如何安装和配置基本 OpnSense 防火墙

在之前的文章中，讨论了称为 PfSense 的防火墙解决方案。 2015 年初，我们决定分叉 PfSense，并发布了名为 OpnSense 的新防火墙解决方案。

OpnSense 最初只是 PfSense 的一个简单分支，但现已发展成为一个完全独立的防火墙解决方案。本文将介绍新 OpnSense 安装的安装和基本初始配置。

与PfSense一样，OpnSense是一个基于FreeBSD的开源防火墙解决方案。该发行版可以免费安装在自己的设备上，也可以安装在销售预配置防火墙设备的 Decisio 公司上。

OpnSense 具有最低限度的要求，并且可以轻松地将典型的老式家用塔设置为作为 OpnSense 防火墙运行。建议的最低规格如下：

硬件最低要求

500 MHz 中央处理器
1 GB 内存
4GB 存储空间
2 个网络接口卡

建议硬件

1GHz中央处理器
1 GB 内存
4GB 存储空间
2 个或更多 PCI-e 网络接口卡。

如果读者希望利用OpnSense的一些更高级的功能（Suricata、ClamAV、VPN服务器等），则应该为系统提供更好的硬件。

用户希望启用的模块越多，应包含的RAM/CPU/驱动器空间就越多。如果计划在 OpnSense 中启用高级模块，建议满足以下最低要求。

运行频率至少为 2.0 GHz 的现代多核 CPU
4GB+ 内存
10GB+ 高清空间
2 个或更多 Intel PCI-e 网络接口卡

OpnSense 防火墙的安装和配置

无论选择哪种硬件，安装OpnSense都是一个简单的过程，但需要用户密切注意哪些网络接口端口将用于哪个目的（LAN、WAN、无线等）。

安装过程的一部分将涉及提示用户开始配置 LAN 和 WAN 接口。作者建议仅插入 WAN 接口，直到 OpnSense 配置完成，然后再插入 LAN 接口来完成安装。

下载 OpnSense 防火墙

第一步是获取 OpnSense 软件，根据设备和安装方法，有几个不同的选项可用，但本指南将使用“OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2”强>'。

ISO 是使用以下命令获取的：

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

下载文件后，需要使用 bunzip 工具对其进行解压缩，如下所示：

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

下载并解压安装程序后，可以将其刻录到CD，也可以使用'dd'工具USB复制到USB驱动器< 包含在大多数 Linux 发行版中。

下一个过程是将 ISO 写入 USB 驱动器以启动安装程序。要实现此目的，请使用 Linux 中的‘dd’工具。

首先，磁盘名称需要使用“lsblk”来定位。

lsblk

将USB驱动器的名称确定为'/dev/sdc'后，可以使用'/dev/sdc'将OpnSense ISO写入驱动器>“dd”工具。

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

注意：上述命令需要root权限，因此请使用‘sudo’或以root用户身份登录来运行该命令。此外，此命令将删除USB驱动器上的所有内容。请务必备份所需的数据。

OpnSense防火墙的安装

dd 完成对 USB 驱动器的写入后，将介质放入将设置为 opnsense 防火墙的计算机中。将计算机启动到该媒体，然后将显示以下屏幕。

要继续安装程序，只需按‘Enter’键即可。这会将 OpnSense 启动到实时模式，但存在特殊用户来将 OpnSense 安装到本地媒体。

当系统启动到登录提示时，使用用户名‘installer’和密码‘opnsense’。

安装介质将登录并启动实际的 OpnSense 安装程序。 警告：继续执行以下步骤将导致系统内硬盘驱动器上的所有数据被删除！请谨慎操作或退出安装程序。

按‘Enter’键将开始安装过程。第一步是选择键盘映射。默认情况下，安装程序可能会检测到正确的键盘映射。检查所选的键盘映射并根据需要进行更正。

下一个屏幕将提供一些安装选项。如果用户希望进行高级分区或从另一个 OpnSense 盒子导入配置，可以在此步骤完成。本指南假设全新安装，并将选择“引导安装”选项。

以下屏幕将显示已识别的安装存储设备。

选择存储设备后，用户需要决定安装程序使用哪种分区方案（MBR 或 GPT/EFI）。

大多数现代系统都支持GPT/EFI，但如果用户重新调整旧计算机的用途，MBR可能是唯一支持的选项。检查系统的BIOS设置，看看它是否支持EFI/GPT。

选择分区方案后，安装程序将开始安装步骤。该过程不会花费特别长的时间，并且会定期提示用户输入信息，例如 root 用户的密码。

一旦用户设置了 root 用户的密码，安装就会完成，系统需要重新启动才能配置安装。当系统重新启动时，它应该自动启动到OpnSense安装（确保在计算机重新启动时删除安装介质）。

当系统重新启动时，它将停在控制台登录提示符处并等待用户登录。

现在，如果用户在安装过程中注意的话，他们可能会注意到他们可以在安装过程中预先配置接口。但是，在本文中，我们假设安装时未分配接口。

使用安装过程中配置的 root 用户和密码登录后，可以注意到 OpnSense 仅使用了该计算机上的一张网络接口卡 (NIC)。在下图中，它被命名为“LAN (em0) ”。

OpnSense 将默认使用 LAN 的标准“192.168.1.1/24”网络。然而，在上图中，WAN接口缺失了！通过在提示符处输入 ‘1’ 并按 Enter 键可以轻松纠正此问题。

这将允许重新分配系统上的 NIC。请注意，在下图中有两个可用接口：‘em0’ 和 ‘em1’。

配置向导还允许使用 VLAN 进行非常复杂的设置，但目前，本指南假设基本的两个网络设置；（即WAN/ISP端和LAN端）。

输入‘N’ 此时不配置任何 VLAN。对于此特定设置，WAN 接口为 'em0'，LAN 接口为 'em1'，如下所示。

在提示中输入 ‘Y’ 确认对界面的更改。这将导致 OpnSense 重新加载其许多服务以反映接口分配的更改。

完成后，将带有 Web 浏览器的计算机连接到 LAN 侧接口。 LAN 接口有一个 DHCP 服务器在该接口上侦听客户端，因此计算机将能够获取连接到 OpnSense Web 配置页面所需的寻址信息。

将计算机连接到 LAN 接口后，打开 Web 浏览器并导航到以下 URL：http://192.168.1.1。

安装程序的第一步用于简单地收集更多信息，例如主机名、域名和 DNS 服务器。大多数用户可以选择“覆盖 DNS”选项。

这将使 OpnSense 防火墙能够通过 WAN 接口从 ISP 获取 DNS 信息。

下一个屏幕将提示输入 NTP 服务器。如果用户没有自己的 NTP 系统，OpnSense 将提供一组默认的 NTP 服务器池。

下一个屏幕是WAN接口设置。大多数家庭用户 ISP 将使用 DHCP 为其客户提供必要的网络配置信息。只需将所选类型保留为“DHCP”，即可指示 OpnSense 尝试从 ISP 收集其 WAN 端配置。

向下滚动到 WAN 配置屏幕底部以继续。 ***注意*** 在此屏幕底部有两条默认规则，用于阻止通常不应该看到进入 WAN 接口的网络范围。建议保留这些选中状态，除非有已知原因允许这些网络通过 WAN 接口！

下一个屏幕是 LAN 配置屏幕。大多数用户只需保留默认值即可。请注意，此处应使用特殊的网络范围，通常称为 RFC 1918。确保保留默认值或从 RFC1918 范围内选择网络范围，以避免冲突/问题！

安装的最后一个屏幕将询问用户是否要更新 root 密码。这是可选的，但如果在安装过程中未创建强密码，那么现在是纠正问题的好时机！

一旦通过密码更改选项，OpnSense 将要求用户重新加载配置设置。只需单击“重新加载”按钮，然后给 OpnSense 一秒钟来刷新配置和当前页面。

当一切完成后，OpnSense 将欢迎用户。要返回主仪表板，只需单击网络浏览器窗口左上角的“仪表板”即可。

此时，用户将被带到主仪表板，并可以继续安装/配置任何有用的 OpnSense 插件或功能！作者确实建议检查并升级系统（如果有可用的升级）。只需单击主仪表板上的“单击检查更新”按钮即可。

然后在下一个屏幕上，“检查更新”可用于查看更新列表，或者“立即更新”可用于简单地应用任何可用更新。

此时，OpnSense 的基本安装应该已启动并运行，并且已完全更新！在以后的文章中，将涵盖链路聚合和 VLAN 间路由，以展示 OpnSense 的更多高级功能！