如何用OPNsense为我的家打造终极防火墙

随着计算机行业充斥着各种病毒、键盘记录器和其他恶意软件,为你的设备配备网络安全工具变得至关重要。防火墙通过帮助你配置加固的流量规则来过滤恶意数据包,是增强网络安全的最有用工具之一。

虽然市场上有许多易于设置的防火墙应用程序,但如果你想为家庭实验室中的设备提供全网络范围的覆盖,专用的路由器操作系统会更好。因此,这里有一份详细的指南,介绍如何在本地硬件上安装OPNsense,以保护家庭网络中的其他设备。

img

你需要什么

作为一个轻量级发行版,OPNsense的硬件要求相当低。只要你的路由器、迷你PC或SBC(单板计算机)基于x86-64架构,并且有2GB内存以及4GB的空闲磁盘空间,你就不会在启动和运行操作系统时遇到任何问题。

如果你不涉及VLAN(虚拟局域网)的复杂设置,你至少需要在你打算安装OPNsense的设备上有两个以太网端口。其中一个端口将作为WAN接口,你需要将其插入调制解调器,以连接你的家庭网络到互联网。另一个将作为LAN端口,你必须将其与你的网络交换机配对。

尽管大多数路由器包含多个端口,但许多迷你PC和SBC可能只支持一个以太网连接。幸运的是,你可以使用专用的网卡,或者对于那些有空闲PCIe扩展槽的人来说,一个廉价的以太网转USB适配器可以为系统添加第二个端口。

为OPNsense创建可启动的USB驱动器

与每个操作系统一样,你需要将OPNsense文件写入一个USB驱动器。由于Balena Etcher支持刷写IMG文件,我们将使用它来进行本教程。

  1. 访问OPNsense的官方网站,使用下拉菜单选择你偏好的镜像类型,然后点击下载按钮。

  2. 下载最新版本的Balena Etcher安装文件,并使用它在你的系统上安装该工具。

  3. 以管理员身份运行Balena Etcher.exe

  4. 在Balena Etcher中,点击从文件中烧录按钮,选择你之前下载的OPNsense镜像

img

  1. 忽略缺少分区表的错误消息,点击继续

img

  1. 点击选择目标,并选择你打算用作启动磁盘的USB驱动器

img

  1. 最后,点击烧录,等待Balena Etcher完成其魔法。

img

修改BIOS设置

现在你的启动驱动器已经准备好了,是时候切换你的路由器/迷你PC/SBC的BIOS启动顺序了。尽管具体步骤因主板而异,但以下是一个大致的流程:

  1. 将U盘插入系统,并在启动时反复按Del键。

  2. 转到启动选项卡,将USB驱动器设置为启动选项#1

img

  1. 保存更改并退出BIOS。

安装OPNsense

当电脑重新启动后,你将进入OPNsense的实时启动环境,操作系统将开始自动分配网络接口。如果你想,你可以中断这个过程并手动输入WAN和LAN接口。否则,你可以等待登录选项出现在屏幕上。无论如何,

  1. 输入installer作为登录名,然后输入opnsense作为密码。

  2. 选择你偏好的键盘映射设置

  3. 当OPNsense安装程序提示你选择一个任务时,选择安装(ZFS)

  4. 根据你的路由器/迷你PC/SBC上的RAID设置,选择合适的虚拟设备类型

  5. 使用空格键突出显示OPNsense安装驱动器,并在安装程序提示你进行最终确认时点击

  6. 安装完成后,选择根密码选项,并为你的根用户输入一个密码

  7. 点击完成安装,并在系统重新启动时拔出你的启动驱动器。

配置OPNsense Web界面

虽然你已经成功地在家庭路由器上安装了OPNsense,但你还需要在Web界面中修改最后一组选项。

  1. 假设你之前没有修改LAN接口的默认IP地址,将192.168.1.1输入到连接到与OPNsense路由器相同网络的另一台电脑的网络浏览器中。

  2. 输入root作为用户名,然后输入你在安装过程中设置的密码

  3. 在OPNsense Web界面中,点击下一步,并在常规信息部分输入主DNS次DNS选项。

    为了增强安全性,你可以勾选启用DNSSEC支持加固DNSSEC数据选项。记得在每个步骤后点击下一步

  4. 选择时间服务器主机名时区

  5. 对于WAN接口设置,你可以选择将IPv4配置类型设置为DHCP,以简化设置。

    或者,你可以放弃DHCP,选择静态选项,并手动填写MAC地址主机名IP地址和其他设置。

  6. 保留LAN IP地址根密码设置不变,并点击重新加载

加固OPNsense防火墙

现在OPNsense界面已经准备好了,你可以自由地调整这个神奇的路由器操作系统提供的各种选项、切换按钮和单选按钮。以下是我们推荐查看的一些设置:

使用OPNsense打造安全路由器

尽管我们已经提到了大多数必要的安全加固选项,但OPNsense相当复杂——即使是按照典型的路由器操作系统标准来说也是如此。如果你不太愿意将整个设备分配给OPNsense,你可以在Proxmox或其他虚拟化环境中将其作为虚拟机运行。但除非你使用的是高可用性集群,否则我不建议在你的实验机器上设置全网范围的防火墙,因为如果(或者更准确地说,当)家庭实验室在你的项目压力下崩溃时,你的互联网连接将会中断。

# 网络 # php
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区