El menú de red

El menú de red se puede utilizar para ajustar la configuración de la red al agregar hosts y rutas específicas o al configurar el uplink y añadir VLAN. No se debe confundir este menú con el asistente Configuración de red disponible en Barra de menú ‣ Sistema ‣ Configuración de red, que permite configurar interfaces, zonas y definir uplinks. Muchas opciones de preferencias y configuración, especialmente bajo Interfaces, a continuación se pueden encontrar sin embargo bajo el asistente de red, al que hay que consultar para obtener una ayuda más detallada.

El submenú situado en el lateral izquierdo de la pantalla contiene estos elementos y cada uno agrupa varias opciones de configuración:

• Editar hosts - define hosts para resolución de nombre de dominio local
• Enrutamiento - establece rutas estáticas y política de enrutamiento
• Interfaces - edita los enlaces o crea VLAN

Editar hosts

El dispositivo Panda GateDefender cuenta con un servidor caché DNS (dnsmasq) que lee el archivo /etc/hosts del sistema para las búsquedas del nombre del host. El archivo contiene la tabla de búsqueda denominada estática de la siguiente manera:

IP1  nombre del host 1  [nombre del host 2]
...
IP2  nombre del host 3n [nombre del host 4]

Aquí, IP1 e IP2 son direcciones IP únicas (numéricas) y nombre del host es un nombre personalizado dado a esos IP. En otras palabras, cada dirección IP puede estar asociada con uno o más nombres de hosts conocidos. Se pueden añadir entradas de host personalizadas al archivo, que después se resolverán para los clientes que se conectan a través del dispositivo Panda GateDefender.

La pantalla inicial está vacía o contiene la lista de hosts definidos anteriormente. Cada línea contiene una dirección IP, el nombre de host asociado, y el nombre de domino, si está especificado. Existen dos acciones disponibles para cada entrada: editarla o eliminarla.

Se puede añadir una nueva entrada en el archivo al hacer clic en el enlace Añadir host a la derecha encima de la tabla. La tabla será sustituida por un sencillo formulario, en el que se pueden introducir las siguientes opciones:

Dirección IP

La dirección IP del servidor remoto.

Nombre del host

El nombre del host asociado a la dirección IP.

Nombre de dominio

Un nombre de dominio opcional.

La elección puede confirmarse al hacer clic en el botón Añadir host. Para asociar más nombres de host a la misma dirección IP, repita el procedimiento al introducir la misma dirección IP pero un nombre diferente.

Las acciones disponibles en cada host son editar o eliminar.

Advertencia

Eliminar una entrada de host al hacer clic en el pequeño icono no requiere confirmación y no es reversible. Si se elimina por error, se debe volver a introducir una entrada manualmente.

Enrutamiento

Junto a la tabla predeterminada de enrutamiento, que se puede ver en Barra de menú ‣ Estado ‣ Estado de red, la tabla de enrutamiento se puede mejorar con reglas estáticas y políticas de enrutamiento. Esta página muestra una tabla única que contiene todos los enrutamientos personalizados, aunque se añaden reglas nuevas desde dos pestañas diferentes puesto que requieren configuraciones ligeramente diferentes. La tabla contiene un resumen de la regla: las redes o zonas de fuente y destino, la puerta de enlace, una observación, y la lista de acciones disponibles: Activar o desactivar, editar y eliminar una regla.

Cuando se realiza una modificación en la tabla de enrutamiento, se solicita guardar los cambios y reiniciar el servicio.

Enrutamiento estático

Una ruta estática permite asociar redes de fuente y destino específicas con una puerta de enlace o enlace determinados. Un clic en el enlace Añadir una ruta nueva encima de la tabla permite crear rutas nuevas al definir los siguientes campos en la forma que aparecerá:

Red de fuente

La red de la fuente, en notación CIDR.

Red de destino

La red de destino, en notación CIDR.

Vía de la ruta

Hay cuatro opciones disponibles para definir a través de qué medio canalizar el tráfico: Puerta de enlace estática, Enlace, Usuario OpenVPN, o Usuario L2TP. En caso de seleccionar la Puerta de enlace estática, se debe proporcionar la dirección IP de una puerta enlace en la casilla de texto situada a la derecha. De lo contrario, aparecerá un menú desplegable, proponiendo la elección entre los enlaces disponibles, usuarios OpenVPN o usuarios L2TP.

Activada

Una casilla marcada significa que la regla está activada (predeterminado). Si no está marcada, entonces la regla solo ha sido creada, pero no está activada: Siempre se puede activarse más adelante.

Observación

Una observación o comentario para explicar el objetivo de esta regla.

Política de enrutamiento

Una regla de política de ruta permite asociar direcciones, zonas o servicios de red específicos (expresados como puerto y protocolo) con un uplink determinado. Al hacer clic en el enlace Crear una regla de política de enrutamiento, se abrirá un formulario, que parece más complicado que el utilizado para las rutas estáticas y muy similar al editor de reglas del firewall. Sin embargo, este editor de política es muy parecido al anterior, pero ofrece más control sobre la definición de la regla. Además, la configuración de la regla se guía por varios menús desplegables para simplificar la introducción de datos en los siguientes campos:

Fuente

El primer menú desplegable permite elegir las redes fuente. Se aceptan más entradas, una por línea, pero todas deben pertenecer al mismo tipo: una zona o interfaz, usuarios OpenVPN o L2TP, IP o redes, o direcciones MAC. Se ofrecerán diferentes valores, según la elección. Para aplicar la regla a todas las fuentes, seleccionar <ANY>.

Destino

El segundo menú desplegable permite la elección de redes de destino, como una lista de IP, redes, usuarios OpenVPN o L2TP. Otra vez, al seleccionar <ANY> la regla coincidirá con cada destino.

Servicio/Puerto

Los siguientes dos menús desplegables permiten especificar el servicio, protocolo, y un puerto de destino para la regla cuando se seleccionan los protocolos TCP, UDP o TCP + UDP. Existen algunas combinaciones predefinidas de servicio/protocolo/puerto, como HTTP/TCP/80, <ALL>/TCP+UDP/0:65535, o <ANY>, que es un atajo para todos los servicios, protocolos y puertos. Definido por el usuario permite especificar un protocolo personalizado y los puertos a bloquear, una opción útil cuando se utilizan servicios en puertos que no son los estándares.

Protocolo

El tipo de tráfico interesado por la regla: TCP, UDP, TCP+UDP, ESP, GRE y ICMP. TCP y UDP son los más utilizados, GRE es utilizado por túneles, ESP por IPsec, y ICMP por los comandos ping y traceroute.

Vía de la ruta

Qué ruta debería seguir el tráfico para esta regla. Hay cuatro opciones disponibles:

Puerta de enlace estática: En este caso, se facilitará una dirección IP.

Enlace: El enlace que debe utilizarse para esta regla. Existe la opción, cuando el enlace no está disponible, de que el enrutamiento sea realizado por un enlace de soporte, correspondiente al enlace seleccionado. Esta opción se activa cuando la casilla junto al menú desplegable está marcada.

Usuario OpenVPN: Un usuario OpenVPN, elegido entre los disponibles en el menú desplegable.

Usuario L2TP: Un usuario L2TP, elegido entre los disponibles en el menú desplegable.

Tipo de servicio

El tipo de servicio (TOS) se puede seleccionar aquí. Consultar a continuación para obtener más información sobre esto.

Observación

Una observación o comentario para explicar el objetivo de esta regla.

Posición

La posición en la que se debe insertar la regla (posición relativa en la lista de reglas).

Activada

Marcar esta casilla para activar la regla (predeterminado). Si no está marcada, significa que la regla ha sido creada pero no está activada: Una regla se puede activar más adelante.

Registrar todos los paquetes aceptados

Esta casilla debe estar marcada para registrar todos los paquetes afectados por esta regla.

TOS (Tipo de servicio) y DSCP (Punto de código de servicios diferenciado).

El TOS es un campo de registro de ocho bits del encabezado IP de un paquete IPv4, destinado inicialmente a ofrecer un medio para que los servidores administren el paquete a lo largo del recorrido hasta el destino. Originalmente estaba definido en RFC 791 y RFC 1349.

El número binario detrás de cada tipo de servicio describe cómo funciona este tipo. Los primeros tres bits describen la precedencia del paquete (precedencia predeterminada 000, mayor precedencia 111), el cuarto bit describe la demora (0 significa demora normal, 1 demora baja), el quinto bit describe el rendimiento (1 aumenta el rendimiento, 0 rendimiento normal), el sexto bit controla la confiabilidad (1 aumenta la confiabilidad, 0 confiabilidad normal). No se utilizan los últimos 2 bits.

Dado el escaso uso, el campo de ocho bits utilizado para TOS fue reusado para DSCP, la evolución de TOS que representa un medio para definir la Calidad del servicio en el tráfico de red.

En el dispositivo Panda GateDefender, los valores del TOS pueden ser seleccionados de entre los siguientes, que son actualmente DSCP:

Interfaces

El administrador de uplinks permite desarrollar una variedad de tareas relacionadas con el uplink y las interfaces y, en particular, definir VLAN personalizados en las interfaces de la red.

Editor de uplinks

De manera predeterminada, el editor de uplinks muestra los uplinks disponibles que han sido creados. Al hacer clic en el uplink Crear un enlace encima de la lista de uplinks, se definen uplinks adicionales. Se abrirá una página bastante extensa, llena de opciones configurables, que debe completarse con los valores adecuados muy similares a los del asistente de configuración de red. Las configuraciones disponibles diferirán según el tipo de enlace elegido.

Nota

Aquí no se describen todas las opciones disponibles: Son las mismas que se encuentran presentes en la configuración de red y dependen del tipo de uplink elegido. Consulte esa sección (ver enlace a continuación) para una explicación completa de cada opción.

Tipo

La selección del tipo de conexión ROJA incluye un protocolo adicional, en comparación con las disponibles en el asistente de configuración de red: PPTP. El PPTP se puede configurar para funcionar de modo estático o en DHCP, seleccionable desde el valor respectivo del menú desplegable “método PPTP”. La dirección IP y la máscara de red deben definirse en los campos de texto adecuados si el método estático ha sido elegido, en cuyo caso IP/máscara de red adicionales o combinaciones IP/CIDR pueden agregarse en el campo a continuación si la casilla está marcada. No se requiere el número de teléfono, el nombre de usuario y la contraseña, pero se pueden ser necesarios para que funcionen algunas configuraciones, dependiendo de las configuraciones del proveedor. El método de autenticación puede ser PAP o CHAP: si no está seguro, mantenga el valor predeterminado “PAP o CHAP”.

El uplink está activado

Marcar esta casilla para activar el enlace.

Iniciar uplink en el arranque

Esta casilla especifica si se debe activar un enlace en el arranque o no. Esta opción es útil para enlaces de soporte que son administrados, pero no necesitan iniciarse durante el proceso de arranque.

El uplink es administrado

Marcar esta casilla para administrar el enlace. Consultar Complemento de información del uplink en Barra de menú ‣ Sistema ‣ Panel de control para encontrar un texto sobre los modos administrado y manual.

si este enlace falla, activar

Si está activado, se puede elegir una conexión alternativa de un menú desplegable, que se activará cuando este enlace falle.

Revisar si estos hosts son alcanzables

Marcar esta opción para introducir una lista de IP o nombres de host que serán ping cuando el enlace falle, para revisar si se ha reconectado.

En el panel de configuraciones avanzadas, se pueden personalizar otras dos opciones:

Tiempo de espera para la reconexión

El intervalo de tiempo (en segundos) tras el cual un uplink intenta reconectarse cuando falla. Este valor depende de las configuraciones del proveedor. Si no está seguro, deje este campo en blanco.

MTU

Un valor personalizado para el tamaño MTU. Consulte aquí para conocer los motivos para modificar el valor predeterminado.

Ver también

Configuración de red, pasos 1, 4, y 5.

Barra de menú -> Sistema ‣ Configuración de la red

VLANs

La idea detrás del ofrecimiento del soporte VLAN en el dispositivo Panda GateDefender es permitir asociaciones arbitrarias de ID de VLAN a zonas de firewall para ofrecer un nivel adicional de separación entre zonas. Las VLAN existentes aparecen en la tabla, si alguna ya ha sido creada.

Se puede definir una nueva VLAN al hacer clic en el hipervínculo Agregar nueva VLAN arriba de la lista de VLAN. En el formulario que se abrirá, bastarán unos pocos clics para crear una asociación entre una interfaz y una VLAN al especificar algunos valores:

Interfaz

La interfaz física a la cual la VLAN está conectada. Solo se pueden seleccionar las interfaces disponibles desde el menú desplegable. El menú también muestra el estado del enlace de la interfaz.

ID de VLAN

El ID de VLAN, que debe ser un número entero entre 0 y 4095.

Zona

La zona con la que VLAN está asociada. Solo las zonas que han sido definidas en el asistente de configuración de red pueden ser seleccionadas. Se puede elegir la zona “NINGUNA”, si esa interfaz se utiliza como puerto de administración de alta disponibilidad.

Advertencia

No es posible definir una VLAN que sirve a una zona (por ejemplo, una VLAN en AZUL) en una interfaz que ya sirve a otra zona (por ejemplo, eth1 que sirve en VERDE). Al intentar hacerlo, el formulario se cierra y aparece una llamada roja, que informa que la VLAN no se puede crear.

Cuando se crea una LAN virtual, se crea una nueva interfaz y se la nombra ethX.y donde X es el número de la interfaz e y es el ID de VLAN. Después esta interfaz se asigna a la zona elegida y aparecerá como interfaz común en las varias secciones que aportan información de red, como Barra de menú ‣ Estado ‣ Configuración de red o en el Panel de control, donde se puede seleccionar para incorporarla al gráfico.