Puede editar la configuración de firewall predeterminada que se aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario.

Por qué y cuándo se efectúa esta tarea

La configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La regla de Distributed Firewall predeterminada se muestra en la interfaz de usuario del firewall centralizado. La regla de Capa 3 predeterminada se muestra en la pestaña General y la regla de Capa 2 se muestra en la pestaña Ethernet.

Las reglas de Distributed Firewall predeterminadas permiten el acceso de todo el tráfico de Capa 3 y Capa 2 a los clústeres preparados en la infraestructura. La regla predeterminada se encuentra siempre al final de la tabla de reglas y no se puede eliminar ni es posible agregarle elementos. Sin embargo, puede cambiar el elemento Acción (Action) de la regla desde Permitir descartar o rechazar (Allow to Drop or Reject) e indicar si el tráfico de esa regla se debe registrar.

Procedimiento

  1. Haga clic en Firewall.

    Aparecerá la pantalla Firewall general (General Firewall).

  2. Asegúrese de estar en la pestaña General para editar la regla de Capa 3 predeterminada. Haga clic en la pestaña Ethernet para editar una regla de Capa 2.
  3. En la columna Acción (Action), expanda la sección y seleccione una de las siguientes opciones:
    • Permitir (Allow): permite que todo el tráfico de Capa 3 y Capa 2 con el origen, el destino y el protocolo especificados atraviese el contexto de firewall actual. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente.

    • Descartar (Drop): descarta los paquetes con el origen, el destino y el protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.

    • Rechazar (Reject): rechaza los paquetes con el origen, el destino y el protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar (Reject) es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito.

    Nota:

    No le recomendamos que seleccione Rechazar (Reject) como la acción para la regla predeterminada.

  4. En la columna Registro (Log), expanda la sección y seleccione (Yes) para habilitar el registro o No, para deshabilitarlo. También puede escribir notas aquí. Tenga en cuenta que si selecciona Sí (Yes), se registrarán todas las sesiones que coincidan con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.
  5. Haga clic en Guardar (Save) y confirme los cambios.