OPNsense-系统配置1(02)

最新推荐文章于 2024-06-15 09:30:00 发布
最新推荐文章于 2024-06-15 09:30:00 发布
阅读量1.3k 收藏 17
点赞数 23
文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34135099/article/details/135562881
版权
OPNsense 最全功能介绍
OPNsense 最全功能介绍

简述

本章节主要讲述系统配置中的一些功能场景,如高可用、备份恢复、网关、路由、证书、固件升级、基础设置等配置。讲的会比较细,一些章节会参杂些小实验,所以内容会比较多,想分为多篇文章写。请点赞、关注、转发三连,保证不吃亏!😂

系统配置

基础设置-常规

设置语言

方便后续文中使用中文截图!(所有设置,都需要保存才生效)

切换中文
切换中文

主机和域

主机名.域名,和常见的 DNS 域名有点像,但和域名又有差异,因为在这可以不遵守DNS 的 RFC1035 规则[1]。另外注意勿使用 local 域,因为 local 域是 mDNS 专用的。组播 mDNS 和我们常使用的单播 DNS 实现原理类似,区别在于 mDNS 只适用于局域网环境,若在局域网下开启此功能则可以互相发现对方主机名,也可以用于发布些局域网广告信息网站等(注意这里发现主机名需要区别于 DHCP 协议实现原理不一回事),而单播 DNS 没有环境限制。此处设置的主机名和域名,更像是 Linux 中设置的 hostname。

mDNS 使用 UDP 5353 端口。linux 下使用该协议的代表进程是 avahi,WIN 系统是 NetBOIS,苹果系统是 bonjour.

DNS 要求&原则:
  1. 可以包含英文字母(a-z,26 个)、数字(0-9,10 个),以及半角的连接符“-”(即中横线),不能使用空格及特殊字符(如!、$、&、?等);
  2. “-”不能连续出现,不能单独注册,也不能放在开头或结尾;
  3. 域名长度有限制,最多可以注册 63 个字符,域名总长度则不能超过 253 个字符(不包含最后一个.点)
  4. 在域名中,不区分英文字母的大小写。

时区

国际上有三种时间标准,分别是 GMT、UTC、夏令时。 1884 年-1972 年,格林威治时间(GMT)是世界时间的标准。现在我们用的是 UTC 世界标准时间。夏令时的出现是为了节约能源,现在有部分国家在用。想了解不同时间标准历史故事,参考champyin 的博文[2]

如下图,常见的北京时间是 CST=UTC+8(也叫东八区)。

24个标准时区
24个标准时区

DNS

设置 DNS 地址为 223.5.5.5(应用网关 200.1)180.76.76.76(应用网关 202.1)

本地DNS解析设置
本地DNS解析设置

从上图发现,两个解析地址分别设置不同的网关,下面将

  • 允许DNS服务器列表被WAN/DHCP上的DHCP/PPP覆盖(此选项勾选将会使用 DHCP 分配的 DNS 解析)为了此次实验临时先去除.
  • 不将本地DNS服务用作该系统的域名服务器(此选项勾选将会去除 127.0.0.1 的本地 DNS 解析)为了此次实验临时先勾选。

看下是否真的是从两个不同的网关发送解析请求的。

[root@route ~]# ip a  #由于内容过多,输出内容已精简
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 192.168.200.1/24 brd 192.168.200.255 scope global noprefixroute ens192
3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 192.168.201.1/24 brd 192.168.201.255 scope global noprefixroute ens224
4: ens256: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 192.168.202.1/24 brd 192.168.202.255 scope global noprefixroute ens256

[root@route ~]# tcpdump -i ens192 host 180.76.76.76 or host 223.5.5.5  -vnn
21:18:23.918482 IP (tos 0x0, ttl 64, id 11039, offset 0, flags [none], proto UDP (17), length 59)
    192.168.200.83.3140 > 223.5.5.5.53: 14915+ A? www.baidu.com. (31)
21:18:23.924714 IP (tos 0x14, ttl 116, id 11039, offset 0, flags [none], proto UDP (17), length 118)
    223.5.5.5.53 > 192.168.200.83.3140: 14915 3/0/0 www.baidu.com. CNAME www.a.shifen.com., www.a.shifen.com. A 153.3.238.102, www.a.shifen.com. A 153.3.238.110 (90)
21:18:23.931094 IP (tos 0x0, ttl 64, id 14258, offset 0, flags [none], proto UDP (17), length 59)
    192.168.200.83.33703 > 223.5.5.5.53: 62912+ AAAA? www.baidu.com. (31)
21:18:23.936284 IP (tos 0x14, ttl 116, id 14258, offset 0, flags [none], proto UDP (17), length 142)
    223.5.5.5.53 > 192.168.200.83.33703: 62912 3/0/0 www.baidu.com. CNAME www.a.shifen.com., www.a.shifen.com. AAAA 2408:873d:22:1a01:0:ff:b087:eecc, www.a.shifen.com. AAAA 2408:873d:22:18ac:0:ff:b021:1393 (114)
21:18:23.942167 IP (tos 0x0, ttl 64, id 57208, offset 0, flags [none], proto UDP (17), length 59)
    192.168.200.83.28605 > 223.5.5.5.53: 48755+ MX? www.baidu.com. (31)
21:18:23.967318 IP (tos 0x14, ttl 116, id 57208, offset 0, flags [none], proto UDP (17), length 143)
    223.5.5.5.53 > 192.168.200.83.28605: 48755 1/1/0 www.baidu.com. CNAME www.a.shifen.com. (115)

[root@route ~]# tcpdump -i ens256 host 180.76.76.76 or host 223.5.5.5  -vnn
21:18:23.974267 IP (tos 0x0, ttl 64, id 32649, offset 0, flags [none], proto UDP (17), length 59)
    192.168.202.55.40026 > 180.76.76.76.53: 62352+ TXT? www.baidu.com. (31)
21:18:23.989722 IP (tos 0x0, ttl 105, id 0, offset 0, flags [DF], proto UDP (17), length 86)
    180.76.76.76.53 > 192.168.202.55.40026: 62352 1/0/0 www.baidu.com. CNAME www.a.shifen.com. (58)
解析结果
解析结果

通过网关节点抓包和解析结果发现,每次解析时将不同类型的解析的确会分担到两个 DNS 上,且也是按照实际配置从不同网关发起的请求。

所有的解析类型有很多,在用的就有 51 种类型[3]。常见的几种如下表:

类型功能
A解析 Ipv4 地址记录
AAAA解析 Ipv6 地址记录
CNAME解析域名的别名记录
PTR反向解析,通过 IP 地址反向解析出域名
MX解析邮件服务器
TXT文本解析记录

当完成 OPNsense 本地 DNS 设置后,通过cat /etc/resolv.conf查看 OPNsense 的解析配置文件,存在如下配置:

root@OPNsense:~ $ cat /etc/resolv.conf
domain localdomain
nameserver 127.0.0.1
nameserver 192.168.200.1
nameserver 192.168.202.1
nameserver 223.5.5.5
nameserver 180.76.76.76
search localdomain

nameserver 很常见,解析顺序又是如何呢?还有 search 是干嘛的,有啥作用?

##### 测试1 #####
[root@route ~]# iptables -A INPUT -p udp --dport 53 -s 192.168.202.55  -d 192.168.202.1 -j DROP  #禁用202.1的解析

root@OPNsense:~ # date ; ping -c 2 www.baidu.com ; date
Fri Jan 12 00:09:19 CST 2024
PING www.a.shifen.com (153.3.238.110): 56 data bytes
64 bytes from 153.3.238.110: icmp_seq=0 ttl=50 time=10.356 ms
64 bytes from 153.3.238.110: icmp_seq=1 ttl=50 time=12.124 ms
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 10.356/11.240/12.124/0.884 ms
Fri Jan 12 00:09:24 CST 2024

[root@route ~]# tcpdump -i ens256 -n -s 500 port domain
00:08:58.749823 IP 192.168.200.83.54887 > 192.168.200.1.domain: 59201+ A? www.baidu.com. (31)
00:08:59.793424 IP 192.168.200.83.4709 > 192.168.200.1.domain: 42987+ AAAA? www.baidu.com. (31)
00:08:59.788460 IP 192.168.202.55.23960 > 192.168.202.1.domain: 59201+ A? www.baidu.com. (31)
00:08:59.788810 IP 192.168.202.1.domain > 192.168.202.55.23960: 59201 3/0/0 CNAME www.a.shifen.com., A 153.3.238.102, A 153.3.238.110 (93)
00:09:00.870717 IP 192.168.202.55.48984 > 192.168.202.1.domain: 42987+ AAAA? www.baidu.com. (31)
00:09:00.870898 IP 192.168.202.1.domain > 192.168.202.55.48984: 42987 3/0/0 CNAME www.a.shifen.com., AAAA 2408:873d:22:18ac:0:ff:b021:1393, AAAA 2408:873d:22:1a01:0:ff:b087:eecc (117)
00:09:00.879278 IP 192.168.200.83.40062 > 192.168.200.1.domain: 41884+ A? www.baidu.com. (31)
00:09:01.919095 IP 192.168.202.55.15601 > 192.168.202.1.domain: 41884+ A? www.baidu.com. (31)
00:09:01.919385 IP 192.168.202.1.domain > 192.168.202.55.15601: 41884 3/0/0 CNAME www.a.shifen.com., A 153.3.238.110, A 153.3.238.102 (93)

第一个问题,由测试1可以看到是按照 resolve 配置先后进行解析请求,且时间间隔为 1 秒当第一个 dns 无法解析到,会从上往下循环发起请求,且只会选文件中前 3 个地址进行解析请求。有时候解析慢的原因大致就是这个问题。

解析配置: options rotate timeout:1 attempts:3 single-request-reopen

释义: 循环查询、 超时时间、 重试次数、 每次解析都是用独立连接请求。防止 NAT 过程中 DNS 服务器认为是相同客户端发起的请求,此设置将会影响查询性能。

##### 测试2 #####
root@OPNsense:~ # cat /etc/resolv.conf #输出内容已精简
domain localdomain
search localdomain
root@OPNsense:~ # ping www
ping: Unknown host

root@OPNsense:~ # cat /etc/resolv.conf #输出内容已精简
domain localdomain
search localdomain baidu.com #加上百度的域
root@OPNsense:~ # ping www
PING www.a.shifen.com (153.3.238.102): 56 data bytes #www.baidu.com的别名是www.a.shifen.com
64 bytes from 153.3.238.102: icmp_seq=0 ttl=50 time=15.458 ms

第二个问题,从测试2看出,就是当无法解析到地址时候,会把域后缀给加到后面进行解析。另外在没有设置 search 的情况下,search 默认为 domain 的值,一旦配置 search,那 domain 就没用了,优先会使用 search。

网关切换

允许默认网关切换,存在多个网关时使用。勾选后,当其中一个网关监控到异常时,会将默认路由指向另一个网关,恢复后重新指回来。网关的监控会在后面网关设置章节讲解。

公众号二维码
公众号二维码
个人博客二维码
个人博客二维码

客官,欢迎光临本站!路途遥远,常进来看看!

参考资料

[1]

: https://www.ietf.org/rfc/rfc1035.txt

 [2]

: https://champyin.com/2020/04/24/彻底弄懂GMT、UTC、时区和夏令时/

 [3]

: https://en.wikipedia.org/wiki/List_of_DNS_record_types

本文由 mdnice 多平台发布

JosiahWU
关注
  • 23
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
OPNsense - 多功能高可靠易使用的防火墙(二)
码场老农的博客
06-08 2万+
OPNsense的安装和使用(二) 内容列表 基本设置 证书颁发机构(CA)管理 证书管理 授权管理 系统软件管理 其他管理 将会被设置的内容 基本设置 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 基本设置 这是首次进入配置模式时才能见到的欢迎页面,然后就会进入设置过程。为能方便...
OPNsense用户手册-初始安装和配置
weixin_34239592的博客
10-19 6926
调用安装程序是在启动实时环境后,使用用户名installer和密码opnsense登录,按提示进行操作即可。架构OPNsense®可以安装和运行在x86-32和x86-64位微处理器架构上。嵌入式vs完全安装完全安装可以在SD存储卡、固态磁盘(SSD)或硬盘驱动器(HDD)上运行。自15.1.10版本(2015年5月4日)开始,还支持进行嵌入式安装。嵌入式映像和完整...
OPNsense中文用户手册1
08-08
吞吐量 (Mbps)硬件要求功能集用户 / 网络1-10基本很小的很少 (1-10)11-150最小减少的可调整的(10-30)151-350合理 所有可观的(
OPNsense用户手册中文版
weixin_33953384的博客
10-22 4638
OPNsense简介OPNsense用户手册-硬件要求OPNsense用户手册-初始安装和配置OPNsense用户手册-基于虚拟机和云的安装OPNsense用户手册-用户界面OPNsense用户手册-用户管理OPNsense用户手册-系统运行状况和循环数据OPNsense用户手册-Netflow导出和分析OPNsense用户手册-高可用性和硬件故障转移OPNsense用户手册...
探索OPNsense插件:构建网络安全的无限可能
gitblog_00057的博客
05-17 554
探索OPNsense插件:构建网络安全的无限可能 项目地址:https://gitcode.com/opnsense/plugins 项目介绍 OPNsense插件是一个开放源代码平台,为用户提供和开发者快速构建OPNsense附加功能的方式。这些插件可以通过固件图形界面轻松安装,并且一旦被上游接受,将对所有人开放。这个项目旨在丰富OPNsense的功能,提升网络管理的安全性和效率。 项目技术分析...
探索未来网络边界:OPNsense 工具开源项目深度解析
gitblog_00097的博客
05-28 397
探索未来网络边界:OPNsense 工具开源项目深度解析 项目地址:https://gitcode.com/opnsense/tools 1、项目介绍 OPNsense 工具是一系列用于创建 OPNsense 项目相关软件集、包和镜像的工具。这个项目基于 FreeBSD 13.2-RELEASE 的 amd64 架构,旨在为用户提供一个可定制且高效的网络安全解决方案。通过一系列简洁的命令行操作,你...
OPNsense防火墙的安装过程 - 安全
lzhdim的专栏
01-29 5867
前些天在网上看到防火墙软件OPNsense,对其有了兴趣,以前写过一个其前面的一个软件M0n0wall( 关于m0n0wall的安装及配置 ),当时也是非常有名的防火墙,现在有了OPNsense,这个老防火墙已经停止更新了。 下面对OPNsense防火墙的安装进行介绍:   1、 下载ISO安装文件;   别去官网下载ISO,速度慢,而且是IMG格式。这...
OPNsense OpenVPN配置
不一样的精彩
11-03 1271
OPNsense OpenVPN配置
OPNsense安装配置Zenarmor教程
高性价比服务器就选:蓝易云
08-02 764
请注意,以上步骤是一个简要的教程,用于在OPNsense上安装和配置Zenarmor。具体的步骤和选项可能会因版本和设置而有所不同。如果你需要更详细的指导,请参考Zenarmor的官方文档或联系供应商获取相关支持。在配置完成后,你可以在Zenarmor选项卡下的界面上监视和管理Zenarmor。在OPNsense的Web界面上,导航到“系统”>“固件”>“插件”选项卡。确保你有足够的权限来进行安装和配置。安装完成后,导航到“服务”>“Zenarmor”选项卡,开始配置Zenarmor。
OPNsense
Paul Joo的专栏
07-15 4295
1 软路由软路由是指利用台式机或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能;而硬路由则是以特用的硬设备,包括处理器、电源供应、嵌入式软件,提供设定的路由器功能。2 OPNsenseOPNsense 是一个开源易用,而且易于构建的基于 FreeBSD 的防火墙和路由平台。包括大多数商业防火墙的特性。提供功能完整却易用的 GUI 管理界面。3 安装步骤3.1 新建虚拟机
OPNsense:OPNsense是一个开源,易于使用的防火墙和路由平台-开源
05-08
OPNsense是一个开源,易于使用且易于构建的基于FreeBSD的防火墙和路由平台。 OPNsense包含昂贵的商用防火墙中可用的大多数功能,并且在许多情况下还包含更多功能。 该项目的使命宣言:“为用户,开发人员和企业提供友好,稳定和透明的环境。使OPNsense成为使用最广泛的开源安全平台。”
核心:OPNsense GUI,API和系统后端
01-30
OPNsense GUI和系统管理 OPNsense项目邀请开发人员开始为代码库做出贡献。 为了您自己的目的,或者甚至更好地与我们一起创建可用的最佳开源防火墙。 构建过程的目的是使任何人都可以轻松构建和编写代码。 新代码库的主要概述位于: 我们的目标是逐步发展到新的代码库,而不是使用大爆炸的方法来开发新的代码。 构建工具 要创建像OPNsense这样的工作软件,您需要资源和工具来构建它。 OPNsense的构建工具是免费提供的。 可以在工具库中找到有关如何构建OPNsense的注释: 有助于 您可以通过多种方式为项目做出贡献,例如测试功能,发送错误报告或直接通过GitHub创建请求请求。 任何帮助总是非常欢迎! 执照 在2条款BSD许可下,OPNsense始终可用: 对项目所做的所有贡献都必须在相同条件下获得许可,以确保OPNsense真正免费且所有人都可以使用。 Makefile目标 该存储库提供了两个目标,这些目标可以绑定到tools.git的构建过程中,也可以用于快速开发。 制作包装 可以使用此目标来创建存储库当前状态的包。 它可能需要安装几个软件包。 如果出现故障(例如,
opnsense-dhcp-import
04-13
运行opnsense-dhcp-import.py 将生成的XML备份data/output_dhcp_reservations.xml /output_dhcp_reservations.xml导入OPNSense(仅指定DHCP!) 交叉手指,并测试! 去做 实际保存XML 其他输入格式 JSON格式 ...
opnsense-speedtest:OPNsense的speedtest插件
04-05
sudo pkg add https://github.com/mihakralj/opnsense-speedtest/raw/main/work/pkg/os-speedtest-devel-0.8_1.txz 去掉 sudo pkg delete os-speedtest-devel 版本0.7_1 从GUI删除了对install_speedtest.sh的自动...
opnsense-starterkit:尝试opnsense,构建opnsense映像或开始开发
02-06
查看-运行1条命令后即可获得“从源代码”版本 尝试OPNsense 安装无业游民 mkdir /tmp/mytest && cd /tmp/mytest curl -o Vagrantfile ...
opnsense-pc-install-instructions:在PC上安装和配置OPNSense的教程
04-02
在PC上安装和配置OPNSense的教程 为什么选择OPNSense? 推荐硬件 无风扇微型PC: : 指示 下载OPNSense 选择是要下载USB闪存驱动器还是DVD的安装程序 验证下载的安装映像校验和 Nirsoft HashMyFiles(适用于Windows...
opnazure:该模板允许您使用opnsense-bootsrtap安装方法部署OPNsense防火墙Azure VM
01-28
opnazure:该模板允许您使用opnsense-bootsrtap安装方法部署OPNsense防火墙Azure VM
OPNsense 24.1 - 基于 FreeBSD 的开源防火墙和路由平台
最新发布
sysin | SYStem INside
06-15 1320
OPNsense 24.1 - 基于 FreeBSD 的开源防火墙和路由平台
opnsense防火墙网络配置
12-07
以下是OPNsense防火墙的网络配置方法: 1. 进入OPNsense防火墙的Web管理界面,点击“接口”选项卡,选择“接口分配”子选项卡。 2. 在“接口分配”页面中,可以看到防火墙的各个接口,包括WAN、LAN、OPT1等。点击“添加接口”按钮,添加需要配置的接口。 3. 配置WAN接口:在“接口分配”页面中,点击WAN接口的“编辑”按钮,进入WAN接口的配置页面。在“通用配置”选项卡中,配置WAN接口的IP地址、子网掩码、网关等信息。在“IPv6配置”选项卡中,可以配置WAN接口的IPv6地址。在“DHCP客户端”选项卡中,可以配置WAN接口的DHCP客户端。 4. 配置LAN接口:在“接口分配”页面中,点击LAN接口的“编辑”按钮,进入LAN接口的配置页面。在“通用配置”选项卡中,配置LAN接口的IP地址、子网掩码、网关等信息。在“IPv6配置”选项卡中,可以配置LAN接口的IPv6地址。在“DHCP服务器”选项卡中,可以配置LAN接口的DHCP服务器。 5. 配置防火墙规则:在OPNsense防火墙中,需要配置防火墙规则来控制网络流量。在Web管理界面中,点击“防火墙”选项卡,选择“规则”子选项卡。在“规则”页面中,可以添加、编辑、删除防火墙规则。 6. 配置NAT规则:在OPNsense防火墙中,需要配置NAT规则来实现网络地址转换。在Web管理界面中,点击“防火墙”选项卡,选择“NAT”子选项卡。在“NAT”页面中,可以添加、编辑、删除NAT规则。 7.*********防火墙中配置DHCP服务器? 3. OPNsense防火墙如何实现远程访问?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值