Nội dung bài viết
3 Bridge Và Interfaces
Một bridge interface chính nó có thể được chỉ định làm interface. Điều này cho phép bridge hoạt động như một interface bình thường và có địa chỉ IP được đặt trên đó thay vì member interface.
Cấu hình địa chỉ IP trên bản thân bridge là tốt nhất trong hầu hết các trường hợp. Lý do chính cho điều này là do các bridge phụ thuộc vào trạng thái của interface mà địa chỉ IP được chỉ định. Nếu địa chỉ IP cho bridge được cấu hình trên member interface và interface đó bị down, toàn bộ bridge sẽ ngừng hoạt động và không còn lưu lượng truy cập. Trường hợp phổ biến nhất cho trường hợp này là wireless interface được bridge với Ethernet LAN NIC. Nếu LAN NIC không được cắm, mạng không dây sẽ chết trừ khi địa chỉ IP được cấu hình trên interface bridge chứ không phải LAN. Một lý do khác là nếu các bộ giới hạn phải được sử dụng để kiểm soát lưu lượng truy cập, thì phải có một địa chỉ IP trên interface bridge để chúng hoạt động bình thường. Tương tự như vậy, để Captive Portal hoặc transparent proxy hoạt động trên bridge nội bộ, địa chỉ IP phải được cấu hình trên bridge được chỉ định và không phải một member interface.
3.1 Swapping Interface Assignments
Trước khi nói quá sâu về việc di chuyển xung quanh các nhiệm vụ interface bridge, cần lưu ý rằng những thay đổi này nên được thực hiện từ một port không liên quan đến bridge. Ví dụ: nếu bridge WLAN sang LAN, hãy thực hiện thay đổi từ WAN hoặc port OPT khác. Ngoài ra, hãy download bản backup config.xml và thực hiện các thay đổi theo cách thủ công. Cố gắng thực hiện các thay đổi đối với một port trong khi quản lý firewall từ cổng đó rất có thể sẽ dẫn đến việc mất quyền truy cập vào GUI, khiến firewall không thể truy cập được.
Easy Method: Di chuyển cài đặt sang interface mới
Cách dễ nhất, mặc dù không phải là nhanh nhất, đường dẫn trong GUI là để loại từng cài đặt khỏi interface LAN (địa chỉ IP, DHCP,…) và sau đó kích hoạt chúng trên interface bridge mới được gán.
Quick but Tricky: Gán lại Bridge mạng LAN
Mặc dù phương pháp này là một chút phức tạp hơn so với di chuyển các thiết lập, nó có thể nhanh hơn nhiều đặc biệt là trong trường hợp có rất nhiều firewall rule trên mạng LAN hoặc một cấu hình DHCP phức tạp. Trong phương pháp này, cần có một số thao tác nhảy vòng nhưng cuối cùng bridge kết thúc là interface LAN và nó giữ lại địa chỉ IP LAN, tất cả các firewall rule cũ, DHCP và cấu hình interface khác.
- Chỉ định và cấu hình các member bridge chưa được xử lý. Xem lại các bước bên dưới để đảm bảo cài đặt interface chính xác ngay cả khi interface đã được chỉ định và cấu hình.
- Điều hướng đến Interfaces > Assignments
- Chọn interface từ danh sách Available network ports
- Click Add
- Điều hướng đến trang cấu hình interface mới, ví dụ: Interface> OPT1
- Check Enable
- Nhập mô tả Description chẳng hạn như WiredLAN2
- Set cả hai IPv4 Configuration Type và IPv6 Configuration Type thành none
- Bỏ chọn cả hai Block private networks và Block bogon networks nếu đang chọn
- Click Save
- Click Apply Changes
- Lặp lại cho các member bridge tương lai chưa được chỉ định bổ sung
- Tạo một Bridge mới
- Điều hướng đến Interfaces > Assignments trên tab Bridges
- Click Add để tạo một bridge mới
- Nhập mô tả Description, chẳng nhạn như LAN Bridge
- Chọn tất cả các member bridge mới NGOẠI TRỪ interface LAN trong danh sách Member interfaces
- Click Save
- Thay đổi filter bridge System Tunable để disable tính năng filter member interface
- Điều hướng tới System > Advanced, tab System Tunables
- Tìm mục nhập cho net.link.bridge.pfil_member hoặc tạo mục nhập mới nếu mục này không tồn tại, sử dụng tên đó cho Tunable
- Click để chỉnh sửa một mục hiện có
- Nhập 0 vào trường Value
- Click Save
- Điều hướng đến Interfaces > Assignments
- Thay đổi việc gán mạng LAN thành bridge0
- Click Save
- Gán và cấu hình interface LAN cũ như đã mô tả trước đây, đặt các loại cấu hình IP của nó thành None có và đặt tên nó là WiredLAN
- Chỉnh sửa bridge và chọn WiredLAN mới được chỉ định làm bridge member.
- Thay đổi filter bridge System Tunable để enable filter interface bridge
- Sử dụng quy trình được mô tả trước đó, nhưng đặt net.link.bridge.pfil_bridge thành 1
Giờ đây, interface LAN cũ, cùng với các member bridge mới, tất cả đều nằm trên một layer 2 chung với bridge được gán là LAN cùng với cấu hình khác.
Quickest but Most Difficult: Edit thủ công config.xml
Edit thủ công config.xml có thể rất nhanh đối với những người quen thuộc với định dạng cấu hình trong XML. Tuy nhiên, phương pháp này rất dễ sai, vì vậy hãy đảm bảo có bản sao lưu và cài đặt phương tiện gần đó để phòng trường hợp xảy ra sai sót.
Khi edit thủ công config.xml để thực hiện tác vụ này, hãy làm như sau:
- Chỉ định các member bridge bổ sung và đặt loại cấu hình IP của chúng thành None
- Tạo Bridge, bao gồm LAN và LAN2 và các member bridge khác
- Gán bridge (ví dụ như OPT2) và enable nó, cũng với kiểu cấu hình IP là None
- Mở config.xml trong trình soạn thảo văn bản hiểu phần cuối dòng UNIX
- Thay đổi việc gán mạng LAN thành bridge0
- Thay đổi chỉ định mạng LAN cũ thành nơi từng là bridge (ví dụ: OPT2)
- Chỉnh sửa định nghĩa cầu nối để tham chiếu đến OPT2 chứ không phải LAN
- Save các thay đổi
- Restore config.xml đã chỉnh sửa từ Diagnostics > Backup/Restore
Firewall sẽ khởi động lại với thiết lập mong muốn. Theo dõi bảng điều khiển để đảm bảo các cài đặt được áp dụng chính xác và không gặp lỗi nào trong quá trình boot.
3.2 Assigned Bridge MAC Addresses and Windows
Địa chỉ MAC cho bridge được xác định ngẫu nhiên khi bridge được tạo ra, tại thời điểm boot hoặc khi bridge mới được tạo ra. Điều đó có nghĩa là trên mỗi lần reboot, địa chỉ MAC có thể thay đổi. Trong nhiều trường hợp điều này không quan trọng, nhưng Windows Vista, 7, 8 và 10 sử dụng địa chỉ MAC của gateway để xác định xem chúng đang ở trên một mạng chỉ định nào. Nếu địa chỉ MAC thay đổi, danh tính mạng sẽ thay đổi và trạng thái của nó là public, private,… có thể cần phải được sửa lại. Để giải quyết vấn đề này, hãy nhập địa chỉ MAC trên interface bridge được chỉ định để giả mạo địa chỉ đó. Sau đó, các máy client sẽ luôn thấy cùng một MAC cho địa chỉ IP gateway.
4 Bridge Và Firewall
Chức năng filter với các interface bridge tương tự như các interface được định tuyến, nhưng có một số lựa chọn cấu hình để thay đổi chính xác cách hoạt động của filter. Theo mặc định, các firewall rule được áp dụng trên từng interface member bridge trên cơ sở inbound, giống như bất kỳ interface định tuyến nào khác.
Có thể quyết định liệu quá trình filter có xảy ra trên các interface member bridge hay trên chính interface bridge. Điều này được kiểm soát bởi hai giá trị trên System > Advanced trên tab System Tunables, như hình dưới. net.link.bridge.pfil_member có thể điều chỉnh kiểm soát việc các rule được thực hiện trên các interface member bridge hay không. Theo mặc định, điều này được on (1). net.link.bridge.pfil_bridge có thể điều chỉnh kiểm soát xem các rule sẽ được thực hiện trên interface bridge hay không. Theo mặc định, điều này bị off (0). Ít nhất một trong số này phải được set thành 1.
Khi tự filter trên interface bridge, lưu lượng truy cập sẽ tuân theo các rule khi nó đi vào từ bất kỳ member interface nào. Các rule vẫn được coi là “inbound” giống như bất kỳ interface rule nào khác, nhưng chúng hoạt động giống một interface group hơn vì các rule giống nhau áp dụng cho từng member interface.
4.1 Firewall Rule Macros
Chỉ một interface của một bridge sẽ có địa chỉ IP được đặt, các interface khác sẽ không có. Đối với các interface này, các firewall macro của chúng như OPT1 address và OPT1 net không được xác định vì interface không có địa chỉ và do đó không có subnet.
Nếu filter được thực hiện trên các member bridge, hãy ghi nhớ thực tế này khi tạo rule và liệt kê rõ ràng subnet hoặc sử dụng macro cho interface có địa chỉ IP.
5 Bridge Two Internal Networks
Khi bridge hai mạng nội bộ, có một số cân nhắc đặc biệt cần thực hiện đối với một số dịch vụ nhất định trên firewall.
5.1 DHCP và Bridge nội bộ
Khi bridge mạng nội bộ này sang mạng nội bộ khác, cần thực hiện hai điều. Đầu tiên, đảm bảo rằng DHCP chỉ chạy trên interface chứa địa chỉ IP và không phải là member bridge không có địa chỉ. Thứ hai, một firewall rule bổ sung có thể cần thiết ở đầu các rule trên giao member interface để cho phép lưu lượng truy cập DHCP.
Lưu ý: Điều này chỉ áp dụng cho việc filter được thực hiện trên các member interface, không áp dụng việc filter được thực hiện trên bridge.
Khi tạo rule để cho phép lưu lượng truy cập trên interface, thông thường nguồn được chỉ định tương tự như OPT1 Subnet để chỉ lưu lượng truy cập từ subnet đó được phép ra khỏi phân đoạn đó. Với DHCP, điều đó là chưa đủ. Bởi vì máy client chưa có địa chỉ IP, một yêu cầu DHCP được thực hiện như một broadcast. Để đáp ứng các yêu cầu này, hãy tạo rule trên member interface bridge với các cài đặt sau:
- Điều hướng đến Firewall > Rules trên tab cho member bridge
- Click để add thêm một rule mới lên trên đầu của danh sách
- Protocol: UDP
- Source: 0.0.0.0
- Source Port: 68
- Destination: 255.255.255.255
- Destination Port: 67
- Description nói rõ điều này sẽ Allow DHCP
- Click Save và Apply Changes
Rule sẽ giống như hình dưới đây:
Sau khi thêm rule, các máy client trong phân đoạn được bridge sẽ có thể thực hiện thành công các yêu cầu đến trình nền DHCP đang lắng nghe trên interface mà nó được bridge.
Cám ơn admin!
Seri bài viết rất công phu, chi tiết và hữu ích. Chúc admin sức khỏe và phát triển tiếp!!!