En bridge er i vår sammenheng en maskin med to eller flere nettverkskort som sitter mellom Internet og ett eller flere indre nettverk, og der nettverksgrensesnittene ikke har IP-adresse. Hvis maskinen kjører OpenBSD eller et annet kapabelt operativsystem, kan den likevel filtrere og omdirigere trafikk. Fordelen med et slikt oppsett er at det er mye vanskeligere enn ellers å angripe selve brannmuren. Ulempen er at all administrasjon må foregå på konsollet til brannmuren, hvis man da ikke setter av et eget nettverksgrensesnitt som er kontaktbart via et sikret nett, eller for den del serielt konsoll.
Metoden for konfigurering av bridge skiller seg i noen detaljer mellom operativsystemene. Her er en kort oppskrift for OpenBSD, der man for oversiktens skyld blokkerer for all annen trafikk enn Internet-protokoller. Sette opp broen med to grensesnitt:
/etc/hostname.xl0
up
/etc/hostname.xl1
up
/etc/bridgename.bridge0
add xl0 add xl1 blocknonip xl0 blocknonip xl1 up
/etc/pf.conf
ytre = xl0
indre = xl1
interessant-trafikk = { ... }
block all
pass quick on $ytre all
pass log on $indre from $indre to any port $interessant-trafikk \
keep stateMer kompliserte oppsett er mulige, for å si det slik. Den klare anbefalingen fra de som vet slikt, er å holde filtrering og omdirigering på ett grensesnitt. Siden alle pakker passerer to ganger, kan reglene bli innviklete.
Endelig gir kommandoen brconfig på OpenBSD selvstendige muligheter for filtrering i tillegg til andre konfigureringsmuligheter. Man-sidene bridge(4) og brconfig(8) viser vei til deg som ønsker å vite mer.
Syntaks for bridge på FreeBSD skiller seg noe fra dette. På NetBSD støtter ikke PF bridge-funksjonene.