En esta página se especifica la información siguiente:
Esta sección permite establecer reglas que especifican si y cómo el tráfico de red fluye a través del dispositivo Panda GateDefender. El firewall del dispositivo Panda GateDefender está dividido en diferentes módulos, cada uno de los cuales monitoriza y permite o bloquea un tipo específico de tráfico. Los módulos que se encuentran disponibles son los siguientes:
Dentro de cada submenú, en los que se detallan todas las reglas existentes correspondientes, se puede agregar cualquier tipo de regla personalizada, para cada tipo de servicio o todos los puertos/protocolos. Las diferentes partes de las que se compone el firewall se refieren a diferentes tipos de tráfico (por ej.: OpenVPN gobierna el tráfico desde/hacia los usuarios de la VPN, el tráfico interzona gobierna el tráfico que fluye de zona a zona) y están designadas para prevenir cualquier tipo de regla superpuesta u opuesta. En otras palabras, no hay manera de escribir dos reglas en dos módulos diferentes del firewall cuyo efecto combinado produzca un bloqueo o acceso indeseado de los paquetes.
La opción de separar las redes que controla el dispositivo Panda GateDefender también permite un manejo más sencillo del firewall, cuya configuración puede volverse muy compleja. En efecto, puede considerarse a cada uno de los módulos como un firewall independiente y su efecto combinado cubre todo el flujo posible de los paquetes a través del dispositivo Panda GateDefender.
Además, para cualquier módulo que se detalla arriba, pueden existir una o más reglas, que no pueden deshabilitarse ni eliminarse. Estas son las llamadas Reglas de los servicios del sistema (o Reglas del sistema), cuyo propósito es permitir la interoperabilidad correcta de los servicios en ejecución en el dispositivo Panda GateDefender con la infraestructura de la Panda Perimetral Management Console.
Las reglas que se definen aquí se transformarán en comandos iptables, la herramienta del firewall de Linux estándar desde el kernel 2.4 y, por lo tanto, se organizarán en tablas, cadenas y reglas. Para una descripción más profunda de los diferentes elementos que componen una regla del firewall, o incluso para aprender a ajustar y administrar un firewall complejo, se sugiere leer la página del manual iptables(8) en cualquier máquina Linux o alguno de los numerosos recursos en línea o tutoriales disponibles en Internet.
Al añadir una regla, la mayoría de los valores que se van a configurar en los diferentes módulos son del mismo tipo (p. ej., las interfaces de fuente o destino), ya que al final todos se configuran con iptables. Por lo tanto, para mantener esta sección corta y fácil de leer, todos los elementos de configuración que son comunes a todos los módulos del firewall están agrupados aquí y definidos una sola vez. Solamente existirán más explicaciones en caso de que existan diferencias significativas con las descripciones que aquí se otorgan.
Origen o IP Entrante. Esta configuración, generalmente en forma de un menú desplegable, es el tipo de conexión de origen o entrante que se debe combinar. Dependiendo del tipo elegido, será posible la selección de diferentes conexiones de la pequeña caja bajo el menú: Zona/VPN/Enlace se refiere a la zona de origen, el cliente VPN, o al enlace al que debería aplicarse dicha regla, Red/IP/Rango se refiere a la dirección IP o las direcciones de red, Usuario OpenVPN y Usuario de L2TP se refiere a los usuarios OpenVPN o L2TP respectivamente.
Destino o Meta. Esta configuración también aparece en un menú desplegable y permite la elección entre tres tipos de destinos que deberían combinarse y que son iguales a los del menú desplegable Origen: Zona/VPN/Enlace, Red/IP, Usuario OpenVPN o Usuario de L2TP, con la excepción de algún pequeño cambio (por ej.: para algunos tipos de reglas, el destino no podrá ser un OpenVPN o un usuario de L2TP).
Servicio, Puerto y Protocolo. Generalmente se define a un servicio como la combinación de un puerto y un protocolo. Por ejemplo, el servicio SSH se ejecuta por defecto en el puerto 22 y utiliza el protocolo TCP. Estas tres opciones controlan el puerto y el protocolo a los que se aplicará la regla y consisten en dos menús desplegables desde los cuales se elige un Servicio predefinido que también fijará el protocolo y el rango de puertos en el área del texto, o un Protocolo y opcionalmente un puerto o un rango de puertos. Los protocolos disponibles son: TCP y UDP - los más utilizados, GRE - utilizado por los túneles, ESP - utilizado por el IPsec, e ICMP - utilizado por los comandos ping y traceroute.
Nota
Existen docenas de servicios predefinidos que pueden elegirse desde los menús desplegables y deberían ser suficientes para permitir el acceso a Internet de los servicios más comunes. Debería utilizarse una combinación de puerto y protocolo definida por el usuario solamente si un servicio no se ejecuta en un puerto estándar (p. ej., un servidor SSH escucha el puerto 2345 o un servidor web se ejecuta en el puerto 7981) o si un servicio utiliza un puerto en particular (p. ej., un juego multijugador en Internet).
Subregla "Acceder desde". Casi todas las reglas pueden detallarse con más profundidad añadiendo varias reglas Acceder desde, por ejemplo para limitar el acceso a un cliente dependiendo de la zona desde la cual se conecta al dispositivo Panda GateDefender. Las reglas Acceder desde pueden configurarse cuando se selecciona el modo avanzado (consulte a continuación). Como consecuencia, una regla puede aparecer dividida en dos o más líneas, según el número de políticas de acceso que se hayan definido. Se puede eliminar de manera individual cada subregla Acceder desde sin cambiar la regla principal. Cada una de las subreglas pueden poseer incluso una política de filtro diferente.
Política, Política de filtro. La acción a llevarse a cabo en los paquetes que concuerdan con la regla actual. El menú desplegable permite seleccionar entre cuatro opciones: Permitir con IPS permite que el paquete pase pero se analiza con el Sistema de prevención de intrusos. Permitir permite que pasen los paquetes sin ningún tipo de revisión. Descartar descarta el paquete. Rechazar descarta el paquete y envía un paquete de error como respuesta.
Activado. Todas las reglas que se crean se activan por defecto, pero pueden guardarse y no activarse al desmarcar la casilla, es decir, no se tendrán en cuenta para el filtrado de paquetes. Desactivar una regla podría ser útil para los problemas de conexión con fallas.
Registrar, Registrar todos los paquetes aceptados. Por defecto no se registran entradas cuando se filtra el tráfico. Para activar el registro de una regla, marque la casilla.
Advertencia
Si existe mucho tráfico y paquetes para analizar, el tamaño de los archivos de registro probablemente crezca rápido, así que en este caso ¡recuerde revisar el registro de manera regular para evitar quedarse sin espacio!
Observación. Una descripción u observación sobre la regla para recordar el propósito de la regla.
Posición. Recuerde que las reglas iptables se procesan en orden de aparición en la lista y que algunas son reglas de “cese”, es decir, que podrían descartar o rechazar un paquete y finalizar el procesamiento de las reglas subsiguientes. Este menú desplegable permite la elección de la posición en la que debería guardarse esta regla.
Acciones. Pueden llevarse a cabo varias acciones en todas las reglas: Cada regla puede moverse hacia arriba o hacia abajo (si existen al menos dos reglas), activarse o desactivarse, editarse o eliminarse.
Finalmente, después de que se haya guardado cada cambio dentro de las reglas del firewall, debería reiniciarse el firewall para volver a cargar la configuración. Aparecerá una ventana con un botón Aplicar seleccionable para recordarle dicha necesidad.
El módulo de Redirección de puertos / NAT se compone de tres pestañas: Redirección de puertos / DNAT, NAT de origen y tráfico entrante enrutado. Su propósito es el de gestionar todo el tráfico que fluye a través del enlace ascendente, desde la zona ROJA hacia el dispositivo Panda GateDefender, y el tráfico NAT-ed, tanto entrante como saliente.
Generalmente se utiliza NAT de destino para limitar los accesos a la red desde una red que no es de confianza o para redirigir el tráfico que proviene de una red que no es de confianza y dirigirlo hacia un puerto específico o hacia una combinación de dirección-puerto. Es posible definir qué puerto en qué interfaz debería reenviarse a qué host y puerto.
La lista de las reglas configuradas muestra diversas informaciones: El ID (#) que muestra el orden en el que las reglas se corresponden con el tráfico, la dirección IP entrante, el servicio (es decir, el puerto y el protocolo) hacia el que se dirige el tráfico, la Política que se aplica al tráfico, la dirección Traducir a (es decir, el host y el puerto hacia los que se redirige el tráfico), Observaciones personalizadas y las Acciones disponibles.
Al editar una regla, se abre el mismo formulario que cuando se añade una nueva regla, al hacer clic sobre Añadir una nueva regla de Redirección de puertos / NAT de destino. Un enlace en la parte superior derecha del formulario permite elegir entre un Modo simple o un Modo avanzado. Este último modo permite también ajustar el valor Acceder desde, la política y el tipo de Traducir a.
Además de las opciones comunes , también pueden configurarse estos otros ajustes:
Esta parte del formulario cambia dependiendo del modo actual de edición activo, simple o avanzado. Si el modo está establecido en avanzado, además de añadir subreglas Acceder desde, existe un menú desplegable Tipo adicional que permite elegir entre cuatro tipos de traducciones.
El primero es IP y corresponde al único disponible en el modo simple. Aquí debería escribirse la dirección IP de destino (además del puerto y NAT), el puerto o el rango de puertos de reenvío y si deberá aplicarse NAT o no a los paquetes entrantes.
Usuario OpenVPN: elija un usuario OpenVPN como meta de destino para el tráfico.
Balanceo de carga: especifique un rango de direcciones IP hacia las que se dividirá el tráfico para evitar cuellos de botella o la sobrecarga de una sola IP.
Mapear la red. Inserte una subred hacia la cual se trasladará el tráfico entrante.
Nota
La traducción Mapear la red mapea estáticamente una red completa de direcciones hacia otra red de direcciones. Esto puede resultar útil para las compañías cuyas filiales utilicen todas la misma red interna. En efecto, en este caso todas estas redes pueden conectarse entre sí a través del mapeo de red.
Un ejemplo sería:
red original 1: 192.168.0.0/24
mapeada red 1: 192.168.1.0/24
red original 2: 192.168.0.0/24
mapeada red 2: 192.168.2.0/24
Usuario de L2TP: elija un usuario de L2TP como meta de destino para el tráfico.
A excepción de cuando se selecciona la opción Mapear la red, siempre es posible definir el puerto o el rango de puertos hacia el que deberá enviarse el tráfico y si se aplicará NAT al tráfico. Si se elige No hacer NAT, no está permitido definir una Política de filtro bajo Acceder desde (modo avanzado).
Advertencia
Al seleccionar IP, Usuario OpenVPN, Usuario de L2TP o Balanceo de carga, tenga en cuenta que los rangos de puertos no se mapearán 1 a 1, sino que se realiza un balanceo circular. Por ejemplo, el mapeo de los puertos entrantes 137:139 hacia los puertos de destino 137:139 dará como resultado que dichos puertos se utilicen de manera aleatoria: El tráfico entrante hacia el puerto 138 puede redireccionarse de manera impredecible hacia el puerto 137, 138, o 139. ¡Deje el campo Puerto/Rango de traducción vacío para evitar dichos acontecimientos!
Resolución de problemas de la redirección de puertos.
Principalmente existen dos razones por las cuales la redirección de puertos podría no funcionar.
El dispositivo Panda GateDefender se encuentra detrás de un dispositivo NAT.
En este caso existe un dispositivo como un enrutador u otro firewall entre el dispositivo Panda GateDefender y la Internet que desestima las conexiones entrantes directas. La solución es la configuración de una redirección de puertos también en dicho dispositivo hacia la IP ROJA del dispositivo Panda GateDefender, si ello fuera posible.
El servidor de destino posee una puerta de enlace predeterminada incorrecta.
Se ha configurado el servidor como el destino de una regla de redirección de puertos con una puerta de enlace predeterminada incorrecta o sin puerta de enlace. Las conexiones se direccionarán ha cia la dirección IP de destino pero debido a una puerta de enlace incorrecta, no se direccionarán los paquetes a través del dispositivo Panda GateDefender. La solución consiste en corregir la puerta de enlace del servidor.
En esta página pueden definirse las reglas que se aplican a la SNAT para las conexiones salientes. También se despliegan las reglas ya definidas, para las cuales se muestran cada una de las direcciones IP de origen y destino, el servicio, el estado de la NAT, una descripción personalizada de la regla y las acciones.
La NAT de origen puede ser útil si un servidor detrás del dispositivo Panda GateDefender tiene su IP externa propia y los paquetes salientes por lo tanto no podrían utilizar la dirección IP ROJA del firewall, sino aquella del servidor. Añadir reglas de NAT de origen es similar a añadir reglas de redirección de puertos. Además de las opciones comunes, solamente puede configurarse un ajuste más:
SNAT y un servidor SMTP dentro de la zona naranja.
En algunos casos es preferible declarar explícitamente que no se realice un NAT de origen. Un ejemplo sería el de un servidor SMTP en DMZ, configurado con una IP externa, pero cuyas conexiones salientes deberían poseer la IP ROJA como origen. La configuración de un servidor SMTP que se ejecuta en la IP 123.123.123.123 (asumiendo que 123.123.123.123 es una dirección IP adicional del enlace ascendente) dentro del DMZ con el NAT de origen puede realizarse de la siguiente manera:
Esta pestaña permite redirigir el tráfico que ha sido enrutado a través del dispositivo Panda GateDefender. Esto es muy útil cuando se posee más de una dirección IP externa y alguna de ellas debería utilizarse en DMZ sin la necesidad de utilizar NAT. Los campos que se muestran para cada regla en la lista son el tráfico de origen y de destino, el servicio, la política a aplicar, una observación y las acciones disponibles.
No se puede configurar ningún otro ajuste aparte de las opciones comunes.
El dispositivo Panda GateDefender viene con un conjunto de reglas preconfiguradas para el tráfico saliente, es decir, para permitir que servicios/puertos específicos de las diferentes zonas accedan a la interfaz ROJA y, por lo tanto, a Internet. Estas reglas son necesarias para asegurar que los servicios más comunes siempre puedan acceder a Internet y funcionar de manera adecuada. Existen dos casillas en esta página, una que muestra las reglas actuales y permite añadir nuevas, y una que permite configurar las opciones de salida del firewall.
Reglas actuales
En detalle, estos son los servicios y protocolos permitidos por defecto para el acceso a la IP ROJA desde las zonas y que se muestran en el cuadro superior:
VERDE: HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3s, IMAPs, DNS, ICMP
AZUL: HTTP, HTTPS, DNS, ICMP
NARANJA: DNS, ICMP
Todo lo demás está prohibido por defecto, a excepción de las Reglas del sistema que permiten el acceso a los servicios en la Panda Perimetral Management Console. Las reglas de sistema se encuentran definidas aunque las zonas correspondientes no se encuentran activadas.
Las posibles acciones para cada regla son las de activarlas o desactivarlas, editarlas o eliminarlas. Se pueden añadir reglas adicionales al hacer clic en el enlace Añadir nueva regla del firewall en la parte superior de la página. Por favor recuerde que el orden de las reglas es importante: la primera regla que coincide decide si se permite o deniega un paquete, sin importar cuántas reglas que coinciden le siguen. Puede cambiarse el orden de las reglas utilizando los iconos de flecha hacia arriba y hacia abajo situados junto a cada regla.
Las siguientes configuraciones difieren de las opciones comunes por defecto.
Configuración de firewall de salida
Es posible desactivar o activar la totalidad del firewall saliente haciendo clic en el interruptor Activar firewall saliente. Al desactivarlo, se permite todo el tráfico saliente y no se filtra paquete alguno: Sin embargo, se desaconseja firmemente dicha configuración y se recomienda mantener activado el firewall saliente.
Proxy y firewall saliente.
Siempre que se active el proxy para un servicio concreto (p. ej., HTTP, POP, SMTP, DNS), las reglas del firewall en el firewall saliente no tendrán efecto debido a la naturaleza del proxy.
Cuando el proxy está activado, siempre que se inicie una conexión desde un cliente hacia Internet, será interceptada por el proxy del dispositivo Panda GateDefender (en modo transparente) o irá directamente al firewall pero jamás irá a través del firewall. Después el proxy comienza una nueva conexión hacia el destino real, obtiene los datos y se los envía al cliente. Esas conexiones hacia Internet siempre comienzan desde el dispositivo Panda GateDefender, que oculta la dirección IP interna del cliente. Por lo tanto, dichas conexiones nunca pasan a través del firewall saliente ya que, de hecho, son conexiones locales.
Este módulo permite configurar reglas que determinan cómo puede fluir el tráfico entre las zonas de redes locales, excluyendo así la zona ROJA (el tráfico a través de la zona ROJA podrá filtrarse en Tráfico saliente y Redirección de puertos / NAT). Existen dos casillas en esta página, una que muestra las reglas actuales y permite añadir nuevas, y una que permite configurar las opciones del firewall interzona.
Reglas actuales
El dispositivo Panda GateDefender incluye un conjunto simple de reglas preconfiguradas: se permite el tráfico desde la zona VERDE hacia cualquier otra zona (NARANJA y AZUL) y dentro de cada zona, prohibiéndose por defecto todo lo demás.
De manera análoga a lo que ocurre con el firewall de tráfico saliente, se pueden desactivar/activar las reglas, editarlas o eliminarlas haciendo clic en el icono apropiado en el lado derecho de la tabla. Se pueden añadir reglas nuevas al hacer clic en el enlace Añadir nueva regla del firewall interzona en la parte superior de la página. Solo se pueden configurar las opciones comunes.
Configuración del firewall interzona
El firewall interzona puede desactivarse o activarse utilizando el interruptor Activar firewall interzona. Cuando se encuentra desactivado, se permite todo el tráfico entre todas las zonas AZUL, VERDE y NARANJA. Se desalienta enfáticamente la desactivación del firewall interzona.
El firewall de tráfico VPN permite añadir reglas del firewall aplicadas a los usuarios y hosts que se conectan a través de OpenVPN.
Generalmente el firewall de tráfico VPN no se encuentra activo, lo que significa que, por un lado, el tráfico puede fluir libremente entre los hosts VPN y los hosts dentro de la zona VERDE y, por otro lado, los hosts VPN pueden acceder a todas las demás zonas. Tenga en cuenta que los hosts VPN no están sujetos al firewall de tráfico saliente ni al firewall de tráfico interzona. Existen dos casillas en esta página, una que muestra las reglas actuales y permite añadir nuevas, y otra que permite configurar las opciones de VPN del firewall.
Reglas actuales
El manejo y la definición de las reglas son idénticos al del firewall de tráfico saliente, por lo que debe consultar esa sección y las opciones comunes para obtener indicaciones sobre la definición y el manejo de las reglas del firewall en este módulo.
Configuración del firewall VPN
El firewall VPN puede desactivarse o activarse utilizando el interruptor Activar firewall VPN.
Esta sección gobierna las reglas que permiten o niegan el acceso al propio dispositivo Panda GateDefender.
Existe una lista de reglas preconfiguradas que no pueden cambiarse, cuyo propósito es el de garantizar el correcto funcionamiento del firewall. En efecto, existen servicios, entre los suministrados por el dispositivo Panda GateDefender, que requieren el acceso de clientes en las diferentes zonas locales. Los ejemplos incluyen el uso del DNS (que requiere que el puerto 53 esté abierto) para resolver nombres de hosts remotos o el uso de las interfaces web de administración (que utilizan el puerto 10443): Siempre que se activa uno de estos servicios, se crean automáticamente una o más reglas para permitir la eficiencia correcta del propio servicio.
Se muestra la lista de las reglas predefinidas cuando se hace clic en el botón Mostrar reglas de los servicios del sistema en la parte inferior de la página.
Se pueden añadir más reglas de acceso al sistema al hacer clic en el enlace Añadir una nueva regla de acceso al sistema. Las configuraciones específicas para este módulo del firewall son:
Nota
No existe dirección de Destino, ya que esta es la dirección IP de la interfaz desde la cual se otorga o se intenta el acceso.
Las acciones consisten en desactivar/activar, editar o eliminar una regla de la lista de reglas.
Esta página muestra, para cada uno de los módulos que se describen en ella, un diagrama que muestra cómo fluye el tráfico entre las zonas y cual es el módulo del firewall que se encarga de los diferentes flujos. Las líneas verdes con flechas muestran cual es el tráfico que se permite en cada zona y en qué direcciones. En el caso del VPN, las reglas desde/hacia la interfaz ROJA se marcan con una X roja, lo que significa que no es posible el tráfico entre ellas.
Al hacer clic en una imagen, se abrirá en una galería que permite explorarla como si fuera una presentación de diapositivas.
Enter search terms or a module, class or function name.