OPNsense 防火墙系列二:SSL 证书和监听端口更改
SSL 证书
默认
OPNsense 在初始化时,就默认监听 80 和 443 端口,强制 SSL 跳转,规定使用自签名的证书,有效期一年.
我们只需要添加第三方证书并设置使用即可。
申请证书
需要拥有自己的域名。
参阅 树莓派/Debian Apache2 安装腾讯云 SSL 证书 - Yogile - 博客园 (cnblogs.com) 中关于申请免费 SSL 证书的部分。
添加证书
在 系统 -> 证书 -> 证书 中,添加:
| 项目 | 值 | 说明 |
|---|---|---|
| 方法 | 导入一个现有证书 |
|
| 描述名称 | 建议填写证书的域名 | |
| 证书数据 | 复制粘贴 .crt 文件内容 |
使用 Nginx 证书 |
| 私钥数据 | 复制粘贴 .key 文件内容 |
使用 Nginx 证书 Key |
保存,并应用更改。
更换使用证书
在 系统 -> 设置 -> 管理 中,配置:
| 项目 | 子项目 | 值 | 说明 |
|---|---|---|---|
| Web GUI | |||
| SSL证书 | 选择添加证书时填写的描述名称 | ||
| STS | 勾选,启用HTTP严格传输安全 | ||
| 备用主机名 | 填写申请证书的域名 |
保存,并应用更改。
注意, 备用主机名 一定要填写证书域名,否则在通过 WAN 地址 访问 OPNsense 时不会放行:
复制A potential DNS Rebind attack has been detected.
Try to access the router by IP address instead of by hostname. You can disable this check if needed under System: Settings: Administration.
HTTPS 监听端口
在 系统 -> 设置 -> 管理 中,配置:
| 项目 | 子项目 | 值 | 说明 |
|---|---|---|---|
| Web GUI | |||
| TCP端口 | 建议在 8000 以后 |
这里举例选取为 9443 |
保存,并应用更改。
在 防火墙 -> 规则 -> WAN 中,添加:
| 项目 | 值 | 说明 |
|---|---|---|
| 操作 | 通过 |
|
| 接口 | WAN |
|
| 方向 | in |
|
| TCP/IP版本 | IPv4+IPV6 |
|
| 协议 | TCP/UDP |
|
| 源 | any |
|
| 目标 | WAN 地址 |
|
| 目标端口范围 | 从 (其他) 9443 |
|
到 (其他) 9443 |
保存,并应用更改,重启主机。
然后即可通过 https://192.168.1.1:9443/ (内网)和 https://<域名>:9443 (外网)访问。
若修改终端自身的 HOSTS 将域名指向内网,也可使用域名访问。
待后一篇阿里云 aliddns 配置后,内外网均可访问。
作者:Yogile
出处:https://www.cnblogs.com/Yogile/p/16642740.html
版权:本作品采用「署名-非商业性使用-相同方式共享 4.0 国际」许可协议进行许可。
分类:
OPNsense
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构
2021-08-31 统信UOS共享打印机配置