Help

Definiendo una regla compleja del cortafuegos

Está a punto de definir una regla nueva para manejar una conexión específica entre dos zonas diferentes. Si el pedido coincide con los diferentes criterios definidos aquí, se tomará la acción "Resultado".

Aquí tiene una descripción de los diferentes campos disponibles en el formulario, debe completarlos de acuerdo al criterio que desea que coincida para activar esta regla. También están disponibles algunas opciones para manejar estas conexiones:

ID de la regla El número único (ID) que identifica a esta regla de política.
Resultado La acción tomada para el pedido de conexión que coincide con esta regla. Vea la tabla debajo.
Registro Configurado en "info" si desea que cada una de estas conexiones quede registrada en el registro del sistema cuando se acepten.
Servicios predefinidos Elija un servicio común en la lista desplegable, o ingrese un nombre o número de servicio en el campo.
Protocolo El tipo de protocolo asociado a ese servicio.
Cliente La zona desde la cual proviene el pedido de conexión. Se pueden reducir las coincidencias especificando una IP o sub-red precisas, o incluso un número de puerto. Deje "-" en el campo para hacer coincidir con cualquier IP o puerto.
Servidor La zona hacia la cual está dirigida el pedido de conexión. Se pueden reducir las coincidencias especificando una IP o sub-red precisas, o incluso un número de puerto. Deje "-" en el campo para hacer coincidir con cualquier IP o puerto.
Dirección de reenvío Si el pedido está dirigido a la IP especificada aquí (o está configurado en "all" - todos), será reenviado a la IP y puerto "Servidor". En este caso, el campo "Servidor" debe contener una dirección IP específica.
SNAT Si se especifica, y el reenvío está activo arriba, entonces la dirección fuente del pedido será configurada a este valor "SNAT" antes del reenvío al servidor.

Aquí tiene una descripción corta de las cuatro acciones posibles:

ACCEPT (ACEPTAR) Se permite la conexión.
DROP (TIRAR) Se ignora el pedido de conexión.
REJECT (RECHAZAR) Se bloquea el pedido de conexión y se envía un mensaje de "destino inalcanzable" al cliente.
CONTINUE (CONTINUAR) La conexión no se acepta, ni se ignora, ni se rechaza. Esto se puede utilizar cuando una o ambas zonas nombradas en la entrada son sub-zonas de, o se intersecan con, otra zona.

Ejemplo: desea que el servidor FTP con dirección 192.168.2.2 en su DMZ enmascarada se pueda acceder desde la sub-red local 192.168.1.0/24. Note que debido a que el servidor está en la sub-red 192.168.2.0/24, podemos asumir que el acceso al servidor desde dicha sub-red no involucrará al cortafuegos.

Resultado ACCEPT
Registro
Servicios predefinidos ftp
Protocolo tcp
Cliente loc | 192.168.1.0/24
Servidor dmz | 192.168.2.2
Dirección de reenvío 155.186.235.151
SNAT