Configurations complémentaires via le terminal
Premier boot post-installation
Vous avez installé votre firewall à l’étape Les étapes de l’installation de DynFi Firewall. Après la fin de l’installation, votre DynFi Firewall va rebooter automatiquement.
Vous accédez toujours au firewal via l’interface série :
Vitesse : 115200
Bits de données : 8
Bits de parité : aucun
Bits de stop : 1
Le firewall est mis sous tension et vous visualisez à l’écran de votre terminal le processus de boot. Vers la fin du boot, le système vous proposera d’importer une configuration :
Setting hostid: 0x3fdedbf1.
Configuring vt: keymap blanktime.
Press any key to start the configuration importer: ........
Vous pouvez en appuyant sur l’une des touches de votre firewall interrompre le processus d’initialisation de votre firewall et importer une configuration de votre choix. Vous devez pour cela avoir un terminal configuré pour assurer le transfert de fichier.
Si vous n’appuyez sur aucune touche le processus d’initialisation continuera jusqu’a l’affichage du prompt.
Root file system: zroot/ROOT/default
Wed Apr 29 16:21:44 UTC 2020
*** DynFi.localdomain: DynFi (amd64/OpenSSL) ***
LAN (igb0) -> v4: 192.168.1.1/24
WAN (igb1) ->
FreeBSD/amd64 (DynFi.localdomain) (ttyu0)
login:
Vous devrez ici saisir l’identifiant et le mot de passe par défaut de DynFi Firewall qui sont :
- login : **root**
- password : **dynfi**
Configuration des interfaces via le terminal
L’objectif de cette section est de vous montrer comment configurer vos interfaces depuis le terminal.
Note
Il est aussi possible de directement se connecter à l’interface web depuis le LAN (second port de votre appliance) via un cable Ethernet. Vous devriez normalement recevoir une adresse IP avec l’IP configuré par défaut sur l’interface (généralement 191.168.1.100).
Vous accédez alors au menu du firewall :
*** DynFi.localdomain: DynFi (amd64/OpenSSL) ***
LAN (igb0) -> v4: 192.168.1.1/24
WAN (igb1) ->
0) Logout 7) Ping host
1) Assign interfaces 8) Shell
2) Set interface IP address 9) pfTop
3) Reset the root password 10) Firewall log
4) Reset to factory defaults 11) Reload all services
5) Power off system 12) Update from console
6) Reboot system 13) Restore a backup
Enter an option:
La première étape est de configurer les interfaces du firewall afin de pouvoir accéder à l’interface web. Vous devrez donc choisir ici le choix 1) Assign interfaces Ce premier choix vous permettra de redéfinir l’assignation des interfaces opérée par défaut.
La liste des interfaces valides est alors affichée :
Valid interfaces are:
igb0 00:0d:b9:4a:17:74 Intel(R) PRO/1000 PCI-Express Network Driver
igb1 00:0d:b9:4a:17:75 Intel(R) PRO/1000 PCI-Express Network Driver
igb2 00:0d:b9:4a:17:76 Intel(R) PRO/1000 PCI-Express Network Driver
You now have the opportunity to configure VLANs. If you don't require VLANs
for initial connectivity, say no here and use the GUI to configure VLANs later.
Do you want to configure VLANs now? [y/N]:
La première question qui vous est posée est de savoir si vous souhaitez configurer un VLAN, si tel est le cas, répondez “y” sinon “N”.
Par défaut et comme indiqué ci-dessous, la première interface est attribuée au LAN et la seconde au WAN. Si cela vous convient, vous pouvez directement passer à l’étape suivante ou ressaisir le nom de l’interface précédemment définie afin d’ajouter les interfaces manquantes (ici igb2)
Do you want to configure VLANs now? [y/N]: N
If you do not know the names of your interfaces, you may choose to use
auto-detection. In that case, disconnect all interfaces now before
hitting 'a' to initiate auto detection.
Enter the WAN interface name or 'a' for auto-detection: igb0
Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(or nothing if finished): igb1
Enter the Optional interface 1 name or 'a' for auto-detection
(or nothing if finished): igb2
Enter the Optional interface 2 name or 'a' for auto-detection
(or nothing if finished):
The interfaces will be assigned as follows:
WAN -> igb0
LAN -> igb1
OPT1 -> igb2
Do you want to proceed? [y/N]:
Si la configuration vous convient, valider votre installation avec “y”. Le firewall va se recharger et lancer un certain nombre de services :
Do you want to proceed? [y/N]: y
Writing configuration...done.
Configuring loopback interface...done.
Creating wireless clone interfaces...done.
Configuring LAN interface...done.
Configuring WAN interface...done.
Creating IPsec VTI instances...done.
Setting up routes...done.
Configuring firewall.......done.
Starting PFLOG...done.
Starting DHCPv4 service...done.
Starting DHCPv6 service...done.
Starting router advertisement service...done.
Starting NTP service...done.
Starting Unbound DNS...done.
Starting web GUI...done.
Syncing OpenVPN settings...done.
Generating RRD graphs...done.
*** DynFi.localdomain: DynFi (amd64/OpenSSL) ***
LAN (igb1) -> v4: 192.168.1.1/24
WAN (igb0) -> v4/DHCP4: 0.0.0.0/8
0) Logout 7) Ping host
1) Assign interfaces 8) Shell
2) Set interface IP address 9) pfTop
3) Reset the root password 10) Firewall log
4) Reset to factory defaults 11) Reload all services
5) Power off system 12) Update from console
6) Reboot system 13) Restore a backup
Enter an option:
L’étape de configuration des interfaces depuis le terminal est maintenant terminée.
Configuration des adresses IP via le terminal
Vous disposez maintenant d’un certain nombre d’interfaces configurées. Mais celles-ci ne disposent pas forcément des bonnes adresses IP ou de la bonne méthode de connexion au réseau. Sélectionnez donc le menu “2) Set interface IP address”.
Le terminal vous retourne alors la liste des interfaces configurées, ainsi que la méthode utilisée pour configurer IPv4 et IPv6 :
Available interfaces:
1 - LAN (igb1 - static, track6)
2 - OPT1 (igb2)
3 - WAN (igb0 - dhcp, dhcp6)
Enter the number of the interface to configure:
Sélectionnez l’interface que vous souhaitez configurer et poursuivez.
Available interfaces:
1 - LAN (igb1 - static, track6)
2 - OPT1 (igb2 - static)
3 - WAN (igb0 - dhcp, dhcp6)
Enter the number of the interface to configure: 2
Configure IPv4 address OPT1 interface via DHCP? [y/N] n
Enter the new OPT1 IPv4 address. Press <ENTER> for none:
> 192.168.30.1
Subnet masks are entered as bit counts (like CIDR notation).
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new OPT1 IPv4 subnet bit count (1 to 32):
> 24
For a WAN, enter the new OPT1 IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
>
Configure IPv6 address OPT1 interface via WAN tracking? [Y/n] n
Configure IPv6 address OPT1 interface via DHCP6? [y/N] n
Enter the new OPT1 IPv6 address. Press <ENTER> for none:
>
Do you want to enable the DHCP server on OPT1? [y/N] y
Enter the start address of the IPv4 client address range: 192.168.30.100
Enter the end address of the IPv4 client address range: 192.168.30.200
Une fois que vous aurez répondu à toutes les questions, la page sera rechargée et les nouvelles informations prises en compte.
Writing configuration...done.
Generating /etc/hosts...done.
Generating /etc/resolv.conf...done.
Configuring OPT1 interface...done.
Setting up routes...done.
Starting DHCPv4 service...done.
Starting DHCPv6 service...done.
Starting router advertisement service...done.
Starting Unbound DNS...done.
Setting up gateway monitors...done.
Configuring firewall.......done.
Starting PFLOG...done.
Starting DHCPv4 service...done.
Starting DHCPv6 service...done.
Starting router advertisement service...done.
*** DynFi.localdomain: DynFi (amd64/OpenSSL) ***
LAN (igb1) -> v4: 192.168.1.1/24
OPT1 (igb2) -> v4: 192.168.30.1/24
WAN (igb0) -> v4/DHCP4: 0.0.0.0/8
0) Logout 7) Ping host
1) Assign interfaces 8) Shell
2) Set interface IP address 9) pfTop
3) Reset the root password 10) Firewall log
4) Reset to factory defaults 11) Reload all services
5) Power off system 12) Update from console
6) Reboot system 13) Restore a backup
Répétez l’opération autant de fois que nécessaire pour l’ensemble de vos interfaces.
Warning
Si vous modifiez l’adresse IP de l’interface sur laquelle vous êtes connectés, il est probable que votre liaison soit interrompue. Si vous travaillez à distance, cela peut nettement compliquer les choses et vous obliger à vous déplacer jusqu’à votre firewall pour pouvoir de nouveau le joindre..