Translation

(itstool) path: sect1/para
People that are used to setting up firewalls are probably also used to either having a <option>reset</option> or a <option>forward</option> rule for ident packets (<acronym>TCP</acronym> port 113). Unfortunately, this is not an applicable option with the bridge, so the best thing is to simply pass them to their destination. As long as that destination machine is not running an ident daemon, this is relatively harmless. The alternative is dropping connections on port 113, which creates some problems with services like <acronym>IRC</acronym> (the ident probe must timeout).
589/5770
Context English Spanish State
Those of you who have set up firewalls before may notice some things missing. In particular, there are no anti-spoofing rules, in fact we did <emphasis>not</emphasis> add:
Aquellos de ustedes que hayan instalado firewalls antes notarán que faltan algunas cosas. En particular, no hay reglas contra la suplantación de identidad, de hecho, <emphasis>no</emphasis> las añadimos:
add deny all from 1.2.3.4/8 to any in via fxp0
add deny all from 1.2.3.4/8 to any in via fxp0
That is, drop packets that are coming in from the outside claiming to be from our network. This is something that you would commonly do to be sure that someone does not try to evade the packet filter, by generating nefarious packets that look like they are from the inside. The problem with that is that there is <emphasis>at least</emphasis> one host on the outside interface that you do not want to ignore: the router. But usually, the <acronym>ISP</acronym> anti-spoofs at their router, so we do not need to bother that much.
Es decir, descartar los paquetes que vienen del exterior diciendo pertenecer a nuestra red. Esto es algo que normalmente haría para asegurarse de que alguien no trata de evadir el filtrado de paquetes, generando paquetes corruptos que parecen ser de dentro de la red. El problema es que hay <emphasis>al menos</emphasis> un host en la interfaz externa que no desea ignorar: el router. Pero, por lo general, el <acronym>ISP</acronym> tiene reglas contra la suplantación de identidad en su router, por lo que no tenemos que preocuparnos excesivamente.
The last rule seems to be an exact duplicate of the default rule, that is, do not let anything pass that is not specifically allowed. But there is a difference: all suspected traffic will be logged.
La última regla parece ser un duplicado exacto de la regla predeterminada, es decir, no dejar pasar nada que no esté específicamente permitido. Pero hay una diferencia: todo tráfico sospechoso será registrado.
There are two rules for passing <acronym>SMTP</acronym> and <acronym>DNS</acronym> traffic towards the mail server and the name server, if you have them. Obviously the whole rule set should be flavored to personal taste, this is only a specific example (rule format is described accurately in the <citerefentry><refentrytitle>ipfw</refentrytitle><manvolnum>8</manvolnum></citerefentry> man page). Note that in order for <quote>relay</quote> and <quote>ns</quote> to work, name service lookups must work <emphasis>before</emphasis> the bridge is enabled. This is an example of making sure that you set the IP on the correct network card. Alternatively it is possible to specify the IP address instead of the host name (required if the machine is IP-less).
Hay dos reglas para permitir el tráfico <acronym>SMTP</acronym> y <acronym>DNS</acronym> hacia los servidores de correo y de nombres, si dispone de ellos. Obviamente todo el conjunto de reglas debe ser definido de acuerdo con sus preferencias personales; esto es solo un ejemplo específico (el formato de la regla se describe con precisión en la página del manual de <citerefentry><refentrytitle>ipfw</refentrytitle><manvolnum>8</manvolnum></citerefentry>). Tenga en cuenta que para que el <quote>relay</quote> y el <quote>ns</quote> funcionen las búsquedas del servicio de nombres deben funcionar <emphasis>antes de</emphasis> que el bridge esté activado. Este es un ejemplo de cómo asegurarse de configurar la IP en la tarjeta de red correcta. Otra forma de hacer las cosas sería especificar la dirección IP en lugar del nombre del host (requerido si la máquina no tiene IP).
People that are used to setting up firewalls are probably also used to either having a <option>reset</option> or a <option>forward</option> rule for ident packets (<acronym>TCP</acronym> port 113). Unfortunately, this is not an applicable option with the bridge, so the best thing is to simply pass them to their destination. As long as that destination machine is not running an ident daemon, this is relatively harmless. The alternative is dropping connections on port 113, which creates some problems with services like <acronym>IRC</acronym> (the ident probe must timeout).
Quienes estén acostumbrados a configurar firewalls probablemente también suelan usar una regla <option>reset</option> o <option>forward</option> para los paquetes ident (<acronym>TCP</acronym> puerto 113). Por desgracia esta no es una opción válida con el bridge, por lo tanto la mejor opción es simplemente pasarlos a su destino. A menos que la máquina de destino esté ejecutando un dæmon ident es realmente inofensivo. La alternativa es eliminar las conexiones en el puerto 113, lo que creará algunos problemas con servicios como <acronym>IRC</acronym> (el probe del ident dará timeout).
The only other thing that is a little weird that you may have noticed is that there is a rule to let the bridge machine speak, and another for internal hosts. Remember that this is because the two sets of traffic will take different paths through the kernel and into the packet filter. The inside net will go through the bridge, while the local machine will use the normal IP stack to speak. Thus the two rules to handle the different cases. The <literal>in via fxp0</literal> rules work for both paths. In general, if you use <option>in via</option> rules throughout the filter, you will need to make an exception for locally generated packets, because they did not come in via any of our interfaces.
Lo único raro que puede haber notado es que existe una regla para permitir que la máquina que hace de bridge hable y otra para los hosts internos. Recuerde que esto sucede porque los dos conjuntos de tráfico tendrán diferentes rutas a través del kernel y del filtro de paquetes. La red interna pasará por el bridge, mientras que la máquina local utilizará el stack normal de IP para hablar. Por lo tanto, cada regla se ocupa de una cosa diferente. Las reglas <literal>in via fxp0</literal> funcionan para ambas rutas. En general, si utiliza las reglas <option>in via</option> en todo el filtro, debe añadir una excepción para los paquetes generados localmente, ya que no llegaron a través de ninguna de nuestras interfaces.
Contributors
Colaboradores
Many parts of this article have been taken, updated and adapted from an old text about bridging, edited by Nick Sayer. A pair of inspirations are due to an introduction on bridging by Steve Peterson.
Muchas partes de este artículo han sido obtenidas, actualizadas y adaptadas de un texto antiguo sobre el bridging, editado por Nick Sayer. Unas cuantas ideas muy inspiradoras vienen de una introducción sobre el bridging que escribió Steve Peterson.
A big thanks to Luigi Rizzo for the implementation of the bridge code in FreeBSD and for the time he has dedicated to me answering all of my related questions.
Mi más sincero agradecimiento a Luigi Rizzo por la implementación del código de bridge en FreeBSD y por el tiempo que ha dedicado a responder todas mis preguntas.
A thanks goes out also to Tom Rhodes who looked over my job of translation from Italian (the original language of this article) into English.
Un agradecimiento también a Tom Rhodes, quien revisó mi trabajo de traducción del italiano (el idioma original de este artículo) al inglés.

Loading…

People that are used to setting up firewalls are probably also used to either having a <option>reset</option> or a <option>forward</option> rule for ident packets (<acronym>TCP</acronym> port 113). Unfortunately, this is not an applicable option with the bridge, so the best thing is to simply pass them to their destination. As long as that destination machine is not running an ident daemon, this is relatively harmless. The alternative is dropping connections on port 113, which creates some problems with services like <acronym>IRC</acronym> (the ident probe must timeout).
Las personas queQuienes estáén acostumbradaos a configurar firewalls probablemente también estén acostumbradas a tenesuelan usar una regla <option>reset</option> o <option>forward</option> para los paquetes ident (<acronym>TCP</acronym> puerto 113). Desafortunadamente,Por desgracia esta no es una opción válida con el bridge, por lo tanto, la mejor opción es simplemente pasarlos a su destino. MientrasA menos que la máquina de destino no esté ejecutando un deæmonio ident, es realmente inofensivo. La alternativa es eliminar las conexiones en el puerto 113, lo que creará algunos problemas con servicios como <acronym>IRC</acronym> (el probe del ident dará timeout).
4 months ago
People that are used to setting up firewalls are probably also used to either having a <option>reset</option> or a <option>forward</option> rule for ident packets (<acronym>TCP</acronym> port 113). Unfortunately, this is not an applicable option with the bridge, so the best thing is to simply pass them to their destination. As long as that destination machine is not running an ident daemon, this is relatively harmless. The alternative is dropping connections on port 113, which creates some problems with services like <acronym>IRC</acronym> (the ident probe must timeout).
Las personas que están acostumbradas a configurar firewalls probablemente también estén acostumbradas a tener una regla <option>reset</option> o <option>forward</option> para los paquetes ident (<acronym>TCP</acronym> puerto 113). Desafortunadamente, esta no es una opción vaálida con el bridge, por lo tanto, la mejor opción es simplemente pasarlos a su destino. Mientras la máquina de destino no esté ejecutando un demonio ident, es realmente inofensivo. La alternativa es eliminar las conexiones en el puerto 113, lo que creará algunos problemas con servicios como <acronym>IRC</acronym> (el probe del ident dará timeout).
7 months ago
People that are used to setting up firewalls are probably also used to either having a <option>reset</option> or a <option>forward</option> rule for ident packets (<acronym>TCP</acronym> port 113). Unfortunately, this is not an applicable option with the bridge, so the best thing is to simply pass them to their destination. As long as that destination machine is not running an ident daemon, this is relatively harmless. The alternative is dropping connections on port 113, which creates some problems with services like <acronym>IRC</acronym> (the ident probe must timeout).
Las personas que están acostumbradas a configurar firewalls probablemente también estén acostumbradas a tener una regla <option>reset</option> o <option>forward</option> para los paquetes ident (<acronym>TCP</acronym> puerto 113). Desafortunadamente, esta no es una opción valida con el bridge, por lo tanto, la mejor opción es simplemente pasarlos a su destino. Mientras la máquina de destino no esteé ejecutando un demonio ident, es realmente inofensivo. La alternativa es eliminar las conexiones en el puerto 113, lo que creará algunos problemas con servicios como <acronym>IRC</acronym> (el probe del ident dará timeout).
7 months ago
None

New source string

FreeBSD Doc / articles_filtering-bridgeSpanish

New source string 9 months ago
Browse all component changes

Glossary

English Spanish
No related strings found in the glossary.

Source information

Source string comment
(itstool) path: sect1/para
Labels
No labels currently set.
Source string location
article.translate.xml:357
Source string age
9 months ago
Translation file
articles/es_ES/filtering-bridges.po, string 54