Desde → se pueden configurar las reglas de filtrado de paquetes. Puedes usar las abstracciones dadas anteriormente como los servicios de red o los objetos de red. Usando estos conceptos mejora la flexibilidad y claridad de las reglas, reduciendo su número.
A primera vista, tenemos cinco flujos diferentes de tráfico para establecer las reglas de cortafuegos.
- Desde redes internas a eBox
Estas reglas se usan para controlar el acceso desde los interfaces de red internos a los servicios que se ejecutan en tu máquina eBox. Varios módulos de eBox añaden reglas de filtrado por ti para gestionar los servicios de eBox más fácilmente.
- Para las redes internas
Estas reglas te permiten controlar el acceso desde tus redes internas a Internet, y el tráfico entre tus redes internas.
- Saliendo desde eBox
Estas reglas te permiten controlar el acceso desde eBox a las redes externas.
- Desde redes externas a eBox
Estas reglas te permiten controlar el acceso desde las redes externas a los servicios corriendo en tu máquina eBox.
- Desde redes externas a redes internas
Estas reglas te permiten controlar el acceso desde redes externas a las redes internas.
Ten en cuenta que los últimos dos conjuntos de reglas conceden acceso a redes no confiables sobre tus redes. Esto puede comprometer la seguridad de tu red. Según la política de seguro por defecto se recomienda, no modificar estas reglas a menos que se sepa lo que se está haciendo. La figuraFigura 6.1 trata de aclarar el concepto:
La política de denegación de paquetes para el cortafuegos de eBox es de ignorar paquetes. Esto hace que los paquetes filtrados sean descartados sin notificar al remitente.
Cada conjunto de reglas definen un comportamiento determinado para los flujos de tráfico en el que se aplican. Estas reglas se comprobarán de arriba a abajo, por tanto el orden es importante. Cada regla está formada por estos campos, algunos de ellos están sólo disponibles para algún conjunto de reglas determinado por su construcción:
- Decisión
Aceptar o denegar. Se determina explícitamente si se acepta o se deniega el flujo de tráfico.
- Origen
El origen del flujo de tráfico. Puede ser un objeto de red o una dirección IP. Este campo está disponible en cada conjunto de reglas excepto para el tráfico "Saliendo de eBox"
- Destino
El objetivo del flujo de tráfico. Puede ser un objeto de red o una dirección IP. Este campo está disponible para los conjuntos de reglas "Para redes internas", "Saliendo de eBox" y "De redes externas a redes internas".
- Servicio
El servicio que presta el flujo de tráfico como se describe en el Capítulo 5. La expresión puede ser la inversa, por ejemplo el inverso de "cualquiera" es "ninguno". Este campo es obligatorio, así para crear una nueva regla, es necesario disponer del servicio de red deseado. Si éste no existe, desde crearlo primero.
- Descripción
Una descripción opcional facilitará la gestión de reglas del cortafuegos.