Exportar (0) Imprimir
Expandir todo

Paso 2: permitir el tráfico de red entrante no solicitado para un programa específico

Publicada: noviembre de 2007

Actualizado: diciembre de 2009

Se aplica a: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Cuando se usa un programa que debe ser capaz de recibir tráfico de red entrante no solicitado, se debe crear una regla que permita a dicho tráfico pasar a través del firewall. Normalmente, los equipos cliente no necesitan esta regla ya que los paquetes de red entrantes son respuestas a solicitudes salientes anteriores realizadas a servidores situados en otro lugar de la red. Sin embargo, si instala un servicio de red, el equipo recibirá tráfico de red no solicitado procedente de los clientes y dirigido al servicio. Los servidores, por supuesto, también esperan tráfico de red entrante no solicitado para los servicios que hospedan.

De forma predeterminada, en Windows 7 y Windows Vista, cuando inicia un programa de este tipo y el programa se registra con Windows para escuchar en un número de puerto TCP o UDP específico, Windows bloquea la solicitud y muestra un cuadro de diálogo que solicita instrucciones. Si decide permitir el programa, Windows crea de forma automática una regla de firewall para permitir todo el tráfico de red para dicho programa. También puede crear una regla similar manualmente. Si crea dicha regla y la distribuye mediante una directiva de grupo, los usuarios no tendrán por qué ver el cuadro de diálogo ni decidir qué hacer.

De forma predeterminada, en equipos que ejecutan Windows Server 2008 R2 o Windows Server 2008, no se muestra el cuadro de diálogo de notificación, pero el sistema sigue bloqueando el programa de forma silenciosa. Si el registro de paquetes descartados del firewall está habilitado, tal como se hizo en la anterior sección, entonces el archivo de registro es la única indicación de que esos paquetes llegaron y se descartaron. Por lo tanto, en los equipos en los que se ejecuta alguna de esas versiones de Windows Server, se deben crear reglas para cada programa o servicio que requiera tráfico de red entrante no solicitado. Otra ventaja de crear la regla manualmente es que se puede personalizar para restringirla únicamente al tráfico específico que requiera el programa.

noteNota
Si bien no se describe en esta guía, existe otra opción que debe conocer. La tecnología de transición IPv6, llamada Teredo, implica la tunelización de paquetes IPv6 dentro de paquetes IPv4 con encabezados UDP. Como UDP se puede traducir mediante un traductor de direcciones de red (NAT), Teredo permite a los clientes IPv6 comunicarse incluso aunque estén detrás de uno o más NAT de IPv4. Para procesar correctamente este tipo de tráfico IPv6 incrustado en IPv4, las reglas de firewall admiten una opción de “cruce seguro del perímetro”. Si la regla de firewall es para un equipo cliente que podría recibir tráfico entrante procedente de un equipo remoto a través de un túnel Teredo, entonces la regla de firewall debe especificar Permitir cruce seguro del perímetro. En la página Propiedades de la regla de firewall, en la ficha Opciones avanzadas, bajo Cruce seguro del perímetro, active Permitir cruce seguro del perímetro. Para obtener más información sobre Teredo, vea la información general sobre Teredo (puede estar en inglés) (http://go.microsoft.com/fwlink/?linkid=159757) en la biblioteca técnica de Windows Server.

En esta sección, como primer ejemplo, creará una regla de firewall que permite el tráfico entrante para el servicio Telnet a través del firewall y, a continuación, implementará la regla en MBRSVR1 mediante una directiva de grupo.

Para crear una regla de firewall que permita el tráfico entrante para un programa

  1. En MBRSVR1, en la ventana Administración de directivas de grupo, haga clic con el botón secundario en Configuración del firewall para servidores de Windows (no clientes) y, a continuación, haga clic en Editar.

  2. En el panel de navegación, expanda Configuración del equipo, expanda Directivas, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Firewall de Windows con seguridad avanzada y, a continuación, expanda Firewall de Windows con seguridad avanzada - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,dc=com.

  3. Haga clic con el botón secundario en Reglas de entrada y, a continuación, en Nueva regla.

  4. En la página Tipo de regla, haga clic en Personalizada y, a continuación, en Siguiente.

    noteNota
    Se recomienda crear reglas lo más específicas que sea posible. Eso significa que podría desear especificar tanto el programa, para garantizar que la regla solo permita el tráfico cuando el programa esté en ejecución, como el puerto, para asegurarse de que el programa solamente pueda recibir en el número de puerto especificado. Para ver todas las opciones disponibles en el asistente, use el tipo de regla Personalizada.

  5. En el cuadro de texto para Esta ruta de acceso del programa, escriba %systemroot%\system32\tlntsvr.exe.

  6. Como los programas pueden hospedar múltiples servicios, se recomienda limitar la regla también al servicio específico que desee. Junto a Servicios, haga clic en Personalizar.

  7. Haga clic en Aplicar a este servicio, seleccione Telnet, haga clic en Aceptar y, a continuación, haga clic en Siguiente.

    noteNota
    Esta lista de servicios solo incluye los servicios instalados actualmente en el equipo en el que está editando el GPO. Si el servicio que desea especificar no está instalado en el equipo, puede usar la opción Aplicar al servicio con este nombre corto de servicio y, a continuación, escriba el nombre del servicio en el cuadro de texto. Para averiguar el nombre corto del servicio, use el complemento MMC de Servicios en un equipo que tenga el servicio instalado.

  8. En la página Protocolos y puertos, haga clic en Siguiente. En la siguiente sección, restringirá la regla a un puerto específico.

  9. En la página Ámbito, haga clic en Siguiente.

  10. En la página Acción, seleccione Permitir la conexión y, a continuación, haga clic en Siguiente.

  11. En la página Perfil, desactive las casillas Privado y Público. Confirme que Dominio está activado y, a continuación, haga clic en Siguiente.

  12. En la página Nombre, escriba Permitir Telnet entrante y, después, haga clic en Finalizar.

Antes de implementar el GPO, establezca algunos valores de configuración más para asegurarse de que las reglas definidas localmente en los equipos servidor no puedan interferir con las reglas que proporciona el dominio.

Para finalizar la configuración de la regla de firewall para el servidor miembro

  1. En el panel de navegación del Editor de administración de directivas de grupo (donde se edita la Configuración de firewall para clientes Windows), haga clic con el botón secundario en Firewall de Windows con seguridad avanzada - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,dc=com y, a continuación, haga clic en Propiedades.

  2. Establezca Estado del firewall en Activo (recomendado).

  3. Establezca Conexiones entrantes en Bloquear (predet.).

  4. Establezca Conexiones salientes en Permitir (predet.). En la siguiente sección, examinará las reglas salientes.

  5. En la sección Configuración, haga clic en Personalizar.

  6. Establezca Mostrar una notificación en No.

  7. Establezca Aplicar reglas de firewall local en No.

  8. Establezca Aplicar reglas de seguridad de conexión local en No.

  9. Haga clic en Aceptar dos veces para guardar el GPO.

En este procedimiento, implementará el GPO en el servidor miembro.

Para actualizar el GPO en el servidor miembro

  1. Abra Administrador: Símbolo del sistema y, a continuación, ejecute gpupdate /force. Espere a que termine el comando.

  2. Abra el complemento Firewall de Windows con seguridad avanzada.

  3. En el panel de navegación, expanda Supervisión y, a continuación, haga clic en Firewall. Observe que la única regla activa actualmente es la regla Permitir Telnet entrante que creó en el GPO.

En este procedimiento, probará la regla de firewall implementada.

Para probar la regla de firewall de Telnet

  1. En CLIENTE1, en Administrador: Símbolo del sistema, escriba telnet mbrsvr1 y, a continuación, presione ENTRAR.

    Después de unos segundos, aparece la siguiente pantalla e indica que la regla de firewall de Telnet está funcionado.

    Muestra una conexión de Telnet correcta
  2. Cierre la sesión de Telnet; para ello, escriba exit y, a continuación, presione ENTRAR.

En este procedimiento, confirmará que no es la regla Telnet local creada cuando se instaló el servicio Servidor Telnet en MBRSVR1. Deshabilitará esa regla y confirmará que Telnet aún funciona porque la regla aplicada por el GPO estará activa.

Para confirmar que es la regla del GPO la que permite que Telnet funcione

  1. En MBRSVR1, en el complemento Firewall de Windows con seguridad avanzada, en el panel de navegación, haga clic en Reglas de entrada. Observe que la regla de firewall de Telnet basada en GPO aparece en la parte superior de la lista.

  2. Desplácese hacia abajo hasta la regla llamada Servidor Telnet, haga clic con el botón secundario en ella y, a continuación, haga clic en Deshabilitar regla.

  3. En CLIENT1, en el símbolo del sistema, vuelva a ejecutar telnet mbrsvr1 y, después, confirme que aún funciona.

  4. Cierre la sesión de Telnet; para ello, escriba exit y, a continuación, presione ENTRAR.

Finalmente, demostrará que el servicio Telnet puede escuchar tráfico de red en cualquiera de los puertos en los que la regla está actualmente configurada.

Para mostrar que la regla de firewall permite el tráfico de red Telnet en un puerto especificado

  1. En MBRSVR1, en Administrador: Símbolo del sistema, escriba tlntadmn config port=25 y, a continuación, presione ENTRAR. Esto configura el servidor Telnet para escuchar en el puerto 25 en lugar de en el 23, que es el puerto predeterminado.

  2. En CLIENT1, en el símbolo del sistema, escriba telnet mbrsvr1 25. Esta instrucción indica al cliente que use el puerto 25 para su conexión, en lugar de usar el puerto predeterminado 23.

    La conexión se establece correctamente.

En la siguiente sección, configurará la regla para permitir tráfico sólo en un número de puerto especificado. Esto es una mejora en seguridad, porque permite tráfico sólo en aquellos puertos en los que hay servicios activos escuchando.


Siguiente tema:  Paso 3: permitir el tráfico entrante en un puerto TCP o UDP específico

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft