Przed ponownym uruchomieniem systemu oraz załadowaniem nowego jądra
lub modułów (w zależności od wybranej metody instalacji), trzeba
jeszcze dokonać kilku zmian w pliku konfiguracyjnym
/etc/rc.conf
. Domyślną regułą firewalla jest
zatrzymywanie wszystkich pakietów IP. Zaczniemy od skonfigurowania
firewalla otwartego
, by sprawdzić jego działanie przy
wyłączonym filtrowaniu (dzięki temu maszyna będzie mogła utrzymać
połączenie z siecią, co jest niezbędne w przypadku, gdy konfiguracja
przeprowadzana jest poprzez sieć).
W pliku /etc/rc.conf
należy umieścić poniższe
wpisy:
firewall_enable="YES" firewall_type="open" firewall_quiet="YES" firewall_logging="YES"
Pierwszy wiersz powoduje uruchomienie firewalla (ładowany jest
moduł ipfw.ko
, jeśli nie został wkompilowany do
jądra), w drugim ustawiany jest
otwarty
tryb jego pracy (zgodnie z opisem w
/etc/rc.firewall
). Następny wiersz nakazuje nie
pokazywać ładowanych reguł, a w ostatnim włączane jest
rejestrowanie.
Interfejsy sieciowe są najczęściej skonfigurowane tak, że tylko
jedna z kart sieciowych ma przypisany adres IP, jednakże most działa
tak samo również wtedy, gdy adresy przypisane są do obu kart lub nie są
przypisane do żadnej z nich. W tym ostatnim przypadku (brak IP) maszyna
pełniąca rolę mostu będzie jeszcze bardziej ukryta, gdyż nie będzie
dostępna z sieci; dostęp do niej możliwy będzie poprzez konsolę lub
trzeci interfejs sieciowy odseparowany od mostu. Niekiedy dostęp do
sieci potrzebny jest programom uruchamianym podczas
ładowania systemu, na przykład do określenia nazwy domeny. W takiej
sytuacji adres IP należy przydzielić interfejsowi zewnętrznemu (czyli
temu, który połączony jest z Internetem, gdzie znajduje się serwer
DNS), ponieważ most będzie uruchomiony dopiero w
końcowej fazie uruchamiania systemu. Oznacza to, że interfejs
fxp0
(jak w przykładzie) musi być uwzględniony
w sekcji ifconfig pliku /etc/rc.conf
, w
przeciwieństwie do interfejsu xl0
.
Przydzielanie adresów IP obu kartom sieciowym nie ma raczej sensu,
chyba, że podczas uruchamiania systemu programy potrzebują dostępu
do obu segmentów sieci.
Należy mieć na uwadze, że w sieci IP opartej na Ethernecie działają w rzeczywistości dwa protokoły: jednym jest oczywiście IP, drugim jest ARP. Zadaniem protokołu ARP jest przekształcenie adresu IP stacji na jej adres ethernetowy (adres MAC). By możliwa była komunikacja między dwoma stacjami znajdującymi się po dwóch stronach mostu, pakiety ARP muszą być przekazywane przez most. Protokół ARP nie jest składnikiem warstwy IP, ponieważ jest używany tylko wtedy, gdy IP działa w sieci Ethernet. Filtrowanie pakietów przez firewall w FreeBSD dotyczy warstwy IP, więc pakiety innego typu (w tym także ARP) będą przekazywane dalej bez filtrowania, nawet jeśli konfiguracja firewalla nakazuje blokowanie wszystkiego.
Można już uruchomić system ponownie i korzystać z niego jak
dotychczas. Pojawią się nowe komunikaty dotyczące mostu i firewalla,
most jednak nie będzie jeszcze pracować, natomiast firewall będzie
działać w trybie otwartym
, bez jakiegokolwiek
blokowania.
Jeśli pojawią się jakiekolwiek problemy, należy się z nimi uporać przed przystąpieniem do kolejnego etapu pracy.
All FreeBSD documents are available for download at http://ftp.FreeBSD.org/pub/FreeBSD/doc/
Questions that are not answered by the
documentation may be
sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.