Información sobre cómo un cortafuegos de filtro de paquetes IP le permite crear un conjunto de reglas que descartan o aceptan el tráfico a través de una conexión de red.
Un cortafuegos de filtro de paquetes IP le permite crear un conjunto de reglas que descartan o aceptan el tráfico a través de una conexión de red. El cortafuegos en sí mismo no afecta en modo alguno a este tráfico. Dado que un filtro de paquetes sólo puede descartar el tráfico que se envía al mismo, el dispositivo con el filtro de paquetes debe realizar el direccionamiento IP o ser el destino del tráfico.
Un filtro de paquetes tiene un conjunto de reglas con acciones de aceptar o denegar. Cuando un filtro de paquetes recibe un paquete de información, el filtro compara el paquete con el conjunto de reglas preconfigurado. En la primera coincidencia, el filtro de paquetes acepta o deniega el paquete de información. La mayoría de filtros de paquetes tienen una "regla de denegar todo" implícita al final del archivo de reglas.
Todos los filtros de paquetes tienen una situación común: la confianza se basa en las direcciones IP. Aunque este tipo de seguridad no es suficiente para toda una red, este tipo de seguridad es aceptable a nivel de componente.
La mayoría de filtros de paquetes IP son sin estado, lo que significa que no recuerdan nada de los paquetes que han procesado previamente. Un filtro de paquetes con estado puede conservar una parte de la información sobre el tráfico anterior, lo que ofrece la posibilidad configurar que sólo las respuestas a las peticiones de la red interna se permitan desde Internet. Los filtros de paquetes sin estado son vulnerables a engaños ya que la dirección IP de origen y el bit ACK de la cabecera del paquete pueden falsificarse fácilmente.
En i5/OS puede especificar reglas de filtro de paquetes en interfaces y en perfiles de servicio de acceso remoto. Si utiliza un cortafuegos de filtro de paquetes externo o reglas de filtro de paquetes en i5/OS y los datos de Conexión universal pasan a través de estos filtros, debe cambiar las reglas de filtro para permitir la conexión con la pasarela IBM VPN, como se indica a continuación:
| Reglas de filtro IP | Valores de filtro IP |
|---|---|
| Regla de filtro de tráfico de entrada UDP | Permitir el puerto 4500 para la dirección de pasarela VPN |
| Regla de filtro de tráfico de entrada UDP | Permitir el puerto 500 para la dirección de pasarela VPN |
| Regla de filtro de tráfico de salida UDP | Permitir el puerto 4500 para la dirección IP de pasarela VPN |
| Regla de filtro de tráfico de salida UDP | Permitir el puerto 500 para la dirección IP de pasarela VPN |
| Regla de filtro de tráfico de entrada ESP | Permitir el protocolo ESP (X'32') para la dirección IP de pasarela VPN |
| Regla de filtro de tráfico de salida ESP | Permitir el protocolo ESP (X'32') para la dirección IP de pasarela VPN |
| Reglas de filtro IP | Valores de filtro IP |
|---|---|
| Regla de filtro de tráfico de entrada TCP | Permitir el puerto 80 para todas las direcciones de destino de servicio |
| Regla de filtro de tráfico de entrada TCP | Permitir el puerto 443 para todas las direcciones de destino de servicio |
| Regla de filtro de tráfico de salida TCP | Permitir el puerto 80 para todas las direcciones de destino de servicio |
| Regla de filtro de tráfico de salida TCP | Permitir el puerto 443 para todas las direcciones de destino de servicio |
El proceso de cambiar las reglas de filtro implica especificar la dirección de la pasarela IBM VPN real. Los puertos y servicios deben abrirse para las siguientes direcciones IP: Boulder: 207.25.252.196 y Rochester: 129.42.160.16. Para obtener más detalles, consulte el tema Determinar las direcciones de pasarela VPN de IBM en el iSeries Information Center.
Además para el tráfico HTTP y HTTPs, una parte del proceso de cambiar las reglas de filtro podría implicar especificar direcciones de destino de servicio reales. Puede determinar estas direcciones tal como se describe en el tema Determinar las direcciones de destino de servicio de IBM en el iSeries Information Center.