Como configurar el Firewall en los equipos Draytek. Ejemplos sobre como gestionar acceso a Internet
Los routers Vigor permiten configurar filtros IP específicos por lo cual los datos se bloquean o se dejan pasar en función de los criterios especificados. Los parámetros que puede seleccionar incluyen la dirección IP, números de puertos, protocolos y puede hacer coincidir los rangos/subredes y una cadena de muchas reglas para lograr unos parámetros de filtrado complejas.
Tenga en cuenta que para la creación de reglas, debe estar familiarizado con la forma lógica de direccionamiento IP y las máscaras de subred. No se puede dañar el router mediante una mala configuración del firewall pero si bloquear el tráfico que no se pretende bloquear. Aunque los ejemplo siguientes, podría no coincidir con sus necesidades particulares, le recomendamos que trabajen a través de ellos para obtener una mejor comprensión del funcionamiento de los filtros.
En los routers Vigor se pueden configurar hasta 12 grupos de 7 reglas de filtrado cada uno. Dentro de cada grupo, las siete reglas se comprueban de forma secuencial, a menos que la acción de una regla reenvía el paquete inmediatamente a otro conjunto de reglas.
Ejemplo 1 - Impedir que un PC acceda a sitios web
En este ejemplo, queremos bloquear un PC con dirección IP 192.168.1.10 a navegar por la web pero si utilizar otras aplicaciones de internet como el correo electrónico, FTP, etc. La navegación por Internet utiliza el puerto TCP 80. El filtro puede configurarse con los siguientes parámetros :
- Packet Direction : Outward (to the Internet)
- Source : 192.168.1.10
- Destination : Any
- Protocol : TCP
- Outbound Port No : 80
- Matching Criterial : = (Matches)
- Action if Matched : Drop the packet
Recuerde que esta regla se aplicará a la PC con una dirección IP determinada. Si utiliza DHCP un PC podría no tener siempre la misma IP. En los routers Vigor se puede configurar el servidor DHCP para que asigne a un PC siempre la misma dirección IP, o se puede ajustar manualmente en cada PC. Para configurar nuestra regla seleccionamos en el apartado ¨Firewall >> Filter Setup¨ :
En esta pagina aparecen los filtros configurados por defecto en el router (Default Call Filter, Default Data Filter).
Hacemos click en el set 2 y posteriormente en el Filter Rule numero 2:
En la siguiente ventana, primero ponemos un nombre al filtro, y configuramos los parámetros correspondientes. Como característica opcional, existe la posibilidad de seleccionar la casilla de verificación "Syslog". Con esta opción, podemos ver y examinar el registro de esta regla utilizando el comando log-f a través de telnet o con la utilidad Syslog Utility de Draytek.
Una vez que la regla anterior se guarda, puede intentar acceder a través de su navegador WEB a cualquier página de internet desde el PC con la dirección IP 192.168.1.10. El firewall bloqueara esta acción impidiendo mostrar la pagina.
Ejemplo 2 - Permitir el acceso a internet a sólo determinados ordenadores.
En este ejemplo, queremos evitar el acceso a Internet varios equipos, excepto al departamento de marketing (dos ordenadores), y al servidor de correo. El servidor de correo sólo tendrá acceso a los protocolos de correo saliente SMTP que son (TCP/25) y POP3 (TCP/110). Para ello se deberá configurar las siguientes cuatro reglas :
Regla 1: dejar pasar todo el trafico del PC1 del departamento de marketing:
- Direction : Out
- Source : 192.168.1.10
- Destination : Any
- Protocol : Any
- Matching Criteria : = Action if Matched : Pass
Regla 2: dejar pasar todo el trafico del PC2 del departamento de marketing:
- Direction : Out
- Source : 192.168.1.11
- Destination : Any
- Protocol : Any
- Matching Criteria : = Action if Matched : Pass
Regla 3: dejar pasar el trafico SMTP del servidor de correo
- Direction : Out
- Source : 192.168.1.200
- Destination : Any
- Protocol : TCP
- Port : 25
- Matching Criteria : = Action if Matched : Pass
Regla 4: dejar pasar el trafico POP3 del servidor de correo y bloquear todo lo demás
- Direction : Out
- Source : 192.168.1.200
- Destination : Any
- Protocol : TCP
- Port : 110
- Matching Criteria : = Action if not Matched : Drop (Block)
Siguiendo la lógica de las cuatro reglas anteriores el router comprueba cada paquete y si encuentra una coincidencia con estas reglas la deja pasar de inmediato. En la regla final, si el paquete no es un paquete de POP3 del servidor de correo el paquete es droped (bloqueado).