前几天折腾了一下OPNSense，用了虚拟机安装做了一些简单的设置，这里记录一下，还有一种玩法是用 GNS3 来装 OPNSense，有机会再试。

下载地址

下载地址 https://opnsense.org/download/
当前国内分流的最新版是 22.7 ，直接地址点这里 https://opnsense.aivian.org/releases/22.7/OPNsense-22.7-OpenSSL-dvd-amd64.iso.bz2

记得是300来兆，解压后是一个1G的iso。

安装

然后正常创建虚拟机，2C4G，磁盘给大点，按照网上的教程搞了一个20G空间，隔天就遇到坑了，后面详细讲。

配置地址

访问

http://10.29.99.22/

root 默认密码为opnsense

坑1，新搭的环境不能装插件

在OPNsense中使用Nginx保护内部网站，理论上直接搜索os-nginx 插件即可安装。

GOT REQUEST TO INSTALL Currently running OPNsense 22.7 (amd64/OpenSSL) at Wed Nov 30 21:01:58 CST 2022 Installation out of date. The update to opnsense-22.7.8 is required. DONE

1 2 3 4

GOT REQUEST TO INSTALL Currently running OPNsense 22.7 (amd64/OpenSSL) at Wed Nov 30 21:01:58 CST 2022 Installation out of date. The update to opnsense-22.7.8 is required. DONE

更新小版本

好吧，更新也挺简单，鼠标点点。

关于镜像地址，默认shaoxing？ 大家说是不够快，可以用网易的

镜像站点地址： http://mirrors.163.com/opnsense

使用方法：导航到系统>固件>设置，镜像选other，然后在下方输入上面的地址。单击保存即可。

几个更新图

更新结束，提示重启。

服务之类的配置

先从配置上游服务器开始。导航到服务>Nginx>配置菜单，找到上游服务器。

单击下面的添加按钮，添加一个新的上游服务器。

下载NAXSI（WAF）规则

关于NAXSI：从技术上讲，它是第三方nginx模块，可作为许多类似UNIX的平台的软件包使用。默认情况下，该模块读取一小部分 简单（可读）规则，其中包含与网站漏洞有关的99％的已知模式。例如， <, | 或 drop不应该是一个URI的一部分。

在进行配置之前，我们需要下载Naxsi规则，在后面的“位置”配置中启用该规则。

单击下载按钮来获取NAXSI规则

插曲和无意中的发现

改了几次web 的 8443 端口，改来 改去后，结果界面挂了，提示

Web Application Protection by OPNsense

切回 最初的 终端界面，发现 13 是 Restore a backup , 按时间推算，竟然是我每次改动的自动存档。

恢复了几个版本后，竟然回去了，还原到能用的版本了，强，可以随意破坏了。

插曲2，

本着克隆的原则，多复制了一台机器，结果卡在arp ip地址冲突这里了，没绕过，只能是关闭老机器，修改新机器的ip，然后2台都能用了。

opnsense arp is using my ip address on

坑3，

删除后，web界面立即恢复了。

修改日志保留天数，貌似不支持小数点,有机会再看看为何 filter 日志这么大。

疑点1

用了没多久，界面就卡到爆，cpu 100%，Suricata 这个进程太猛了，杀一下。

网上找到这么一句话，在OPNsense中，一般使用Suricata来保护WAN，使用Sensei来保护LAN.

入侵检测要占用一定的系统资源，在OPNsense上启用入侵检测，应确保内存不少于4GB。Suricata支持使用多线程，使用多核处理器检测效率会更高。

参考文档

1，OPNSense之虚拟机部署

2，https://techexpert.tips/zh-hans/opnsense-zh-hans/教程 - OPNsense 安装

3，OPNsense用户手册-虚拟机安装

4，OPNsense入侵检测配置