Avant de redémarrer afin de charger le nouveau noyau ou les
modules nécessaires (selon la méthode d'installation
précédemment retenue), vous devez faire quelques
modifications dans le fichier
de configuration /etc/rc.conf
. La règle de
défaut du coupe-feu est de rejeter tous les paquets IP. Au
départ nous configurerons un coupe-feu “ouvert”, afin
de vérifier son fonctionnement sans problème relatif au
filtrage de paquet (dans le cas où vous faite cela à
distance, une telle configuration vous évitera de rester
isolé du réseau). Ajoutez les lignes suivantes dans
/etc/rc.conf
:
firewall_enable="YES" firewall_type="open" firewall_quiet="YES" firewall_logging="YES"
La première ligne activera le coupe-feu (et chargera le module
ipfw.ko
s'il n'est pas compilé dans le
noyau), la seconde le configurera dans le mode
“ouvert” (comme expliqué dans
/etc/rc.firewall
), la troisième ligne rendra
le chargement des règles silencieux (sans affichage) et la
quatrième activera le support de trace d'activité
du coupe-feu.
Au sujet de la configuration des interfaces réseau, la
méthode la plus utilisée est d'assigner une adresse
IP à une seule des cartes réseau, mais le pont
fonctionnera à l'identique si les deux
interfaces ou aucune n'ont d'adresse IP configurée. Dans le
dernier cas (sans adresse IP) la machine faisant office de pont
sera toujours cachée et inaccessible depuis le réseau:
pour la configurer, vous devez vous attacher depuis la console ou
à travers une troisième interface réseau
séparée du pont. Parfois, durant
le démarrage du système, certains programmes ont
besoin d'accéder au réseau, par exemple pour la
résolution de noms: dans ce cas il
est nécessaire d'assigner une adresse IP à
l'interface externe (celle connectée à l'Internet
où le serveur DNS
réside), puisque le pont sera activé à la
fin de la procédure de démarrage. Cela signifie que
l'interface fxp0
(dans notre cas) doit
être mentionnée dans la section concernant ifconfig
du fichier /etc/rc.conf
, mais pas
xl0
. Assigner une adresse IP aux deux
cartes réseau n'a pas beaucoup de sens, à moins que,
durant la procédure de démarrage, des applications
devront accéder à des
services sur les deux segments Ethernet.
Il y a une autre chose importante à savoir. Quand on utilise l'IP sur Ethernet, il y a en fait deux protocoles Ethernet utilisés: l'un est l'IP, l'autre est l'ARP. ARP effectue la conversion de l'adresse IP d'un hôte en son adresse Ethernet (couche MAC). Afin d'autoriser la communication entre deux hôtes séparés par le pont, il est nécessaire que le pont transmette les paquets ARP. Un tel protocole n'est pas inclus dans la couche IP, puisque qu'il n'apparaît qu'avec l'utilisation de l'IP sur Ethernet. Le coupe-feu de FreeBSD filtre exclusivement la couche IP et donc tous les paquets non-IP (ARP compris) seront transmis sans être filtrés, même si le coupe-feu est configuré pour ne rien laisser passer.
Il est maintenant temps de redémarrer le système et de l'utiliser comme auparavant: il y aura de nouveaux messages concernant le pont et le coupe-feu, mais le pont ne sera pas activé et le coupe-feu, étant en mode “ouvert”, n'interdira aucune opération.
Si il y a un quelconque problème, vous devriez le corriger maintenant avant de continuer.
Ce document, ainsi que d'autres peut être téléchargé sur ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/
Pour toutes questions à propos de FreeBSD, lisez la
documentation avant de contacter
<questions@FreeBSD.org>.
Pour les questions sur cette documentation, contactez
<doc@FreeBSD.org>.