The first row specifies which interfaces should be activated by the bridge, the second one will enable the firewall on the bridge and finally the third one will enable the bridge.
La primera línea especifica qué interfaces deben ser activadas por el bridge, la segunda habilitará el firewall en el bridge y, finalmente, la tercera habilitará el bridge.
11 months ago
At this point, to enable the bridge, you have to execute the following commands (having the shrewdness to replace the names of the two network interfaces <filename>fxp0</filename> and <filename>xl0</filename> with your own ones):
En este pumomento, para habilitar el bridge, debe ejecutar los siguientes comandos (teniendo la perspicacia parano olvide reemplazar los nombres de las dos interfaces de red <filename>fxp0</filename> y <filename>xl0</filename> por las suyas):
11 months ago
About the configuration of the network interfaces, the most used way is to assign an IP to only one of the network cards, but the bridge will work equally even if both interfaces or none has a configured IP. In the last case (IP-less) the bridge machine will be still more hidden, as inaccessible from the network: to configure it, you have to login from console or through a third network interface separated from the bridge. Sometimes, during the system startup, some programs require network access, say for domain resolution: in this case it is necessary to assign an IP to the external interface (the one connected to Internet, where <acronym>DNS</acronym> server resides), since the bridge will be activated at the end of the startup procedure. It means that the <filename>fxp0</filename> interface (in our case) must be mentioned in the ifconfig section of the <filename>/etc/rc.conf</filename> file, while the <filename>xl0</filename> is not. Assigning an IP to both the network cards does not make much sense, unless, during the start procedure, applications should access to services on both Ethernet segments.
En cuanto a la configuración de las interfaces de red la forma más utilizada es asignar solo una IP a una de las tarjetas de red; el bridge funcionará igualmente, aunque ambas interfaces tengan una o no tengan ninguna IP configurada. En el último caso (IP-less) la máquina bridge quedará aún más oculta, ya que es inaccesible desde la red. Para configurarla, debe iniciar sesión desde la consola o mediante una tercera interfaz de red separada del bridge. A veces durante el inicio del sistema algunos programas requieren acceso a la red, por ejemplo para la resolución del dominio. En este caso es necesario asignar una IP a la interfaz externa (la que está conectada a Internet, donde se encuentra el servidor <acronym>DNS</acronym>) ya que el bridge se activará al final del procedimiento de arranque. Esto significa que la interfaz <filename>fxp0</filename></filename> (en nuestro caso) debe añadirse en la sección ifconfig del archivo <filename>/etc/rc.conf</filename>, mientras que <filename>xl0</filename> no. Asignar una IP a ambas tarjetas de red no tiene mucho sentido, a menos que durante el procedimiento de inicio las aplicaciones tengan que acceder a servicios en ambos segmentos Ethernet.
11 months ago
About the configuration of the network interfaces, the most used way is to assign an IP to only one of the network cards, but the bridge will work equally even if both interfaces or none has a configured IP. In the last case (IP-less) the bridge machine will be still more hidden, as inaccessible from the network: to configure it, you have to login from console or through a third network interface separated from the bridge. Sometimes, during the system startup, some programs require network access, say for domain resolution: in this case it is necessary to assign an IP to the external interface (the one connected to Internet, where <acronym>DNS</acronym> server resides), since the bridge will be activated at the end of the startup procedure. It means that the <filename>fxp0</filename> interface (in our case) must be mentioned in the ifconfig section of the <filename>/etc/rc.conf</filename> file, while the <filename>xl0</filename> is not. Assigning an IP to both the network cards does not make much sense, unless, during the start procedure, applications should access to services on both Ethernet segments.
En cuanto a la configuración de las interfaces de red, la forma más utilizada es asignar solo una IP a una de las tarjetas de red,; el bridge funcionará igualmente, aunque ambas interfaces tengan una o no tengan ninguna IP configurada. En el último caso (IP-less) la máquina bridge quedará aún más oculta, ya que es inaccesible desde la red: p. Para configurarla, debe iniciar sesión desde la consola o mediante una tercera interfaz de red separada del bridge. A veces, durante el inicio del sistema, algunos programas requieren acceso a la red, por ejemplo, para la resolución del dominio: e. En este caso, es necesario asignar una IP a la interfaz externa (la que está conectada a Internet, donde se encuentra el servidor <acronym>DNS</acronym>), ya que el bridge se activará al final del procedimiento de arranque. Esto significa que la interfaz <filename>fxp0</filename></filename> (en nuestro caso) debe añadirse en la sección ifconfig del archivo <filename>/etc/rc.conf</filename>, mientras que <filename>xl0</filename> no. Asignar una IP a ambas tarjetas de red no tiene mucho sentido, a menos que, durante el procedimiento de inicio, las aplicaciones tengan que acceder a servicios en ambos segmentos Ethernet.
11 months ago
Before rebooting in order to load the new kernel or the required modules (according to the previously chosen installation method), you have to make some changes to the <filename>/etc/rc.conf</filename> configuration file. The default rule of the firewall is to reject all IP packets. Initially we will set up an <option>open</option> firewall, in order to verify its operation without any issue related to packet filtering (in case you are going to execute this procedure remotely, such configuration will avoid you to remain isolated from the network). Put these lines in <filename>/etc/rc.conf</filename>:
Antes de reiniciar para cargar el nuevo kernel o los módulos requeridos (de acuerdo con el método de instalación elegido anteriormente), debe realizar algunos cambios en el archivo de configuración <filename>/etc/rc.conf</filename>. La regla predeterminada del firewall es rechazar todos los paquetes IP. Inicialmente, configuraremos un firewall en modo <option>open</option>, para verificar que funciona sin ningún problema en relación con el filtrado de paquetes (en el caso de que vaya a ejecutar este procedimiento de forma remota, dicha configuración evitará que permanezca aislado de la red). Coloque estas líneas en el archivo <filename>/etc/rc.conf</filename>:
11 months ago
In this way, during the system startup, the <filename>bridge.ko</filename> module will be loaded together with the kernel. It is not required to add a similar row for the <filename>ipfw.ko</filename> module, since it will be loaded automatically after the execution of the steps in the following section.
De esta forma, durante el inicio del sistema,Así el módulo <filename>bridge.ko</filename> se cargará junto con el kernel durante el inicio del sistema. No es necesario añadir una línea similar para el módulo <filename>ipfw.ko</filename>, ya que se cargará automáticamente después de la ejecución de los pasos de la siguiente sección.
11 months ago
If you have chosen to use the new and simpler installation method, the only thing to do now is add the following row to <filename>/boot/loader.conf</filename>:
Si ha elegido usar el nuevo y más simple método de instalación (más simple), lo único que debe hacer es añadir la siguiente línea a <filename> /boot/loader.conf </filename>:
11 months ago
Committed changes 11 months ago
So you have decided to use the older but well tested installation method. To begin, you have to add the following rows to your kernel configuration file:
EntoncesSi sigue este método es porque ha decidido utilizar el método de instalación más antiguo, y también el másque ha sido probado más. Para empezar, debe agregar las siguientes líneas a su archivo de configuración del kernel:
11 months ago
Before going on, be sure to have at least two Ethernet cards that support the promiscuous mode for both reception and transmission, since they must be able to send Ethernet packets with any address, not just their own. Moreover, to have a good throughput, the cards should be PCI bus mastering cards. The best choices are still the Intel <trademark>EtherExpress</trademark> Pro, followed by the <trademark class="registered">3Com</trademark> 3c9xx series. To simplify the firewall configuration it may be useful to have two cards of different manufacturers (using different drivers) in order to distinguish clearly which interface is connected to the router and which to the inner network.
Antes de continuar, asegúrese de tener al menos dos tarjetas Ethernet que admitan el modo promiscuo tanto para la recepción como para la transmisión, ya que deben poder enviar paquetes Ethernet con cualquier dirección, no solo la suya. Además, para tener una buena tasa de transferencia, las tarjetas deben ser tarjetas del bus PCI. Las mejores opciones siguen siendo Intel <trademark>EtherExpress</trademark> Pro, seguida de la <trademark class="registered">3Com</trademark> 3c9xx series. Para simplificar la configuración del firewall, puede ser útil tener dos tarjetas de diferentes fabricantes (con diferentes controladores) para distinguir claramente qué interfaz está conectada al router y cuál a la red interna.
11 months ago
Adding bridge functionalities to a FreeBSD system is not difficult. Since 4.5 release it is possible to load such functionalities as modules instead of having to rebuild the kernel, simplifying the procedure a great deal. In the following subsections I will explain both installation ways.
No es difícil añadir funcionalidades de brigde a un sistema FreeBSD. Desde la versión 4.5 es posible cargar funcionalidades como módulos en lugar de tener que volver a compilar el kernel, lo cual simplificando mucho el procedimiento. En las siguientes subsecciones explicaré ambas formas de instalación.
11 months ago
A bridge-based firewall can be configured and inserted between the xDSL router and your Ethernet hub/switch without any IP numbering issues.
Una buena solución sería configurar un firewall basado en un bridge. Lo instalaremos entre el router xDSL y su hub/switch Ethernet, evitando así problemas de numeración IP.
11 months ago
A bridge-based firewall can be configured and inserted between the xDSL router and your Ethernet hub/switch without any IP numbering issues.
Un firewall basado en un bridge que filtre se puede configurar e insertara buena solución sería configurar un firewall basado en un bridge. Lo instalaremos entre el router xDSL y su hub/switch Ethernet sin causar ningún, evitando así problemas de numeración IP.
11 months ago
More and more frequently, thanks to the lowering costs of broad band Internet connections (xDSL) and also because of the reduction of available IPv4 addresses, many companies are connected to the Internet 24 hours on 24 and with few (sometimes not even a power of 2) IP addresses. In these situations it is often desirable to have a firewall that filters incoming and outgoing traffic from and towards Internet, but a packet filtering solution based on router may not be applicable, either due to subnetting issues, the router is owned by the connectivity supplier (<acronym>ISP</acronym>), or because it does not support such functionalities. In these scenarios the use of a filtering bridge is highly advised.
Con másSucede con bastante frecuencia que, gracias a la reducción del coste de las conexiones de banda ancha a Internet (xDSL) y también a la reducción de las direcciones IPv4 disponibles, muchas empresas están conectadas a Internet las 24 horas del día y con pocas (a veces ni siquiera 2dos) direcciones IP. EA menudo en estas situaciones, a menudo, es deseable tener un firewall es necesario tener un firewall (también conocido como cortafuegos) que filtre el tráfico entrante y saliente desde y hacia Internet, pero es posible que no se pueda aplicar un filtrado de paquetes como soluciónuna solución de filtrado de paquetes puede que no sea posible posible, ya sea por problemas de subredes, porque el router sea de propiedad del proveedor de servicios de internet (<acronym>ISP</acronym>), o porque no admite tales funcionalidades. En estos escenarios, como estos se recomienda el uso de un brigde que realice el filtrado.
11 months ago
Often it is useful to divide one physical network (like an Ethernet) into two separate segments without having to create subnets, and use a router to link them together. The device that connects the two networks in this way is called a bridge. A FreeBSD system with two network interfaces is enough in order to act as a bridge.
A menudo es útil dividir una red física (compor ejemplo una Ethernet) en dos segmentos separados sin tener que crear subredes y usar un router para vincularlas. El dispositivo que conecta las dos redes se llama bridge. Un sistema FreeBSD con dos interfaces de red es suficiente para actuar como un bridge.
11 months ago
Committed changes a year ago
People that are used to setting up firewalls are probably also used to either having a <option>reset</option> or a <option>forward</option> rule for ident packets (<acronym>TCP</acronym> port 113). Unfortunately, this is not an applicable option with the bridge, so the best thing is to simply pass them to their destination. As long as that destination machine is not running an ident daemon, this is relatively harmless. The alternative is dropping connections on port 113, which creates some problems with services like <acronym>IRC</acronym> (the ident probe must timeout).
Las personas que están acostumbradas a configurar firewalls probablemente también estén acostumbradas a tener una regla <option>reset</option> o <option>forward</option> para los paquetes ident (<acronym>TCP</acronym> puerto 113). Desafortunadamente, esta no es una opción vaálida con el bridge, por lo tanto, la mejor opción es simplemente pasarlos a su destino. Mientras la máquina de destino no esté ejecutando un demonio ident, es realmente inofensivo. La alternativa es eliminar las conexiones en el puerto 113, lo que creará algunos problemas con servicios como <acronym>IRC</acronym> (el probe del ident dará timeout).
a year ago
Those of you who have set up firewalls before may notice some things missing. In particular, there are no anti-spoofing rules, in fact we did <emphasis>not</emphasis> add:
Aquellos de ustedes que hayan instalado firewalls antes, notaraán que faltan algunas cosas. En particular, no hay reglas contra la suplantación de identidad, de hecho, <emphasis>no</emphasis> las añadimos:
a year ago
There is another important thing to know. When running IP over Ethernet, there are actually two Ethernet protocols in use: one is IP, the other is <acronym>ARP</acronym>. <acronym>ARP</acronym> does the conversion of the IP address of a host into its Ethernet address (<acronym>MAC</acronym> layer). In order to allow the communication between two hosts separated by the bridge, it is necessary that the bridge will forward <acronym>ARP</acronym> packets. Such protocol is not included in the IP layer, since it exists only with IP over Ethernet. The FreeBSD firewall filters exclusively on the IP layer and therefore all non-IP packets (<acronym>ARP</acronym> included) will be forwarded without being filtered, even if the firewall is configured to not permit anything.
Hay otra cosa importante que hay que saber. Cuando se ejecuta IP over Ethernet, en realidad hay dos protocolos Ethernet en uso: uno es IP, el otro es <acronym>ARP</acronym>. <acronym>ARP</acronym> realiza la conversión de la dirección IP de un host a su dirección de Ethernet (capa <acronym>MAC</acronym>). Para permitir la comunicación entre dos hosts separados por el bridge, es necesario que el puentbridge reenvíe los paquetes <acronym>ARP</acronym>. Dicho protocolo no está incluido en la capa IP, ya que solo existe con IP over Ethernet. El firewall de FreeBSD filtra exclusivamente en la capa IP y, por lo tanto, todos los paquetes no IP (<acronym>ARP</acronym> incluido) se reenvían sin ser filtrados, aunque el firewall esté configurado para no permitir nada.
a year ago
$FreeBSD: head/en_US.ISO8859-1/articles/filtering-bridges/article.xml 53717 2019-12-29 14:13:50Z carlavilla $
$FreeBSD$
a year ago

Search