改。防火墙现在已转换为过滤桥。
完成..准备设置您自己的过滤规则
现在您可以创建正确的防火墙/过滤规则并应用它们。要访问防火墙,您需要使用为 OPT1 接口配置的 IP 地址。
警告
需要在网桥上配置规则。成员接口上的规则将被忽略!
提示
不要忘记确保您的 PC/笔记本电脑配置的 IP 地址属于 OPT1 子网的 IP 范围内!