Tabla de contenido
WaveData
Normalmente cuando un paquete es recibido desde una interfaz esta es
cubierta por la zona que tiene asignada. Si recibimos un paquete desde una
interfaz que no tiene ninguna zona asignada, se aplican las políticas por
defecto. Vaya a Firewall > Zone Settings, para modificar dichas políticas.
Por defecto, el firewall define dos zonas:
Zona LAN: La política por defecto para esta zona es aceptar todo el trafico
de la CPU (Input, Output y Forward).
Zona WAN: La política por defecto de esta zona es aceptar sólo el tráfico
Output. El trafico Input y forwarding es rechazado.
Sobre esta política se añaden excepciones definidas en las reglas de Trafico
(Traffic Rules, como la apertura de los servicios SSH y Web), Propagación de
puertos (Port Forwarding) y propagación entre zonas (interzone forwarding).
En la zona WAN, puesto que está expuesta al dominio público, se activa el
Masquerading (también conocido como NAT) y MSS Clamping.
En este caso, como se muestra en la captura, está permitido la comunicación
entre zonas LAN => WAN.
Zona WAN
La zona WAN define la política y reglas de filtrado de las interfaces WAN y WAN6.
La política por defecto de la WAN es rechazar el trafico de entrada (para
evitar ataques de seguridad a los servicios del router).
La propagación hacia zonas desconocidas es rechazada, pero puede usar
la configuración del propagación entre zonas (Inter-Zone Forwarding) para
habilitar la propagación de/hacia otras zonas.
Aunque la política del trafico de entrada es rechazar el trafico, esta política
es modificada por la definición de reglas específicas. La siguiente captura
muestra la definición de reglas que afectan al trafico de entrada de la zona
WAN, permitiendo la realización de peticiones ICMP y DHCP.
Aunque la política de propagación (forward) para la zona WAN es bloquear
el trafico. Existen reglas de propagación de tráfico o propagación de
puertos que son excepciones al bloqueo y permite la propagación. En la
captura se muestra como el trafico IPSec puede se transmitido entre las
zonas WAN => LAN.
Inter-zone forwarding: El paquete es propagado entre zonas si está
habilitado para atravesar las zonas de origen => destino. Si el paquete
pertenece a una conexión activa (perteneciente a una conexión válida con
estados ESTABLISHED o RELATED en el gestor de conexiones, Connection
tracking) no necesita ser habilitado, puesto que por defecto se admite su
paso. En general el tráfico entre zonas WAN => LAN se corresponde con
tráfico relacionado con una conexión activa.
Sin embargo, los paquetes iniciales LAN => WAN sí necesitan ser habilitados
para su propagación, puesto que las conexiones son iniciadas desde la LAN
y todavía no son conexiones activas.
Zona LAN
La zona LAN cubre todo el tráfico desde y hacia las interfaces locales, en este
caso la interfaz etiquetada como LAN en el dispositivo.
Cuando el router recibe un paquete desde la LAN, la política por defecto es
aceptar la entrada y salida de dicho paquete hacia la CPU. De esta forma los
hosts locales tienen acceso a los servicios del dispositivo como SSH o Web
sin restricciones.
Cuando el router recibe un paquetes desde la LAN y con destino a otras
zonas, la política por defecto es rechazar el tráfico con destino a zonas
desconocidas. Use la opción Inter-zone forwarding para habilitar el tráfico
desde/hacia otras zonas, o añada reglas especificas para permitir el tráfico
de un determinado tipo.
18
Tabla de contenido
