Author: Rico WuEnvironment: OPNsense 25.x + Zenarmor + SuricataUse case: Enterprise internet access control & application-layer filtering 🧱 1. What Is Layer-7 Control? Traditional firewalls operate mainly at Layer-3 and Layer-4 — controlling traffic based on IP addresses, ports, and protocols.While effective for basic routing and NAT, they can’t tell what the traffic actually is….
Blog
深度封包的力量:在 OPNsense 啟用 Layer 7(L7)應用層流量控制
作者: Rico Wu環境: OPNsense 25.x + Zenarmor + Suricata應用場景: 企業上網行為管理與應用層封包管控 🧱 一、什麼是 L7 流量控制? 一般防火牆主要運作在 L3(網路層)與 L4(傳輸層),也就是依據 IP、Port、通訊協定 來允許或阻擋流量。這樣能處理連線方向與基本安全,但無法辨識「應用內容」。 L7(Layer 7,應用層)防火牆 能深入檢視封包內容(DPI, Deep Packet Inspection),可根據實際應用類型進行控制,例如: 在企業網路環境中,L7 控制能大幅提升 安全性、效率與使用行為可視化。 ⚙️ 二、OPNsense 如何支援 L7? OPNsense 是基於 FreeBSD + pf 架構的防火牆,其中 pf 防火牆本身僅支援 L3/L4 控制。 但 OPNsense 可透過 插件與整合模組 實現 L7(應用層)控制,常用的三種方式如下: 模組 功能用途 L7 支援程度 備註 Zenarmor (原名…
Complete Guide: Installing and Configuring OPNsense Firewall on Proxmox VE
Audience: IT administrators, network engineers, and virtualization enthusiastsEnvironment: Proxmox VE + OPNsense (FreeBSD-based firewall) 📘 1. Why Choose OPNsense? OPNsense is a FreeBSD-based open-source firewall maintained by Deciso.It offers enterprise-grade features — IDS/IPS, traffic shaping, VPN, proxy, and QoS — in a modern web interface with active updates. When running Proxmox VE, OPNsense is one…
在 Proxmox VE 上安裝與設定 OPNsense 防火牆完整指南
適用對象:網管人員、IT 維運、虛擬化環境使用者實作環境:Proxmox VE + OPNsense(FreeBSD-based firewall) 📘 一、為什麼選擇 OPNsense? OPNsense 是一款基於 FreeBSD 的開源防火牆系統,由 Deciso 公司維護,擁有企業級功能(如 IDS/IPS、流量監控、VPN、QoS、Proxy 等)。與 pfSense 相比,它的介面更現代化、套件更穩定,且更新頻率高。 如果你的公司正在使用 Proxmox VE(PVE) 進行虛擬化,OPNsense 是最理想的虛擬防火牆解決方案之一。 ⚙️ 二、在 Proxmox 上安裝 OPNsense 1️⃣ 系統需求建議 項目 最低需求 建議配置 CPU 2 Core 2~4 Core(支援 VT-x / AMD-V) RAM 2GB 4~8GB(視流量與 IDS 功能而定) Disk 10GB 20GB 以上 NIC 2 張 一張…
Understanding “network unreachable resolving ‘./NS/IN’” Messages in BIND9
When managing a DNS server such as BIND9, you might notice repeated messages like these in your lame-servers.log or system log: At first glance, these may look like DNS errors.In reality, they are harmless IPv6 connectivity warnings, not signs of malfunction. 🔍 Why These Messages Appear When BIND performs recursive queries, it tries to contact…
BIND9 日誌出現「network unreachable resolving ‘./NS/IN’」的原因與解決方式
在管理 DNS 伺服器(如 BIND9)時,有時會在 lame-servers.log 或一般系統日誌中看到如下訊息: 乍看之下像是 DNS 出錯,但其實這些只是 IPv6 無法連線的提醒訊息,並不影響實際解析。 🔍 為什麼會出現這些訊息? BIND 在進行遞迴查詢時,會同時嘗試向根伺服器(Root DNS)查詢 IPv4 與 IPv6。如果你的伺服器或 Docker 容器 沒有啟用 IPv6 網路或沒有預設 IPv6 路由,BIND 嘗試連線到 IPv6 根伺服器(如 2001:500:1::53)時,就會出現: 👉 也就是說,它只是告訴你「IPv6 不通」,並不代表 DNS 功能異常。IPv4 解析仍然正常進行。 ✅ 解決方式(擇一) 方案 A:讓 BIND 僅使用 IPv4(最簡單) 如果你的環境暫時不使用 IPv6,可讓 BIND 啟動時加上 -4 參數。 範例:你原本的啟動腳本為 其中的 -4 位置錯了,應該改成放在 映像名稱之後,如下: 這樣…
Setting Up DNSSEC from Scratch: Building a Secure DNS Zone
In today’s internet infrastructure, DNSSEC (Domain Name System Security Extensions) plays a vital role in preventing forged or tampered DNS responses.This guide walks you step-by-step through creating a new DNS zone and enabling DNSSEC signing to ensure data integrity and trust. 1. What Is DNSSEC? DNSSEC adds cryptographic signatures to DNS records, allowing clients (resolvers)…
從零開始設定 DNSSEC:打造安全的 DNS Zone
在 DNS 架構中,DNSSEC (DNS Security Extensions) 能有效防止 DNS 資料被偽造或竄改。本文將一步步帶你完成一個新的 DNS 區域設定,並加入 DNSSEC 簽章,建立安全可信的名稱解析環境。 一、什麼是 DNSSEC? DNSSEC 透過「公開金鑰簽章」來保護 DNS 資料完整性。簡單來說,它會讓查詢者能驗證 DNS 回應是否真的來自授權的 DNS 伺服器,而不是中途被竄改。 主要機制包含: 二、建立新區域前的準備 三、建立新的 Zone 檔案 建立 /etc/bind/db.example.com,內容如下: 四、在 BIND 設定中加入 Zone 編輯 /etc/bind/named.conf.local: auto-dnssec maintain 與 inline-signing yes 會讓 BIND 自動處理簽章與金鑰輪換。 五、產生 DNSSEC 金鑰 在金鑰目錄(例如 /etc/bind/keys/)中執行: 系統會產生四個檔案: 六、簽署 Zone 重新載入 BIND 讓它執行自動簽章:…
Building a Split-Horizon + DNSSEC Authoritative/Recursive DNS with BIND 9.21
This post turns my containerized BIND 9.21 deployment notes into a step-by-step guide. To protect the real environment, all domains are anonymized as domainA and domainB, and public IPs are shown as examples (e.g., 203.0.113.0/24). Target Architecture Recommended Directory Layout Key points: put all K* key files + .state in /var/cache/bind/keys; keep managed-keys.bind* and *.mkeys*…
用 BIND 9.21 打造「內外分流 + DNSSEC」權威/遞迴混合 DNS:完整實戰筆記
本文將我在容器內部署 BIND 9.21 的完整過程整理成一篇教學。為保護實際環境,所有網域以 domainA、domainB 代稱,IP 也以示例地址(如 203.0.113.0/24)呈現。 目標架構 目錄佈局(建議) 重點:K* 金鑰與 .state 一律放 /var/cache/bind/keys;managed-keys.bind*、*.mkeys* 放 /var/cache/bind 根目錄;external 區檔放 /var/cache/bind/zones/ext。 關鍵設定片段 1) options:工作目錄、金鑰目錄、僅 IPv4 監聽 2) RNDC 控制通道(只綁 127.0.0.1) 如果容器外要下 rndc,要能讀到同一把 rndc.key,或在容器內執行。 3) internal view:內網權威 + 遞迴(不做 DNSSEC 驗證) 4) external view:對外權威(簽名),只對本機開遞迴+驗證供 KASP 使用 TSIG:請用 tsig-keygen -a hmac-sha256 xfr-key > /etc/bind/keys/xfr-key.key 產生,主從兩邊都 include,從伺服器 zone {…