Gua UTM

Gua de uso del servidor nice UTM

versin 2.0
Neia Ltda
2da Edicin - Enero 2011

Introduccin .................................................................................5
Como leer esta gua ..............................................................................................5

Configuracin ..............................................................................6
Ingreso ..................................................................................................................6
Configuracin General .........................................................................................6
Configuracin Avanzada ......................................................................................8
Acceso al administrador web (Admin Access) ....................................................................................8
Firewall / NAT ..........................................................................................................................10
Configuraciones de red (Networking) ..............................................................................................12
Miscelneos (Miscellaneous) .........................................................................................................14
Notificaciones (Notifications) .......................................................................................................16

Interfaces de red ..................................................................................................18

Configuracin Interfaces de red de tipo LAN, WAN VLAN ............................................................18
Asignacin de Interfaz ..................................................................................................................20
VLANs (Redes Privadas Virtuales) ...............................................................................................21

Ruteo ...................................................................................................................22
Pasarelas de red (Gateways) .........................................................................................................22
Rutas Estticas (Static Routes) .....................................................................................................22
Grupos (Groups) .........................................................................................................................23

Firewall .......................................................................................25
Alias ....................................................................................................................25
NAT ....................................................................................................................26
Redireccionamiento de Puerto (Port Forward) ..................................................................................26
Redireccionamiento 1:1 (NAT 1:1) ...............................................................................................27

Reglas de Filtro de Paquetes (Rules) ....................................................................28

Servicios ......................................................................................29
Redireccionamiento DNS (DNS Forwarder) ......................................................29
DHCP .................................................................................................................29
Proxy ...................................................................................................................30
Filtro del Proxy ............................................................................................................................30

Estado del Sistema ......................................................................34

DHCP asignados (DHCP Leases) .......................................................................34
Recargar Filtro del Firewall ................................................................................34
Interfaces de Red ................................................................................................34
Reporte de Proxy ................................................................................................34
Grficas RDD .....................................................................................................34
Servicios ..............................................................................................................34
Logs del sistema ..................................................................................................34
Grfica del trafico ...............................................................................................35
Tablero de estatus ...............................................................................................35

Introduccin
Neia Ltda desde finales el 2009 ha introducido una nueva linea de servidores nice UTM
(Unified Threat Management), la cual ha remplazado al servidor Firewall, ofreciendo as
nuevas funcionales entre otras:
Interfaz Web para la administracin
Nuevo sistema para el manejo de balanceo de carga va router
Manejo de Usuarios
Servidor DHCP para interfaces WAN
Estado del sistema y de sus diferentes servicios
Herramientas de diagnostico como captura de paquetes, ping, DNS lookup
Configuracin web de certificados para OpenVPN

COMO LEER ESTA GUA

Este manual a tenido en cuenta diferentes convenciones para denotar diferente tipo de
informacin, a continuacin:
System > Advanced - Seleccin de Men
Advanced - Seleccione de Pestaa
Apply - Botn
Hostname: Campos Obligatorios Obligatorios
Hostname: Campos de formulario NO Obligatorios

Capitulo 1

Configuracin
El servidores nice UTM tiene una interfaz web para su administracin la cual por defecto
solo es accesible por la interfaz LAN.

INGRESO
Para ingresar al sistema conecte su computador en la red donde esta conectada la interfaz
LAN del servidor nice UTM. Edite su interfaz de red y en el protocolo TCP/IP coloque la
siguiente configuracin manual:
IP:

192.168.1.100

PASARELA DE RED:

192.168.1.1

MASCARA DE RED:

255.255.255.0

CONFIGURACIN GENERAL
Seleccione System > General Setup en el men.

System (Sistema)
Hostname (Nombre del servidor): Nombre por el cual se va a identificar el servidor
nice UTM.
Domain (Dominio) : Dominio de la red Ej. midominio.com, oficina, etc. Recuerde que
NO debe utilizar el dominio 'local' como nombre.
Servidores DNS (DNS Servers): Direccin IP de los servidores DNS. Puede seleccionar
la pasarela de red Use Gateway por donde el servidor UTM va ha realizar las
peticiones DNS, esto se debe tener en cuenta para cuando existe balanceo de carga
saliente, para mas informacin ver la seccin RUTEO > GRUPOS.
Sobre escribir la lista de servidores DNS por el DHCP de conexiones PPP en la
interfaz WAN (Allow DNS server list to be overridden by DHCP/PPP on WAN). Si
se selecciona esta opcin el servidor UTM usar los DNS asignados por la conexin PPP de
la WAN para sus propios propsitos, incluyendo el reenvio DNS (DNS forwarder), pero no
se utilizar en los servicios DHCP y PPTP VPN.

 Zona horaria (Time Zone): Zona horaria que va a utilizar el servidor UTM. Recuerde
que la zona horaria va ha ser utilizada por el sistema para el registro de sus registros y
reportes.
Servidor tiempo NTP (NTP time server): servidor de sincronizacin de tiempo.

Para guardar los cambios haga clic en Save

CONFIGURACIN AVANZADA
Seleccione System > Advanced en el men.
Recuerde que estas opciones solo son para usuarios avanzados, cualquier cambio puede
provocar.

ACCESO AL ADMINISTRADOR WEB (ADMIN ACCESS)

Seleccione la pestaa Admin Access

WebConfigurator (Configuracin web del administrador web)

Protocol (Protocolo): Protocolo para el acceso (HTTP o HTTPS) a la administracin del

servidor nice UTM.
SSL Certificate (Certificado SSL): Seleccione el certificado SSL que se utilizara si
selecciona en protocolo HTTPS, para mas informacin sobre certificados digitales ver
seccin XXX.
TCP port (Puerto TCP): Ingrese el puerto por el cual desea ingresar al administrador
web
WebGUI redirect (Redireccin hacia el administrador web): Si selecciona el campo de
chequeo de deshabilita la regla de redireccin hacia el administrador web.
Anti-lockout (Antibloqueo): Cuando el campo de chequeo no est seleccionado se
habilita una regla del firewall que permite el acceso al administrador web a travs de la
interfaz LAN, en caso contrario el acceso se bloquea y se debe habilitar manualmente a
travs de las reglas del firewall.
DNS Rebind Check (Chequeo de DNS Rebind): Cuando el campo de chequeo no est
seleccionado el sistema evita ataques DNS Rebinding, en caso contrario esta proteccin se
deshabilita.

Secure Shell (Shell Seguro)

 Secure Shell Server (Servidor de Shell seguro): Cuando el campo de chequeo est
seleccionado se activa el servicio de de Shell seguro en caso contrario se deshabilita este
servicio.
Authentication Method (Mtodo de Autenticacin): Cuando el campo de chequeo est
seleccionado se desactiva el acceso por clave y se activa el acceso por llaves RSA
autorizadas.
SSH port (puerto SSH): Puerto del servicio SSH. Si no se ingresa ningn numero el
servicio corre por defecto en el puerto 22.

Serial Communications (Comunicaciones por puerto serial)

Serial Terminal (Terminal de puerto serial): Cuando el campo de chequeo est
seleccionado se activa el puerto serial(9600/8/N/1) y se redirecciona la consola del de la
tarjeta de video y el teclado hacia este.
Console Options (Opciones de Consola):
Console Menu (Men de consola): Cuando el campo de chequeo est seleccionado el
men de consola solo se puede acceder con usuario y clave.

Para guardar los cambios haga clic en Save

FIREWALL / NAT
Seleccione la pestaa Firewall / NAT

Firewall Advanced (Opciones avanzadas del firewall)

IP Do-Not-Fragment compatibility (Compatibilidad Do-Not-Fragment): Cuando el
campo de chequeo est seleccionado limpia los bits DF en vez de eliminar los paquetes.
Esto permite la comunicacin en hosts que generan paquetes con bits no fragmentados
(DF). Es conocido que el servicio NFS de Linux hace esto.
IP Random id generation (Generacin aleatoria de id en el encabezado IP): Cuando
el campo de chequeo est seleccionado inserta un id mas fuerte in el encabezado IP de los
paquetes que pasan a travs del filtro.
Firewall Optimization Options:
- Normal: Algoritmo de optimizacin normal
- High-latency (Alta latencia): Algoritmo utilizado para conexiones de alta latencia, como
conexiones satelitales.
- Aggressive (Agresiva): Algoritmo que expira las conexiones idle rpidamente. Esto es
eficiente en el uso de CPU y memoria pero puede eliminar conexiones establecidas.
- Conservative (Concervadora): Trata de no eliminar las conexiones legitimas a expensas
de incrementar el uso de la CPU y memoria.
Disable Firewall (Desactivacin del Firewall): Cuando el campo de chequeo est
seleccionado se desactiva el filtro y el servidor se vuelve solo una plataforma de ruteo. Esto
tambin desactiva el NAT.
Disable Firewall Scrub (Desactivar la normalizacin de paquetes Scrub): Cuando
el campo de chequeo est seleccionado se desactiva la normalizacin de paquetes Scrub.
Desactivar la normalizacin de paquetes puede causar problemas con servicios como NFS
y PPTP.
Firewall Maximun States (Maximo numero de estados): Numero mximo de
conexiones que puede mantener el firewall en su tabla de estado. El sistema le indicara el
mximo de estados que tiene por defecto.
Firewall Maximum Table Entries (Maximo numero de entradas en las tablas):
Numero mximo de conexiones que pueden las tablas (aliases, bloqueo ssh, snort, etc). El
sistema le indicara el mximo de estados que tiene por defecto.
Static Route Filtering (Filtrado de rutas estticas): Cuando el campo de chequeo est
seleccionado el trafico de las rutas estticas que entran y salen a travs de la misma interfaz

no es revisado por el firewall. Solo aplica para cuando se define una o mas rutas estticas.

Network Address Tranlatin (Traduccin de direcciones de red NAT)

Disable NAT Reflection for port forwards (Desactivar la reflexin para
redireccin de puertos del NAT): Cuando el campo de chequeo est seleccionado
deshabilita la creacin automtica de reglas adicional de redireccin NAT para acceder
los puertos redireccionados en la IP externa desde su red interna. La reflexin para
redirecin de puertos no aplica para rangos de puertos mayores a 500.

la
se
a
la

Reflection Tiemout (tiempo de espera): Tiempo de espera para la reflexin en

segundos.
Disable NAT Reflection for 1:1 NAT (Desactivar la reflexin para NAT 1:1): Cuando
el campo de chequeo est seleccionado se deshabilita la creacin adicional de mapeos 1:1
para el acceso NAT 1:1 para acceder desde la IP externa s su red interna. La reflexin
para NAT 1:1 no funciona en ciertos escenarios complejos de ruteo.
TFFTP Proxy (Proxy TFTP): Selecciona las interfaces de red en la que desea ayuda por
parte del proxy TFTP.

CONFIGURACIONES DE RED (NETWORKING)

Seleccione la pestaa Networking (Configuraciones de red)

IPv6 Options (Opciones IPv6)

Allow IPv6 (Permitir IPv6): Cuando el campo de chequeo NO est seleccionado todo el
trafico IPv6 es bloqueado.
IPv6 over IPv4 Tunneling (Encapsulamiento de paquetes de IPv6 sobre NAT IPv4):
Cuando el campo de chequeo est seleccionado provee compatibilidad RFC 2893 lo cual
permite utilizar un tnel IPv6 sobre infraestructura de ruteo IPv4. Recuerde que que si esta
este punto esta activado debe agregar al firewall la regla que permita paquetes IPv6

Network Interfaces (Interfaces de Red)

Device polling (Verificar el estado del dispositivo): Cuando el campo de chequeo est
seleccionado se activa una verificacin peridica que previene que cuando exista mucha
carga en la interfaz de red no se pueda acceder a servicios del servidor UTM como por Ej.
Al administrador Web, SSH, etc. Por lo general no se recomienda utilizar esta opcin. Solo
ciertas tarjetas de red soportan esta opcin.
Hardware Checksum Offloading (Descarga de suma de comprobacin por
hardware): Cuando el campo de chequeo est seleccionado desactiva la descarga de suma
de comprobacin de hardware. No es recomendado desactivarlo y solo se debe utilizar para
ciertas interfaces de red que tiene problemas.
Hardware TCP Segmentation Offloading (Descarga de segmentacin TPC por
hardware): Cuando el campo de chequeo est seleccionado desactiva la descarga de
segmentacin por hardware. Esto es recomendado en la mayora de dispositivos de
interfaces de red.
Hardware Larger Receive Offloading (Descarga de mayor recepcin por hardware):
Cuando el campo de chequeo est seleccionado desactiva la descarga de mayor recepcin
por hardware. Esto es recomendado en la mayora de dispositivos de interfaces de red.
ARP Handling (Manejo de ARP): Cuando el campo de chequeo est seleccionado y
cualquiera de las pasarelas de red (gateways) se cae ARP cuando existen mltiples
interfaces en el mismo dominio de difusin (broadcast).

Para guardar los cambios haga clic en Save

MISCELNEOS (MISCELLANEOUS)
Seleccione la pestaa Miscellaneous (Miscelneos)

Load Balancing (Balanceador de Carga)

Load Balancing (Balanceador de Carga): Cuando el campo de chequeo est
seleccionado se activa las conexiones pegajosas, lo cual permite que cuando se hace
balanceo de carga entrante mediante Round-Robin las conexiones que provienen de la
misma fuente se conecten al mismo servidor web, cuando el estado expira tambin la
conexin pegajosa tambin expira.
Power Savings (Ahorro de Energa): Cuando el campo de chequeo est seleccionado se
activa el ahorro de energa se activa, lo cual permite que el sistema sistema se adapte y
segn el consumo del UTM utilice el mximo o mnimo de rendimiento. Esto solo aplica
ha ciertos sistemas.

glxsb Crypto Acceleration (Aceleracin Critografica glxsb)

glxsb: Cuando el campo de chequeo est seleccionado se activa el de funciones de
criptografa de los procesadores AMD Geode LX Security Block. Si se tiene una tarjeta de
criptografa Hifn se utilizara solo la glxsb. Si no cuenta con ninguno de estos hardware
NO debe activar esta opcin.

Schedules (Horarios)
Schedule States (Estados con horario): Cuando el campo de chequeo est seleccionado
los estados con horario cuyo tiempo hayan expirado se mantienen y no son eliminados. Por
defecto el sistema elimina los estados con horario cuyo tiempo haya expirado.

Gateway Monitoring (Monitoreo de la pasarela de red Gateway)

 States (Estados): Cuando el campo de chequeo est seleccionado los estados de una
pasarela de red (gateway) que este cado se mantienen. Por defecto el sistema elimina los
estados de la pasarela de red (gateway) cado.

Para guardar los cambios haga clic en Save

NOTIFICACIONES (NOTIFICATIONS)
Seleccione la pestaa Notifications (Notificaciones)

Growl
Registration Name (Nombre de Registro): Nombre de registro asignado en Growl.
Notification Name (Nombre de la Notificacin): Nombre de la notificacin.
IP Address (Direccin IP): Direccin IP donde se encuentra el servicio Growl.
Password (Clave): Clave del sistema donde se encuentra el servicio Growl.

SMTP E-Mail
IP Address of E-Mail server (Direccin IP del servidor de Correo Electrnico):
Direccin IP del correo electrnico el cual se usa para enviar las notificaciones del sistema.
SMTP Port of E-Mail server (Puerto del servicio SMTP del servidor de correo):
Puerto del servicio SMTP del servidor de correo, por lo general es el puerto 25 o 587.
From e-mail address (Direccin de correo que notifica): Es la direccin de correo que
notifica.
Notification E-Mail address (Direccin de correo electrnica a la cual se notifica):
Direccin de correo electrnico a la cual es sistema enva las notificaciones del UTM.
Notification E-Mail auth username (Usuario del servidor de Correo Electrnico):
Usuario de correo electrnico del cual el sistema enva las notificaciones del UTM.
Notification E-Mail auth password (Clave del servidor de Correo Electrnico): Clave
del usuario de correo electrnico del cual el sistema enva las notificaciones del UTM.
Para guardar los cambios haga clic en Save

INTERFACES DE RED
CONFIGURACIN INTERFACES DE RED DE TIPO LAN, WAN VLAN
Todas las interface de red creadas de tipo LAN (Red de Area Local), WAN (Red de Area
Amplia) o VLAN (Red de Area Local Virtual) tienen las mimas opciones de configuracin, y
se deben ajustar dependiendo del tipo de red que sea.
Seleccione System > General Setup en el men y la interfaz que desea modificar.

General Configuration (Configuracin General)

Enable (Activar): Cuando el campo de chequeo est seleccionado la interfaz se activa en
caso contrario la interfaz se desactiva. Recuerde que si la desactiva la interfaz de red no
enva o recibe informacin.
Description (Descripcin): Descripcin o nombre para la interfaz de red. No se
recomienda cambiar el nombre de esta interfaz.
Type (Tipo): Descripcin o nombre para la interfaz de red. No se recomienda cambiar el
nombre de esta interfaz.
- None (Ninguna): No permite asignar direccin IP.
- Static (Esttica): Asignacin manual de la configuracin de la interfaz de red. Al
seleccionar esta opcin aparece la configuracin (Static IP configuration) donde se
solicita la direccin IP (IP address) junto con el segmento de red y la pasarela de red
(gateway). Esta el la opcin mas recomendada para la LAN, se recomienda ingresar
una direccin IP privada con un segmento adecuado para el numero de dispositivos de
red que se tiene y como router (gateway) la opcin None.
- DHCP: Asignacin dinmica de configuracin de la interfaz de red. Al seleccionar esta
opcin aparece la configuracin (DHCP client configuratin) donde se solicita la
nombre de identificacin para el servidor DHCP (Hostname) y la direccin IP alterna
(Alias IP address), la cual se utiliza en caso de que el servidor DHCP no asigne la
direccin IP.
- PPP (Protocolo Punto a Punto): Conexin a travs de modem. Al seleccionar esta
opcin se solicitan los siguientes campos:

 Service Provider(Proveedor del Servicio): Seleccione el proveedor del servicio por el

pais (Contry).
Username (Nombre de Usuario): Nombre de usuario para la autenticacin.
Phone Number (Nmero Telefnico): Numero telefnico del proveedor PPP.
Acces Point Name (Nombre de punto de acceso): Nombre del punto de acceso para
conexiones PPP de redes telefnicas mviles (celular).
Modem Port (Puerto del Modem): puerto del modem.
Advance PPP (Configuracin avanzada): Al hacer clic en Click here se va a la opcin
de crear una interfaz de red PPP.
- PPPoE (Protocolo Punto a Punto sobre Ethernet): Conexin encapsulada del
protocolo PPP sobre ethernet, este es utilizado por proveedores de Internet de Banda
Ancha. Al seleccionar esta opcin se solicitan los siguientes campos:
Username (Nombre de Usuario): Nombre de usuario para la autenticacin.
Password (Clave): Clave para la autenticacin.
Service name: (Nombre del servicio): Nombre del servicio, por lo general se puede
dejar vaco.
Dial on demand (Marcacin por demanda): Cuando el campo de chequeo est
seleccionado se activa la marcacin por demanda, lo cual permite estar en modo de
espera, cuando se realizan peticiones estas se retrasan hasta que la conexin de salida
se establezca.
Idle timeout (Tiempo de inactividad): Tiempo en segundos de inactividad, esto
permite desconectar la conexin despus de los n segundos introducidos, si se coloca 0
esta opcin se deshabilita.
Periodic reset (Reinicio peridico): Horario en que se reinicia el servicio. Se pueden
seleccionar las siguientes opciones:
Disable (Deshabilitado): Desabilitado
Custom (Personalizado): Personalizado, debe ingresar la hora y los
minutos, si lo desea puede ingresar un da especifico, si no ingresa el
da el sistema realiza el reinicio cada da en la hora y minutos
indicados.
Pre-Set (Predefinidos): reset at each month (Reinicar cada mes), reset at
each week (Reinicar cada semana), reset at each day (Reinicar cada
da), reset at each hour (Reinicar cada hora)

- PPTP Configuration (Protocolo Punto a Punto de Tunel): Conexin de red

privada virtual o VPN desarrollada por Microsoft. Al seleccionar esta opcin se solicitan
los siguientes campos:
Username (Nombre de Usuario): Nombre de usuario para la autenticacin.
Password (Clave): Clave para la autenticacin.
Local IP address (Direccin IP local): Direccin IP local.
Remote IP address (Direccin de IP remota): Clave para la autenticacin.
Dial on demand (Marcacin por demanda): Cuando el campo de chequeo est
seleccionado se activa la marcacin por demanda, lo cual permite estar en modo de
espera, cuando se realizan peticiones estas se retrasan hasta que la conexin de salida
se establezca.
Idle timeout (Tiempo de inactividad): Tiempo en segundos de inactividad, esto
permite desconectar la conexin despus de los n segundos introducidos, si se coloca 0
esta opcin se deshabilita.

Private networks (Redes Privadas)

Block private networks (Bloquear redes privadas): Cuando el campo de chequeo est
seleccionado se bloquea el trafico de redes privadas RFC 1918 (10/8, 172.16/12,
192.168/16) y tambin direcciones loopback (127/8). Se recomienda activar esta opcin
para interfaces de tipo WAN (Red de Area Amplia) si esta tiene una direccin IP publica,
en caso contrario o de que sea tipo LAN no se recomienda su activacin.
Block bogon networks (Bloquear redes bogon): Cuando el campo de chequeo est
seleccionado se bloquea el trafico de redes reservadas o no asignadas por la IANA. Se
recomienda activar esta opcin para interfaces de tipo WAN (Red de Area Amplia) y LAN
(Red de Area Local).
Para guardar los cambios haga clic en Save

ASIGNACIN DE INTERFAZ
Esta opcin permite asignar a interfaces de red a los puertos de red que tenga el sistema
Seleccione Interfaces > assign y luego haga clic en la pestaa Interface
assignments.

El sistema mostrara el listado de interfaces de red asignada con su respectivo puerto,

exceptuando la interfaz de red WAN las dems interfaces de red se pueden eliminar del sistema
haciendo clic en el botn . Recuerde que al eliminar se perdern todas la informacin (reglas,
NAT, etc) del firewall.
Para agregar una nueva asignacin a una interfaz haga clic en botn , el sistema
automticamente creara la interfaz asignando el primer puerto de red (Network port) que se
encuentre libre, si desea cambiar el puerto de red (Network port) seleccionelo en el campo de
seleccin respectivo. Recuerde que si desea cambiar algn atributo, como por Ej. direccin IP de
la interface remitase a la seccin Configuracin Interfaces de red de tipo LAN, WAN VLAN.

VLANS (REDES PRIVADAS VIRTUALES)

Esta opcin permite crear o eliminar puertos de red de tipo VLAN.
Seleccione Interfaces > assign y luego haga clic en la pestaa VLANs
El sistema mostrara el listado de los puertos VLAN creados, se pueden eliminar del sistema
haciendo clic clic en el botn . Recuerde que al eliminar una VLAN se perdern todas la
informacin (reglas, NAT, etc) del firewall.
Para agregar una nueva asignacin a una interfaz haga clic en botn
solicitara la siguiente informacin

, el sistema le

VLAN configuration (Configuracin VLAN)

Parent Interface (Interfaz padre): Puerto de red al cual desea asignarle la VLAN. Debe
tener en cuenta que debe revisar el manual de su conmutador de red (switch) para asignar
al puerto donde se conecta la interfaz VLAN la VLAN adecuada. Si el puerto de red tiene
mas de una VLAN asignada o por ejemplo esta funcionando como una interfaz de red
LAN, se debe activar en el conmutador el soporte para varias VLANs.
VLAN tag (etiqueta VLAN): Etiqueta VLAN, recuerde esta debe estar entre 1 y 4094
Description (Descripcin): Descripcin para la VLAN.
Si desea cambiar algn atributo, como por Ej. Direccin IP de la interface remitase a la
seccin Configuracin Interfaces de red de tipo LAN, WAN VLAN.
Para guardar los cambios haga clic en Save

RUTEO
PASARELAS DE RED (GATEWAYS)
Permite crear o eliminar pasarelas de red (gateways).
Seleccione System > Routing y luego haga clic en la pestaa Gateways
El sistema mostrara el listado de las pasarelas de red (gateways) creadas, estas se pueden
eliminar del sistema haciendo clic clic en el botn . Debe tener cuidado ya que al eliminar
alguna pasarela de red (gateway) ya que puede afectar la conexin de la interfaz de red a la cual
esta asignada.
Para agregar una nueva pasarela de red (gateway) haga clic en botn
solicitara la siguiente informacin

, el sistema le

Edit Gateway (Edicin de la pasarela de red)

Interface (Interfaz de red): Interfaz de red a la cual se va a asginar la pasarela de red
(Gateway).
Name (Nombre): nombre de la pasarela de red (Gateway). Este nombre es utilizado por
el UTM para sus operaciones internas.
Gateway (pasarela de red): Direccin IP de la pasarela de red (Gateway)
Default gateway (pasarela de red por defecto): Cuando el campo de chequeo est
seleccionado esta pasarela de red se vuelve la pasarela de red por defecto del sistema.
Monitor IP (Direccin IP del Monitor): Direccin IP de un monitor alternativo. Se
utiliza por lo general para cuando la pasarela de red no responde mensajes ICMP o para
que el monitoreo lo haga sobre un servidor (Ej. DNS del proveedor) para tener la certeza
de que hay servicio sobre

RUTAS ESTTICAS (STATIC ROUTES)

Permite crear o eliminar rutas (Routes) de red estticas.
Seleccione System > Routing y luego haga clic en la pestaa Routes
El sistema mostrara el listado de la rutas de red estticas (gateways) creadas, estas se pueden
eliminar del sistema haciendo clic clic en el botn . Debe tener cuidado ya que al eliminar

alguna pasarela de red (gateway) ya que puede afectar la conexin de la interfaz de red a la cual
esta asignada.
Para agregar una nueva ruta esttica haga clic en botn
siguiente informacin

, el sistema le solicitara la

Edit route entry

Destination Network (red de destino): Ingrese la red de destino para la ruta esttica.
Gateway (pasarela de red): seleccione la pasarela de red por la cual va a rutear el trafico.
Description (descripcin): Ingrese la descripcin para describir esta ruta esttica.

GRUPOS (GROUPS)
Permite crear grupos de ruteo de tipo respaldo(backup) o de tipo balanceo, esto es utili para
realizar balanceos de cargar con 2 conexiones o ms tener una o varias conexines en modo
de backup en caso de que la ruta por defecto deje de funcionar.
Seleccione Interfaces > Routing y luego haga clic en la pestaa Groups
El sistema mostrara el listado de los grupos (groups) creados, estos se pueden eliminar del
sistema haciendo clic clic en el botn . Debe tener cuidado ya que al eliminar algn grupo
(group) ya que puede afectar las reglas del firewall donde sta est asignada.
Para agregar un nuevo grupo haga clic en botn
informacin

, el sistema le solicitara la siguiente

Edit gateway entry

Group Name (Nombre del Grupo): Ingrese el nombre del grupo.
Gateway Priority (Prioridad de la pasarela de red): Por cada pasarela de red se
mostrara un men desplegable en el cual aparecer las siguientes opciones, Never, Tier 1,
Tier 2, Tier 3, Tier 4 y Tier 5, seleccione el nivel (Tier) para las pasarelas de red que
pertenecen a este grupo(entre mas alto el numero es de menor prioridad), cuando ms de
una de las pasarela de red tiene el mismo Tier estas actan en modo de balanceo de carga.

Recuerde que para que esto tenga efecto debe seleccionar este grupo en la regla del firewall
a la cual desea aplicarlo.
Trigger Level (nivel de desencadenamiento): El nivel de desencadenamiento indica
cuando se excluye un miembro del grupo.
Description (descripcin): Ingrese la descripcin para describir el grupo.

Capitulo 2

Firewall
ALIAS
Permite crear o eliminar alias los cuales simplifican el manejo del host, networks, ports, URL
o tablas URL para las reglas de NAT y del Firewall.
Seleccione Firewall > Aliases.
El sistema mostrara el listado alias (aliases) creadas, estas se pueden eliminar del sistema
haciendo clic clic en el botn . Debe tener cuidado ya que al eliminar algn alias (Alias) puede
afectar la conexin de la interfaz de red a la cual esta asignada.
Para agregar un nuevo alias (alias) haga clic en botn
informacin

, el sistema le solicitara la siguiente

Alias Edit
Name (Nombre): Ingrese el nombre del alias.
Description (descripcin): Ingrese la descripcin para describir el alias.
Type (Tipo): Seleccione el tipo host(s) para cuando se trata de direcciones IP, network(s)
para cuando se trata de segmentos de red, Port(s) para cuando se trata de puertos, URL
para cuando se trata de direcciones URL o URL table cuando se trata de una tabla de
direcciones.
Host, Network(s), Port(s), URL y URL Table (Host, red(es), puerto(s), URL y tabla
URL): Una vez seleccionado el tipo el sistema mostrara el tipo correspondiente para
ingresar la informacin.

NAT
REDIRECCIONAMIENTO DE PUERTO (PORT FORWARD)
Permite redirigir puertos de una interfaz a un dispositivo de red de otra interfaz de red, por lo
general se utiliza en la interfaz WAN para dar acceso desde Internet por ejemplo a un
servidor web interno en el puerto 80(http).
Seleccione Firewall > NAT y luego haga clic en la pestaa Port Forward
El sistema mostrara el listado las reglas NAT de redireccionamiento (Port Forward) creadas,
estas se pueden eliminar del sistema haciendo clic clic en el botn .
Para agregar una nueva regla de NAT clic en botn
informacin

, el sistema le solicitara la siguiente

Edit Redirect entry

Desactivar (Disabled): Al seleccionar la caja de chequeo la regla se desactiva.
No RDR (NOT) (Desahabilitar el redireccionamiento): Al seleccionar la caja de
chequeo solo desactiva el redireccionamento de esta regla. Es poco usual utilizar esta
opcin.
Interface (Interface): Seleccione la interface de red (Interface) en la cual se va aplicar la
regla.
Protocol (Protocolo): Seleccione el protocolo de red (Protocol) que va a utilizar para la
regla.
Source (Fuente): Ingrese la fuente desde la cual se va aplicar la regla. Por defecto es
cualquiera (any), se puede seleccionar otras opciones como una direccin o alias (Single
host or alias), segmento de red (Network) y las direcciones del segmento de cada
interfaz o la direccin IP de estas interfaces. Si selecciona la caja de chequeo no (not) la
fuente en este caso es la inversa ingresada.
Source port range (Rango de Puertos Fuentes): Ingrese el puerto o rango de puertos
fuentes.
Destination (Destino): Ingrese el destino desde la cual se va aplicar la regla. Por defecto
es cualquiera (any), se puede seleccionar otras opciones como una direccin o alias (Single
host or alias), segmento de red (Network) y las direcciones del segmento de cada

interfaz o la direccin IP de estas interfaces. Si selecciona la caja de chequeo no (not) la

fuente en este caso es la inversa ingresada.
Destination port range (Rango de Puertos Destino): Ingrese el puerto o rango de
puertos destino.
Redirect target IP (Redireccionamiento de IP de destino): Ingrese la IP de
redireccionamiento de destino. Esta IP es la IP del servidor en el segmento de la LAN.
Redirect target Port (Redireccionamiento del Puerto de destino): Ingrese el puerto
de redireccionamiento de destino.
Description (Descripcin): Ingrese la descripcin para describir el grupo.
No XMLRPC Sync (No realizar sincronizacin XMLRPC): Si selecciona la caja de
chequeo no se sincronizara la regla con otros miembros del grupos CARP.
NAT reflection (Refleccin del NAT): Seleccione el tipo de refleccin. Por defecto
seleccione use system default.
Filter rule association (Agregar regla al filtro de paquetes): Seleccione si se va a
agregar una regla al filtro de paquetes. Esto se realiza con el fin de dejar pasar los paquetes
por la interfaz seleccionada a la IP de redireccionamiento (Redirect target IP)

REDIRECCIONAMIENTO 1:1 (NAT 1:1)

Permite redirigir una direccin IP de una interfaz a una IP de la LAN, por lo general se
utiliza en la interfaz WAN para dar redireccionar una IP publica a una IP privada.
Seleccione Firewall > NAT y luego haga clic en la pestaa 1:1
El sistema mostrara el listado las reglas NAT 1:1 creadas, estas se pueden eliminar del
sistema haciendo clic clic en el botn .
Para agregar una nueva regla de NAT clic en botn
informacin

, el sistema le solicitara la siguiente

1:1
Desactivar (Disabled): Al seleccionar la caja de chequeo la regla es desactivada.
Interface (Interface): Seleccione la interface de red (Interface) en la cual se va aplicar el
NAT.

 External Subnet IP (Direccin IP Externa): Ingrese la IP externa.

Internal IP (IP Interna): Ingrese la IP interna.
Destination (Destino): Seleccione any para NAT 1:1.
Description (Descripcin): Ingrese la descripcin para describir el grupo.
NAT reflection (Refleccin del NAT): Seleccione el tipo de refleccin. Por defecto
seleccione use system default.

REGLAS DE FILTRO DE PAQUETES (RULES)

Permite dar acceso o no desde y hacia las diferentes redes de cada interfaz de red.
Seleccione Firewall > Rules y luego haga clic en la pestaa de la interfaz que dese ver.
El sistema mostrar el listado las reglas de filtro de paquetes (Rules) creadas, estas se pueden
eliminar del sistema haciendo clic clic en el botn .
Para agregar una nueva regla de de filtro de paquetes haga clic en botn
el sistema le solicitara la siguiente informacin

al final de lista,

Edit Firewall Rule

Accin (Action): Especifica que se debe hacer con el paquete que cumpla con la regla,
existe tres opciones dejarlo pasar (pass), bloquearlo (block) y rechazarlo (Reject), la
diferencia entre bloquear y rechazar es que la primera no enva notificacin al cliente que
se le bloque la regla y la segunda si le notifica que fue rechazada.
Desactivar (Disabled): Al seleccionar la caja de chequeo la regla se desactiva.
Interface (Interface): Seleccione la interface de red (Interface) en la cual se va aplicar la
regla.
Protocol (Protocolo): Seleccione el protocolo de red (Protocol) que va a utilizar para la
regla.
Source (Fuente): Ingrese la fuente desde la cual se va aplicar la regla. Por defecto es
cualquiera (any), se puede seleccionar otras opciones como una direccin o alias (Single
host or alias), segmento de red (Network) y las direcciones del segmento de cada
interfaz o la direccin IP de estas interfaces. Si selecciona la caja de chequeo no (not) la
fuente en este caso es la inversa ingresada.

 Source port range (Rango de Puertos Fuentes): Ingrese el puerto o rango de puertos
fuentes.
Destination (Destino): Ingrese el destino desde la cual se va aplicar la regla. Por defecto
es cualquiera (any), se puede seleccionar otras opciones como una direccin o alias (Single
host or alias), segmento de red (Network) y las direcciones del segmento de cada
interfaz o la direccin IP de estas interfaces. Si selecciona la caja de chequeo no (not) la
fuente en este caso es la inversa ingresada.
Destination port range (Rango de Puertos Destino): Ingrese el puerto o rango de
puertos destino.
Destination port range (Rango de Puertos Destino): Ingrese el puerto o rango de
puertos destino.
Log (Log): Al seleccionar la caja de chequeo se guarda el log de la regla, el cual puede ser
visualizado en Status > Systemlog > Firewall.
Description (Descripcin): Ingrese la descripcin de la regla.

Capitulo 4

Servicios
REDIRECCIONAMIENTO DNS (DNS FORWARDER)

DHCP
Seleccione Services -> DHCP Server en el men principal.

Este servicio solo se presta para la interfaces LAN, si desea habilitar el servicio seleccione la
caja de chequeo .
La opcin de denegar clientes desconocidos (Deny unknown clients) permite solo asignar
direcciones a los clientes que usted asigne en la parte inferior, si desea habilitar el servicio
seleccione la caja de chequeo . Para agregar direcciones validas valla a la parte inferior de pagina
y haga clic , se debe ingresar la direccin MAC (MAC address), la direccin IP (IP address), el
nombre del host (Hostname) y la Descripcin (Descripcin) a cada dispositivo de red. Una vez
ingresado se muestra un listado donde se puede modificar haciendo clic en o eliminar haciendo
clic en .
El rango disponible (Avalible range) muestra que segmento de la red puede utilizar para
ingresar el rango (Range) de direcciones IP que puede asignar, recuerde que si si usted activa la
opcin denegar clientes desconocidos (Deny unknown clients) este rango no ser asignado.
Ingrese el los servidores WINS (WINS Server) en caso de tenerlos, servidor DNS (DNS
Server) y pasarela de red (Gateway). Recuerde que estos dos ltimos no son obligatorios y son
tomados de la configuracin del sistema.
Una vez haya realizados los respectivos cambios haga clic en Salvar (Save)

PROXY
FILTRO DEL PROXY
Le permite manejar las polticas del proxy. Recuerde que si el proxy esta modo transparente
este solo filtrara el trafico por el puerto 80 y no podr filtrar el trafico https (http seguro).
Seleccione Services > Proxy Filter. A continuacin se describe cada una de las pestaas

General Settings
- Activo (Enable). Activa o desactiva los filtros del proxy
- Lista Negra (Blacklist). Activa o desactiva las listas negras que tiene por defecto el proxy.

Una vez haya realizados los respectivos cambios haga clic en Salvar (Save) y luego si se desea
aplicar los cambios haga clic en aplicar (Apply) que se encuentra en la primera fila (Enable) para
que reinicie el servicio y se activen los cambios.

Common ACL
Destino por defecto (Default destination). Haga clic para ver las reglas de destino (estas reglas
son basadas en la lista negra o en destinos que se agregan), si se desea denegar (deny), permitir si
no esta bloqueada por otra regla (allow) o permitir siempre(white) alguna de estas reglas haga clic
en la lista de seleccione y elija la opcin de acuerdo a sus polticas.
No permitir direcciones IP en la URL (Not to allow IP addresses in URL), si se activa esta
opcin bloquea todas las URL que contenga direcciones IP. EJ. http://200.50.189.40
Una vez haya realizados los respectivos cambios haga clic en Salvar (Save) y luego si se desea
aplicar los cambios haga clic en el tab de Configuracin General (General Settings) y haga clic en
aplicar (Apply) que se encuentra en la primera fila (Enable) para que se reinicie el servicio y se
activen los cambios.

Groups ACL
Nombre (Name)
Orden (Order) de la ACL la que este de primeras tiene mayor prioridad
Fuente (Source IP adresses and domains)
Horario (Time) si desea que la ACL se ejecute en un tiempo de trabajo.
Destino (Destination). Haga clic para ver las reglas de destino (estas reglas son basadas en la
lista negra o en destinos que se agregan), se mostraran 2 columnas con las mismas listas, la de
izquierda se ejecuta si no se ha elegido un horario o en el horario si se ha elegido uno, la segunda

es para cuando no se encuentra en el periodo de tiempo solo si se ha escogido un horario, para

denegar (deny), permitir si no esta bloqueada por otra regla (allow) o permitir siempre(white)
alguna de estas reglas haga clic en la lista de seleccione y elija la opcin de acuerdo a sus polticas.
No permitir direcciones IP en la URL (Not to allow IP addresses in URL), si se activa esta
opcin bloquea todas las URL que contenga direcciones IP. EJ. http://200.50.189.40
Una vez haya realizados los respectivos cambios haga clic en Salvar (Save) y luego si se desea
aplicar los cambios haga clic en el tab de Configuracin General (General Settings) y haga clic en
aplicar (Apply) que se encuentra en la primera fila (Enable) para que se reinicie el servicio y se
activen los cambios.
Una vez ingresada la ACL se muestra un listado de todas las ACL, all se podr modificar o
eliminar la ACL haciendo clic en o haciendo clic en .

Target categories
Nombre (Name)
Lista de dominios (Domain List). Ingrese los dominios separados por espacio Ej. 'mail.ru email.ru yahoo.com'
Expresiones (Expressions). Ingrese los palabras que puede contener la URL separadas por |.
Ej. 'mail|casino|game'
Lista de URLs (Expressions). Ingrese las URL separadas por espacio Ej. 'host.com/xxx
12.10.220.125/alisa'
Una vez haya realizados los respectivos cambios haga clic en Salvar (Save) y luego si se desea
aplicar los cambios haga clic en el tab de Configuracin General (General Settings) y haga clic en
aplicar (Apply) que se encuentra en la primera fila (Enable) para que se reinicie el servicio y se
activen los cambios.

Una vez ingresado el destino se muestra un listado de todos los destinos, all se podr
modificar o eliminar el destino haciendo clic en o haciendo clic en .

Times
Nombre (Name).
Valores (Values). Seleccione el tipo de horario [ semanal (Weekly) o fecha (Date)], das (Days)
solo si a seleccionado semanal (Weekly), fecha (Date or Date range) si ha seleccionado fecha
(Date) y rango de tiempo (Time range). Si desea agregar mas valores haga clic en .
Descripcin (Description).
Una vez haya realizados los respectivos cambios haga clic en Salvar (Save) y luego si se desea
aplicar los cambios haga clic en el tab de Configuracin General (General Settings) y haga clic en
aplicar (Apply) que se encuentra en la primera fila (Enable) para que se reinicie el servicio y se
activen los cambios.
Una vez ingresado el horario se muestra un listado de todos los horarios, all se podr
modificar o eliminar el horario haciendo clic en o haciendo clic en .

Capitulo 5

Estado del Sistema

DHCP ASIGNADOS (DHCP LEASES)
Muestra todos las direcciones DHCP asignadas (Direccin IP, Direccin MAC, Nombre de
Host, Inicio, Fin, Esta en Linea, Tipo de Asignacin)

RECARGAR FILTRO DEL FIREWALL

Recarga todas las reglas del filtro de paquetes.

INTERFACES DE RED
Muestra el estado de las interfaces de red.

REPORTE DE PROXY
Reporte de las sitios web visitados a travs del servicio de proxy.

GRFICAS RDD
Reporte grfico del sistema, trafico de red, trafico de paquetes y calidad del servicio.

SERVICIOS
Estado de los servicios activos del servidor UTM. Los servicios pueden iniciar, reiniciar o
apagar.

LOGS DEL SISTEMA

Reporte de las sitios web visitados a travs del servicio de proxy.

GRFICA DEL TRAFICO

Muestra el consumo actual del ancho de banda de las interfaces asi como las direcciones IPs
que lo estn consumiendo.

TABLERO DE ESTATUS
Muestra los diferentes estados del sistema y los servicios que se prestan.