opnsense

本文主要初步了解了下开源防火墙中的2兄弟pFsense和OPNsense差异，闲来无事顺便用它俩撸了一把site to site IPsec 。 一，oFsense(v2.3.3)和OPNsense（V20.1）通俗对比 这2兄弟前面的是大哥，差不多15岁了，后面的是弟弟也就4/5岁，因为都是一个爹妈（FreeBSD/m0n0wall）生的，虽然外表有所差异，但是骨子里的东西99%都一样。首先，哥哥长的丑一点（GUI中规中矩），弟弟长的就帅很多了，也比较时髦（2个系统的前端框架不一样，前者是Bootstrap后者是基于Phalcon PHP框架的Bootstrap）；其次，哥哥长大了想法也多了，感觉自己有些某些方面能力不足但自己有无能为力，所以需要第三方的力量来弥补（支持插件），而弟弟想法是引入第三方会影响到自身某些方面的发展，所以不想接入外来（不支持插件）；最后，他俩对周围环境的安全意识也发生了一些分歧（前者是IDS大佬Snort，这个已经被cisco撸到FTD中了，后者是Suricata），其他的2兄弟可以说基本都一样，最后他俩现在都出名了（主要国外名气大），哥哥开发布会比较随意，弟弟则是每周开发布会（安全更新周期不同）。 先来张他俩的自拍，大家体会下，上面的是哥哥，下面的是弟弟。 简要拓扑 目标：10.10.10.11和10.10.11.11之间通过 IPSEC 互通。 二

Netify 可以对内部网络中的流量提供完整的可见性和完整分析。Netify从深度数据包检查(DPI)网络数据包分析器开始，被动地收集本地网络上的数据。然后将元数据安全地发送到云进行收集、分析和报告。 NETIFY的底层的网络化深度数据包检查代理是免费且开源，并根据GPLv3进行了许可。 NETIFY FWA是基于本地的应用不收费 。Netify基于云的服务是一项付费订阅服务。 pfSense安装NETIFY Netify软件包占用资源不多，不涉及pfSense正常部署。 底层的Netify深度数据包检查引擎所需的CPU使用与***检测/预防系统所需的占用差不多，网络越繁忙，所需的CPU占用就越多。 最新的Netify软件包已保存在 pfSense存储库中 。要安装软件包，请使用管理员帐号在shell环境下运行以下命令： curl http://download.netify.ai/netify/pfsense/2.4.x/stable/netify-install.sh | sh 目前只支持pfSense2.4x的安装，暂不支持pfSense2.5.x。 安装完成后，导航至 状态> 服务， 查看netifyd服务是否正在运行。再导航到 服务> Netify ，单击“ Provision ”选项卡，然后单击“ enabled ”按钮来初始化Netify系统。稍等就会看到“

在OPNsense中，有时我们需要通过外网访问内部的服务器，或进行SSH通信，这就要用到防火墙的端口转发功能。下面以从外网SSH内部主机来进行示例，要访问的内部主机IP：192.168.100.100，通过WAN1接口进行访问。 登录OPNsense的管理界面，导航到 防火墙>NAT>端口转发 页面，点击右上角的添加按钮，添加一条新的端口转发条目。 填写相关字段内容：按下图所示。 TCP / IP版本 ：IPv4 协议 ：TCP 源 ：any 源端口范围 ：any 目标 ：WAN1 目标端口范围 ：SSH 重定向目标IP ：192.168.100.100 重定向目标端口 ：SSH 其他选项默认 填写完成后，单击页面底部的“ 保存 ”，然后单击“ 应用更改” 。如下图所示： 单击“应用更改”后，端口转发规则生效，通过WAN1接口地址的SSH流量将定向到设置的目标地址IP：192.168.100.100。查看WAN1接口的防火墙规则，也可以发现自动添加了端口转发的规则。 其他的端口转发可以参照设置，目标端口与重定向目标端口可以不一致，如可以把目标端口设为8000，重定向目标端口设为80，在外网访问8000端口，自动转到到设置的目标主机80端口上。如果从内部通过外网IP来访问内部服务器，要把 NAT回流 选为启用。 来源： oschina 链接： https://my.oschina