Puede editar la configuración de firewall predeterminada que se aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario.

Las reglas de firewall predeterminadas se aplican al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La regla de capa 3 predeterminada se encuentra en la pestaña General y la regla de capa 2 está en la pestaña Ethernet.

Las reglas de firewall predeterminadas permiten el acceso de todo el tráfico de capa 3 y capa 2 a los clústeres preparados en la infraestructura. La regla predeterminada se encuentra siempre al final de la tabla de reglas y no se puede eliminar. Sin embargo, puede cambiar el elemento Acción de la regla de Permitir a Quitar o Rechazar e indicar si el tráfico de esa regla se debe registrar.

La regla de firewall de capa 3 predeterminada se aplica a todo el tráfico, incluido DHCP. Si cambia el valor de Acción a Quitar o Rechazar, se bloqueará el tráfico DHCP. Tendrá que crear una regla para permitir el tráfico DHCP.

Requisitos previos

Compruebe que el modo Manager esté seleccionado en la interfaz de usuario de NSX Manager. Consulte NSX Manager. Si no ve los botones de los modos Directiva y Manager, consulte Configurar los ajustes de la interfaz de usuario.

Procedimiento

  1. Seleccione Seguridad > Firewall distribuido.
  2. Haga clic en la pestaña General para las reglas de Capa 3 o en la pestaña Ethernet para las reglas de Capa 2.
  3. En la columna Nombre, escriba un nuevo nombre.
  4. En la columna Acción, seleccione una de las opciones.
    • Permitir: permite que todo el tráfico de Capa 3 y Capa 2 con el origen, el destino y el protocolo especificados atraviese el contexto de firewall actual. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente.
    • Descartar: descarta los paquetes con el origen, el destino y el protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.
    • Rechazar: rechaza los paquetes con el origen, el destino y el protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito.
  5. En la opción Registro, habilite o deshabilite el registro.
    Si el registro se habilita, el rendimiento puede verse afectado.
  6. Haga clic en Publicar.