Configurer un bridge avec pfSense
Un pont (bridge) relie deux ou plusieurs interfaces de la même couche 2 (diffusion / domaine de collision), comme si elles étaient liées au même commutateur. Une interface ponté peut filtrer le trafic sans être impliqué dans la couche IP de la connexion.
Il est généralement préférable d’éviter de telles configurations, car ils peuvent être problématiques, mais ils peuvent également être utiles pour plusieurs types de configurations, telles que:
- Ajouter une interface sans fil à un réseau local
- Pare-feu transparent (WAN / LAN pont)
- Filtrage entre des parties d’un seul sous-réseau
Le traffic sur le pont est filtré sur les interfaces membres par défaut.
Création du pont dans pfSense
Pour créer un bridge (pont), il faut se rendre dans le menu « Interfaces », puis dans le sous-menu « Interface assignments » et sélectionner l’onglet « Bridges ».
Pour créer une nouvelle entrée, cliquer sur le bouton « +« .
Sélectionner les interfaces que vous souhaitez ponté ensemble.
Options avancées peuvent être utilisés pour activer des fonctionnalités comme Spanning Tree ou d’autres fonctions moins communes de ponts.
Après avoir sauvegardé les modifications, la nouvelle interface bridge est visible dans l’onglet « Bridges », mais avant de la configurer, il faut modifier le système de filtre.
Une fois qu’un pont a été créé, il peut être attribué à une Interfaces > (assign) ainsi que toute autre interface.
Configuration du bridge
Par défaut, le trafic est filtré sur les interfaces membres et non sur l’interface de pont lui-même. Ce comportement peut être modifié en faisant basculer les valeurs de net.link.bridge.pfil_member et net.link.bridge.pfil_bridge sous Système> Avancé sur le système de paramètres réglables onglet. Avec eux, fixés à 0 et 1 , respectivement, le filtrage serait effectuée sur le pont seulement.
Pour modifier le système de filtre, il faut se rendre dans le menu « System », puis le sous-menu « Advanced » et enfin sélectionner l’onglet « System Tunables ».
Les deux filtres à modifier sont les suivants (il suffit de double-cliquer sur les valeurs pour les modifier) :
| Nom | Valeur par défaut | Valeur à modifier |
| net.link.bridge.pfil_bridge | 0 | 1 |
| net.link.bridge.pfil_member | 1 | 0 |
L’interface Bridge
Il est possible à présent de configurer l’interface Bridge.
Pour accéder à la page de configuration d’une interface, il existe deux accès :
– Cliquer directement sur le nom de l’interface dans le menu « Interfaces ».
– Cliquer directement sur le nom de l’interface dans l’onglet « Interface assignments ».
Cocher la case : « Enable Interface »
Il est possible de modifier le nom de l’interface dans le champs « Description ».
DHCP et Règles Firewall
Lorsque votre bridge est mis en place, les paramètre des interfaces faisant partit du bridge deviennent en quelques sorte « transparente », les paramètre du bridge deviennent prioritaire et nous devons donc paramétrer un DHCP ainsi que des règle firewall pour la nouvelle interface bridge.
Pour le service DHCP, il faudra affecter une adresse IP statique au BRIDGE, sans quoi, il est impossible de distribuer des adresses IP dans le BRIDGE ( Il faut penser à enlever les adresses IP statique sur les interfaces LAN & WiFI )
Pour l’etablissement des règles de firewall, il faut configurer les règles de firewall sur l’interface du bridge (disponible dès sa création).
NOTE : Seulement une interface sur un pont doit avoir une adresse IP! Ne pas ajouter plusieurs adresses IP dans le même sous-réseau sur différentes interfaces membres du pont. D’autres interfaces sur le pont doivent rester avec un type d’IP Aucun .
Source : Calexium.