Interface Ethernet
Vous pouvez modifier les paramètres de chaque interface Ethernet, mais il n’est pas possible d’en ajouter ou d'en supprimer. Dans le cas où une interface Ethernet est membre d'un :
-
Bridge : certains champs du panneau de configuration de l'interface ne sont pas modifiables (grisés) du fait qu'ils sont hérités du bridge.
-
Agrégat : seuls les champs État, Nom, Commentaire et Média sont visibles. Les autres paramètres sont hérités de la configuration de l’agrégat.
Panneau de configuration d'une interface Ethernet
Pour ouvrir le panneau de configuration d'une interface Ethernet, faites un double-clic dessus. Le panneau de configuration dispose de plusieurs onglets.
État
ON / OFF |
Positionnez le sélecteur sur ON / OFF pour activer ou désactiver l'interface. |
Paramètres généraux
Nom | Nom de l'interface. Vous pouvez le modifier si souhaité. |
Commentaire | Permet de donner un commentaire pour l'interface. |
Cette interface est |
Une interface peut être :
|
Plan d’adressage
Plan d’adressage hérité du bridge | En choisissant cette option, l'interface fait partie d'un bridge. Plusieurs paramètres sont alors hérités du bridge (comme le plan d'adressage). Ce choix débloque l'accès au champ Bridge. Sélectionnez dans ce champ le bridge parent de l'interface. |
Dynamique / Statique |
En choisissant cette option, vous indiquez que l'adresse IP de l'interface est dynamique (obtenue par DHCP) ou fixe (statique). Ce choix débloque l'accès au champ Adresse IPv4 ainsi qu'au champ Adresse IPv6 si l'IPv6 est activé dans la configuration du firewall. Ils comportent les mêmes options à configurer. |
IP dynamique (obtenue par DHCP) |
En choisissant cette option, l’adresse IP de l'interface est définie par DHCP. Une zone Configuration DHCP avancée apparaît avec les paramètres suivants :
|
IP fixe (statique) |
En choisissant cette option, l'adresse IP de l'interface est fixe (statique). Une grille apparaît dans laquelle vous devez ajouter l'adresse IP et son masque de sous-réseau. Il est possible d'ajouter plusieurs adresses IP et masques associés (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser le firewall comme un point de routage central. De ce fait, une interface peut être connectée à différents sous-réseaux ayant un adressage différent. Si vous ajoutez plusieurs adresses IP (alias) dans le même plan d'adressage, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes. |
NOTE
Cet onglet apparaît seulement si l'IPv6 est activé dans la configuration du firewall.
Sur chaque interface, bridge ou interface agrégée, les messages d’annonces du routeur (Router Advertisement - RA) peuvent être envoyés périodiquement à tous les nœuds IPv6 (multicast) du segment via l’adresse de la liaison locale ou en réponse à la sollicitation de routeur (Routeur Sollicitation - RS) d’une machine du réseau.
Cette annonce permet à un nœud IPv6 d’obtenir les informations suivantes :
- L’adresse du routeur par défaut, en l’occurrence celle du firewall,
- Le(s) préfixe(s) utilisé(s) sur le lien (en 64bits),
- L’indication de l’utilisation de l’auto-configuration sans état (SLAAC) ou du DHCPv6 (Managed),
- L’indication de récupérer d’autres paramètres via DHCPv6 (OtherConfig),
- D’éventuels paramètres DNS (RFC4862).
L’auto-configuration, native dans IPv6 est sans état (Stateless Address Autoconfiguration - SLAAC), c’est-à-dire que le serveur ne choisit pas les IPs des clients et n’a pas à les retenir.
Une machine a une adresse de liaison locale dont l’unicité a été vérifiée via NPD DAD (protocole Neighbor Discovery Protocol - Duplicated Address Detection) avec succès. La machine reçoit ensuite l’annonce du routeur (RA) périodique ou sollicitée. Si l’information d’auto-configuration sans état est spécifiée, la machine se construit alors une ou plusieurs adresses IPv6 à partir du ou des préfixe(s) annoncé(s) et de son identifiant d’interface (aléatoire ou basé sur l'adresse MAC). L’adresse IP du routeur (celle du firewall) servira alors de passerelle par défaut.
Par défaut, le mode d’émission des annonces de routeur (RA) diffuse le premier préfixe déduit de l’interface. Les serveurs DNS sont par défaut ceux configurés pour le firewall dans le module Configuration > Système > Configuration, onglet Paramètres réseau.
NOTE
Si les annonces de routeur sont activées sur un bridge, ces annonces sont uniquement diffusées sur les interfaces protégées.
Paramètres d'autoconfiguration
Émettre les RA si DHCPv6 activé | Si le service DHCPv6 est activé sur le firewall (module Configuration > Réseau > DHCP), le firewall va émettre automatiquement des annonces (Router Advertisement – RA) sur les interfaces correspondantes, indiquant aux nœuds IPv6 de s’auto-configurer en DHCPv6 (les options Managed et Other config sont alors activées par défaut). Si le firewall fait office de serveur DHCPv6, l’interface configurée doit appartenir à l’une des plages d’adresses renseignées en configuration DHCPv6. Si le firewall sert de relai à un serveur DHCPv6, l’interface configurée doit appartenir à la liste des interfaces d’écoute du service. Si le service DHCPv6 n’est pas actif, l’émission des RA est désactivée. |
Émettre les RA |
L’adresse du firewall est envoyée comme routeur par défaut. Les informations relayées par cette annonce sont décrites ci-après. Cette configuration est recommandée afin de permettre aux machines directement connectées (lien local) de faire du SLAAC. |
Désactiver | Aucune annonce de routeur (RA) n’est diffusée. Cette configuration est recommandée en bridge si un routeur IPv6 est directement connecté (lien local). |
Annonces du routeur (RA)
Cette zone est accessible seulement si l'option Émettre les RA est sélectionnée.
Annoncer le préfixe déduit de l'interface | Le préfixe annoncé est celui configuré dans le plan d’adressage IPv6 de l’interface dans l'onglet Configuration générale. La taille du masque (longueur du préfixe - CIDR) de l’adresse IPv6 configurée doit obligatoirement être de 64 bits. |
Configuration avec serveur DHCPv6
Le serveur DHCPv6 délivre les adresses (Managed) |
L’annonce indique que les adresses IPv6 sollicitées seront distribuées par le service DHCPv6 activé sur le firewall (module Configuration > Réseau > DHCP). Ce service est mis en œuvre par le firewall ou un relai directement connecté (lien local). |
Le serveur DHCPv6 délivre des options supplémentaires (Other config) |
L’annonce indique que les autres paramètres d’auto-configuration tels que les adresses de serveurs DNS ou un autre type de serveur, seront délivrés par le serveur DHCPv6 (firewall ou relai) directement connecté (lien local). |
Configuration avancée
Paramètres DNS
Ce cadre est accessible si l'option Le serveur DHCPv6 délivre des options supplémentaires (Other config) n'est pas activée.
Nom de domaine | Nom de domaine par défaut pour joindre un serveur interrogé sans domaine. |
Serveur DNS primaire | Adresse IP du serveur DNS primaire. Si ce champ n’est pas renseigné, l’adresse envoyée est celle utilisée par le firewall (module Configuration > Système > Configuration, onglet Paramètres réseau). |
Serveur DNS secondaire | Adresse IP du serveur DNS secondaire. Si ce champ n’est pas renseigné, l’adresse envoyée est celle utilisée par le firewall (module Configuration > Système > Configuration, onglet Paramètres réseau). |
Préfixes annoncés
Cette grille est accessible si l'option Le serveur DHCPv6 délivre les adresses (Managed) n'est pas activée.
Préfixes |
Préfixe à annoncer aux machines. Il est préconisé que le préfixe annoncé soit le même que celui de l’interface. Dans le cas où l’interface en spécifie plusieurs, ce champ précise le préfixe à utiliser. |
Autonomous |
Instruction d’auto-configuration sans état (SLAAC) : si cette case est cochée, la machine se construit une ou plusieurs adresses IPv6 à partir du préfixe annoncé et d’un identifiant d’interface (aléatoire et/ou basé sur l'adresse MAC). |
On link | Cette option précise à la machine que toutes les machines ayant le même préfixe peuvent être joignables directement, sans passer par le routeur. En IPv4, cette information était déduite du masque réseau. |
Commentaire | Permet de donner un commentaire au préfixe annoncé. |
Autres paramètres
MTU | Longueur maximale (en octets) des paquets émis sur le support physique (Ethernet) afin que ceux-ci soient transmis en une seule fois (sans fragmentation). Ce choix n’est pas disponible pour une interface contenue dans un bridge. |
Adresse MAC | Permet de spécifier une adresse MAC pour l'interface plutôt que d’utiliser l’adresse allouée par le firewall (adresse MAC physique par défaut). Ce choix n’est pas disponible pour une interface contenue dans un bridge. |
Adresse MAC physique | Adresse MAC matérielle de la carte réseau. |
Média
Média |
Vitesse de liaison du réseau. Par défaut, le firewall détecte le média automatiquement mais vous pouvez forcer l'utilisation d'un mode particulier en le sélectionnant dans la liste déroulante. IMPORTANT
|
Routage sans analyse
Cette zone apparaît seulement si l'option Plan d’adressage hérité du bridge est cochée dans le champ Adressage de l'onglet Configuration générale.
Autoriser sans analyser | Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), paquets AppleTalk (pour les machines Macintosh), PPPoe ou IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est réalisé sur ces protocoles (le firewall bloque ou laisse passer). |
Routage par interface
Cette zone apparaît seulement si l'option Plan d’adressage hérité du bridge est cochée dans le champ Adressage de l'onglet Configuration générale.
Préserver le routage initial | Cette option demande au firewall de ne pas modifier la destination dans la couche Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à la réception. Le but de cette option est de faciliter l'intégration des firewalls dans un réseau existant de manière transparente, car elle permet de ne pas avoir à modifier la route par défaut des machines du réseau interne. Cette option doit être activée pour assurer le bon fonctionnement d'un serveur DHCP situé sur l'interface considérée et dont les réponses aux requêtes sont de type unicast. LIMITATIONS CONNUES Les fonctionnalités du firewall qui insèrent ou modifient des paquets dans les sessions par le firewall pourraient ne pas fonctionner correctement. Ces fonctionnalités sont :
|
Préserver les identifiants de Vlan | Cette option permet la transmission des trames taguées sans que le firewall soit une terminaison du VLAN. Le tag VLAN de ces trames est conservé ainsi le firewall peut être placé sur le chemin d’un VLAN sans pour autant que ce VLAN soit coupé par le firewall. Le firewall agit de manière complètement transparente pour ce VLAN. Cette option requiert l’activation de l’option précédente "Préserver le routage initial". |