 |
 |
|
|
Przed ponownym uruchomieniem systemu oraz za�adowaniem nowego j�dra lub modu��w (w zale�no�ci od wybranej metody instalacji), trzeba jeszcze dokona� kilku zmian w pliku konfiguracyjnym /etc/rc.conf. Domy�ln� regu�� firewalla jest zatrzymywanie wszystkich pakiet�w IP. Zaczniemy od skonfigurowania firewalla otwartego, by sprawdzi� jego dzia�anie przy wy��czonym filtrowaniu (dzi�ki temu maszyna b�dzie mog�a utrzyma� po��czenie z sieci�, co jest niezb�dne w przypadku, gdy konfiguracja przeprowadzana jest poprzez sie�). W pliku /etc/rc.conf nale�y umie�ci� poni�sze wpisy:
firewall_enable="YES" firewall_type="open" firewall_quiet="YES" firewall_logging="YES"
Pierwszy wiersz powoduje uruchomienie firewalla (�adowany jest modu� ipfw.ko, je�li nie zosta� wkompilowany do j�dra), w drugim ustawiany jest otwarty tryb jego pracy (zgodnie z opisem w /etc/rc.firewall). Nast�pny wiersz nakazuje nie pokazywa� �adowanych regu�, a w ostatnim w��czane jest rejestrowanie.
Interfejsy sieciowe s� najcz�ciej skonfigurowane tak, �e tylko jedna z kart sieciowych ma przypisany adres IP, jednak�e most dzia�a tak samo r�wnie� wtedy, gdy adresy przypisane s� do obu kart lub nie s� przypisane do �adnej z nich. W tym ostatnim przypadku (brak IP) maszyna pe�ni�ca rol� mostu b�dzie jeszcze bardziej ukryta, gdy� nie b�dzie dost�pna z sieci; dost�p do niej mo�liwy b�dzie poprzez konsol� lub trzeci interfejs sieciowy odseparowany od mostu. Niekiedy dost�p do sieci potrzebny jest programom uruchamianym podczas �adowania systemu, na przyk�ad do okre�lenia nazwy domeny. W takiej sytuacji adres IP nale�y przydzieli� interfejsowi zewn�trznemu (czyli temu, kt�ry po��czony jest z Internetem, gdzie znajduje si� serwer DNS), poniewa� most b�dzie uruchomiony dopiero w ko�cowej fazie uruchamiania systemu. Oznacza to, �e interfejs fxp0 (jak w przyk�adzie) musi by� uwzgl�dniony w sekcji ifconfig pliku /etc/rc.conf, w przeciwie�stwie do interfejsu xl0. Przydzielanie adres�w IP obu kartom sieciowym nie ma raczej sensu, chyba, �e podczas uruchamiania systemu programy potrzebuj� dost�pu do obu segment�w sieci.
Nale�y mie� na uwadze, �e w sieci IP opartej na Ethernecie dzia�aj� w rzeczywisto�ci dwa protoko�y: jednym jest oczywi�cie IP, drugim jest ARP. Zadaniem protoko�u ARP jest przekszta�cenie adresu IP stacji na jej adres ethernetowy (adres MAC). By mo�liwa by�a komunikacja mi�dzy dwoma stacjami znajduj�cymi si� po dw�ch stronach mostu, pakiety ARP musz� by� przekazywane przez most. Protok� ARP nie jest sk�adnikiem warstwy IP, poniewa� jest u�ywany tylko wtedy, gdy IP dzia�a w sieci Ethernet. Filtrowanie pakiet�w przez firewall w FreeBSD dotyczy warstwy IP, wi�c pakiety innego typu (w tym tak�e ARP) b�d� przekazywane dalej bez filtrowania, nawet je�li konfiguracja firewalla nakazuje blokowanie wszystkiego.
Mo�na ju� uruchomi� system ponownie i korzysta� z niego jak dotychczas. Pojawi� si� nowe komunikaty dotycz�ce mostu i firewalla, most jednak nie b�dzie jeszcze pracowa�, natomiast firewall b�dzie dzia�a� w trybie otwartym, bez jakiegokolwiek blokowania.
Je�li pojawi� si� jakiekolwiek problemy, nale�y si� z nimi upora� przed przyst�pieniem do kolejnego etapu pracy.
| Poprzedni | Spis tre�ci | Nast�pny |
| Instalacja | Uruchamianie mostu |
This, and other documents, can be downloaded from ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
For questions about FreeBSD, read the documentation before contacting <questions@FreeBSD.org>.
For questions about this documentation, e-mail <doc@FreeBSD.org>.
Hosting by: Hurra Communications Sp. z o.o.
Generated: 2007-01-26 18:02:21