Prima di riavviare per caricare il nuovo kernel o i moduli richiesti
(a seconda del metodo che avete scelto in precedenza), bisogna effettuare
alcune modifiche al file /etc/rc.conf
. La regola di
default del firewall è di rifiutare tutti i pacchetti IP. Per
iniziare attiviamo il firewall in modalità open
,
in modo da verificare il suo funzionamento senza alcun problema di
filtraggio pacchetti (nel caso stiate eseguendo questa procedura da
remoto, tale accorgimento vi consentirà di non rimanere
erroneamente tagliati fuori dalla rete).
Inserite queste linee nel file /etc/rc.conf
:
firewall_enable="YES" firewall_type="open" firewall_quiet="YES" firewall_logging="YES"
La prima riga serve ad attivare il firewall (e a caricare il modulo
ipfw.ko
nel caso non fosse già compilato nel
kernel), la seconda a impostarlo in modalità
open
(come descritto nel file
/etc/rc.firewall
), la terza a non
visualizzare il caricamento delle regole e la quarta ad abilitare il
supporto per il logging.
Per quanto riguarda la configurazione delle interfacce di rete, il
metodo più utilizzato è quello di assegnare un IP a solo una
delle schede di rete, ma il bridge funziona egualmente anche se entrambe o
nessuna delle interfacce ha IP settati. In quest'ultimo caso (IP-less) la
macchina bridge sarà ancora più nascosta in quanto
inaccessibile dalla rete: per configurarla occorrerà quindi entrare
da console o tramite una terza interfaccia di rete separata dal bridge. A
volte all'avvio della macchina qualche programma richiede di accedere alla
rete, per esempio per una risoluzione di dominio: in questo caso è
necessario assegnare un IP all'interfaccia esterna (quella collegata a
Internet, dove risiede il server DNS), visto che il
bridge verrà attivato alla fine della procedura di avvio. Questo
vuol dire che l'interfaccia fxp0
(nel nostro
caso) deve essere menzionata nella sezione ifconfig del file
/etc/rc.conf
, mentre la xl0
no. Assegnare IP a entrambe le schede di rete non ha molto senso, a meno
che durante la procedura di avvio non si debba accedere a servizi presenti
su entrambi i segmenti Ethernet.
C'è un'altra cosa importante da sapere. Quando si utilizza IP sopra Ethernet ci sono due protocolli Ethernet in uso: uno è IP, l'altro è ARP. ARP permette la conversione dell'indirizzo IP di una macchina nel suo indirizzo Ethernet (livello MAC). Affinché due macchine separate dal bridge riescano a comunicare tra loro è necessario che il bridge lasci passare i pacchetti ARP. Tale protocollo non fa parte del livello IP, visto che è presente solo con IP sopra Ethernet. Il firewall di FreeBSD agisce esclusivamente sul livello IP e quindi tutti i pacchetti non IP (compreso ARP) verranno inoltrati senza essere filtrati, anche se il firewall è configurato per non lasciar passare nulla.
Ora è arrivato il momento di riavviare la macchina e usarla
come in precedenza: appariranno dei nuovi messaggi riguardo al bridge e al
firewall, ma il bridge non sarà attivato e il firewall, essendo in
modalità open
, non impedirà nessuna
operazione.
Se ci dovessero essere dei problemi, è il caso di scoprire ora da cosa derivino e risolverli prima di continuare.
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/
Per domande su FreeBSD, leggi la
documentazione prima di contattare
<questions@FreeBSD.org>.
Per domande su questa documentazione, invia una e-mail a
<doc@FreeBSD.org>.