Configuración del filtrado de TCP/IP en Windows Server 2003
En este artículo se describe cómo configurar el filtrado TCP/IP en equipos basados en Microsoft Windows 2003.
Se aplica a: Windows Server 2003
Número de KB original: 816792
Resumen
Los equipos basados en Windows 2003 admiten varios métodos para controlar el acceso entrante. Uno de los métodos más sencillos y eficaces para controlar el acceso entrante es usar la característica de filtrado TCP/IP. El filtrado TCP/IP está disponible en todos los equipos basados en Windows 2003.
El filtrado TCP/IP ayuda con la seguridad porque funciona en modo kernel. Por el contrario, otros métodos para controlar el acceso entrante a equipos basados en Windows 2003, como mediante el filtro directiva IPSec y el servidor de enrutamiento y acceso remoto, dependen de los procesos en modo de usuario o de los servicios estación de trabajo y servidor.
Puede aplicar capas al esquema de control de acceso de entrada TCP/IP mediante el filtrado TCP/IP con filtros IPSec y filtrado de paquetes de enrutamiento y acceso remoto. Este enfoque es especialmente útil si desea controlar el acceso TCP/IP entrante y saliente, ya que la seguridad de TCP/IP solo controla el acceso entrante.
Nota:
El filtrado TCP/IP solo puede filtrar el tráfico entrante y no puede bloquear mensajes ICMP (Protocolo de mensajes de control de Internet), independientemente de la configuración que se configure en la columna Permitir solo protocolos IP o si no permite el Protocolo de Internet 1. Use directivas IPSec o filtrado de paquetes si necesita más control sobre el acceso saliente.
Nota:
Se recomienda usar el Asistente para configurar correo electrónico y conexión a Internet en equipos basados en SBS 2003 con dos adaptadores de red, y activar la opción Firewall y, a continuación, abrir los puertos necesarios en el adaptador de red externo. Para obtener más información sobre el Asistente para configurar el correo electrónico y la conexión a Internet, seleccione Inicio y, después, Ayuda y soporte técnico. En el cuadro Buscar , escriba Configurar correo electrónico y Asistente para conexión a Internet y, a continuación, seleccione Iniciar búsqueda. Puede encontrar información sobre el Asistente para configurar el correo electrónico y la conexión a Internet en la lista de conjuntos de resultados de Small Business Server Topics.
Configuración de la seguridad de TCP/IP en Windows Server 2003
Para configurar la seguridad de TCP/IP:
Seleccione Inicio, seleccione Panel de control, red Connections y, a continuación, seleccione la conexión de área local que desea configurar.
En el cuadro de diálogo Estado de conexión , seleccione Propiedades.
Seleccione Protocolo de Internet (TCP/IP) y, a continuación, propiedades.
En el cuadro de diálogo Propiedades del protocolo de Internet (TCP/IP ), seleccione Avanzadas.
Seleccione Opciones.
En Configuración opcional, seleccione Filtrado TCP/IP y, a continuación, seleccione Propiedades.
Haga clic para activar la casilla Habilitar filtrado TCP/IP (Todos los adaptadores).
Nota:
Al activar esta casilla, habilitará el filtrado para todos los adaptadores, pero configurará los filtros individualmente para cada adaptador. Los mismos filtros no se aplican a todos los adaptadores.
En el cuadro de diálogo Filtrado de TCP/IP , hay tres secciones en las que puede configurar el filtrado para los puertos TCP, los puertos del Protocolo de datagramas de usuario (UDP) y los protocolos de Internet. Para cada sección, configure las opciones de seguridad adecuadas para el equipo.
Nota:
Cuando se activa Permitir todo , permite todos los paquetes para el tráfico TCP o UDP. Permitir solo permite permitir solo el tráfico TCP o UDP seleccionado agregando los puertos permitidos. Para especificar los puertos, use el botón Agregar . Para bloquear todo el tráfico UDP o TCP, seleccione Permitir solo pero no agregue ningún número de puerto en la columna Puertos UDP o en la columna Puertos TCP . No puede bloquear el tráfico UDP o TCP seleccionando Permitir solo para protocolos IP y excluyendo los protocolos IP 6 y 17.
Configuración de la seguridad de TCP/IP en Windows Small Business Server 2003
Para configurar el filtrado de TCP/IP, siga estos pasos.
Nota:
Para realizar este procedimiento, debe ser miembro del grupo Administradores o del grupo Operadores de configuración de red en el equipo local.
Seleccione Inicio, seleccione Panel de control, haga clic con el botón derecho en Red Connections y, a continuación, seleccione Abrir.
Haga clic con el botón derecho en la conexión de red donde desea configurar el control de acceso entrante y, a continuación, seleccione Propiedades.
En adaptorName Connection Properties (Propiedades de conexión de adaptorName ) en la pestaña General , seleccione Protocolo de Internet (TCP/IP) y, a continuación, seleccione Propiedades.
En el cuadro de diálogo Propiedades del protocolo de Internet (TCP/IP ), seleccione Avanzadas.
Seleccione la ficha Opciones.
Seleccione Filtrado TCP/IP y, a continuación, seleccione Propiedades.
Haga clic para activar la casilla Habilitar filtrado TCP/IP (Todos los adaptadores).
Nota:
Al activar esta casilla, habilitará el filtrado para todos los adaptadores. Sin embargo, la configuración del filtro debe completarse en cada adaptador. Cuando el filtrado TCP/IP está habilitado, puede configurar cada adaptador seleccionando la opción Permitir todo , o puede permitir que solo protocolos IP específicos, puertos TCP y puertos UDP (protocolo de datagramas de usuario) acepten conexiones entrantes. Por ejemplo, si habilita el filtrado TCP/IP y configura el adaptador de red externo para permitir solo el puerto 80, esto permite que el adaptador de red externo acepte solo el tráfico web. Si el adaptador de red interno también tiene habilitado el filtrado TCP/IP, pero está configurado con la opción Permitir todo seleccionada, esto habilita la comunicación sin restricciones en el adaptador de red interno.
En Filtrado TCP/IP, hay tres columnas con las siguientes etiquetas:
- Puertos TCP
- Puertos UDP
- Protocolos IP
En cada columna, debe seleccionar una de las siguientes opciones:
- Permitir todo. Seleccione esta opción si desea permitir todos los paquetes para el tráfico TCP o UDP.
- Permitir solo. Seleccione esta opción si desea permitir solo el tráfico TCP o UDP seleccionado, seleccione Agregar y escriba el número de puerto o protocolo adecuado en el cuadro de diálogo Agregar filtro . No puede bloquear el tráfico UDP o TCP seleccionando Permitir solo en la columna Protocolos IP y, a continuación, agregando los protocolos IP 6 y 17.
Nota:
No puede bloquear los mensajes ICMP, incluso si selecciona Permitir solo en la columna Protocolos IP y, a continuación, no incluye el protocolo IP 1.
El filtrado TCP/IP solo puede filtrar el tráfico entrante. Esta característica no afecta al tráfico saliente ni a los puertos de respuesta TCP que se crean para aceptar respuestas de las solicitudes salientes. Use directivas IPSec o filtrado de paquetes de enrutamiento y acceso remoto si necesita más control sobre el acceso saliente.
Nota:
Si selecciona Permitir solo en puertos UDP, puertos TCP o la columna Protocolos IP y las listas se dejan en blanco, el adaptador de red no podrá comunicarse con nada a través de una red, ya sea localmente o a Internet.
Referencias
Para obtener más información sobre los números de puerto TCP y UDP, vea Nombre de servicio y Registro de número de puerto del protocolo de transporte.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de