Tabla de contenido
Publicidad
Nombre del fil-
TCP-Flag
tro
Bloqueo Netbi-
ninguno
os
ssh_portmap
ninguno
ssh_WAN_in
ninguno
ssh_WAN_out
ninguno
Atención!
¡El PC en su LAN con la dirección IP 192.168.1.42 no está pues protegido de ninguna manera por el fire-
wall en el puerto 22/TCP en su sistema compacto! Es posible dado el caso limitar las posibilidades de
acceso, si los accesos se realizan siempre desde una conexión de Internet con dirección IP fija (p. ej.
T-Interconnect). En tal caso, convendría adaptar los registros que contengan »0.0.0.0/0« a la dirección IP
conocida del terminal contrario (0.0.0.0/0 es un carácter de sustitución para todas las direcciones IP).
Si desea Usted utilizar una combinación de filtros elaborados mediante el asistente de filtro y filtros propios
o registros de portmap, compruebe por favor el orden de los criterios en la tabla (el orden puede cambiarse
con los campos »hacia arriba« y »hacia abajo«). En el asistente de filtro se ofrece el filtro »Proteger sistema«,
el cual bloquea todos los paquetes dirigidos a los llamados puertos privilegiados. Este filtro se opondría a la
funcionalidad configurada en el ejemplo, pues el puerto ssh (22) es un puerto privilegiado. Se recomienda
expresamente bloquear todos los puertos privilegiados no utilizados, por lo que puede ser útil emplear el
filtro configurado por el asistente de filtro convenientemente adaptado o adaptar su posición en la tabla.
Si no sabe Usted qué puertos deben ser dirigidos del router de su sistema compacto a la LAN PC para de-
terminadas aplicaciones o para conseguir determinados privilegios de participación en redes de intercam-
bio mediante Portmapping, introduzca en un buscador de Internet el nombre de la aplicación, así como los
términos »port« y »firewall«, y la mayoría de las veces obtendrá de este modo tan sencillo indicaciones para
la configuración. Con un criterio de Portmap puede Usted transmitir un puerto concreto o rangos de puer-
tos (p. ej. 4661-4665).
Asistente de filtro
El firewall se configura de manera que se rechacen todos los paquetes de datos para los cuales no existen criterios
explícitos (filtro) que les permitirían pasar. Este modo de proceder provoca que la configuración del firewall sea un
poco más costosa, pero también es menos probable que se »olvide« someter los paquetes al paso por el firewall.
Algunos filtros contienen criterios para rechazar paquetes que en realidad no serían necesarios con la configuración
escogida del firewall, pues éste, configurado por el asistente de filtro, ya rechaza todos los paquetes no habilitados
por el filtro. Los criterios de rechazo mencionados están incluidos a pesar de eso para rechazar lo antes posible los
paquetes utilizados para determinados ataques y no tener que hacerlos pasar por toda la cadena de criterios de fil-
trado, y aumentar así el rendimiento del firewall en caso de ataque.
Ejemplos de filtros predefinidos en el asistente de filtro
Proteger sistema
Este filtro bloquea el firewall contra el establecimiento de conexiones en los puertos privilegiados (0 ... 1023) para
TCP y UDP. La mayoría de los servicios de datos relevantes (transformación de nombre, transferencia de archivos,
etc.) se ofrecen a través de los puertos privilegiados.
Bloqueo de interferencias IP
Este filtro bloquea el firewall contra la simulación de paquetes »en el lado equivocado« del firewall. Así, son ignorados
los paquetes de datos que por su dirección IP pertenecerían inequívocamente a LAN pero que son dirigidos a la
conexión del módem DSL por un atacante desde Internet (lo mismo sucede con las conexiones RDSI a Internet).
20
Protoco-
Puerto
Acción
lo
WAN
discard
UDP
WAN
portmap
TCP
WAN
allow
TCP
WAN
allow
TCP
Conexión
IP fuente
out
0.0.0.0/0
en
0.0.0.0/0
en
0.0.0.0/0
out
WAN_ADDR
Puerto fu-
IP de destino
ente
137-139
0.0.0.0/0
22
192.168.1.42
any
WAN_ADDR
22
0.0.0.0/0
Puerto
de desti-
no
any
22
22
any
Publicidad
Tabla de contenido
