Index: head/es_ES.ISO8859-1/articles/Makefile
===================================================================
--- head/es_ES.ISO8859-1/articles/Makefile (revision 53780)
+++ head/es_ES.ISO8859-1/articles/Makefile (revision 53781)
@@ -1,27 +1,29 @@
#
# The FreeBSD Documentation Project
# The FreeBSD Spanish Documentation Project
#
# $FreeBSD$
SUBDIR =
SUBDIR+= contributing
SUBDIR+= cups
SUBDIR+= explaining-bsd
+SUBDIR+= filtering-bridges
SUBDIR+= fdp-es
SUBDIR+= freebsd-questions
SUBDIR+= ipsec-must
SUBDIR+= leap-seconds
SUBDIR+= linux-users
SUBDIR+= mailing-list-faq
SUBDIR+= nanobsd
SUBDIR+= port-mentor-guidelines
+SUBDIR+= pr-guidelines
SUBDIR+= p4-primer
SUBDIR+= problem-reports
SUBDIR+= releng
SUBDIR+= remote-install
SUBDIR+= solid-state
DOC_PREFIX?= ${.CURDIR}/../..
.include "${DOC_PREFIX}/share/mk/doc.project.mk"
Index: head/es_ES.ISO8859-1/articles/filtering-bridges/Makefile
===================================================================
--- head/es_ES.ISO8859-1/articles/filtering-bridges/Makefile (nonexistent)
+++ head/es_ES.ISO8859-1/articles/filtering-bridges/Makefile (revision 53781)
@@ -0,0 +1,24 @@
+#
+# The FreeBSD Documentation Project
+# The FreeBSD Spanish Documentation Project
+#
+# $FreeBSD$
+#
+# Article: Filtering Bridges
+
+MAINTAINER=carlavilla@FreeBSD.org
+
+DOC?= article
+
+FORMATS?= html html-split
+WITH_ARTICLE_TOC?= YES
+
+INSTALL_COMPRESSED?= gz
+INSTALL_ONLY_COMPRESSED?=
+
+SRCS= article.xml
+
+URL_RELPREFIX?= ../../../..
+DOC_PREFIX?= ${.CURDIR}/../../..
+
+.include "${DOC_PREFIX}/share/mk/doc.project.mk"
Property changes on: head/es_ES.ISO8859-1/articles/filtering-bridges/Makefile
___________________________________________________________________
Added: svn:eol-style
## -0,0 +1 ##
+native
\ No newline at end of property
Added: svn:keywords
## -0,0 +1 ##
+FreeBSD=%H
\ No newline at end of property
Added: svn:mime-type
## -0,0 +1 ##
+text/plain
\ No newline at end of property
Index: head/es_ES.ISO8859-1/articles/filtering-bridges/article.xml
===================================================================
--- head/es_ES.ISO8859-1/articles/filtering-bridges/article.xml (nonexistent)
+++ head/es_ES.ISO8859-1/articles/filtering-bridges/article.xml (revision 53781)
@@ -0,0 +1,196 @@
+
+
+
+ Filtering Bridges
+
+
+
+ AlexDupreale@FreeBSD.org
+
+
+
+ FreeBSD is a registered trademark of the FreeBSD Foundation.
+ 3Com and HomeConnect are registered trademarks of 3Com Corporation.
+ Intel, Celeron, Centrino, Core, EtherExpress, i386, i486, Itanium, Pentium, and Xeon are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries.
+ Many of the designations used by manufacturers and sellers to distinguish their products are claimed as trademarks. Where those designations appear in this document, and the FreeBSD Project was aware of the trademark claim, the designations have been followed by the ™ or the ® symbol.
+
+
+ $FreeBSD$
+
+ $FreeBSD$
+
+
+ A menudo es útil dividir una red física (como una Ethernet) en dos segmentos separados sin tener que crear subredes y usar un router para vincularlas. El dispositivo que conecta las dos redes se llama bridge. Un sistema FreeBSD con dos interfaces de red es suficiente para actuar como un bridge.
+
+ Un bridge funciona escaneando las direcciones del nivel MAC (direcciones Ethernet) de los dispositivos conectados a cada una de sus interfaces de red y luego reenvía el tráfico entre las dos redes solo si la fuente y el destino están en diferentes segmentos. En muchos aspectos, un bridge es similar a un switch de Ethernet con solo dos puertos.
+
+
+
+
+ ¿Por qué utilizar un bridge que haga filtrado?
+
+ Con más frecuencia, gracias a la reducción del coste de las conexiones de banda ancha a Internet (xDSL) y también a la reducción de las direcciones IPv4 disponibles, muchas empresas están conectadas a Internet las 24 horas del día y con pocas (a veces ni siquiera 2) direcciones IP. En estas situaciones, a menudo, es deseable tener un firewall que filtre el tráfico entrante y saliente desde y hacia Internet, pero es posible que no se pueda aplicar un filtrado de paquetes como solución, ya sea por problemas de subredes, porque el router sea de propiedad del proveedor de servicios de internet (ISP), o porque no admite tales funcionalidades. En estos escenarios, se recomienda el uso de un brigde que realice el filtrado.
+
+ Un firewall basado en un bridge que filtre se puede configurar e insertar entre el router xDSL y su hub/switch Ethernet sin causar ningún problema de numeración IP.
+
+
+
+ Proceso de instalación
+
+ No es difícil añadir funcionalidades de brigde a un sistema FreeBSD. Desde la versión 4.5 es posible cargar funcionalidades como módulos en lugar de tener que volver a compilar el kernel, simplificando mucho el procedimiento. En las siguientes subsecciones explicaré ambas formas de instalación.
+
+
+ No siga ambas instrucciones: un procedimiento excluye el otro. Seleccione la mejor opción de acuerdo a sus necesidades y habilidades.
+
+
+ Antes de continuar, asegúrese de tener al menos dos tarjetas Ethernet que admitan el modo promiscuo tanto para la recepción como para la transmisión, ya que deben poder enviar paquetes Ethernet con cualquier dirección, no solo la suya. Además, para tener una buena tasa de transferencia, las tarjetas deben ser tarjetas del bus PCI. Las mejores opciones siguen siendo Intel EtherExpress Pro, seguida de la 3Com 3c9xx series. Para simplificar la configuración del firewall, puede ser útil tener dos tarjetas de diferentes fabricantes (con diferentes controladores) para distinguir claramente qué interfaz está conectada al router y cuál a la red interna.
+
+
+ Configuración del kernel
+
+ Entonces ha decidido utilizar el método de instalación más antiguo, y también el más probado. Para empezar, debe agregar las siguientes líneas a su archivo de configuración del kernel:
+
+ options BRIDGE
+options IPFIREWALL
+options IPFIREWALL_VERBOSE
+
+ La primera línea añade el soporte para el bridge, la segunda añade la compatibilidad con el firewall y la tercera se refiere a las funciones de logging del firewall.
+
+ Ahora es necesario compilar e instalar el nuevo kernel. Puede encontrar instrucciones detalladas en la sección compilar e instalar un kernel personalizado del manual de FreeBSD.
+
+
+
+ Carga de módulos
+
+ Si ha elegido usar el nuevo y más simple método de instalación, lo único que debe hacer es añadir la siguiente línea a /boot/loader.conf :
+
+ bridge_load="YES"
+
+ De esta forma, durante el inicio del sistema, el módulo bridge.ko se cargará junto con el kernel. No es necesario añadir una línea similar para el módulo ipfw.ko, ya que se cargará automáticamente después de la ejecución de los pasos de la siguiente sección.
+
+
+
+
+ Preparación final
+
+ Antes de reiniciar para cargar el nuevo kernel o los módulos requeridos (de acuerdo con el método de instalación elegido anteriormente), debe realizar algunos cambios en el archivo de configuración /etc/rc.conf. La regla predeterminada del firewall es rechazar todos los paquetes IP. Inicialmente, configuraremos un firewall en modo , para verificar que funciona sin ningún problema en relación con el filtrado de paquetes (en el caso de que vaya a ejecutar este procedimiento de forma remota, dicha configuración evitará que permanezca aislado de la red). Coloque estas líneas en el archivo /etc/rc.conf:
+
+ firewall_enable="YES"
+firewall_type="open"
+firewall_quiet="YES"
+firewall_logging="YES"
+
+ La primera línea activará el firewall (y cargará el módulo ipfw.ko si no está compilado en el kernel), la segunda lo configurará en modo (como se explica en el archivo /etc/rc.firewall), la tercera hará que no se muestren la carga de las reglas y la cuarta habilitará el soporte de logging.
+
+ En cuanto a la configuración de las interfaces de red, la forma más utilizada es asignar solo una IP a una de las tarjetas de red, el bridge funcionará igualmente, aunque ambas interfaces tengan una o ninguna IP configurada. En el último caso (IP-less) la máquina bridge quedará aún más oculta, ya que es inaccesible desde la red: para configurarla, debe iniciar sesión desde la consola o mediante una tercera interfaz de red separada del bridge. A veces, durante el inicio del sistema, algunos programas requieren acceso a la red, por ejemplo, para la resolución del dominio: en este caso, es necesario asignar una IP a la interfaz externa (la que está conectada a Internet, donde se encuentra el servidor DNS), ya que el bridge se activará al final del procedimiento de arranque. Esto significa que la interfaz fxp0 (en nuestro caso) debe añadirse en la sección ifconfig del archivo /etc/rc.conf, mientras que xl0 no. Asignar una IP a ambas tarjetas de red no tiene mucho sentido, a menos que, durante el procedimiento de inicio, las aplicaciones tengan que acceder a servicios en ambos segmentos Ethernet.
+
+ Hay otra cosa importante que hay que saber. Cuando se ejecuta IP over Ethernet, en realidad hay dos protocolos Ethernet en uso: uno es IP, el otro es ARP. ARP realiza la conversión de la dirección IP de un host a su dirección de Ethernet (capa MAC). Para permitir la comunicación entre dos hosts separados por el bridge, es necesario que el bridge reenvíe los paquetes ARP. Dicho protocolo no está incluido en la capa IP, ya que solo existe con IP over Ethernet. El firewall de FreeBSD filtra exclusivamente en la capa IP y, por lo tanto, todos los paquetes no IP (ARP incluido) se reenvían sin ser filtrados, aunque el firewall esté configurado para no permitir nada.
+
+ Ahora es el momento de reiniciar el sistema y usarlo como antes: habrá algunos mensajes nuevos sobre el bridge y el firewall, pero el bridge no se activará y el firewall, en el modo , no bloqueará ninguna operación.
+
+ Si hay algún problema, debe solucionarlo ahora antes de continuar.
+
+
+
+ Habilitando el bridge
+
+ En este punto, para habilitar el bridge, debe ejecutar los siguientes comandos (teniendo la perspicacia para reemplazar los nombres de las dos interfaces de red fxp0 y xl0 por las suyas):
+
+ #sysctl net.link.ether.bridge.config=fxp0:0,xl0:0
+#sysctl net.link.ether.bridge.ipfw=1
+#sysctl net.link.ether.bridge.enable=1
+
+ La primera línea especifica qué interfaces deben ser activadas por el bridge, la segunda habilitará el firewall en el bridge y, finalmente, la tercera habilitará el bridge.
+
+ En este punto, debería poder insertar la máquina entre dos conjuntos de host sin comprometer ninguna capacidad de comunicación entre ellos. Si es así, el siguiente paso es añadir lo siguiente net.link.ether.bridge.[blah]=[blah] al archivo /etc/sysctl.conf, para que se ejecute al inicio.
+
+
+
+ Configurando el firewall
+
+ Ahora es el momento de crear su propio archivo de configuración con las reglas personalizadas del firewall, para proteger la red interna. Habrá alguna complicación al hacerlo porque no todas las funcionalidades del firewall están disponibles en los paquetes bridge. Además, existe una diferencia entre los paquetes que están en proceso de reenvío y los paquetes que está recibiendo la máquina local. En general, los paquetes de entrada pasan por el firewall solo una vez, no dos veces, como suele ser el caso; en realidad se filtran solo después de la recepción, por lo que las reglas que usan o nunca coincidirán. Personalmente, utilizo , aunque es una sintaxis más antigua, tiene sentido cuando la lees. Otra limitación es que usted está restringido a usar solo los comandos o para los paquetes filtrados por un bridge. Opciones más complejas como , o no están disponibles. Estas opciones pueden seguir utilizándose, pero solo en el tráfico hacia o desde la propia máquina bridge (si tiene una dirección IP).
+
+ El concepto de firewall con estado es nuevo en FreeBSD 4.0. Es una gran mejora para el tráfico UDP, el cual, generalmente es una solicitud de salida, seguida poco después por una respuesta con exactamente el mismo conjunto de direcciones IP y números de puerto (pero con origen y destino invertidos, por supuesto). Para los firewalls que no mantienen el estado, no hay forma de lidiar con este tipo de tráfico en una única sesión. Pero con un firewall que puede recordar un paquete saliente de UDP y, durante los próximos minutos, permitir una respuesta, el manejo de servicios UDP es trivial. El siguiente ejemplo muestra cómo hacerlo. Es posible hacer lo mismo con los paquetes TCP. Esto le permite evitar algunos ataques de denegación de servicio y otros trucos desagradables, pero también hace que su tabla de estado crezca rápidamente de tamaño.
+
+ Veamos una configuración de ejemplo. Primero, tenga en cuenta que en la parte superior del archivo /etc/rc.firewall ya existen reglas predeterminadas para la interfaz de loopback lo0, por lo que no es necesario preocuparse por ellas. Las reglas personalizadas deben colocarse en un archivo separado (por ejemplo, /etc/rc.firewall.local) y cargarse al inicio del sistema, modificando la línea en el archivo /etc/rc.conf donde definimos el firewall en modo :
+
+ firewall_type="/etc/rc.firewall.local"
+
+
+ Debe especificar la ruta completa, de lo contrario, no se cargará, con el riesgo de permanecer aislado de la red.
+
+
+ Para nuestro ejemplo, imagine que tiene la interfaz fxp0 conectada hacia el exterior (Internet) y la xl0 hacia el interior (LAN). La máquina que haga de brigde tiene la IP 1.2.3.4 (su ISP no puede proporcionarle una dirección así, pero para nuestro ejemplo, nos sirve).
+
+ # Cosas para las que tenemos que mantener el estado
+add check-state
+
+# Desechar todas las redes RFC 1918
+add drop all from 10.0.0.0/8 to any in via fxp0
+add drop all from 172.16.0.0/12 to any in via fxp0
+add drop all from 192.168.0.0/16 to any in via fxp0
+
+# Permitir que la máquina bridge diga lo que quiera
+# (si la máquina es IP-less no incluya estas líneas)
+add pass tcp from 1.2.3.4 to any setup keep-state
+add pass udp from 1.2.3.4 to any keep-state
+add pass ip from 1.2.3.4 to any
+
+# Permitir que los hosts internos digan lo que quieran
+add pass tcp from any to any in via xl0 setup keep-state
+add pass udp from any to any in via xl0 keep-state
+add pass ip from any to any in via xl0
+
+# Sección TCP
+# Permitir SSH
+add pass tcp from any to any 22 in via fxp0 setup keep-state
+# Permitir SMTP solo hacia el servidor de correo
+add pass tcp from any to relay 25 in via fxp0 setup keep-state
+# Permitir transferencias de zona solo por el servidor de nombres esclavo [dns2.nic.it]
+add pass tcp from 193.205.245.8 to ns 53 in via fxp0 setup keep-state
+# Dejar pasar ident probes. Es mejor que esperar a que se agote el tiempo
+add pass tcp from any to any 113 in via fxp0 setup keep-state
+# Dejar paso al rango "quarantine"
+add pass tcp from any to any 49152-65535 in via fxp0 setup keep-state
+
+# Sección UDP
+# Permitir DNS solo hacia el servidor de nombres
+add pass udp from any to ns 53 in via fxp0 keep-state
+# Dejar pasar el rango "quarantine"
+add pass udp from any to any 49152-65535 in via fxp0 keep-state
+
+# Sección ICMP
+# Dejar paso a 'ping'
+add pass icmp from any to any icmptypes 8 keep-state
+# Dejar paso a los mensajes de error generados por 'traceroute'
+add pass icmp from any to any icmptypes 3
+add pass icmp from any to any icmptypes 11
+
+# Todo lo demás es sospechoso.
+add drop log all from any to any
+
+ Aquellos de ustedes que hayan instalado firewalls antes, notarán que faltan algunas cosas. En particular, no hay reglas contra la suplantación de identidad, de hecho, no las añadimos:
+
+ add deny all from 1.2.3.4/8 to any in via fxp0
+
+ Es decir, descartar los paquetes que vienen del exterior diciendo pertenecer a nuestra red. Esto es algo que normalmente haría para asegurarse de que alguien no trata de evadir el filtrado de paquetes, generando paquetes corruptos que parecen ser de dentro de la red. El problema es que hay al menos un host en la interfaz externa que no desea ignorar: el router. Pero, por lo general, el ISP tiene reglas contra la suplantación de identidad en su router, por lo que no tenemos que tomarnos tantas molestias.
+
+ La última regla parece ser un duplicado exacto de la regla predeterminada, es decir, no dejar pasar nada que no esté específicamente permitido. Pero hay una diferencia: todo tráfico sospechoso será registrado.
+
+ Hay dos reglas para permitir el tráfico SMTP y DNS hacia los servidores de correo y de nombres, si dispone de ellos. Obviamente, todo el conjunto de reglas debe ser definido de acuerdo con sus preferencias personales, esto es solo un ejemplo específico (el formato de la regla se describe con precisión en la página del manual de ipfw8). Tenga en cuenta que para que el relay y el ns funcionen, las búsquedas del servicio de nombres deben funcionar antes de que el bridge esté activado. Este es un ejemplo de cómo asegurarse de configurar la IP en la tarjeta de red correcta. Como alternativa, puede especificar la dirección IP en lugar del nombre del host (requerido si la máquina no tiene IP).
+
+ Las personas que están acostumbradas a configurar firewalls probablemente también estén acostumbradas a tener una regla o para los paquetes ident (TCP puerto 113). Desafortunadamente, esta no es una opción válida con el bridge, por lo tanto, la mejor opción es simplemente pasarlos a su destino. Mientras la máquina de destino no esté ejecutando un demonio ident, es realmente inofensivo. La alternativa es eliminar las conexiones en el puerto 113, lo que creará algunos problemas con servicios como IRC (el probe del ident dará timeout).
+
+ Lo único raro que puede haber notado es que existe una regla para permitir que la máquina que hace de bridge hable y otra para los hosts internos. Recuerde que esto sucede porque los dos conjuntos de tráfico tendrán diferentes rutas a través del kernel y del filtro de paquetes. La red interna pasará por el bridge, mientras que la máquina local utilizará el stack normal de IP para hablar. Por lo tanto, cada regla se ocupa de una cosa diferente. Las reglas in via fxp0 funcionan para ambas rutas. En general, si utiliza las reglas en todo el filtro, debe añadir una excepción para los paquetes generados localmente, ya que no llegaron a través de ninguna de nuestras interfaces.
+
+
+
+ Colaboradores
+
+ Muchas partes de este artículo han sido obtenidas, actualizadas y adaptadas de un texto antiguo sobre el bridging, editado por Nick Sayer. Unas cuantas inspiraciones se deben a una introducción sobre el bridging de Steve Peterson.
+
+ Un gran agradecimiento a Luigi Rizzo por la implementación del código de bridge en FreeBSD y por el tiempo que me ha dedicado a responder todas mis preguntas.
+
+ Un agradecimiento también a Tom Rhodes, quien revisó mi trabajo de traducción del italiano (el idioma original de este artículo) al inglés.
+
+
Property changes on: head/es_ES.ISO8859-1/articles/filtering-bridges/article.xml
___________________________________________________________________
Added: svn:keywords
## -0,0 +1 ##
+FreeBSD=%H
\ No newline at end of property
Index: head/es_ES.ISO8859-1/articles/filtering-bridges/es_ES.po
===================================================================
--- head/es_ES.ISO8859-1/articles/filtering-bridges/es_ES.po (nonexistent)
+++ head/es_ES.ISO8859-1/articles/filtering-bridges/es_ES.po (revision 53781)
@@ -0,0 +1,877 @@
+# Sergio Carlavilla , 2019. #zanata
+# Sergio Carlavilla , 2019, 2020.
+msgid ""
+msgstr ""
+"Project-Id-Version: PACKAGE VERSION\n"
+"POT-Creation-Date: 2020-01-15 21:12+0100\n"
+"PO-Revision-Date: 2020-01-14 21:14+0000\n"
+"Last-Translator: Sergio Carlavilla \n"
+"Language-Team: Spanish \n"
+"Language: es_ES\n"
+"MIME-Version: 1.0\n"
+"Content-Type: text/plain; charset=UTF-8\n"
+"Content-Transfer-Encoding: 8bit\n"
+"Plural-Forms: nplurals=2; plural=n != 1;\n"
+"X-Generator: Weblate 3.10.1\n"
+
+#. Put one translator per line, in the form NAME , YEAR1, YEAR2
+msgctxt "_"
+msgid "translator-credits"
+msgstr "Sergio Carlavilla carlavilla@FreeBSD.org, 2020"
+
+#. (itstool) path: info/title
+#: article.translate.xml:4
+msgid "Filtering Bridges"
+msgstr "Filtering Bridges"
+
+#. (itstool) path: affiliation/address
+#: article.translate.xml:9
+#, no-wrap
+msgid "ale@FreeBSD.org"
+msgstr "ale@FreeBSD.org"
+
+#. (itstool) path: authorgroup/author
+#: article.translate.xml:8
+msgid ""
+"AlexDupre <_:address-1/> "
+msgstr ""
+"AlexDupre <_:address-1/> "
+
+#. (itstool) path: legalnotice/para
+#: article.translate.xml:14
+msgid "FreeBSD is a registered trademark of the FreeBSD Foundation."
+msgstr "FreeBSD is a registered trademark of the FreeBSD Foundation."
+
+#. (itstool) path: legalnotice/para
+#: article.translate.xml:16
+msgid "3Com and HomeConnect are registered trademarks of 3Com Corporation."
+msgstr "3Com and HomeConnect are registered trademarks of 3Com Corporation."
+
+#. (itstool) path: legalnotice/para
+#: article.translate.xml:18
+msgid ""
+"Intel, Celeron, Centrino, Core, EtherExpress, i386, i486, Itanium, Pentium, "
+"and Xeon are trademarks or registered trademarks of Intel Corporation or its "
+"subsidiaries in the United States and other countries."
+msgstr ""
+"Intel, Celeron, Centrino, Core, EtherExpress, i386, i486, Itanium, Pentium, "
+"and Xeon are trademarks or registered trademarks of Intel Corporation or its "
+"subsidiaries in the United States and other countries."
+
+#. (itstool) path: legalnotice/para
+#: article.translate.xml:22
+msgid ""
+"Many of the designations used by manufacturers and sellers to distinguish "
+"their products are claimed as trademarks. Where those designations appear in "
+"this document, and the FreeBSD Project was aware of the trademark claim, the "
+"designations have been followed by the ™ or the ® symbol."
+msgstr ""
+"Many of the designations used by manufacturers and sellers to distinguish "
+"their products are claimed as trademarks. Where those designations appear in "
+"this document, and the FreeBSD Project was aware of the trademark claim, the "
+"designations have been followed by the ™ or the ® symbol."
+
+#. (itstool) path: info/pubdate
+#. (itstool) path: info/releaseinfo
+#: article.translate.xml:30 article.translate.xml:32
+msgid ""
+"$FreeBSD: head/en_US.ISO8859-1/articles/filtering-bridges/article.xml 53717 "
+"2019-12-29 14:13:50Z carlavilla $"
+msgstr "$FreeBSD$"
+
+#. (itstool) path: abstract/para
+#: article.translate.xml:35
+msgid ""
+"Often it is useful to divide one physical network (like an Ethernet) into "
+"two separate segments without having to create subnets, and use a router to "
+"link them together. The device that connects the two networks in this way is "
+"called a bridge. A FreeBSD system with two network interfaces is enough in "
+"order to act as a bridge."
+msgstr ""
+"A menudo es útil dividir una red física (como una Ethernet) en dos segmentos "
+"separados sin tener que crear subredes y usar un router para vincularlas. El "
+"dispositivo que conecta las dos redes se llama bridge. Un sistema FreeBSD "
+"con dos interfaces de red es suficiente para actuar como un bridge."
+
+#. (itstool) path: abstract/para
+#: article.translate.xml:41
+msgid ""
+"A bridge works by scanning the addresses of MAC level "
+"(Ethernet addresses) of the devices connected to each of its network "
+"interfaces and then forwarding the traffic between the two networks only if "
+"the source and the destination are on different segments. Under many points "
+"of view a bridge is similar to an Ethernet switch with only two ports."
+msgstr ""
+"Un bridge funciona escaneando las direcciones del nivel MAC (direcciones Ethernet) de los dispositivos conectados a cada una de "
+"sus interfaces de red y luego reenvía el tráfico entre las dos redes solo si "
+"la fuente y el destino están en diferentes segmentos. En muchos aspectos, un "
+"bridge es similar a un switch de Ethernet con solo dos puertos."
+
+#. (itstool) path: sect1/title
+#: article.translate.xml:51
+msgid "Why use a filtering bridge?"
+msgstr "¿Por qué utilizar un bridge que haga filtrado?"
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:53
+msgid ""
+"More and more frequently, thanks to the lowering costs of broad band "
+"Internet connections (xDSL) and also because of the reduction of available "
+"IPv4 addresses, many companies are connected to the Internet 24 hours on 24 "
+"and with few (sometimes not even a power of 2) IP addresses. In these "
+"situations it is often desirable to have a firewall that filters incoming "
+"and outgoing traffic from and towards Internet, but a packet filtering "
+"solution based on router may not be applicable, either due to subnetting "
+"issues, the router is owned by the connectivity supplier (ISP), or because it does not support such functionalities. In these "
+"scenarios the use of a filtering bridge is highly advised."
+msgstr ""
+"Con más frecuencia, gracias a la reducción del coste de las conexiones de "
+"banda ancha a Internet (xDSL) y también a la reducción de las direcciones "
+"IPv4 disponibles, muchas empresas están conectadas a Internet las 24 horas "
+"del día y con pocas (a veces ni siquiera 2) direcciones IP. En estas "
+"situaciones, a menudo, es deseable tener un firewall que filtre el tráfico "
+"entrante y saliente desde y hacia Internet, pero es posible que no se pueda "
+"aplicar un filtrado de paquetes como solución, ya sea por problemas de "
+"subredes, porque el router sea de propiedad del proveedor de servicios de "
+"internet (ISP), o porque no admite tales funcionalidades. "
+"En estos escenarios, se recomienda el uso de un brigde que realice el "
+"filtrado."
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:65
+msgid ""
+"A bridge-based firewall can be configured and inserted between the xDSL "
+"router and your Ethernet hub/switch without any IP numbering issues."
+msgstr ""
+"Un firewall basado en un bridge que filtre se puede configurar e insertar "
+"entre el router xDSL y su hub/switch Ethernet sin causar ningún problema de "
+"numeración IP."
+
+#. (itstool) path: sect1/title
+#: article.translate.xml:71
+msgid "How to Install"
+msgstr "Proceso de instalación"
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:73
+msgid ""
+"Adding bridge functionalities to a FreeBSD system is not difficult. Since "
+"4.5 release it is possible to load such functionalities as modules instead "
+"of having to rebuild the kernel, simplifying the procedure a great deal. In "
+"the following subsections I will explain both installation ways."
+msgstr ""
+"No es difícil añadir funcionalidades de brigde a un sistema FreeBSD. Desde "
+"la versión 4.5 es posible cargar funcionalidades como módulos en lugar de "
+"tener que volver a compilar el kernel, simplificando mucho el procedimiento. "
+"En las siguientes subsecciones explicaré ambas formas de instalación."
+
+#. (itstool) path: important/para
+#: article.translate.xml:80
+msgid ""
+"Do not follow both instructions: a procedure "
+"excludes the other one. Select the best choice "
+"according to your needs and abilities."
+msgstr ""
+"No siga ambas instrucciones: un procedimiento "
+"excluye el otro. Seleccione la mejor opción de acuerdo "
+"a sus necesidades y habilidades."
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:85
+msgid ""
+"Before going on, be sure to have at least two Ethernet cards that support "
+"the promiscuous mode for both reception and transmission, since they must be "
+"able to send Ethernet packets with any address, not just their own. "
+"Moreover, to have a good throughput, the cards should be PCI bus mastering "
+"cards. The best choices are still the Intel EtherExpress Pro, followed by the 3Com 3c9xx series. To simplify the firewall configuration it may be "
+"useful to have two cards of different manufacturers (using different "
+"drivers) in order to distinguish clearly which interface is connected to the "
+"router and which to the inner network."
+msgstr ""
+"Antes de continuar, asegúrese de tener al menos dos tarjetas Ethernet que "
+"admitan el modo promiscuo tanto para la recepción como para la transmisión, "
+"ya que deben poder enviar paquetes Ethernet con cualquier dirección, no solo "
+"la suya. Además, para tener una buena tasa de transferencia, las tarjetas "
+"deben ser tarjetas del bus PCI. Las mejores opciones siguen siendo Intel "
+"EtherExpress Pro, seguida de la 3Com 3c9xx series. Para simplificar la "
+"configuración del firewall, puede ser útil tener dos tarjetas de diferentes "
+"fabricantes (con diferentes controladores) para distinguir claramente qué "
+"interfaz está conectada al router y cuál a la red interna."
+
+#. (itstool) path: sect2/title
+#: article.translate.xml:97
+msgid "Kernel Configuration"
+msgstr "Configuración del kernel"
+
+#. (itstool) path: sect2/para
+#: article.translate.xml:99
+msgid ""
+"So you have decided to use the older but well tested installation method. To "
+"begin, you have to add the following rows to your kernel configuration file:"
+msgstr ""
+"Entonces ha decidido utilizar el método de instalación más antiguo, y "
+"también el más probado. Para empezar, debe agregar las siguientes líneas a "
+"su archivo de configuración del kernel:"
+
+#. (itstool) path: sect2/programlisting
+#: article.translate.xml:103
+#, no-wrap
+msgid ""
+"options BRIDGE\n"
+"options IPFIREWALL\n"
+"options IPFIREWALL_VERBOSE"
+msgstr ""
+"options BRIDGE\n"
+"options IPFIREWALL\n"
+"options IPFIREWALL_VERBOSE"
+
+#. (itstool) path: sect2/para
+#: article.translate.xml:107
+msgid ""
+"The first line is to compile the bridge support, the second one is the "
+"firewall and the third one is the logging functions of the firewall."
+msgstr ""
+"La primera línea añade el soporte para el bridge, la segunda añade la "
+"compatibilidad con el firewall y la tercera se refiere a las funciones de "
+"logging del firewall."
+
+#. (itstool) path: sect2/para
+#: article.translate.xml:111
+msgid ""
+"Now it is necessary to build and install the new kernel. You may find "
+"detailed instructions in the Building and "
+"Installing a Custom Kernel section of the FreeBSD Handbook."
+msgstr ""
+"Ahora es necesario compilar e instalar el nuevo kernel. Puede encontrar "
+"instrucciones detalladas en la sección compilar e "
+"instalar un kernel personalizado del manual de FreeBSD."
+
+#. (itstool) path: sect2/title
+#: article.translate.xml:118
+msgid "Modules Loading"
+msgstr "Carga de módulos"
+
+#. (itstool) path: sect2/para
+#: article.translate.xml:120
+msgid ""
+"If you have chosen to use the new and simpler installation method, the only "
+"thing to do now is add the following row to /boot/loader.conf:"
+msgstr ""
+"Si ha elegido usar el nuevo y más simple método de instalación, lo único que "
+"debe hacer es añadir la siguiente línea a /boot/loader.conf :"
+
+#. (itstool) path: sect2/programlisting
+#: article.translate.xml:124
+#, no-wrap
+msgid "bridge_load=\"YES\""
+msgstr "bridge_load=\"YES\""
+
+#. (itstool) path: sect2/para
+#: article.translate.xml:126
+msgid ""
+"In this way, during the system startup, the bridge.ko "
+"module will be loaded together with the kernel. It is not required to add a "
+"similar row for the ipfw.ko module, since it will be "
+"loaded automatically after the execution of the steps in the following "
+"section."
+msgstr ""
+"De esta forma, durante el inicio del sistema, el módulo bridge.ko se cargará junto con el kernel. No es necesario añadir una línea "
+"similar para el módulo ipfw.ko, ya que se cargará "
+"automáticamente después de la ejecución de los pasos de la siguiente sección."
+
+#. (itstool) path: sect1/title
+#: article.translate.xml:136
+msgid "Final Preparation"
+msgstr "Preparación final"
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:138
+msgid ""
+"Before rebooting in order to load the new kernel or the required modules "
+"(according to the previously chosen installation method), you have to make "
+"some changes to the /etc/rc.conf configuration file. "
+"The default rule of the firewall is to reject all IP packets. Initially we "
+"will set up an firewall, in order to verify its "
+"operation without any issue related to packet filtering (in case you are "
+"going to execute this procedure remotely, such configuration will avoid you "
+"to remain isolated from the network). Put these lines in /etc/rc."
+"conf:"
+msgstr ""
+"Antes de reiniciar para cargar el nuevo kernel o los módulos requeridos (de "
+"acuerdo con el método de instalación elegido anteriormente), debe realizar "
+"algunos cambios en el archivo de configuración /etc/rc.conf. La regla predeterminada del firewall es rechazar todos los "
+"paquetes IP. Inicialmente, configuraremos un firewall en modo mode (as explained in "
+"/etc/rc.firewall), the third one to not show rules "
+"loading and the fourth one to enable logging support."
+msgstr ""
+"La primera línea activará el firewall (y cargará el módulo ipfw."
+"ko si no está compilado en el kernel), la segunda lo configurará "
+"en modo (como se explica en el archivo /etc/"
+"rc.firewall), la tercera hará que no se muestren la carga de las "
+"reglas y la cuarta habilitará el soporte de logging."
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:159
+msgid ""
+"About the configuration of the network interfaces, the most used way is to "
+"assign an IP to only one of the network cards, but the bridge will work "
+"equally even if both interfaces or none has a configured IP. In the last "
+"case (IP-less) the bridge machine will be still more hidden, as inaccessible "
+"from the network: to configure it, you have to login from console or through "
+"a third network interface separated from the bridge. Sometimes, during the "
+"system startup, some programs require network access, say for domain "
+"resolution: in this case it is necessary to assign an IP to the external "
+"interface (the one connected to Internet, where DNS "
+"server resides), since the bridge will be activated at the end of the "
+"startup procedure. It means that the fxp0 interface (in "
+"our case) must be mentioned in the ifconfig section of the /etc/rc."
+"conf file, while the xl0 is not. Assigning "
+"an IP to both the network cards does not make much sense, unless, during the "
+"start procedure, applications should access to services on both Ethernet "
+"segments."
+msgstr ""
+"En cuanto a la configuración de las interfaces de red, la forma más "
+"utilizada es asignar solo una IP a una de las tarjetas de red, el bridge "
+"funcionará igualmente, aunque ambas interfaces tengan una o ninguna IP "
+"configurada. En el último caso (IP-less) la máquina bridge quedará aún más "
+"oculta, ya que es inaccesible desde la red: para configurarla, debe iniciar "
+"sesión desde la consola o mediante una tercera interfaz de red separada del "
+"bridge. A veces, durante el inicio del sistema, algunos programas requieren "
+"acceso a la red, por ejemplo, para la resolución del dominio: en este caso, "
+"es necesario asignar una IP a la interfaz externa (la que está conectada a "
+"Internet, donde se encuentra el servidor DNS), ya que el "
+"bridge se activará al final del procedimiento de arranque. Esto significa "
+"que la interfaz fxp0 (en nuestro caso) debe añadirse en "
+"la sección ifconfig del archivo /etc/rc.conf, mientras "
+"que xl0 no. Asignar una IP a ambas tarjetas de red no "
+"tiene mucho sentido, a menos que, durante el procedimiento de inicio, las "
+"aplicaciones tengan que acceder a servicios en ambos segmentos Ethernet."
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:177
+msgid ""
+"There is another important thing to know. When running IP over Ethernet, "
+"there are actually two Ethernet protocols in use: one is IP, the other is "
+"ARP. ARP does the conversion of the IP "
+"address of a host into its Ethernet address (MAC layer). "
+"In order to allow the communication between two hosts separated by the "
+"bridge, it is necessary that the bridge will forward ARP "
+"packets. Such protocol is not included in the IP layer, since it exists only "
+"with IP over Ethernet. The FreeBSD firewall filters exclusively on the IP "
+"layer and therefore all non-IP packets (ARP included) "
+"will be forwarded without being filtered, even if the firewall is configured "
+"to not permit anything."
+msgstr ""
+"Hay otra cosa importante que hay que saber. Cuando se ejecuta IP over "
+"Ethernet, en realidad hay dos protocolos Ethernet en uso: uno es IP, el otro "
+"es ARP. ARP realiza la conversión de "
+"la dirección IP de un host a su dirección de Ethernet (capa MAC). Para permitir la comunicación entre dos hosts separados por el "
+"bridge, es necesario que el bridge reenvíe los paquetes ARP. Dicho protocolo no está incluido en la capa IP, ya que solo existe "
+"con IP over Ethernet. El firewall de FreeBSD filtra exclusivamente en la "
+"capa IP y, por lo tanto, todos los paquetes no IP (ARP "
+"incluido) se reenvían sin ser filtrados, aunque el firewall esté configurado "
+"para no permitir nada."
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:190
+msgid ""
+"Now it is time to reboot the system and use it as before: there will be some "
+"new messages about the bridge and the firewall, but the bridge will not be "
+"activated and the firewall, being in mode, will not "
+"avoid any operations."
+msgstr ""
+"Ahora es el momento de reiniciar el sistema y usarlo como antes: habrá "
+"algunos mensajes nuevos sobre el bridge y el firewall, pero el bridge no se "
+"activará y el firewall, en el modo , no bloqueará "
+"ninguna operación."
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:195
+msgid ""
+"If there are any problems, you should sort them out now before proceeding."
+msgstr "Si hay algún problema, debe solucionarlo ahora antes de continuar."
+
+#. (itstool) path: sect1/title
+#: article.translate.xml:200
+msgid "Enabling the Bridge"
+msgstr "Habilitando el bridge"
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:202
+msgid ""
+"At this point, to enable the bridge, you have to execute the following "
+"commands (having the shrewdness to replace the names of the two network "
+"interfaces fxp0 and xl0 with your "
+"own ones):"
+msgstr ""
+"En este punto, para habilitar el bridge, debe ejecutar los siguientes "
+"comandos (teniendo la perspicacia para reemplazar los nombres de las dos "
+"interfaces de red fxp0 y xl0 por "
+"las suyas):"
+
+#. (itstool) path: sect1/screen
+#: article.translate.xml:207
+#, no-wrap
+msgid ""
+"#sysctl net.link.ether.bridge.config=fxp0:0,xl0:0\n"
+"#sysctl net.link.ether.bridge.ipfw=1\n"
+"#sysctl net.link.ether.bridge.enable=1"
+msgstr ""
+"#sysctl net.link.ether.bridge.config=fxp0:0,xl0:0\n"
+"#sysctl net.link.ether.bridge.ipfw=1\n"
+"#sysctl net.link.ether.bridge.enable=1"
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:211
+msgid ""
+"The first row specifies which interfaces should be activated by the bridge, "
+"the second one will enable the firewall on the bridge and finally the third "
+"one will enable the bridge."
+msgstr ""
+"La primera línea especifica qué interfaces deben ser activadas por el "
+"bridge, la segunda habilitará el firewall en el bridge y, finalmente, la "
+"tercera habilitará el bridge."
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:215
+msgid ""
+"At this point you should be able to insert the machine between two sets of "
+"hosts without compromising any communication abilities between them. If so, "
+"the next step is to add the net.link.ether.bridge."
+"[blah]=[blah] portions of these rows to the /etc/sysctl.conf "
+"file, in order to have them execute at startup."
+msgstr ""
+"En este punto, debería poder insertar la máquina entre dos conjuntos de host "
+"sin comprometer ninguna capacidad de comunicación entre ellos. Si es así, el "
+"siguiente paso es añadir lo siguiente net.link.ether.bridge."
+"[blah]=[blah] al archivo /etc/sysctl.conf, para que se "
+"ejecute al inicio."
+
+#. (itstool) path: sect1/title
+#: article.translate.xml:224
+msgid "Configuring The Firewall"
+msgstr "Configurando el firewall"
+
+#. (itstool) path: sect1/para
+#: article.translate.xml:226
+msgid ""
+"Now it is time to create your own file with custom firewall rules, in order "
+"to secure the inside network. There will be some complication in doing this "
+"because not all of the firewall functionalities are available on bridged "
+"packets. Furthermore, there is a difference between the packets that are in "
+"the process of being forwarded and packets that are being received by the "
+"local machine. In general, incoming packets are run through the firewall "
+"only once, not twice as is normally the case; in fact they are filtered only "
+"upon receipt, so rules that use or which is "
+"an older syntax, but one that has a sense when you read it. Another "
+"limitation is that you are restricted to use only or "
+" commands for packets filtered by a bridge. "
+"Sophisticated things like , "
+"or are not available. Such options can still be "
+"used, but only on traffic to or from the bridge machine itself (if it has an "
+"IP address)."
+msgstr ""
+"Ahora es el momento de crear su propio archivo de configuración con las "
+"reglas personalizadas del firewall, para proteger la red interna. Habrá "
+"alguna complicación al hacerlo porque no todas las funcionalidades del "
+"firewall están disponibles en los paquetes bridge. Además, existe una "
+"diferencia entre los paquetes que están en proceso de reenvío y los paquetes "
+"que está recibiendo la máquina local. En general, los paquetes de entrada "
+"pasan por el firewall solo una vez, no dos veces, como suele ser el caso; en "
+"realidad se filtran solo después de la recepción, por lo que las reglas que "
+"usan o nunca coincidirán. "
+"Personalmente, utilizo , aunque es una sintaxis más "
+"antigua, tiene sentido cuando la lees. Otra limitación es que usted está "
+"restringido a usar solo los comandos o , o