Discussion :

[loopback]

Bonjour,
Utilisant freebsd au détriment de nux , je suis en train d'installer une petite passerelle, dhcp, dns et firewall avec 2 cartes réseaux WAN ET LAN.
Bref, pour l'utiliser come routeur pour le réseau local.

J'aurais voulu avoir quelques lumières sur la configuration des interfaces réseaux en sachant que l'adresse ip la carte WAN (externe) est attribuée par le dhcp du FAI et que pour la carte du réseau local (LAN) je doit lui indiqué 192.168.0.1 comment faire ?
Sur nux c'est le fichier /etc/network/interfaces mais où se trouve ce fichier sur freebsd et comment garder la configuration au redémarrage de la machine.
Bref, que mettre dans /etc/rc.conf ?

J'aurais voulu aussi savoir comment configurer le fichier /etc/pf.conf (j'ai recompilé le noyau pour activer packet filter) pour que les utilisateurs du réseau local puissent avoir accès à internet en passant par la passerelle (FreeBSD).
Il y a des points que je ne comprend pas très bien et qui est différent de nux pour l'attibution des interfaces.
Bref, configurer le Pare-feu pour qu'il effectue la translation d'adresse entre les deux interfaces.
Que dois-je placer dans le fichier?:
pf_rules="/etc/pf.conf" # Fichier de règles à charger

Exemple:
dans le fichier pf.conf il y a ces 4 lignes au début du fichier:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
# Macros: define common values, so they can be referenced and changed easily.
#ext_if="ext0"	# replace with actual external interface name i.e., dc0
#int_if="int0"	# replace with actual internal interface name i.e., dc1
#internal_net="10.1.1.1/8"
#external_addr="192.168.1.1"

mon interface wan est ed0 et la lan est ed1
si j'attribue l'ip pour la lan c'est ok mais comme la wan est attibuée par le fai alors que dois-je indiquer dans external_addr, internal_net et ext_if et int_if ?

Merci d'avance.

[julp]

Pour la configuration des interfaces réseau ça se passe dans /etc/rc.conf sur FreeBSD : Comment configurer une interface réseau ?. Sachant que pour une interface qui se voit dynamiquement attribuer une adresse, il faut normalement y indiquer la valeur ... DHCP.

Pour ce qui est de Packet Filter, je vous déconseille d'utiliser /etc/pf.conf car il voudra systématiquement vous le mettre à jour lors du mergemaster et vous risqueriez de perdre votre configuration si vous veniez à faire une erreur (à moins de le protéger). D'autant plus que pf_rules vous permet d'indiquer un tout autre emplacement pour votre fichier de règles.

Vous pouvez utiliser des macros pour désigner vos interfaces interne/externe, ça en sera plus facile. Pour les interfaces de type DHCP, entourez le nom de l'interface de parenthèses lorsque vous voulez faire référence à son adresse (dans les parties to/from par exemple des règles de filtrage) afin d'indiquer à PF de mettre à jour cette information lorsque cela s'avère nécessaire, ceci vous évitant d'avoir à les recharger manuellement.

Pour la NAT en elle-même vous trouverez toutes les informations nécessaires dans la FAQ d'OpenBSD.

[loopback]

Merci de votre attention,
les services sont installés et fonctionnels, le fichier pf.conf dont je me suis inspirés pour construire les règles se trouvais dans un exemple /usr/share/examples/pf/.

Le voici si ça peu aider:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
# $FreeBSD: src/share/examples/pf/faq-example1,v 1.1 2004/09/14 01:07:18 mlaier Exp $
# $OpenBSD: faq-example1,v 1.2 2003/08/06 16:04:45 henning Exp $
 
#
# Firewall for Home or Small Office
# http://www.openbsd.org/faq/pf/example1.html
#
 
 
# macros
int_if = "ed1"
ext_if = "fxp0"
 
tcp_services = "{ 22, 80 }"
icmp_types = "echoreq"
 
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16 }"
 
# options
set block-policy return
set loginterface $ext_if
 
# scrub
scrub in all
 
# nat/rdr
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 \
   port 8021
 
# filter rules
block all
 
pass quick on lo0 all
 
block drop in  quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
 
pass in on $ext_if inet proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state
 
pass in inet proto icmp all icmp-type $icmp_types keep state
 
pass in  on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
 
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

Mais le problèma c qu'avec cet règle je ne peux pas me connecter sur le service FTP sur le port 21

Comment faire ?