Bạn đã bao giờ nhìn vào router (modem) do nhà cung cấp dịch vụ Internet (ISP) cung cấp và nghĩ, “Không biết tự xây dựng tường lửa của riêng mình sẽ như thế nào nhỉ?” Đó chính xác là những gì tôi đã nghĩ đến vào năm ngoái khi cuối cùng tôi cũng chuyển từ bộ định tuyến (router) của ISP sang giải pháp mạng tự xây dựng. Mặc dù không phải là người mới bắt đầu xây dựng tường lửa tùy chỉnh, nhưng vì đã từng xây dựng một vài thiết bị pfSense trước đây, tôi chưa bao giờ thử làm điều đó ở nhà vì tôi không có nhu cầu. Ngay cả khi đã có sẵn thiết bị lưu trữ mạng (NAS) và một chiếc PC mạnh mẽ, tôi vẫn không cảm thấy cần phải chuyển đổi.
Cho đến khi tôi bắt đầu tự lưu trữ nhiều hơn với Plex và một số phim và chương trình truyền hình. Ngay cả lúc đó, chúng tôi vẫn phụ thuộc rất nhiều vào các dịch vụ phát trực tuyến. Điều tương tự cũng xảy ra với việc lưu trữ với các gói đăng ký đám mây và các dịch vụ khác. Chúng tôi chi rất nhiều tiền mỗi tháng để giải trí và đảm bảo an toàn cho dữ liệu. Khi tôi bắt đầu khởi động các container và máy ảo Proxmox, việc tự lưu trữ tại nhà cho phép chúng tôi cắt giảm chi phí và kiểm soát hoàn toàn dữ liệu, nhưng tôi cần một thứ gì đó mạnh mẽ hơn một chút so với bộ định tuyến ISP tiêu chuẩn.
Đây là lý do tại sao cuối cùng tôi đã chuyển sang OPNsense và tự xây dựng cho mình một tường lửa chỉ với một ổ USB để cài đặt hệ điều hành, một chiếc máy tính mini Intel tản nhiệt thụ động giá 100 đô la, một bộ RAM, một ổ SSD NVMe dự phòng và 10 phút thời gian của tôi.
Tại sao OPNSense là sự lựa chọn hoàn hảo
An toàn, nhẹ và dễ sử dụng
OPNsense là một nhánh của pfSense và là lựa chọn hàng đầu của tôi cho mọi vấn đề về mạng, nhờ giao diện web được trau chuốt, tính mở và lịch phát hành thường xuyên. Tôi đã sử dụng phần mềm này rất nhiều trong khoảng một năm trở lại đây sau khi chuyển từ pfSense, và việc thiết lập tường lửa riêng cực kỳ dễ dàng. Các giải pháp như pfSense và OPNsense bắt đầu bảo vệ mạng của bạn ngay khi được cài đặt. Ngay cả trong cấu hình mặc định, chúng vẫn đóng vai trò là tuyến phòng thủ chính của bạn.
Với OPNsense, tôi có thể cấu hình mạng cục bộ ảo (VLAN), DNS động (DDNS) để dễ dàng truy cập tất cả các dịch vụ tự lưu trữ của mình từ bên ngoài, định hình lưu lượng truy cập và hỗ trợ VPN cho toàn bộ mạng LAN. Phần cuối cùng này mang tính đột phá khi tải VPN lên tường lửa, cung cấp phạm vi phủ sóng toàn diện trên toàn bộ mạng LAN, sau đó có thể được sử dụng kết hợp với các quy tắc để loại trừ các máy khách cụ thể và gửi lưu lượng truy cập ra ngoài VPN.
Một tính năng tiện dụng khác là Unbound, được cài đặt sẵn trên OPNsense. Bộ phân giải DNS lưu trữ đệm tiện dụng này hỗ trợ sử dụng danh sách chặn, giúp loại bỏ nhu cầu chạy một hệ thống chuyên dụng cho Pi-hole hoặc AdGuard và đảm bảo tôi không cần chạy bất cứ thứ gì trên Proxmox. Điều này giúp tiết kiệm năng lượng vì tường lửa sẽ không bao giờ bị ngắt kết nối. Chỉ cần tải danh sách là bạn đã sẵn sàng. Nhưng lý do thực sự khiến OPNsense phù hợp với dự án này chính là yêu cầu về tài nguyên. Ngay cả một chiếc máy tính mini giá rẻ 100 đô la cũng có thể chạy mà không gặp sự cố.
Đó là lúc cuộc tìm kiếm một hệ thống tốt bắt đầu.
Tìm kiếm chiếc máy tính mini giá rẻ hoàn hảo
Dễ hơn bạn nghĩ
Có rất nhiều lựa chọn khi chọn một máy tính mini để chạy firmware tường lửa như pfSense hoặc OPNsense. Có một vài điều cần lưu ý khi mua sắm. Đầu tiên là bộ xử lý. Mặc dù OPNsense và tất cả lưu lượng mạng của bạn sẽ không đòi hỏi quá nhiều sức mạnh cho hệ thống, nhưng khi bạn bắt đầu bận rộn với việc truyền dữ liệu và chạy các plugin trên bản cài đặt OPNsense, CPU có thể bị quá tải.
Thêm vào đó, máy tính này sẽ hoạt động 24/7, vì vậy nó cần có mức tiêu thụ điện năng thấp, không gây ra quá nhiều tiếng ồn khi hoạt động, cung cấp một vài cổng giao tiếp mạng và sử dụng kiến trúc x86 để đảm bảo khả năng tương thích với nền tảng FreeBSD của OPNsense. Đó là lúc tôi tình cờ thấy một loạt máy tính mini với giá khoảng 100 đô la. Những chiếc máy tính giá cả phải chăng này nhỏ gọn, có rất ít cổng và được thiết kế như một tường lửa mini chứ không phải máy tính, mặc dù bạn có thể cài đặt Linux hoặc Windows và sử dụng như vậy.
Tôi đã chọn một trong những hệ thống có thương hiệu, có thể là sản phẩm nhãn trắng được một vài công ty chia sẻ, nhưng nó cung cấp nhiều tính năng tôi cần. Đầu tiên, chúng tôi có CPU Intel N3700 với bốn lõi có khả năng tăng tốc lên 2,4 GHz với TDP chỉ 6 watt. Nó hỗ trợ tối đa 8 GB RAM DDR3L, hoàn hảo cho một ứng dụng như thế này, nơi người dùng không muốn mức tiêu thụ điện năng của hệ thống quá cao. 8 GB cũng là quá đủ để chạy OPNsense.
Mặt trước có bốn cổng mạng Intel 2,5 GbE, một cổng dành riêng cho kết nối WAN đến hộp cáp quang của chúng tôi. Nghe có vẻ hiển nhiên, nhưng hãy đảm bảo bạn có một thiết bị có nhiều hơn một cổng LAN, nếu không bạn sẽ nhanh chóng gặp rắc rối. SSD và RAM không được bao gồm trong máy tính mini, nhưng không sao cả, vì tôi có một mô-đun từ một NAS cũ hoạt động tốt, và một ổ SSD mSATA dung lượng thấp đơn giản đã đáp ứng được yêu cầu. Sau khi mọi thứ đã được cài đặt và hệ thống được bật, việc cài đặt OPNsense mất vài phút.
Sự khác biệt đến ngay lập tức
Việc tự xây dựng tường lửa là điều đáng giá
Mặc dù nhiều người không muốn đặt “vui vẻ” và “kết nối mạng” vào cùng một câu, nhưng tôi thấy thật tuyệt vời khi được “vọc vạch” mọi thứ trên mạng LAN. Với OPNsense được cài đặt, tôi có thể nhanh chóng cấu hình mạng riêng ảo (VPN) để kết nối với nhà cung cấp và tải lên chế độ bảo vệ toàn mạng. Tôi đã cấu hình NAT ra, tạo một vài quy tắc để cô lập các thiết bị IoT trên VLAN riêng của chúng và bật tính năng lọc DNS để chặn các tên miền độc hại đã biết bằng Unbound.
Từ đó, tôi chỉ còn biết dựa vào trí tưởng tượng. DDNS thông qua nhà cung cấp tên miền đủ đơn giản để cho phép tôi sử dụng proxy ngược và truy cập các dịch vụ như Jellyfin và Immich từ bên ngoài mà không cần cập nhật ứng dụng bằng địa chỉ IP bên ngoài mới. OPNsense thậm chí còn có Hệ thống Phát hiện Xâm nhập (IDS) riêng. Mặc dù bị tắt theo mặc định, nhưng vẫn đáng để kích hoạt bộ quy tắc ET Open, giúp phát hiện các mẫu lưu lượng đáng ngờ và chặn các cuộc tấn công tiềm ẩn.
Với một chiếc máy tính mini giá 100 đô la, kết quả thật ấn tượng. Tải CPU thường khá thấp. Nhiệt độ hầu như không vượt quá 50 độ C và mọi thứ đều hoạt động trơn tru. Chúng tôi có thể đạt được thông lượng tối đa với gói ISP hiện tại, và chưa hề có bất kỳ sự cố ngừng hoạt động nào liên quan đến mạng mà không được lên kế hoạch trước hoặc do lỗi của con người. Mặc dù hệ thống này được thiết kế hiệu quả để chạy tường lửa, nhưng vẫn rất ngạc nhiên khi thấy nó hoạt động tốt như thế nào với mức giá hợp lý như vậy.
Có lẽ bạn chưa suy nghĩ kỹ về điều này, nhưng việc xây dựng tường lửa riêng với OPNsense có thể biến đổi mạng của bạn nhờ việc triển khai các tính năng nâng cao. Chỉ riêng việc tạo và sử dụng VLAN sẽ giúp phân vùng mạng của bạn và bảo vệ mọi thứ trong phạm vi các nhóm tương ứng. Nếu bạn thực sự muốn triển khai một phòng thí nghiệm tại nhà và bổ sung các sản phẩm Internet vạn vật (IoT) vào hộ gia đình, tôi hoàn toàn khuyến khích bạn thực hiện quy trình này. Điều tuyệt vời nhất là bạn cũng không cần phải chi tiêu quá nhiều.