Endian Firewall Manual de Refer en CIA r

(1)

Endian Firewall Manual de

referencia r. 2.2.1.9

Se concede permiso para copiar, distribuir y / o modificar este documento bajo los términos de la GNU Free Documentation License, Version 1.2 o cualquier otra versión posterior publicada por la Free Software Foundation, sin Secciones Invariantes ni Textos de Cubierta Delantera ni Textos de Cubierta Trasera. Una copia de la licencia está incluida en la sección titulada "GNU Free Documentation License".

Índice

Capítulo 1: El menú del sistema

Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla.

Los siguientes enlaces aparecerán en un submenú en el lado izquierdo de la pantalla. Que permiten la administración de base y monitoreo de su Endian Firewall .

 INICIO - Sistema de conexión a Internet y una visión general de estado

 CONFIGURACIÓN DE LA RED - la red y la interfaz de configuración

 SOPORTE - formulario de solicitud de

 ENDIAN RED - Red Endian información de registro

 CONTRASEÑAS - contraseñas conjunto del sistema

 ACCESO SSH - enable / configure Secure Shell (SSH) el acceso a su Endian Firewall

 GUI AJUSTES - como idioma de la interfaz

 COPIA DE SEGURIDAD - backup / restore Endian Firewall ajustes, así como restablecer los valores de

fábrica

 APAGAR - apagar / reiniciar su Endian Firewall

 CRÉDITOS - gracias a todos los contribuyentes

Cada enlace se explican por separado en las secciones siguientes.

(2)

Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación,

seleccione INICIO en el submenú en el lado izquierdo de la pantalla.

Esta página muestra un resumen de la conexión de subida (s) y la salud general del sistema. Una tabla se muestra, detallando el estado de conexión de cada subida. Por lo general, usted sólo verá un enlace ascendente de una sola llamada PRINCIPAL , ya que es el enlace ascendente

principal. De particular interés es el campo de estado del enlace ascendente individual:

DETENIDO - La subida no está conectado.

CONEXIÓN - La subida es actualmente de conexión.

CONECTADO - El enlace ascendente está conectado y en pleno

funcionamiento.

DESCONEXIÓN - La subida es actualmente de

desconexión. Endian Firewall mantiene ping a la puerta y anuncia cuando esté disponible.

FRACASO - Hubo un error al conectar el enlace ascendente. SI NO, VOLVER A CONECTAR - Hubo un fallo al conectar con el enlace

ascendente. Endian Firewall es intentarlo de nuevo.

LINK MUERTO - El enlace ascendente está conectado, pero los

locales que se definieron en LA

RED , INTERFACES para comprobar la conexión

no pudo ser. Básicamente, esto significa que la subida no es operativo.

Cada enlace ascendente puede ser operado en modo gestionado (por defecto) o el modo manual. En el modo logró Endian Firewall monitoriza y reinicia el enlace ascendente de forma automática cuando sea necesario. Si está desactivado el modo administrado, la subida puede ser activada o desactivada de forma manual. No habrá ningún intento de reconexión automática si se pierde la conexión. Finalmente, después de la mesa de enlace ascendente, se puede encontrar una línea del sistema de salud, que es similar al siguiente ejemplo:

EFW-1203950372.localdomain - 13:45:49 hasta 1 minuto, 0 usuarios, carga promedio: 1.89 4.84, 0.68

Esto es básicamente el resultado de la Linux el tiempo de actividad del comando. Se muestra la hora actual, los días / horas / minutos que Endian Firewall ha estado funcionando sin reiniciar el sistema, el número de inicios de sesión de la consola y la carga media de los últimos 1, 5, y 15 minutos.

(3)

seleccione CONFIGURACIÓN DE RED en el submenú en el lado izquierdo de la pantalla.

Configuración de la red y la interfaz es rápida y fácil con el asistente proporcionada en esta sección. El asistente se divide en varios pasos: puede desplazarse hacia atrás y adelante con el <<< y >>> botones. Puede navegar libremente todos los pasos y decide cancelar sus acciones en cualquier momento. Sólo en el último paso se le pedirá que confirme la nueva configuración. Si se confirma, la nueva configuración se aplicará. Esto puede llevar algún tiempo durante el cual la interfaz web no puede responder.

A continuación se presenta una lista detallada de cada paso del asistente.

Elija el tipo de interfaz RED

Cuando Endian Firewall se instaló, la interfaz de red de confianza (denominado GREEN interfaz) ya ha sido elegido y creado.

Esta pantalla permite seleccionar la interfaz de red no es confiable (la llamada RED interface): el que conecta su Endian Firewall . al "exterior" (por lo general el enlace ascendente con su proveedor de internet) Endian Firewall es compatible con los siguientes tipos de REDinterfaces:

ETHERNETSTATIC - Desea utilizar un adaptador de Ethernet y que necesita para configurar la información de red (dirección IP y máscara de red) de forma manual. Este suele ser el caso cuando se conecta a su RED de interfaz a un simple router mediante un cable Ethernet cruzado.

ETHERNETDHCP - Desea utilizar un adaptador Ethernet que recibe información de la red a través de DHCP. Este suele ser el caso cuando se conecta a su RED de interfaz a un cable de módem / router ADSL / RDSI del router mediante un cable Ethernet cruzado.

PPPOE - Desea utilizar un adaptador de Ethernet que se

conecta mediante un cable cruzado de Ethernet a un módem ADSL. Tenga en cuenta que esta opción sólo es necesario si el módem utiliza el modo de puente y se requiere su cortafuegos para usar PPPoE para conectarse a su proveedor. Preste atención para no confundir esta opción con la ESTATICA

ETHERNET o ETHERNET DHCP opciones para

conectar a routers ADSL que manejan los propios PPPoE.

ADSL(USB,PCI) - Desea utilizar un módem ADSL (dispositivos USB o PCI).

(4)

RDSI - Desea utilizar un adaptador RDSI.

ANALÓGICO/UMTSMODEM - Desea utilizar un módem analógico (dial-up) o

UMTS (teléfono móvil).

PUERTADEENLACE - Su Endian Firewall no tiene RED interfaz. Esto es inusual ya que un firewall normalmente tiene que tener dos interfaces de por lo menos - para algunos escenarios de esta tiene sentido sin embargo. Un ejemplo sería si desea utilizar sólo un servicio específico del firewall. Otro ejemplo, más sofisticado es un Endian

Firewall cuya AZUL zona está conectada a través de una VPN con el VERDE interfaz de segundo Endian Firewall . El firewall del segundo VERDEdirección IP puede ser utilizada como un enlace ascendente de copia de seguridad en el primer cortafuegos. Si elige esta opción, tendrá que configurar una puerta de enlace predeterminada en el futuro.

Elegir zonas de la red

Endian Firewall toma IPCop idea de las diferentes zonas. En este punto usted ya ha encontrado las dos zonas más importantes:

VERDE - es el segmento de red de confianza.

RED - es el segmento de red de confianza. Este paso le permite añadir una o dos zonas adicionales, siempre que disponga de las interfaces suficiente. Zonas disponibles son:

ORANGE - es la zona desmilitarizada (DMZ). Si los servidores host, es recomendable para conectarse a una red diferente a

su VERDE red. Si un atacante logra entrar en uno de sus servidores, él o ella se encuentra atrapada dentro de la DMZ y no se puede obtener información sensible de los equipos locales en su VERDE zona.

AZUL - es la zona de conexión inalámbrica

(WLAN). Puede conectar un punto de acceso hotspot WiFi o de una interfaz asignada a esta zona. Las redes inalámbricas no son seguras a menudo - por lo que el objetivo es atrapar a todos los equipos conectados de forma inalámbrica en su propia zona sin acceso a ninguna otra zona, excepto rojo (por defecto).

(5)

Tenga en cuenta que una interfaz de red está reservada para el VERDE zona. Otro que ya se le puede asignar a la RED la zona si se ha seleccionado una RED tipo de interfaz que requiere una tarjeta de red. Esto podría limitar sus opciones de aquí al punto de que no se puede elegir un ORANGE o BLUE zona debido a la falta de interfaces de red adicionales.

Preferencias de red

Este paso le permite configurar el VERDE zona y cualquier otra zona adicional que podría haber creado en el paso anterior ( naranja o azul ).

Cada zona está configurada en su propia sección con las siguientes opciones:

DIRECCIÓN IP - Especificar una dirección IP (por ejemplo,

192.168.0.1). Preste atención a no utilizar direcciones que ya están en uso en su

red. ¡Tienes que ser especialmente cuidadoso al configurar las interfaces de la GREEN zona para evitar el bloqueo mismo de la interfaz web! Si cambia las direcciones IP de Endian Firewall en un entorno de producción, es posible que necesite ajustar la configuración de otros lugares, por ejemplo la configuración del proxy HTTP en los navegadores web.

MÁSCARA DE RED - Especifique la máscara de CIDR / red de una

selección de máscaras posible (por ejemplo / 24 - 255.255.255.0). Es importante utilizar la misma máscara para todos los dispositivos en la misma subred.

SI DESEA MÁS DIRECCIONES - Puede añadir direcciones IP adicionales a partir

de diferentes subredes a la interfaz de aquí.

INTERFACES - Mapa de las interfaces de las zonas. Cada

interfaz puede ser asignada a una sola zona y cada zona debe tener al menos una interfaz. Sin embargo, es posible asignar más de una interfaz a una zona. En este caso, estas interfaces son un puente entre sí y actúan como si fueran parte de un interruptor.

Todas las interfaces se muestran en la etiqueta con su número de identificación del PCI, la descripción del dispositivo que

devuelve lspci y sus direcciones MAC. El símbolo muestra el estado del enlace actual: una tickmark muestra que el enlace está activo, una X significa que no hay enlace y un signo de interrogación le dirá que el conductor no proporcionar esta información.

(6)

Tenga en cuenta que Endian Firewall interno se ocupa de todas las zonas de puentes, sin importar el número de interfaces asignadas. Por lo tanto el nombre de las interfaces de Linux es BRX ,

no ethX .

Además, el host del sistema y el nombre de dominio se puede configurar en la parte inferior de la pantalla.

Es necesario utilizar direcciones IP en diferentes segmentos de red para cada interfaz, por

ejemplo: IP = 192.168.0.1, máscara de red = / 24 - 255.255.255.0 para GREEN IP = 192.168.10.1, máscara de red = / 24 - 255.255.255.0

para ORANGE IP = 10.0.0.1, la máscara de red = / 24 - 255.255.255.0 para BLUE Se sugiere seguir las normas descritas en RFC1918 y el uso de las direcciones IP contenidas en las redes reservadas al uso privado de la Asignación de números de Internet (IANA) : 10.0.0.0 - 10.255.255.255 (10.0.0.0 / 8), 16.777.216 direcciones 172.16.0.0 - 172.31.255.255 (172.16.0.0/12), 1.048.576 direcciones 192.168.0.0 - 192.168.255.255 (192.168.0.0/16), 65.536 direcciones de la primera y la última dirección IP de un segmento de red son la dirección de red y la dirección de difusión, respectivamente, y no debe ser asignado a cualquier dispositivo.

Las preferencias de acceso a Internet

Este paso le permite configurar la RED interfaz, que se conecta a Internet oa cualquier otra red no es de confianza fuera de Endian Firewall .

Usted encontrará diferentes opciones de configuración en esta página, dependiendo del tipo de la RED de interfaz que ha elegido antes. Algunos tipos de interfaces requieren más pasos de

(7)

configuración que otros. A continuación se muestra una descripción de la configuración para cada tipo.

ETHERNETSTATIC - Es necesario introducir la dirección IP y máscara de red de la RED de la interfaz, así como la dirección IP de su puerta de enlace

predeterminada - es decir, la dirección IP de la pasarela que conecta su Endian Firewall a Internet oa otra red insegura. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) y la dirección hardware Ethernet (dirección MAC) de la interfaz - por lo general esto no es necesario.

ETHERNETDHCP - Sólo tiene que especificar si desea DHCP para configurar la dirección IP del servidor DNS (Domain Name Server) de forma automática o si desea que ajustarlo manualmente.

PPPOE - Es necesario introducir el nombre de usuario y

contraseña asignado por su proveedor, el método de autenticación (si es que no sé si PAP o CHAP se aplica, mantenga el valor predeterminado PAP O CHAP ) y si desea que la

dirección IP del servidor DNS (Domain Name servidor) que se asignará de forma automática o si desea configurar manualmente. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) y el servicio de su proveedor y el nombre del concentrador - por lo general esto no es necesario.

ADSL(USB,PCI) - Hay tres sub-pantallas para esta elección. En primer lugar es necesario seleccionar el controlador apropiado para su módem. Luego hay que seleccionar el tipo de ADSL: PPPOA , PPPOE , RFC1483IP ESTÁTICA o DHCPRFC1483 .

A continuación, es necesario proporcionar algunas de las siguientes opciones (en función de los campos de tipo ADSL están disponibles o no): los números VPI / VCI, así como el tipo de encapsulación, el nombre de usuario y

contraseña asignado por su proveedor y el método de autenticación (si no saber si PAP o CHAP se aplica, utilice la opción predeterminada PAP O CHAP ), la dirección IP y

máscara de red de la RED de la interfaz, así como la dirección IP de su puerta de enlace predeterminada ( RFC UNO MIL CUATROCIENTAS

(8)

OCHENTA Y TRES IP ESTÁTICA única), si desea que

la dirección IP del DNS (Domain Name Server) que se asignará de forma automática o si desea configurarlo manualmente. Si lo desea, también puede especificar la MTU (Maximum

Transmission Unit) - por lo general esto no es necesario.

RDSI - Es necesario seleccionar el controlador del módem, números de teléfono (número de su proveedor y el número que se utiliza para marcar), así como el nombre de usuario y contraseña que se han asignado a usted por su proveedor y el método de autenticación (si no sabes si PAP o CHAP se aplica, utilice la opción predeterminada PAP O CHAP ). También puede

especificar si desea que la dirección IP del servidor DNS (Domain Name Server) que se asignará de forma automática o si desea configurar manualmente. Si lo desea, también puede especificar la MTU (Maximum

Transmission Unit) - por lo general esto no es necesario.

ANALÓGICO/UMTSMODEM - Hay dos sub-pantallas para esta elección.

En primer lugar es necesario especificar el puerto serie el módem está conectado y si se trata de un simple módem analógico o un módem UMTS / HSDPA. Tenga en cuenta que / dev/ttyS0 se utiliza normalmente como una consola de serie y por lo tanto no disponible para modems.

A continuación, debe especificar el módem de velocidad de bits, el número de teléfono de acceso telefónico o el nombre del punto de acceso, el nombre de usuario y contraseña que se han asignado a usted por su proveedor y el método de autenticación (si es que no sé si PAP o CHAP se aplica, utilice la opción predeterminada PAP O CHAP ). También puede

especificar si desea que la dirección IP del servidor DNS (Domain Name Server) que se asignará de forma automática o si desea configurar manualmente. Para módems UMTS, también es necesario especificar el nombre del punto de acceso. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) - por lo general esto no es necesario.

(9)

con los módems.

PUERTADEENLACE - Sólo tiene que especificar la dirección IP de su puerta de enlace predeterminada - es decir, la dirección IP de la pasarela que conecta su Endian Firewall a Internet oa otra red insegura.

Algunos modernos módems UMTS son los dispositivos USB de almacenamiento masivo también. Estos módems suelen registrar en dos dispositivos (por ejemplo, / dev/ttyUSB0 , / dev/ttyUSB1 ). En este caso, el segundo dispositivo es el módem. Este tipo de módem puede causar problemas al reiniciar el servidor de seguridad porque el firewall trata de arrancar desde el dispositivo de almacenamiento masivo USB. tarjetas SIM que requieren un número de identificación personal (PIN) no son compatibles con Endian Firewall .

Configure la resolución de DNS

Este paso le permite definir hasta dos direcciones de DNS (Domain Name Server), a menos que se asignan automáticamente. En caso de un solo servidor de nombres se utilizan es necesario para entrar en la misma dirección IP en dos ocasiones. Las direcciones IP que se introducen deben ser accesibles desde esta interfaz.

Aplicar la configuración

Este último paso le pide que confirme la nueva configuración.

Haga clic en el ACEPTAR, APLICAR LA CONFIGURACIÓN para ir por delante. Una vez que hayas hecho

esto, el asistente de red a escribir todos los archivos de configuración en el disco, vuelva a configurar todos los dispositivos necesarios y reiniciar todos los servicios en función.Esto puede tomar hasta 20 segundos, durante el cual no puede ser capaz de conectarse a la interfaz de administración y por un corto tiempo sin conexiones a través del firewall son posibles.

La interfaz de administración se volverá a cargar automáticamente. Si ha cambiado la dirección IP de la GREEN interfaz de la zona, usted será redirigido a la nueva dirección IP. En este caso, y / o si ha cambiado el nombre de host de un certificado SSL nuevo se generará.

(10)

seleccione SOPORTE en el submenú en el lado izquierdo de la pantalla.

La solicitud de apoyo se pueden crear directamente desde esta pantalla. Rellene toda la información necesaria y presentar su solicitud. Un miembro del equipo de soporte Endian se comunicará con usted tan pronto como sea posible. Por favor proporcione una descripción detallada del problema a fin de ayudar al equipo de apoyo para resolver el problema lo más rápido posible.

Si lo desea, puede conceder acceso a su servidor de seguridad a través de SSH (secure shell). Esta es una conexión encriptada y segura que permite a personal de apoyo para acceder a su Endian

Firewall para comprobar la configuración, etc Esta opción está desactivada por defecto. Cuando está activada, la clave pública del equipo de soporte de SSH se copia en el sistema y el acceso se concede a través de esa clave. La contraseña de root no se indica de ninguna manera.

Red Endian

seleccione LA RED ENDIAN en el submenú en el lado izquierdo de la pantalla.

Su Endian Firewall puede conectarse a la red Endian (EN). Endian Network permite el control fácil y centralizada, administración y actualización de todos sus Endian Firewall sistemas con sólo unos clics. Esta pantalla contiene tres pestañas.

El SUSCRIPCIONES pestaña muestra un resumen de su red Endian estado de la asistencia. La última

sección se enumeran las claves de activación. Se necesita al menos una clave de activación válida (no caducado) para recibir actualizaciones de y participar en la Red Endian .Hay una clave para cada canal de soporte (por lo general sólo una).

Si el firewall no se ha registrado el formulario de registro se muestra.

El ACCESO REMOTO ficha permite especificar si su Endian Firewall puede ser alcanzado a través de la

red Endian en absoluto, y si es así, a través de qué protocolo: HTTP significa que la interfaz web se puede llegar a través de la red Endian y SSH significa que es posible acceder a través de Secure Shell a través de la red Endian .

La ACTUALIZACIÓN DE ficha muestra y controla el estado de actualización de su sistema. Hay tres

secciones.

En primer lugar, al pulsar el COMPROBAR NUEVAS ACTUALIZACIONES! botón se accederá a los canales

de soporte en busca de nuevas actualizaciones. Si se encuentra alguna actualización que se enumeran (las actualizaciones se distribuyen como paquetes RPM). Al pulsar elPROCESO DE ACTUALIZACIÓN COMIENCE AHORA! botón instalar todos los paquetes actualizados.

En segundo lugar - para ahorrar algo de tiempo - el sistema recupera la lista de actualizaciones de forma automática. Usted puede elegir el intervalo que se horaria, diaria, semanal (por defecto) o mensual - no te olvides de hacer clic en GUARDAR para guardar la configuración.

(11)

En tercer lugar, presionando FIRMAS ACTUALIZAR AHORA usted puede actualizar las firmas de antivirus

ClamAV. Esto sólo funciona si ClamAV está en uso, por ejemplo, en combinación con el correo electrónico o un proxy HTTP.

Contraseñas

seleccione CONTRASEÑAS en el submenú en el lado izquierdo de la pantalla.

Puede cambiar una contraseña en un tiempo aquí. Especificar cada nueva contraseña dos veces y pulse GUARDAR . Los usuarios están disponibles las siguientes:

Admin - el usuario que puede conectarse a la interfaz web de administración. Raíz - el usuario que

puede iniciar sesión en el shell de administración. Los inicios de sesión se pueden hacer localmente en la consola, a través de la consola de serie o de forma remota a través de SSH (secure shell) si se ha activado. Marcación - el Endian Firewall de usuario del cliente.

Acceso SSH

seleccione EL ACCESO SSH en el submenú en el lado izquierdo de la pantalla.

Esta pantalla le permite activar a distancia SSH (secure shell) el acceso a su Endian Firewall . Esto está desactivado por defecto, que es la configuración recomendada.

el acceso SSH está siempre en cuando uno de los siguientes:

 Acceso Endian equipo de apoyo está permitido en el SISTEMA , DE APOYO .

 El acceso SSH está activado en el SISTEMA , RED ENDIAN , ACCESO REMOTO .

 La alta disponibilidad está habilitado en LOS SERVICIOS , DE ALTA DISPONIBILIDAD .

Algunas opciones de SSH se puede establecer:

SSH VERSIÓN 1 DEL PROTOCOLO - Esto sólo es necesario para los viejos clientes

SSH que no son compatibles con las nuevas versiones del protocolo SSH. Esto está totalmente desaconsejada ya que existen vulnerabilidades conocidas en SSH versión 1 del protocolo.Usted no debe actualizar los clientes SSH versión 2, si es posible.

TCP REENVÍO - Seleccione esta opción si usted necesita para

hacer un túnel a través de otros protocolos SSH. Consulte la nota de abajo para un ejemplo de casos de uso.

(12)

autenticación de contraseña.

AUTENTICACIÓN DE CLAVE PÚBLICA - Permitir inicios de sesión a través de claves

públicas. Las claves públicas se debe agregar a / root / .ssh /

authorized_keys .

Finalmente hay una sección que detalla las claves públicas SSH de esta Endian Firewall que se han generado durante el primer proceso de arranque.

Suponga que tiene un servicio como telnet (o cualquier otro servicio que pueden ser canalizadas a través de SSH) en un equipo dentro de

su verde la zona, por ejemplo el puerto 23 en el host 10.0.0.20. Así es como se puede configurar un túnel SSH a través de su Endian Firewall para acceder al servicio de forma segura desde fuera de la LAN. 1. Habilitar SSH y asegúrese de que se puede acceder (ver CORTAFUEGOS , ACCESO AL SISTEMA ). 2.desde un sistema externo conectarse

a su Endian Firewall usando ssh-N-f-L 12345: 10.0.0.20:23 root @

endian_firewall donde -N no dice SSH para ejecutar comandos, pero sólo para reenviar el tráfico, -ffunciona SSH en el fondo y -L 12345:10.0.0.20:23 mapas de puertos del sistema externo de 12345 al puerto 23 en 10.0.0.20 como se puede ver desde su Endian Firewall . 3. El túnel SSH desde el puerto 12345 del sistema externo al puerto 23 en el host 10.0.0.20 se ha establecido. En este ejemplo, ahora puede telnet al puerto 12345 de localhost para llegar a 10.0.0.20.

(13)

seleccione LA CONFIGURACIÓN GUI en el submenú en el lado izquierdo de la pantalla.

En el comunicado de la comunidad también es posible hacer clic en la AYUDA PARA TRADUCIR ESTE PROYECTO DE enlace que abrirá la Endian firewall página de traducción. Cualquier ayuda se agradece.

Dos opciones con respecto a la interfaz web se puede configurar en esta pantalla: si se muestra el nombre de host en el título de la ventana del navegador y el idioma de la interfaz web (Inglés, alemán e italiano son soportados actualmente).

De reserva

seleccione COPIA DE SEGURIDAD en el submenú en el lado izquierdo de la pantalla.

En esta sección usted puede crear copias de seguridad de Endian Firewall de configuración y restaurar el sistema a una de estas copias de seguridad cuando sea necesario. Copias de seguridad se pueden guardar localmente en el Endian Firewall de acogida, a una memoria USB o descargar en su ordenador. También es posible restablecer la configuración predeterminada de fábrica y crear copias de seguridad totalmente automatizado.

Los grupos de respaldo

Al hacer clic en la COPIA DE SEGURIDAD CREAR NUEVO botón de un cuadro de diálogo se abre, donde

puede configurar la instantánea del nuevo sistema:

CONFIGURACIÓN - incluye todas las configuraciones y los ajustes

que haya realizado, que es el contenido del directorio / var / EFW .

DEPÓSITOS DE LA BASE DE DATOS - incluye un volcado de base de datos, que

incluye por ejemplo la información contable hotspot.

LOS ARCHIVOS DE REGISTRO - incluye los archivos de registro actuales REGISTRO DE ARCHIVOS - incluye a antiguos archivos de registro, copias

de seguridad con esta opción activada recibirá muy grande después de algún tiempo

OBSERVACIÓN - un comentario adicional se puede agregar aquí

Haga clic en la COPIA DE SEGURIDAD CREAR NUEVO botón de nuevo para seguir adelante y crear la

copia de seguridad.

A continuación se presenta la lista de copias de seguridad disponibles (inicialmente vacía): se puede optar por descargar, borrar o restaurar haciendo clic en el icono apropiado en la lista. Cada copia de seguridad se anota con cero o más de las siguientes banderas:

(14)

configuraciones y los ajustes.

D - Base de datos. La copia de seguridad contiene un volcado de base de datos.

E - Encriptado. El archivo de copia de seguridad encriptada.

L - Los archivos de registro. La copia de seguridad contiene archivos de registro.

A - Archivo. La copia de seguridad contiene los archivos antiguos de registro.

! - ¡Error! El archivo de copia de seguridad está dañado.

C - Crea automáticamente. La copia de seguridad se ha creado automáticamente por un trabajo de copia de seguridad programada.

U - Esta copia de seguridad se ha guardado en una memoria USB.

Cifrar copia de seguridad

Puede proporcionar una clave pública GPG que se utiliza para cifrar todas las copias de

seguridad. Seleccione su clave pública, haga clic en el NAVEGAR botón y elegir el archivo de clave del

sistema de archivos local. Asegúrese de CIFRAR ARCHIVOS DE COPIA DE SEGURIDAD está

activada. Confirmar y cargar el archivo de clave, haga clic en GUARDAR . Importar archivos de copia de seguridad

Usted puede cargar una copia de seguridad previamente descargado. Seleccione la copia de

seguridad haciendo clic en el NAVEGAR botón y elegir el archivo de copia de seguridad de su sistema

de archivos local. Rellene el OBSERVACIÓN de campo para el nombre de la copia de seguridad y

cargar haciendo clic en GUARDAR .

No es posible la importación de copias de seguridad cifradas. Usted debe descifrar como copias de seguridad antes de subirlos.

La copia de seguridad aparece en la lista de copia de seguridad anterior. Ahora puede elegir para restaurarlo haciendo clic en el icono de la restauración.

Restaurar los valores predeterminados de fábrica

Al hacer clic en la FÁBRICA POR DEFECTO botón le permite resetear la configuración de Firewall Endian

a valores de fábrica y reiniciar el sistema inmediatamente después. Una copia de seguridad de la configuración viejo es guardado automáticamente.

Copias de seguridad programadas

Seleccione la COPIA DE SEGURIDAD PROGRAMADA pestaña si desea activar y configurar copias de

(15)

En primer lugar, activar y configurar copias de seguridad automáticas. Usted puede elegir lo que debe ser parte de la copia de seguridad: la configuración, los vertederos de la base de datos, archivos de registro y archivos de registro antiguos como se ve en losCONJUNTOS DE COPIA DE la sección. También

puede elegir la forma de copias de seguridad que usted desea guardar (2.10) y el intervalo entre copias de seguridad (cada hora, diario, semanal o mensual). Cuando haya terminado haga clic en el GUARDAR botón.

A continuación, puede indicar al sistema si desea o no copias de seguridad de correo electrónico. Si usted desea recibir por correo electrónico copias de seguridad se puede activar esta función y seleccionar la dirección de correo electrónico del destinatario. A continuación, puede GUARDAR la

configuración. También hay una COPIA DE SEGURIDAD AHORA ENVIAR UN botón que se guardará la

configuración y tratar de enviar un correo electrónico con la copia de seguridad inmediatamente, por lo que puede probar el sistema.Opcionalmente, también puede proporcionar una dirección de correo electrónico del remitente (esto se debe hacer si su dominio o nombre de host no se pueden resolver por su DNS) y la dirección de una pasarela para ser utilizado (en caso de que quiera ir a todo el correo saliente a través de sus compañías de servidor SMTP, en lugar de ser enviados directamente por su Endian Firewall ). Si el proxy SMTP está deshabilitado, es absolutamente necesario para añadir una pasarela para poder enviar correos electrónicos.

Cierre

seleccione APAGAR en el submenú en el lado izquierdo de la pantalla.

En esta pantalla se puede apagar o reiniciar su Endian Firewall , haga clic en el APAGADO o

el REINICIO botón respectivamente.

Créditos

seleccione CRÉDITOS en el submenú en el lado izquierdo de la pantalla.

Esta pantalla muestra la lista de personas que llevó a Endian Firewall para usted.

Capítulo 2: El menú de estado

(16)

Los siguientes enlaces aparecerán en un submenú en el lado izquierdo de la pantalla. Dan información detallada del estado sobre los distintos aspectos de su Endian Firewall :

 EL ESTADO DEL SISTEMA - los servicios, recursos, tiempo de actividad, del núcleo

 ESTADO DE LA RED - Configuración de interfaces de red, la tabla de enrutamiento y la caché ARP

 LOS GRÁFICOS DEL SISTEMA - los gráficos de uso de los recursos

 LOS GRÁFICOS DE TRÁFICO - los gráficos de uso de ancho de banda

 GRÁFICOS PROXY - gráfico de las estadísticas de acceso HTTP proxy durante las últimas 24 horas

 CONEXIONES - lista de todos los abiertos TCP / IP

 OPENVPN CONEXIONES - lista de todas las conexiones OpenVPN

 ESTADÍSTICAS DE CORREO SMTP - SMTP Proxy gráfico de las estadísticas del filtro durante el último

día / semana / mes / año

 COLA DE CORREO - cola del servidor de correo SMTP

Estado del sistema

Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación,

seleccione EL ESTADO DEL SISTEMA en el submenú en el lado izquierdo de la pantalla.

Esta pantalla se divide en las siguientes secciones (accesible a través de pestañas o el desplazamiento):

SERVICIOS - muestra el estado de todos los servicios

instalados en Endian Firewall - un servicio podría aparecer como DETENIDO , simplemente porque la función correspondiente no está habilitada.

MEMORIA - esta es la salida de la Linux sin mando. La

primera barra muestra la memoria total utilizada: es normal que este valor se aproxima al 100% para un sistema de larga duración, ya que el kernel de Linux utiliza toda la memoria RAM disponible como caché de disco. La segunda barra muestra la memoria realmente utilizada por los procesos de: idealmente esto debería ser inferior al 80% para mantener algo de memoria disponible para almacenamiento en caché de disco - si este valor se aproxima al 100%, el sistema se ralentizará debido a los procesos activos se intercambian en el disco: debe tener en cuenta mejora de RAM entonces. La tercera barra indica el uso de la zona. Para que un sistema de larga data que es normal para ver el uso del intercambio

(17)

moderado (el valor debe ser inferior al 20%), especialmente si no todos los servicios se utilizan todo el tiempo.

EL USO DEL DISCO - esta es la salida de la Linux df de

comandos. Se muestra el espacio en disco para cada partición de disco ( / , / boot y / var para una instalación por defecto). / y / boot debe ser bastante constante, / var crece mientras se utiliza el sistema.

EL TIEMPO DE ACTIVIDAD Y DE LOS USUARIOS - esta es la salida de la Linux w comando. En ella

se informa de la hora actual, la información sobre el tiempo que el sistema ha estado funcionando sin reiniciar el sistema, el número de usuarios de sistemas operativos que actualmente se registran en el sistema (por lo general no debería haber ninguna) y el

promedio de carga del sistema en los últimos 1, 5 y 15 minutos. Además, si cualquier usuario de shell se registra en el sistema, alguna

información sobre el usuario en la pantalla (como el host remoto desde el que él o ella está conectado).

MÓDULOS CARGADOS - esta es la salida de la

Linux lsmod comando. Muestra los módulos del kernel cargado (la información es de interés para usuarios avanzados).

VERSIÓN DEL KERNEL - esta es la salida de la Linux uname-r del

comando. Se muestra la versión actual del kernel.

Estado de la red

seleccione ESTADO DE LA RED en el submenú en el lado izquierdo de la pantalla.

Esta página muestra la salida de los comandos de Linux show ip addr (interfaces Ethernet, puentes y dispositivos virtuales), el estado de los adaptadores de red (si está disponible), la tabla de enrutamiento y la caché ARP (MAC / IP en el mercado local LAN) .

Los gráficos del sistema

(18)

Esta página contiene gráficos de recursos del sistema de las últimas 24 horas:. CPU, memoria, swap y el uso del disco

Al hacer clic en uno de los gráficos se abrirá una nueva página con los gráficos de uso respectivas, el día de la semana pasada, el mes y año.

Los gráficos de tráfico

seleccione LOS GRÁFICOS DE TRÁFICO en el submenú en el lado izquierdo de la pantalla.

Esta página contiene los gráficos de tráfico de las últimas 24 horas.

Al hacer clic en uno de los gráficos se abrirá una nueva página con gráficos de tráfico para el último día, semana, mes y año de la interfaz elegida.

Gráficos Proxy

seleccione LOS GRÁFICOS PROXY en el submenú en el lado izquierdo de la pantalla.

Esta página contiene gráficos con estadísticas de acceso para el proxy HTTP en las últimas 24 horas.

Conexiones

seleccione CONEXIONES en el submenú en el lado izquierdo de la pantalla.

Esta página muestra la lista de conexiones actuales a partir de, o pasar por Endian Firewall . El origen y el destino de todas las conexiones están resaltados en el color de las zonas que

pertenecen. Además de las cuatro zonas ( VERDE , ROJO , NARANJA , AZUL ) que se definen por Endian Firewall , otros dos colores se muestran. NEGRO se utiliza para las conexiones locales del servidor de seguridad, mientras que PURPLE conexiones pertenecen a redes privadas virtuales (VPN).

OpenVPN conexiones

seleccione CONEXIONES OPENVPN en el submenú en el lado izquierdo de la pantalla.

Esta página muestra una lista de conexiones OpenVPN. Es posible eliminar o prohibir a los usuarios conectados haciendo clic en la MUERTE o LA PROHIBICIÓN DE botón, respectivamente.

(19)

seleccione LAS ESTADÍSTICAS DE CORREO SMTP en el submenú en el lado izquierdo de la pantalla.

Esta página muestra las estadísticas del tráfico SMTP (envío de correo electrónico) a través de Endian Firewall para el último día, semana, mes y año. Esta información sólo está disponible cuando el servidor proxy se utiliza SMTP.

De cola de correo

seleccione LA COLA DE CORREO en el submenú en el lado izquierdo de la pantalla.

Esta página muestra la cola de correo electrónico actual (sólo está disponible cuando el servidor proxy se utiliza SMTP). También es posible para vaciar la cola, haga clic en la COLA DE CORREO FLUSH botón.

Capítulo 3: El menú de red

Seleccione LA RED en la barra de menú en la parte superior de la pantalla.

Los siguientes enlaces aparecerán en un submenú en el lado izquierdo de la pantalla. Que permiten la creación de la red relacionados con las opciones de configuración:

 EDITAR LOS EJÉRCITOS - definir hosts para la resolución local de nombres de dominio

 ROUTING - definir rutas estáticas y establecer una política de enrutamiento

 INTERFACES - editar tus enlaces ascendentes o crear VLANs

Editar los ejércitos

Seleccione LA RED en la barra de menú en la parte superior de la pantalla, a continuación,

seleccione EDITAR HOSTS en el submenú en el lado izquierdo de la pantalla.

Endian Firewall incluye una memoria caché del servidor DNS (dnsmasq) que verifica el archivo del host para el nombre de look-ups. En esta sección se puede definir una entrada de host personalizado que será resuelto para todos los clientes.

(20)

Haga clic en el AGREGAR UN HOST enlace para añadir una entrada de host. Esto se hace especificando

la dirección IP, nombre de host y de dominio y luego de confirmar la entrada del sistema haciendo clic en el HOST AÑADIR botón.

Una entrada existentes se pueden eliminar haciendo clic en el cubo de la basura en su fila. Para editar una entrada, es necesario hacer clic en el símbolo de lápiz. La línea se puso de relieve y un formulario pre-llenado se abre. Después de todos los cambios que se han aplicado a la entrada se guarda haciendo clic en el HOST DE ACTUALIZACIÓN botón.

Enrutamiento

seleccione DE ENRUTAMIENTO en el submenú en el lado izquierdo de la pantalla. Es posible elegir entre

dos tipos de ruta: routing estático y política de enrutamiento.

Enrutamiento estático

Permite asociar determinadas direcciones de red con pasarelas dado o uplinks. Haga clic en

el AÑADIR UNA NUEVA REGLA DE enlace para especificar una regla de enrutamiento estático utilizando

los siguientes campos:

DE RED DE ORIGEN - origen de la red en notación CIDR (ejemplo:

192.168.10.0/24)

DESTINO DE RED - destino de la red en notación CIDR (ejemplo:

192.168.20.0/24)

RUTA VÍA - introduzca la dirección IP estática de una puerta

de entrada o escoger entre los enlaces ascendentes disponibles

ACTIVADO - de verificación para activar la regla (por defecto) OBSERVACIÓN - un comentario para recordar el propósito de

esta regla después

Haga clic en el GUARDAR para confirmar la regla. A continuación, puede activar / desactivar, editar o

borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior).

Política de encaminamiento

Permite asociar direcciones de red y puertos de servicios / protocolos con enlaces ascendentes dado. Haga clic en el CREAR UNA POLÍTICA DE REGLA DE ENRUTAMIENTO DE enlace para especificar una

regla de política de enrutamiento. Los campos disponibles son las siguientes:

FUENTE - La fuente puede ser una lista de zonas o de interfaces, una lista de direcciones IP o

redes en la notación CIDR (ejemplo: 192.168.10.0/24), una lista de usuarios OpenVPN o una lista de direcciones MAC. Al seleccionar <any> la regla coinciden todas las fuentes.

(21)

DESTINO - El destino puede ser una lista de direcciones IP, las redes en la notación CIDR o una

lista de usuarios de OpenVPN. Al seleccionar <any> la regla coinciden todas las fuentes.

SERVICIO / PUERTO - Opcionalmente se puede especificar el protocolo y, en caso de TCP, UDP o TCP +

UDP, un puerto para la regla. Algunas combinaciones predefinidas, por ejemplo, HTTP (protocolo TCP, puerto 80), se puede seleccionar de la lista desplegable Servicio.

RUTA VÍA - Elija el enlace ascendente que se debe utilizar para esta regla. Si desea utilizar el

enlace ascendente de copia de seguridad cada vez que el enlace ascendente seleccionado no está disponible, la opción tiene que ser comprobada.

TIPO DE SERVICIO - El tipo de servicio (TOS) puede ser elegido en este caso.

El número binario detrás de cada tipo de servicio se describe cómo este tipo de obras. Los primeros tres bits describir la precedencia del paquete: 000 stands de precedencia predeterminada y 111 . describe la prioridad más alta

El cuarto bit describe el retraso en el 0 significa que es un retraso normal y un medio de bajo retardo. El quinto bit describe el rendimiento. 1 aumenta el rendimiento, mientras que 0 representa el rendimiento normal. El sexto bit controla la fiabilidad. Una vez más un aumento de la fiabilidad y 0 es el escenario de la fiabilidad normal. Los ocho valores de precedencia IP se llaman selectores de clase (CS0-7). Además doce valores han sido

(22)

creados para reenvío asegurado (AF xy , donde x es una clase de 1 a 4 y de ser y caída de precedencia de 1 a 3) que proporcionan la pérdida de paquetes de baja con las garantías mínimas relativas a la latencia. Reenvío acelerado (EF PHB) ha sido definido para solicitar bajo retardo, bajo jitter y pérdida de baja del servicio.

OBSERVACIÓN - Establecer un comentario para recordar el objetivo de la norma. POSICIÓN - Definir dónde insertar la regla (posición relativa en la lista de reglas). ACTIVADO - Marca esta casilla para habilitar la regla (por defecto).

REGISTRAR TODOS LOS PAQUETES ACEPTADOS

- Marca esta casilla para registrar todos los paquetes que se ven afectados por esta norma.

Haga clic en la REGLA CREAR botón para confirmar la regla. A continuación, puede desactivar, editar o

eliminar cualquier regla de la lista haciendo clic en el icono correspondiente en la parte derecha de la tabla. También puede cambiar el orden de las reglas (haciendo clic en el arriba y abajo los iconos de flecha).

Después de hacer cambios a una regla, no te olvides de hacer clic en el APLICAR botón en la parte

superior de la lista!

Interfaces

seleccione LAS INTERFACES en el submenú en el lado izquierdo de la pantalla, finalmente, elegir una

de las dos siguientes fichas:

Uplink editor

Uplinks adicionales se puede definir haciendo clic en el ENLACE ASCENDENTE EDITOR ficha: elegir el tipo

de enlace ascendente, a continuación, rellenar el formulario de tipo específico. Los campos son casi los mismos que en la red El asistente de configuración (consulte el apartado "Configuración de red" en "El menú del sistema" del capítulo).

Las siguientes opciones difieren desde el asistente de confguration red:

(23)

PPTP

PPTP puede ser configurado para trabajar en estático o en modo DHCP. Esto se hace seleccionando el respectivo valor de la "método PPTP" desplegable. La dirección IP y máscara de red debe estar definido en el campos de texto apropiado y sólo es necesario si el método estático ha sido elegido. Otras combinaciones IP / máscara de red o IP / CIDR se pueden añadir en el campo de abajo si la casilla de verificación correspondiente está activada. Número de teléfono, nombre de usuario y contraseña no son necesarios, pero puede ser necesaria para algunas configuraciones de trabajo. Esto depende de la configuración del proveedor. El método de autenticación puede ser PAP o CHAP. Si no está seguro de cuál usar, basta con mantener el valor por defecto "PAP o CHAP" que funcionará en ambos casos.

INICIO DE ENLACE ASCENDENTE EN EL ARRANQUE - Esta casilla de verificación especifica si un

enlace ascendente debe estar habilitado en el momento del arranque o no. Esto es útil para enlaces ascendentes de copia de seguridad que se manejan pero no es necesario que se inicie durante el arranque.

SI ESTA SUBIDA NO - Si está activado, este campo ofrece la

posibilidad de elegir una alternativa de enlace ascendente de la lista desplegable. Esta subida se activará si la subida actual falla.

RECONEXIÓN DE TIEMPO DE ESPERA - Con este tiempo de espera se puede especificar

el tiempo (en segundos) después de que un enlace ascendente vuelve a intentar si no. Este valor depende de la configuración de su proveedor. Si no está seguro deje este campo vacío.

VLANs

LAN virtuales (VLAN) se puede definir haciendo clic en el VLAN ficha. La idea detrás de ofrecer soporte VLAN en Endian Firewall está ayudando a permitir que las asociaciones arbitrarias de los IDs de VLAN a las zonas de cortafuegos. Para establecer una asociación haga clic en el ADD NEW VLAN enlace, a continuación, especifique los siguientes parámetros:

INTERFAZ - la interfaz física de la VLAN se conecta a ZONA - la zona de la VLAN está asociada con VLANID - VLAN ID (0-4095)

(24)

Siempre que una LAN virtual se crea una nueva interfaz se ha creado. Esta interfaz se denomina ethX.y donde X es el número de la interfaz e y es el ID de la VLAN. Esta interfaz se asigna a la zona elegida. "NINGUNO" se puede elegir, si la interfaz se utiliza como puerto de alta disponibilidad de gestión.

Capítulo 4: El Menú de Servicios

Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla.

Endian Firewall puede proporcionar una serie de servicios útiles que se pueden configurar en esta sección. En particular, se incluyen los servicios utilizados por los servidores proxy de varios, como el antivirus ClamAV.

La detección de intrusiones, alta disponibilidad y control del tráfico se puede activar aquí.

A continuación se presenta una lista de enlaces que aparecen en el submenú en el lado izquierdo de la pantalla:

 SERVIDOR DHCP - DHCP (Dynamic Host Configuration Protocol) del servidor para la asignación de IP

automática

 DNS DINÁMICO - Cliente para proveedores de DNS dinámico como DynDNS (para el hogar / oficina

pequeña uso)

 CLAMAV ANTIVIRUS - configurar el antivirus ClamAV utilizado por el correo y los servidores proxy web

 LA HORA DEL SERVIDOR - activar / configurar el servidor de tiempo NTP, definir la zona horaria o la

actualización de forma manual

 DE TRÁFICO - priorizar el tráfico IP

 FORMACIÓN DE SPAM - configure la formación para el filtro de spam utilizada por los servidores proxy

de correo

 DETECCIÓN DE INTRUSOS - configurar el sistema de detección de intrusos (IDS) Snort

 ALTA DISPONIBILIDAD - configurar su Endian Firewall en una configuración de alta disponibilidad

 SUPERVISAR EL TRÁFICO - activar o desactivar el control del tráfico con ntop

Cada enlace se explica en las siguientes secciones.

El servidor DHCP

Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación,

seleccione EL SERVIDOR DHCP en el submenú en el lado izquierdo de la pantalla.

El DHCP (Dynamic Host Configuration Protocol) permite que usted controle la configuración de direcciones IP de todos los dispositivos de red de Endian Firewall de forma centralizada.

(25)

Cuando un cliente (host u otro dispositivo como impresora en red, etc) se une a la red se obtendrá automáticamente una dirección IP válida de un rango de direcciones y otras opciones del servicio DHCP. El cliente debe estar configurado para usar DHCP - esto es algo que se llama "configuración de red automática" y es a menudo la configuración predeterminada. Usted puede optar por ofrecer este servicio a los clientes en su VERDE única zona, o incluir los dispositivos de la naranja (DMZ) o AZUL zona (WLAN). Sólo debe marcar las casillas de verificación que están etiquetados como HABILITADO en consecuencia.

Haga clic en la CONFIGURACIÓN DE enlace para definir los parámetros de DHCP como se describe a

continuación:

DIRECCIÓN DE INICIO / FIN DE DIRECCIONES - Especificar el rango de direcciones que se

entregarán. Estas direcciones tienen que ser dentro de la subred que se ha asignado a la zona correspondiente. Si desea configurar un host para utilizar manualmente las direcciones IP asignadas o direcciones IP fijas (ver abajo), asegúrese de definir un rango que hace que no incluyen estas direcciones o direcciones del conjunto de direcciones OpenVPN

(ver OPENVPN , OPENVPN SERVIDOR ) para

evitar los conflictos. Si va a utilizar contratos de arrendamiento fijo solamente (ver abajo), deje estos campos vacíos.

DEFAULT / TIEMPO DE CONCESIÓN MAX - Esto define el tiempo default / máximo en

cuestión de minutos antes de que expire la asignación de IP y el cliente se supone que debe solicitar un nuevo contrato de arrendamiento del servidor DHCP.

DOMINIO SUFIJO DE NOMBRE - Este es el dominio predeterminado sufijo de

nombre que se transmite a los clientes. Cuando el cliente busca un nombre de host, primero tratar de resolver el nombre solicitado. Si eso no es posible, el cliente deberá anexar este sufijo de nombre de dominio precedido por un punto y vuelve a intentarlo.

Ejemplo: si el nombre de dominio completo del servidor de archivos local es earth.example.com y este sufijo es "example.com" , los clientes serán capaces de resolver el servidor con el nombre de "tierra".

DNS PRIMARIO / SECUNDARIO - Esto especifica los servidores de nombres de

dominio (DNS) para ser utilizados por sus clientes. Desde Endian Firewall contiene un servidor DNS, el valor predeterminado es el servidor de seguridad de una dirección IP en la zona respectiva.

(26)

PRIMARIA /SECUNDARIA SERVIDOR NTP - Aquí usted puede especificar el Network Time

Protocol (NTP) para ser utilizados por sus clientes (para mantener los relojes sincronizados en todos los clientes).

PRIMARIA / SECUNDARIA DEL SERVIDOR WINS - Esta opción especifica el nombre del servicio de

Internet de Windows (WINS) para ser utilizados por sus clientes (para redes de Microsoft Windows que utilizan WINS).

Los usuarios avanzados tal vez desee añadir líneas de configuración personalizada que se añade a dhcpd.conf en el área de texto debajo de la configuración de las formas. Preste atención a que Endian Firewall interfaz 's no realiza ninguna comprobación de sintaxis en estas líneas: Cualquier error aquí, podrían inhibir el servidor DHCP de la partida! Ejemplo : Las líneas adicionales siguientes se pueden utilizar para manejar los teléfonos VoIP que necesitan recuperar sus archivos de configuración desde un servidor HTTP en el arranque: opción tftp-server-name "http:// $ GREEN_ADDRESS"; opción bootfile-name ". descargar / snom / {mac} html"; Observe el uso de $ GREEN_ADDRESS que es una macro que se sustituye por el propio servidor de

seguridad GREEN dirección de la interfaz.

Alquiler fijo

A veces es necesario para ciertos dispositivos para utilizar siempre la misma dirección IP y seguir usando DHCP. Al hacer clic en el AÑADIR UN CONTRATO DE ARRENDAMIENTO FIJO enlace que permite

asignar direcciones IP estáticas a los dispositivos. Los dispositivos se identifican con sus direcciones MAC. Tenga en cuenta que esto es muy diferente de la creación de las direcciones de forma manual en cada uno de estos dispositivos, ya que cada producto siga en contacto con el servidor DHCP para obtener su dirección.

(27)

Un caso de uso típico de esto es el caso de los clientes ligeros de la red que arrancar la imagen del sistema operativo desde un servidor de red con PXE (Entorno de ejecución de prearranque). Los siguientes parámetros se pueden establecer para definir alquiler fijo:

DE DIRECCIONES MAC - el cliente es la dirección MAC

DIRECCIÓN IP - la dirección IP que siempre se le asignará a este

cliente

DESCRIPCIÓN - descripción opcional

LA SIGUIENTE DIRECCIÓN - la dirección del servidor TFTP (sólo para clientes

ligeros / arranque en red)

NOMBRE DE ARCHIVO - la imagen de arranque de nombre de archivo

(sólo para clientes ligeros / arranque en red)

DE RUTA DE RAÍZ - la ruta del archivo de imagen de arranque (sólo

para clientes ligeros / arranque en red)

ACTIVADO - Si esta casilla no está marcada el contrato fijo

será almacenada pero no escrito para dhcpd.conf

Cada contrato de arrendamiento fijo puede ser activado, desactivado, editados o eliminados haciendo clic en el icono correspondiente (iconos se describen en la leyenda en la parte inferior de la tabla de alquiler fijo).

Lista de los actuales contratos de arrendamiento dinámica

Las secciones DHCP termina con una lista de direcciones IP asignadas actualmente dinámica.

Dynamic DNS

seleccione DNS DINÁMICO en el submenú en el lado izquierdo de la pantalla.

Proveedores de DNS dinámico como DynDNS ofrecer un servicio que permite asignar un nombre de dominio disponible a nivel mundial de direcciones IP. Esto funciona incluso con las direcciones que están cambiando de forma dinámica, tales como los ofrecidos por las conexiones de ADSL

residencial. Para que esto funcione, cada vez que cambia la dirección IP, la actualización debe ser activamente propagan al proveedor de DNS dinámico.

Endian Firewall contiene un cliente de DNS dinámico de 14 proveedores diferentes - si está activado, automáticamente se conectará al proveedor de DNS dinámico y decirle que la nueva dirección IP después de cada cambio de dirección.

Para cada cuenta (puede usar más de uno), haga clic en el AÑADIR UNA SERIE de enlace, a

(28)

SERVICIO - elegir el proveedor de DNS dinámico

DETRÁS DE UN PROXY - (Sólo se aplica si usted utiliza el servicio de

no-ip.com) Marque esta casilla si su Endian Firewall se conecta a Internet a través de un proxy

PERMITEN COMODINES - algunos proveedores de DNS dinámico permite

que todos los sub-dominios de su punto de dominio a su dirección IP, es decir,

www.example.dyndns.org y example.dyndns.org tanto se resuelven en la misma dirección IP: Al marcar esta casilla se activa esta función ( si lo admite su proveedor de DNS dinámico)

NOMBRE DE HOST Y DOMINIO - el nombre de host y de dominio que registró con

su proveedor de DNS dinámico, por ejemplo "ejemplo" y "dyndns.org"

NOMBRE DE USUARIO Y CONTRASEÑA - como se indica a usted por su proveedor de

DNS dinámico

DETRÁS DEL ROUTER (NAT) - comprobar esto si su Endian Firewall no está

directamente conectado a Internet, es decir, detrás de otro router / gateway: en este caso el servicio en http://checkip.dyndns.org se utiliza para saber cuál es su dirección IP externa es

ACTIVADO - de verificación para habilitar (por defecto)

Tenga en cuenta que todavía tiene que exportar un servicio a la RED zona si desea ser capaz de utilizar que el nombre de dominio para conectarse a su casa / oficina del sistema de la Internet. El proveedor de DNS dinámico simplemente hace parte del nombre de dominio de resolución para usted. Exportación de un servicio general podría incluir la configuración del reenvío de puerto (ver CORTAFUEGOS , REENVÍO DE PUERTOS /NAT ).

ClamAV antivirus

seleccione ANTIVIRUS CLAMAV en el submenú en el lado izquierdo de la pantalla.

El proxy de correo electrónico (POP y SMTP) y web proxy (HTTP) componentes de Endian

Firewall utiliza el conocido antivirus ClamAV servicio. Esta sección le permite configurar la forma en ClamAV debe manejar las bombas de archivo (véase el párrafo siguiente para una explicación) y la frecuencia con la información acerca de nuevos virus se descarga ("programa de actualización de firmas"). También puede ver la última actualización prevista se ha realizado, así como iniciar manualmente una actualización.

(29)

Bombas de archivo son los archivos que utilizan una serie de trucos para cargar el software antivirus, hasta el punto que la mayoría de los cerdos de los recursos del servidor de seguridad (ataque de denegación de servicio). Trucos incluyen el envío de archivos pequeños hechos de archivos de gran tamaño con contenido repetido que comprimen bien (por ejemplo, un archivo de 1 GB que contiene sólo ceros comprime a tan sólo 1 MB en formato ZIP), o múltiples archivos anidados (por ejemplo, archivos zip dentro de archivos zip) o archivos que contienen un gran número de archivos vacíos, etc ..).

Para evitar este tipo de ataque, ClamAV está preconfigurado no escanear los archivos que tienen ciertos atributos, como se ha configurado aquí:

MAX. ARCHIVO DE TAMAÑO - Archivos más grandes de este tamaño en MB no

se analizan.

MAX. ARCHIVOS ANIDADOS - Archivos que contienen archivos no se analiza si

el anidamiento excede este número de niveles.

MAX. ARCHIVOS EN EL ARCHIVO - Comprimidos no se escanean si contienen más

de este número de archivos.

MAX RELACIÓN DE COMPRESIÓN - Archivos cuyo tamaño sin comprimir excede el

tamaño del archivo comprimido por más de X veces, donde X es el número especificado, no se analizan, el valor por defecto es de 1000 - cuenta que los archivos normales suelen descomprimir a no más de 10 veces el tamaño del archivo comprimido .

MANEJAR ARCHIVOS MAL - ¿Qué debe pasar a los archivos que no son

analizados por causa de los ajustes anteriores: es posible elegir entre " NO ANALIZAR, PERO PASAN "y" BLOQUEAR EL VIRUS ".

BLOQUEAR ARCHIVOS CIFRADOS - Ya que es técnicamente imposible de escanear

encriptada (protegida por contraseña) archivos, que puedan constituir un riesgo para la seguridad y es posible que desee para bloquear marcando esta casilla.

ClamAV programa de actualización de firmas de configuración

Otro aspecto importante de correr ClamAV son las firmas de antivirus las actualizaciones: Información sobre los nuevos virus se debe descargar periódicamente desde un servidor de ClamAV. El panel de configuración (arriba a la derecha) le permite elegir la frecuencia de estas actualizaciones se llevan a cabo - el valor predeterminado es una vez cada hora.

Sugerencia: mueva el ratón sobre los signos de interrogación para ver en qué momento las actualizaciones se realizan en cada caso - el valor por defecto es de un minuto más allá de la hora completa.

(30)

En esta sección se muestra la última actualización se ha realizado y lo que es la última versión de firmas de antivirus ClamAV.

Haga clic en ACTUALIZAR AHORA FIRMAS para realizar una actualización en este momento

(independientemente de las actualizaciones programadas) - tenga en cuenta que esto podría tomar algún tiempo.

También hay un enlace a la base de datos de virus en línea ClamAV en caso de que usted está buscando información acerca de un virus específico.

Servidor de tiempo

seleccione EL SERVIDOR DE TIEMPO en el submenú en el lado izquierdo de la pantalla.

Endian Firewall mantiene la hora del sistema sincronizado de los hosts de servidor de tiempo en el Internet utilizando el protocolo NTP (Network Time).

Un número de hosts de servidores de tiempo en el Internet están preconfigurados y utilizado por el sistema. Haga clic en IGNORAR SERVIDORES NTP PREDETERMINADOS para especificar sus propios

anfitriones servidor de hora. Esto puede ser necesario si está ejecutando una configuración que no permite Endian Firewall para acceder a Internet. Estos anfitriones que añadir uno por línea. Su configuración actual huso horario también se puede cambiar en esta sección.

La última forma en esta sección le brinda la posibilidad de cambiar manualmente la hora del sistema. Esto tiene sentido si el reloj del sistema está muy lejos y que le gustaría acelerar la sincronización (ya que la sincronización automática con los servidores de tiempo no se hace al instante).

De tráfico

seleccione CONFIGURACIÓN DEL TRÁFICO en el submenú en el lado izquierdo de la pantalla.

El propósito de la configuración del tráfico es para priorizar el tráfico IP que se va a través de su firewall en función del servicio. Una aplicación típica es dar prioridad a los servicios interactivos, como Secure Shell (SSH) o voz sobre IP (VoIP) sobre el tráfico a granel, como descargas.

De tráfico por enlace ascendente

Haga clic en los iconos en la parte derecha de la mesa para activar o desactivar la configuración del tráfico para cada enlace ascendente solo. Para la modulación del tráfico para que funcione

correctamente es muy importante también para especificar el real los valores de ancho de banda arriba y abajo para cada enlace ascendente: haga clic en el icono del lápiz (editar), y luego rellenar el ancho de banda hacia arriba y abajo se expresa en kbit por segundo.

(31)

Servicios de tráfico

Añadir las reglas de tráfico: haga clic en CREAR UN SERVICIO de añadir una nueva regla,

especificando:

ACTIVADO - de verificación para habilitar (por defecto) PROTOCOLO - si el servicio de prioridad es un puerto TCP o

UDP de servicios (ejemplo: SSH es un servicio TCP)

PRIORIDAD - dar una prioridad: "alto", "medio" o "bajo" PUERTO - el puerto de destino del servicio de prioridad

(por ejemplo: SSH usa el puerto 22) Haga clic en CREAR SERVICIO para guardar los ajustes y aplicar la nueva regla.

Formación de spam

seleccione FORMACIÓN DE SPAM en el submenú en el lado izquierdo de la pantalla.

SpamAssassin puede ser configurado para obtener automáticamente los correos electrónicos son mensajes de spam y cuáles no (los llamados correos de jamón). Para ser capaz de aprender, que necesita para conectarse a un host de IMAP y compruebe carpetas predefinidas para el spam y los mensajes de jamón.

La configuración por defecto es no utilizados para el entrenamiento. Todo lo que hace es

proporcionar los valores predeterminados de configuración que son heredados por las fuentes reales de formación que se puede añadir a continuación. Al hacer clic en laCONFIGURACIÓN POR DEFECTO EDICIÓN DE vincular un nuevo panel aparece cuando los valores por defecto se puede establecer:

IMAP POR DEFECTO DE ACOGIDA - el anfitrión IMAP que contiene las carpetas de

formación

NOMBRE DE USUARIO POR DEFECTO - el nombre de usuario para el anfitrión IMAP CONTRASEÑA POR DEFECTO - la contraseña del usuario

CARPETA PREDETERMINADA DE JAMÓN - el nombre de la carpeta que contiene sólo los

mensajes de jamón

POR DEFECTO LA CARPETA DE SPAM - el nombre de la carpeta que contiene sólo los

mensajes de spam

PROGRAMAR UNA FORMACIÓN AUTOMÁTICA DE FILTRO DE SPAM

- el intervalo entre los controles. Esto puede ser discapacitados o estar una hora, intervalo diario, semanal o mensual. Para obtener información detallada acerca de la hora prevista se puede mover el cursor del ratón sobre el signo de interrogación al lado del intervalo de tiempo

(32)

seleccionado.

Las fuentes de spam de formación se pueden añadir en la sección de abajo. Al hacer clic en el AÑADIR IMAP FUENTE DE SPAM FORMACIÓN enlace aparece un nuevo panel. Las opciones para los

anfitriones de formación adicionales son similares a las opciones de configuración por defecto. Lo único que falta es la programación. Esto siempre se hereda de la configuración por defecto. Tres opciones adicionales están disponibles.

ACTIVADO - si se marca esta casilla la fuente de formación

se utilizará cada vez que spamassassin está capacitado

OBSERVACIÓN - en este campo es posible guardar un comentario

para recordar el propósito de esta fuente en un momento posterior

ELIMINAR LOS CORREOS PROCESADOS - si se marca esta casilla mails serán eliminados

después de haber sido procesados

Las otras opciones se puede definir al igual que en la configuración por defecto. Si se define que reemplazar los valores predeterminados. Para guardar una fuente es necesario hacer clic en el ORIGEN DE LA ACTUALIZACIÓN DE FORMACIÓN botón después de todos los valores deseados se han

establecido.

Una fuente puede ser probado, activado, desactivado, editados o eliminados haciendo clic en el icono correspondiente en la fila. Los iconos se explican en la leyenda en la parte inferior de la página. También es posible comprobar todas las conexiones, haga clic en la PRUEBA DE TODAS LAS CONEXIONES DE botón. Tenga en cuenta que esto puede tomar algún tiempo si muchas fuentes se han definido la

formación o la conexión a los servidores de IMAP es lento.

Para iniciar el entrenamiento inmediatamente la FORMACIÓN COMIENCE AHORA tiene que hacer clic. Es

importante señalar que la capacitación puede tomar mucho tiempo dependiendo del número de fuentes, la velocidad de conexión y lo más importante en el número de correos electrónicos que se descargan.

También puede entrenar al motor de antispam manualmente si el SMTP Proxy está habilitado para la entrada, así como para los correos salientes.

Esto se hace mediante el envío de mensajes de spam a [email protected] . Que no son spam mails pueden ser enviados a [email protected] . Para que esto funcione es necesario

que spam.spam y ham.ham se puede

resolver. Por lo general esto se logra mediante la adición de estos dos nombres de host a la configuración del host en LA RED , LOS HOSTS EDITAR ,AGREGAR UN HOST en su Endian Firewall .