Prima di riavviare per caricare il nuovo kernel o i moduli richiesti (a seconda del
metodo che avete scelto in precedenza), bisogna effettuare alcune modifiche al file /etc/rc.conf. La regola di default del firewall è di
rifiutare tutti i pacchetti IP. Per iniziare attiviamo il firewall in modalità
open
, in modo da verificare il suo funzionamento senza alcun
problema di filtraggio pacchetti (nel caso stiate eseguendo questa procedura da remoto,
tale accorgimento vi consentirà di non rimanere erroneamente tagliati fuori dalla
rete). Inserite queste linee nel file /etc/rc.conf:
firewall_enable="YES" firewall_type="open" firewall_quiet="YES" firewall_logging="YES"
La prima riga serve ad attivare il firewall (e a caricare il modulo ipfw.ko nel caso non fosse già compilato nel kernel), la
seconda a impostarlo in modalità open
(come descritto
nel file /etc/rc.firewall), la terza a non visualizzare il
caricamento delle regole e la quarta ad abilitare il supporto per il logging.
Per quanto riguarda la configurazione delle interfacce di rete, il metodo più utilizzato è quello di assegnare un IP a solo una delle schede di rete, ma il bridge funziona egualmente anche se entrambe o nessuna delle interfacce ha IP settati. In quest'ultimo caso (IP-less) la macchina bridge sarà ancora più nascosta in quanto inaccessibile dalla rete: per configurarla occorrerà quindi entrare da console o tramite una terza interfaccia di rete separata dal bridge. A volte all'avvio della macchina qualche programma richiede di accedere alla rete, per esempio per una risoluzione di dominio: in questo caso è necessario assegnare un IP all'interfaccia esterna (quella collegata a Internet, dove risiede il server DNS), visto che il bridge verrà attivato alla fine della procedura di avvio. Questo vuol dire che l'interfaccia fxp0 (nel nostro caso) deve essere menzionata nella sezione ifconfig del file /etc/rc.conf, mentre la xl0 no. Assegnare IP a entrambe le schede di rete non ha molto senso, a meno che durante la procedura di avvio non si debba accedere a servizi presenti su entrambi i segmenti Ethernet.
C'è un'altra cosa importante da sapere. Quando si utilizza IP sopra Ethernet ci sono due protocolli Ethernet in uso: uno è IP, l'altro è ARP. ARP permette la conversione dell'indirizzo IP di una macchina nel suo indirizzo Ethernet (livello MAC). Affinché due macchine separate dal bridge riescano a comunicare tra loro è necessario che il bridge lasci passare i pacchetti ARP. Tale protocollo non fa parte del livello IP, visto che è presente solo con IP sopra Ethernet. Il firewall di FreeBSD agisce esclusivamente sul livello IP e quindi tutti i pacchetti non IP (compreso ARP) verranno inoltrati senza essere filtrati, anche se il firewall è configurato per non lasciar passare nulla.
Ora è arrivato il momento di riavviare la macchina e usarla come in precedenza:
appariranno dei nuovi messaggi riguardo al bridge e al firewall, ma il bridge non
sarà attivato e il firewall, essendo in modalità open
, non impedirà nessuna operazione.
Se ci dovessero essere dei problemi, è il caso di scoprire ora da cosa derivino e risolverli prima di continuare.
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Per domande su FreeBSD, leggi la documentazione prima di contattare <questions@FreeBSD.org>.
Per domande su questa documentazione, invia una e-mail a <doc@FreeBSD.org>.