Ponte (Bridging)

Normalmente, cada interface no pfSense representa seu próprio domínio de broadcast com uma sub-rede IP exclusiva. Em algumas circunstâncias, é desejável ou necessário combinar várias interfaces em um único domínio de broadcast, onde duas portas no firewall agirão como se estivessem no mesmo switch, exceto que o tráfego entre as interfaces pode ser controlado com regras de firewall. Geralmente isso é feito para que várias interfaces atuem como se estivessem na mesma rede simples usando a mesma sub-rede IP e para que todos os clientes compartilhem o tráfego de difusão e difusão seletiva.

Certos aplicativos e dispositivos dependem de transmissões para funcionar, mas são encontrados mais comumente em ambientes domésticos do que em ambientes corporativos. Para uma discussão prática, consulte Bridging e wireless.

Para serviços executados no firewall, a ponte pode ser problemática. Recursos como limitadores, portal cativo e proxies transparentes exigem configuração e manuseio especiais para trabalhar em redes com ponte. Especificamente, a ponte em si deve ser atribuída e a única interface na ponte com um endereço IP deve ser a ponte atribuída. Além disso, para que essas funções funcionem, o endereço IP na ponte deve ser o endereço usado pelos clientes como seu gateway. Esses problemas são discutidos com mais profundidade em Interoperabilidade de ponte.

Tipos de Pontes

Existem dois tipos distintos de pontes: pontes internas e pontes internas/externas. As pontes internas conectam duas interfaces locais, como duas interfaces LAN ou uma interface LAN e uma interface wireless. As pontes internas/externas conectam uma LAN a uma WAN, resultando no que é comumente chamado de “firewall transparente”.

Pontes Internas

Com uma bridge de tipo interno, as portas no firewall são vinculadas de modo que se comportem de maneira semelhante às portas de switch, embora com a capacidade de filtrar o tráfego nas portas ou pontes e com um desempenho muito menor do que um switch. O firewall em si ainda é visível para os clientes locais conectados e atua como seu gateway e, talvez, servidor DNS e DHCP. Os clientes nos segmentos em ponte podem nem saber que existe um firewall entre eles.

Esse tipo de configuração é comumente escolhido pelos administradores para isolar e controlar uma parte da rede, como um segmento sem fio, ou para usar portas adicionais no firewall em vez de um comutador adequado, em que a instalação de um comutador seria impraticável. Embora não seja recomendado, esse tipo de bridge também pode ser usado para unir duas redes remotas em determinados tipos de conexões VPN.

Pontes Internas/Externas

Uma ponte do tipo Interna/Externa, também conhecida como “firewall transparente”, é usada para inserir um firewall entre dois segmentos sem alterar os outros dispositivos. Geralmente, isso é usado para ligar uma WAN a uma rede interna para que a sub-rede WAN possa ser usada “dentro” do firewall ou internamente entre segmentos locais como um filtro in-line. Outro uso comum é para dispositivos atrás do firewall para obter endereços IP via DHCP de um servidor upstream na WAN.

Em uma configuração de firewall transparente, o firewall não recebe o tráfego diretamente ou age como um gateway, apenas inspeciona o tráfego quando passa pelo firewall.

Os dispositivos no lado interno dessa ponte devem continuar a usar o gateway upstream como seu próprio gateway. Não defina nenhum endereço IP no firewall como um gateway para dispositivos em uma ponte transparente.

O NAT não é possível com esse estilo de bridge, pois o NAT exige que o tráfego seja endereçado diretamente ao endereço MAC do firewall para que ele seja efetivado. Como o firewall não é o gateway, isso não acontece. Assim, as regras para capturar tráfego, como aquelas usadas por um proxy transparente, não funcionam.

Loops de Bridging e Camada 2

Ao fazer uma ponte, deve-se ter cuidado para evitar loops de camada 2, ou uma configuração de switch deve estar no lugar que lide com loops. Um loop de camada 2 é quando, direta ou indiretamente, o switch tem uma conexão de volta para si mesmo. Se um firewall executando o pfSense tiver interfaces interligadas e duas interfaces estiverem conectadas ao mesmo switch na mesma VLAN, um loop de camada 2 foi criado. Conectar dois cabos de patch entre dois switches também faz isso.

Switches gerenciados empregam o Spanning Tree Protocol (STP) para lidar com situações como essa, porque geralmente é desejável ter vários links entre comutadores, e a rede não deve ser exposta a um colapso completo por alguém conectando uma porta de rede a outra porta de rede. O STP não está habilitado por padrão em todos os switches gerenciados e quase nunca está disponível com switches não gerenciados. Sem STP, o resultado de um loop de camada 2 é que os quadros na rede circularão indefinidamente e a rede deixará completamente de funcionar até que o loop seja removido. Verifique a configuração do switch para garantir que o recurso esteja ativado e configurado corretamente.

O pfSense permite que o STP em interfaces de ponte ajude com loops, mas ainda pode levar a situações inesperadas. Por exemplo, uma das portas de ponte se desligaria para interromper o loop, o que poderia fazer com que o tráfego parasse de fluir inesperadamente ou ignorasse completamente o firewall.

Em suma, a ponte tem o potencial de derreter completamente a rede, a menos que qualquer pessoa que conecte dispositivos ao switch seja cuidadosa.