El menú Red

El menú Red se puede utilizar para ajustar la configuración de la red añadiendo hosts y rutas específicas o configurando el enlace y añadiendo varias VLAN. No se debe confundir este menú con el asistente de Configuración de red disponible en Barra de menú ‣ Sistema ‣ Configuración de red, que permite configurar interfaces y zonas, así como definir enlaces. Sin embargo, muchas opciones de ajustes y configuración, especialmente las que se encuentran en Interfaces a continuación, son las mismas que las del asistente de red, que se puede consultar para obtener una ayuda más detallada.

El submenú situado en el lateral izquierdo de la pantalla contiene estos elementos y cada uno agrupa varias opciones de configuración:

• Editar hosts: define hosts para la resolución de nombres de dominio locales
• Enrutamiento: establece rutas estáticas y políticas de enrutamiento
• Interfaces: edita los enlaces o crea VLAN

Editar hosts

La página contiene la lista de hosts definidos anteriormente. Cada línea contiene una dirección IP, el nombre de host asociado y el nombre de domino, si está especificado. Existen dos acciones disponibles para cada entrada: para editarla o para eliminarla.

Advertencia

Eliminar una entrada de host haciendo clic en el icono pequeño no requiere confirmación y no es reversible. Si se elimina por error, se debe volver a añadir una entrada manualmente.

Se puede añadir una nueva entrada en el archivo haciendo clic en el enlace Añadir host situado a la derecha encima de la tabla. La tabla será sustituida por un sencillo formulario, en el que se pueden introducir las siguientes opciones:

Dirección IP

La dirección IP del servidor remoto.

Nombre del host

El nombre del host asociado a la dirección IP.

Nombre de dominio

Un nombre de dominio opcional.

Nota

A diferencia del archivo /etc/hosts (véase más adelante), cada dirección IP añadida aquí corresponde a un nombre de host y viceversa. Para añadir dos nombres de host a una misma IP, añada dos entradas con la misma dirección IP.

La elección puede confirmarse haciendo clic en el botón Añadir host. Para asociar más nombres de host a la misma dirección IP, repita el procedimiento introduciendo la misma dirección IP y un nombre diferente.

Gestión de hosts, dnsmasq y /etc/hosts.

La aplicación dnsmasq se utiliza en redes pequeñas como servidor DNS para hosts locales y como reenviador de DNS y servidor de caché para servidores DNS mundiales. El dispositivo Panda GateDefender utiliza dnsmasq para resolver y responder correctamente las solicitudes de DNS procedentes de las zonas VERDE, NARANJA y AZUL. A veces es conveniente (por ejemplo, para realizar pruebas en un sitio web remoto) invalidar algunas entradas en dnsmasq o añadir algún servidor local a la caché de dnsmasq, para que los clientes locales puedan conectarse.

Los hosts añadidos en esta página se almacenan en el archivo de configuración de dnsmasq y se fusionan con el archivo /etc/hosts cada vez que se reinicia el demonio. Un host añadido a esos archivos directamente mediante CLI no se mantendrá después de reiniciar el dispositivo Panda GateDefender o dnsmasq.

El archivo /etc/hosts contiene la tabla de búsqueda denominada estática de la siguiente manera:

IP1 nombredehost1 [nombredehost2] IP2 nombredehost3 [nombredehost4] [nombredehost5]

Aquí, IP1 e IP2 son direcciones IP (numéricas) únicas, y nombredehost1, nombredehost2, nombredehost3, nombredehost4 y nombredehost5 son nombres personalizados dados a esas IP. Los nombres entre corchetes son opcionales: En otras palabras, cada dirección IP puede asociarse a uno o varios nombres de hosts conocidos. Se pueden añadir entradas de host personalizadas al archivo, que después se resolverán para todos los clientes que se conectan a través del dispositivo Panda GateDefender. En un dispositivo Panda GateDefender normal, el archivo /etc/hosts contiene como mínimo las entradas siguientes:

127.0.0.1 hostlocal.hostlocal hostlocal 172.20.0.21 midispositivo.dominiolocal midispositivo 172.20.0.21 spam.spam spam 172.20.0.21 ham.ham ham 172.20.0.21 wpad.dominiolocal wpad

Aquí, 127.0.0.1 es la dirección IP del dispositivo de bucle, hostlocal, que es una entrada obligatoria para que cualquier sistema Linux funcione correctamente. Por su parte, 172.20.0.21 es la dirección IP de la interfaz VERDE. Las entradas indicadas para esa IP tienen el significado y el objetivo siguientes:

midispositivo.dominiolocal

El nombre de host y el nombre de dominio del dispositivo Panda GateDefender, según se han configurado durante la Configuración de red.

spam.spam spam y ham.ham ham

Estas dos entradas combinadas se utilizan para la formación del filtro de correo electrónico spamassassin.

wpad.dominiolocal wpad

Un método que tienen algunos exploradores para detectar y aplicar automáticamente la configuración del proxy sin necesidad de que el usuario interactúe cuando el proxy no es transparente.

Enrutamiento

Junto a la tabla predeterminada de enrutamiento, que se puede ver en Barra de menú ‣ Estado ‣ Estado de red, el enrutamiento del dispositivo Panda GateDefender se puede mejorar con reglas estáticas y políticas de enrutamiento. Esta página muestra una tabla única que contiene todos los enrutamientos personalizados, aunque se añaden reglas nuevas desde las dos pestañas diferentes existentes en esta página. De hecho, las reglas estáticas y las políticas de enrutamiento precisan de una configuración ligeramente diferente. La tabla contiene un resumen de la regla: las redes o zonas de fuente y destino, la puerta de enlace, una observación, y la lista de acciones disponibles: Activar o desactivar, editar y eliminar una regla.

Cuando se realiza una modificación en la tabla de enrutamiento, es obligatorio guardar los cambios y reiniciar el servicio.

Enrutamiento estático

Una ruta estática permite asociar redes de origen y destino específicas con una puerta de enlace o un enlace determinados. Un clic en el enlace Añadir una ruta nueva situado encima de la tabla permite crear rutas nuevas definiendo los siguientes campos en el formulario que aparecerá:

Red de origen

La red de origen, en notación CIDR.

Red de destino

La red de destino, en notación CIDR.

Vía de la ruta

Hay cuatro opciones disponibles para definir a través de qué medio canalizar el tráfico: Puerta de enlace estática, Enlace, Usuario OpenVPN o Usuario L2TP. En caso de seleccionar la Puerta de enlace estática, se debe proporcionar la dirección IP de una puerta de enlace en el cuadro de texto situado a la derecha. De lo contrario, aparecerá un menú desplegable, proponiendo la elección entre los enlaces disponibles, usuarios OpenVPN o usuarios L2TP.

Activado

Una casilla marcada significa que la regla está activada (predeterminado). Si no está marcada, entonces la regla solo ha sido creada, pero no está activada. Siempre puede activarse más adelante.

Observaciones

Una observación o un comentario para explicar el objetivo de esta regla.

Al hacer clic en uno de los iconos se desencadena una acción en el elemento correspondiente:

• : cambia el estado del elemento entre activado y desactivado.
• : modifica las propiedades del elemento.
• : elimina el elemento.

Política de enrutamiento

Una regla de política de ruta permite asociar direcciones, zonas o servicios de red específicos (expresados como puerto y protocolo) a un enlace determinado.

La tabla muestra todas las reglas definidas tanto estáticas como de política de enrutamiento, con algunas de sus propiedades: Origen, Destino, TOS, Puerta de enlace, Servicio, Observaciones, y las acciones disponibles:

• : mueve una regla.
• : cambia el estado del elemento entre activado y desactivado.
• : modifica las propiedades del elemento.
• : elimina el elemento.

Sugerencia

La columna TOS solo aparece si como mínimo se ha definido una regla con ese campo.

Cuanto más arriba aparecen las reglas en la tabla, mayor es su prioridad.

Política de enrutamiento, proxy HTTP y enlace.

Nota

La siguiente descripción solo se aplica a las versiones del dispositivo Panda GateDefender anteriores a la 5.50.00.

La interacción entre estos tres componentes del dispositivo Panda GateDefender puede ocasionar algún comportamiento que puede parecer extraño o incluso erróneo cuando los clientes de las zonas intentan acceder a Internet. De hecho, cabe destacar tres pasos para comprender correctamente cómo fluye el tráfico hasta Internet cuando hay un proxy HTTP activado y se han definido reglas de políticas de enrutamiento.

1. Un proxy HTTP utiliza el enlace principal, es decir, accede a la zona ROJA y a Internet utilizando el enlace principal.
2. Un proxy HTTP “divide” una conexión de un cliente a un servidor remoto en dos conexiones. Una de las conexiones va del cliente al dispositivo Panda GateDefender y la otra va del dispositivo Panda GateDefender al servidor remoto.
3. Las reglas de políticas de enrutamiento se tienen en cuenta después de que el tráfico haya pasado por el proxy HTTP.

Al hacer clic en el enlace Crear una regla de política de enrutamiento, se abrirá un formulario, que parece bastante más complicado que el utilizado para las rutas estáticas y muy similar al editor de reglas del firewall. Sin embargo, este editor de reglas de política es muy parecido al anterior, pero ofrece más control sobre la definición de la regla. Además, la configuración de la regla se guía por varios menús desplegables para simplificar la introducción de datos en los siguientes campos:

Origen

El primer menú desplegable permite elegir la fuente del tráfico. Se aceptan más entradas, una por línea, pero todas deben pertenecer al mismo tipo: Una zona o interfaz, usuarios OpenVPN o L2TP, IP o redes, o direcciones MAC. Se ofrecerán diferentes valores, según la elección. Para aplicar la regla a todos los orígenes, se debe seleccionar <ANY>.

Destino

El segundo menú desplegable permite la elección del destino del tráfico, como una lista de IP, redes, usuarios OpenVPN o L2TP. De nuevo, al seleccionar <ANY>, la regla coincidirá con cada destino.

Servicio/Puerto

Los dos menús desplegables siguientes permiten especificar el servicio, el protocolo y un puerto de destino para la regla cuando se seleccionan los protocolos TCP, UDP o TCP+UDP. Existen algunas combinaciones predefinidas de servicio/protocolo/puerto, como HTTP/TCP/80, <TODOS>/TCP+UDP/0:65535, o <CUALQUIERA>, que es un atajo para todos los servicios, los protocolos y los puertos. Definido por el usuario permite especificar un protocolo personalizado y los puertos que se bloquearán, una opción útil cuando se utilizan servicios en puertos que no son los estándares.

Protocolo

El tipo de tráfico en el que se fija la regla: TCP, UDP, TCP+UDP, ESP, GRE e ICMP. TCP y UDP son los más utilizados, GRE es utilizado por túneles, ESP por IPsec, e ICMP por los comandos ping y traceroute.

Vía de la ruta

Qué ruta debería seguir el tráfico para esta regla. Hay cuatro opciones disponibles:

1. Puerta de enlace estática: En este caso, se facilitará una dirección IP.
2. Enlace: El enlace que debe utilizarse para esta regla. Existe la opción, cuando el enlace no está disponible, de que el enrutamiento lo realice un enlace de backup correspondiente al enlace seleccionado. Esta opción se activa cuando la casilla junto al menú desplegable está marcada.
3. Usuario OpenVPN: Un usuario OpenVPN, elegido entre los disponibles en el menú desplegable.
4. Usuario L2TP: Un usuario L2TP, elegido entre los disponibles en el menú desplegable.

Tipo de servicio

El tipo de servicio (TOS) se puede seleccionar aquí. Se puede elegir entre cuatro valores, en función de cuál sea la característica más importante del tráfico que interesa a esa regla: predeterminado, poco retraso, fiabilidad o rendimiento.

Observaciones

Una observación o un comentario para explicar el objetivo de esta regla.

Posición

La posición en la que se debe insertar la regla (posición relativa en la lista de reglas).

Activado

Marcar esta casilla para activar la regla (predeterminado). Si no está marcada, significa que la regla ha sido creada pero no está activada. Una regla se puede activar más adelante.

Registrar todos los paquetes aceptados

Esta casilla debe marcarse para registrar todos los paquetes afectados por esta regla.

Advertencia

La activación de esta opción puede mejorar enormemente el tamaño de los archivos de registro.

Interfaces

El administrador de enlaces permite desarrollar una variedad de tareas relacionadas con el enlace y las interfaces y, en particular, definir VLAN personalizadas en las interfaces de la red.

Editor de enlaces

De forma predeterminada, el editor de enlaces muestra los enlaces disponibles que se han creado y las acciones que se pueden ejecutar en cada uno de ellos haciendo clic en los iconos de la última columna, Acciones:

• : cambia el estado del elemento entre activado y desactivado.
• : modifica las propiedades del elemento.
• : elimina el elemento.

Sugerencia

El enlace principal no se puede eliminar.

Al hacer clic en el hipervínculo Crear un enlace encima de la lista de enlaces, se pueden definir enlaces adicionales. Se abrirá una página bastante extensa, llena de opciones configurables, que debe completarse con los valores adecuados, muy similares a los de la configuración de red. Los ajustes disponibles diferirán según el tipo de enlace elegido.

Nota

Aquí no se describen todas las opciones disponibles: Son las mismas que se encuentran presentes en el asistente de configuración de red y dependen del tipo de enlace elegido. Consulte esa sección para obtener una explicación completa de cada opción.

Descripción

Una descripción del enlace.

Tipo

La selección del tipo de conexión ROJA incluye un protocolo adicional en comparación con los disponibles en el asistente de configuración de red: PPTP. El protocolo PPTP se puede configurar para que funcione en modo estático o en modo DHCP, lo que se puede seleccionar eligiendo el valor correspondiente en el menú desplegable “método PPTP”. La dirección IP y la máscara de red deben definirse en los campos de texto adecuados si se ha elegido el método estático, en cuyo caso se pueden añadir combinaciones adicionales de IP/máscara de red o IP/CIDR en el campo a continuación si la casilla está marcada. No se requieren el número de teléfono, el nombre de usuario ni la contraseña, pero pueden ser necesarios para que funcionen algunas configuraciones, dependiendo de los ajustes del proveedor. El método de autenticación puede ser PAP o CHAP; si no está seguro, mantenga el valor predeterminado “PAP o CHAP”.

Nota

Al elegir Módem analógico/UTMS o Banda ancha móvil, la tarjeta SIM debe estar conectada al apagar el dispositivo Panda GateDefender.

El enlace está activo

Marcar esta casilla para activar el enlace.

Iniciar el enlace en el arranque

Esta casilla especifica si se debe activar un enlace en el arranque o no. Esta opción es útil para enlaces de backup que están administrados, pero que no necesitan iniciarse durante el proceso de arranque.

El enlace está administrado

Marcar esta casilla para administrar el enlace. Consulte Complemento de información del enlace en Barra de menú ‣ Sistema ‣ Panel de control para encontrar un texto sobre los modos administrado y manual.

No descargue firmas si este enlace está conectado

Marque esta casilla si utiliza enlaces para los que el tráfico generado puede ser costoso. Si está activada y el enlace está en línea, los servicios no actualizarán sus firmas. Tenga en cuenta que esto puede generar problemas de seguridad porque ya no se pueden reconocer nuevas amenazas.

si este enlace falla, activar

Si esta opción está activada, se puede elegir una conexión alternativa de un menú desplegable, que se activará cuando este enlace falle.

Revisar si estos hosts son alcanzables

Marcar esta opción para introducir una lista de IP o nombres de host a los que se hará ping cuando el enlace falle, para revisar si se ha reconectado.

Sugerencia

Uno de esos hosts puede ser el servidor DNS o la puerta de enlace del proveedor.

En el panel de ajustes avanzados, se pueden personalizar otras dos opciones:

Tiempo de espera para la reconexión

El intervalo de tiempo (en segundos) tras el cual un enlace intenta reconectarse cuando falla. Este valor depende de los ajustes del proveedor. Si no está seguro, deje este campo en blanco.

MTU

Un valor personalizado para el tamaño MTU. Consulte aquí para conocer los motivos para modificar el valor predeterminado.

Véase también:

Configuración de red, pasos 1, 4 y 5.

Barra de menú ‣ Sistema ‣ Configuración de red

VLANs

La idea de ofrecer compatibilidad VLAN en el dispositivo Panda GateDefender es permitir asociaciones arbitrarias de ID de VLAN con las zonas para ofrecer un nivel adicional de separación (y, por tanto, añadir otro nivel de seguridad) entre zonas. Las VLAN existentes aparecen en la tabla, si ya se ha creado alguna. La única acción disponible es:

• : elimina la VLAN. Se abrirá una ventana emergente que debe confirmarse para realizar la eliminación.

Se puede definir una nueva VLAN haciendo clic en el hipervínculo Añadir nueva VLAN situado encima de la lista de VLAN. En el formulario que se abrirá, bastarán unos pocos clics para crear una asociación entre una interfaz y una VLAN especificando algunos valores:

Interfaz

La interfaz física a la cual está conectada la VLAN. Solo se pueden seleccionar las interfaces disponibles en el menú desplegable. El menú también muestra el estado del enlace de la interfaz.

ID de VLAN

El ID de VLAN, que debe ser un número entero entre 0 y 4095.

Zona

La zona con la que está asociada la VLAN. Solo se pueden seleccionar las zonas que se han definido en el asistente de configuración de red. Se puede elegir la zona “NINGUNA”, si esa interfaz se utiliza como puerto de administración de alta disponibilidad.

Advertencia

No es posible definir una VLAN que sirve a una zona (por ejemplo, una VLAN en AZUL) en una interfaz que ya sirve a otra zona (por ejemplo, eth1 que sirve a VERDE). Al intentar hacerlo, el formulario se cierra y aparece un globo rojo que indica que la VLAN no se puede crear.

Cuando se crea una LAN virtual, se crea una nueva interfaz a la que se le da el nombre ethX.y, donde X es el número de la interfaz e y es el ID de la VLAN. Después esta interfaz se asigna a la zona elegida y aparecerá como interfaz común en las varias secciones que aportan información de red, como Barra de menú ‣ Estado ‣ Configuración de red o en el Panel de control, donde se puede seleccionar para incorporarla al gráfico.