quick-start.mo « LC_MESSAGES « es « _locale « docs - vyos-documentation.git - VyOS readthedocs (mirror of https://github.com/marekm72/vyos-documentation.git)

blob: bef277bce014f49617cf69566273bbcf0882a447 (plain)

ofs	hex dump	ascii
0000	de 12 04 95 00 00 00 00 4b 00 00 00 1c 00 00 00 74 02 00 00 65 00 00 00 cc 04 00 00 00 00 00 00	........K.......t...e...........
0020	60 06 00 00 6a 00 00 00 61 06 00 00 93 01 00 00 cc 06 00 00 46 00 00 00 60 08 00 00 34 00 00 00	`...j...a...........F...`...4...
0040	a7 08 00 00 3d 00 00 00 dc 08 00 00 5f 00 00 00 1a 09 00 00 ff 00 00 00 7a 09 00 00 56 00 00 00	....=......._...........z...V...
0060	7a 0a 00 00 18 00 00 00 d1 0a 00 00 17 00 00 00 ea 0a 00 00 c1 00 00 00 02 0b 00 00 1c 00 00 00	z...............................
0080	c4 0b 00 00 53 00 00 00 e1 0b 00 00 16 00 00 00 35 0c 00 00 d6 00 00 00 4c 0c 00 00 da 00 00 00	....S...........5.......L.......
00a0	23 0d 00 00 0f 00 00 00 fe 0d 00 00 44 00 00 00 0e 0e 00 00 12 00 00 00 53 0e 00 00 19 00 00 00	#...........D...........S.......
00c0	66 0e 00 00 23 00 00 00 80 0e 00 00 a0 00 00 00 a4 0e 00 00 12 01 00 00 45 0f 00 00 89 00 00 00	f...#...................E.......
00e0	58 10 00 00 8d 00 00 00 e2 10 00 00 31 00 00 00 70 11 00 00 14 00 00 00 a2 11 00 00 22 01 00 00	X...........1...p..........."...
0100	b7 11 00 00 95 00 00 00 da 12 00 00 b7 00 00 00 70 13 00 00 f3 00 00 00 28 14 00 00 7c 00 00 00	................p.......(...\|...
0120	1c 15 00 00 08 00 00 00 99 15 00 00 c8 00 00 00 a2 15 00 00 09 00 00 00 6b 16 00 00 cd 00 00 00	........................k.......
0140	75 16 00 00 99 00 00 00 43 17 00 00 25 01 00 00 dd 17 00 00 17 00 00 00 03 19 00 00 03 00 00 00	u.......C...%...................
0160	1b 19 00 00 bc 00 00 00 1f 19 00 00 66 00 00 00 dc 19 00 00 42 00 00 00 43 1a 00 00 16 00 00 00	............f.......B...C.......
0180	86 1a 00 00 18 00 00 00 9d 1a 00 00 0b 00 00 00 b6 1a 00 00 29 00 00 00 c2 1a 00 00 27 00 00 00	....................).......'...
01a0	ec 1a 00 00 0e 00 00 00 14 1b 00 00 2b 00 00 00 23 1b 00 00 5b 00 00 00 4f 1b 00 00 5d 00 00 00	............+...#...[...O...]...
01c0	ab 1b 00 00 47 00 00 00 09 1c 00 00 45 00 00 00 51 1c 00 00 47 00 00 00 97 1c 00 00 08 01 00 00	....G.......E...Q...G...........
01e0	df 1c 00 00 ac 00 00 00 e8 1d 00 00 94 00 00 00 95 1e 00 00 89 00 00 00 2a 1f 00 00 6d 00 00 00	........................*...m...
0200	b4 1f 00 00 f6 00 00 00 22 20 00 00 f2 00 00 00 19 21 00 00 87 00 00 00 0c 22 00 00 17 01 00 00	........"........!......."......
0220	94 22 00 00 91 00 00 00 ac 23 00 00 43 01 00 00 3e 24 00 00 9c 00 00 00 82 25 00 00 02 01 00 00	.".......#..C...>$.......%......
0240	1f 26 00 00 99 00 00 00 22 27 00 00 61 00 00 00 bc 27 00 00 64 00 00 00 1e 28 00 00 60 00 00 00	.&......"'..a....'..d....(..`...
0260	83 28 00 00 5c 00 00 00 e4 28 00 00 5a 00 00 00 41 29 00 00 da 00 00 00 9c 29 00 00 6a 00 00 00	.(..\....(..Z...A).......)..j...
0280	77 2a 00 00 93 01 00 00 e2 2a 00 00 46 00 00 00 76 2c 00 00 34 00 00 00 bd 2c 00 00 50 00 00 00	w.........F...v,..4....,..P...
02a0	f2 2c 00 00 62 00 00 00 43 2d 00 00 11 01 00 00 a6 2d 00 00 5a 00 00 00 b8 2e 00 00 18 00 00 00	.,..b...C-.......-..Z...........
02c0	13 2f 00 00 17 00 00 00 2c 2f 00 00 c1 00 00 00 44 2f 00 00 26 00 00 00 06 30 00 00 5f 00 00 00	./......,/......D/..&....0.._...
02e0	2d 30 00 00 16 00 00 00 8d 30 00 00 0a 01 00 00 a4 30 00 00 da 00 00 00 af 31 00 00 16 00 00 00	-0.......0.......0.......1......
0300	8a 32 00 00 52 00 00 00 a1 32 00 00 16 00 00 00 f4 32 00 00 19 00 00 00 0b 33 00 00 23 00 00 00	.2..R....2.......2.......3..#...
0320	25 33 00 00 a0 00 00 00 49 33 00 00 12 01 00 00 ea 33 00 00 97 00 00 00 fd 34 00 00 8d 00 00 00	%3......I3.......3.......4......
0340	95 35 00 00 47 00 00 00 23 36 00 00 23 00 00 00 6b 36 00 00 22 01 00 00 8f 36 00 00 9b 00 00 00	.5..G...#6..#...k6.."....6......
0360	b2 37 00 00 b7 00 00 00 4e 38 00 00 1d 01 00 00 06 39 00 00 7c 00 00 00 24 3a 00 00 0b 00 00 00	.7......N8.......9..\|...$:......
0380	a1 3a 00 00 c8 00 00 00 ad 3a 00 00 0e 00 00 00 76 3b 00 00 cd 00 00 00 85 3b 00 00 9d 00 00 00	.:.......:......v;.......;......
03a0	53 3c 00 00 25 01 00 00 f1 3c 00 00 1d 00 00 00 17 3e 00 00 03 00 00 00 35 3e 00 00 bc 00 00 00	S<..%....<.......>......5>......
03c0	39 3e 00 00 75 00 00 00 f6 3e 00 00 40 00 00 00 6c 3f 00 00 16 00 00 00 ad 3f 00 00 18 00 00 00	9>..u....>..@...l?.......?......
03e0	c4 3f 00 00 0e 00 00 00 dd 3f 00 00 29 00 00 00 ec 3f 00 00 37 00 00 00 16 40 00 00 0c 00 00 00	.?.......?..)....?..7....@......
0400	4e 40 00 00 2f 00 00 00 5b 40 00 00 64 00 00 00 8b 40 00 00 5d 00 00 00 f0 40 00 00 47 00 00 00	N@../...[@..d....@..]....@..G...
0420	4e 41 00 00 5b 00 00 00 96 41 00 00 47 00 00 00 f2 41 00 00 08 01 00 00 3a 42 00 00 d2 00 00 00	NA..[....A..G....A......:B......
0440	43 43 00 00 9d 00 00 00 16 44 00 00 89 00 00 00 b4 44 00 00 79 00 00 00 3e 45 00 00 f6 00 00 00	CC.......D.......D..y...>E......
0460	b8 45 00 00 07 01 00 00 af 46 00 00 8a 00 00 00 b7 47 00 00 17 01 00 00 42 48 00 00 ae 00 00 00	.E.......F.......G......BH......
0480	5a 49 00 00 43 01 00 00 09 4a 00 00 9c 00 00 00 4d 4b 00 00 02 01 00 00 ea 4b 00 00 99 00 00 00	ZI..C....J......MK.......K......
04a0	ed 4c 00 00 65 00 00 00 87 4d 00 00 64 00 00 00 ed 4d 00 00 61 00 00 00 52 4e 00 00 5c 00 00 00	.L..e....M..d....M..a...RN..\...
04c0	b4 4e 00 00 5d 00 00 00 11 4f 00 00 01 00 00 00 45 00 00 00 14 00 00 00 48 00 00 00 40 00 00 00	.N..]....O......E.......H...@...
04e0	00 00 00 00 0b 00 00 00 00 00 00 00 41 00 00 00 27 00 00 00 0d 00 00 00 00 00 00 00 0a 00 00 00	............A...'...............
0500	3c 00 00 00 32 00 00 00 00 00 00 00 00 00 00 00 3d 00 00 00 00 00 00 00 00 00 00 00 2c 00 00 00	<...2...........=...........,...
0520	06 00 00 00 2d 00 00 00 00 00 00 00 31 00 00 00 1b 00 00 00 10 00 00 00 00 00 00 00 05 00 00 00	....-.......1...................
0540	35 00 00 00 24 00 00 00 17 00 00 00 2b 00 00 00 25 00 00 00 00 00 00 00 18 00 00 00 00 00 00 00	5...$.......+...%...............
0560	46 00 00 00 4a 00 00 00 00 00 00 00 43 00 00 00 00 00 00 00 33 00 00 00 3b 00 00 00 00 00 00 00	F...J.......C.......3...;.......
0580	1e 00 00 00 00 00 00 00 2f 00 00 00 37 00 00 00 00 00 00 00 00 00 00 00 0f 00 00 00 08 00 00 00	......../...7...................
05a0	00 00 00 00 23 00 00 00 00 00 00 00 0c 00 00 00 00 00 00 00 30 00 00 00 38 00 00 00 4b 00 00 00	....#...............0...8...K...
05c0	00 00 00 00 34 00 00 00 28 00 00 00 2e 00 00 00 36 00 00 00 2a 00 00 00 02 00 00 00 26 00 00 00	....4...(.......6...*.......&...
05e0	1c 00 00 00 09 00 00 00 1a 00 00 00 13 00 00 00 16 00 00 00 11 00 00 00 12 00 00 00 07 00 00 00	................................
0600	0e 00 00 00 03 00 00 00 15 00 00 00 47 00 00 00 00 00 00 00 44 00 00 00 22 00 00 00 29 00 00 00	............G.......D..."...)...
0620	00 00 00 00 3e 00 00 00 39 00 00 00 1f 00 00 00 21 00 00 00 3f 00 00 00 19 00 00 00 1d 00 00 00	....>...9.......!...?...........
0640	00 00 00 00 04 00 00 00 49 00 00 00 00 00 00 00 00 00 00 00 20 00 00 00 42 00 00 00 3a 00 00 00	........I...............B...:...
0660	00 41 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 60 60 72 65 74 75 72 6e 60 60 2c	.A.default.action.of.``return``,
0680	20 77 68 69 63 68 20 72 65 74 75 72 6e 73 20 74 68 65 20 70 61 63 6b 65 74 20 62 61 63 6b 20 74	.which.returns.the.packet.back.t
06a0	6f 20 74 68 65 20 6f 72 69 67 69 6e 61 6c 20 63 68 61 69 6e 20 69 66 20 6e 6f 20 61 63 74 69 6f	o.the.original.chain.if.no.actio
06c0	6e 20 69 73 20 74 61 6b 65 6e 2e 00 41 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63	n.is.taken..A.new.firewall.struc
06e0	74 75 72 65 e2 80 94 77 68 69 63 68 20 75 73 65 73 20 74 68 65 20 60 60 6e 66 74 61 62 6c 65 73	ture...which.uses.the.``nftables
0700	60 60 20 62 61 63 6b 65 6e 64 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 60 60 69 70 74 61 62 6c	``.backend,.rather.than.``iptabl
0720	65 73 60 60 e2 80 94 69 73 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 6c 6c 20 69 6e 73 74 61	es``...is.available.on.all.insta
0740	6c 6c 61 74 69 6f 6e 73 20 73 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 60 60 31 2e	llations.starting.from.VyOS.``1.
0760	34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 60 60 2e 20 54 68 65 20 66 69	4-rolling-202308040557``..The.fi
0780	72 65 77 61 6c 6c 20 73 75 70 70 6f 72 74 73 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 64 69 73 74	rewall.supports.creation.of.dist
07a0	69 6e 63 74 2c 20 69 6e 74 65 72 6c 69 6e 6b 65 64 20 63 68 61 69 6e 73 20 66 6f 72 20 65 61 63	inct,.interlinked.chains.for.eac
07c0	68 20 60 4e 65 74 66 69 6c 74 65 72 20 68 6f 6f 6b 20 3c 68 74 74 70 73 3a 2f 2f 77 69 6b 69 2e	h.`Netfilter.hook.<https://wiki.
07e0	6e 66 74 61 62 6c 65 73 2e 6f 72 67 2f 77 69 6b 69 2d 6e 66 74 61 62 6c 65 73 2f 69 6e 64 65 78	nftables.org/wiki-nftables/index
0800	2e 70 68 70 2f 4e 65 74 66 69 6c 74 65 72 5f 68 6f 6f 6b 73 3e 60 5f 20 61 6e 64 20 61 6c 6c 6f	.php/Netfilter_hooks>`_.and.allo
0820	77 73 20 66 6f 72 20 6d 6f 72 65 20 67 72 61 6e 75 6c 61 72 20 63 6f 6e 74 72 6f 6c 20 6f 76 65	ws.for.more.granular.control.ove
0840	72 20 74 68 65 20 70 61 63 6b 65 74 20 66 69 6c 74 65 72 69 6e 67 20 70 72 6f 63 65 73 73 2e 00	r.the.packet.filtering.process..
0860	41 20 72 75 6c 65 20 74 6f 20 60 60 61 63 63 65 70 74 60 60 20 70 61 63 6b 65 74 73 20 66 72 6f	A.rule.to.``accept``.packets.fro
0880	6d 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 63 6f 6e 6e 65 63	m.established.and.related.connec
08a0	74 69 6f 6e 73 2e 00 41 20 72 75 6c 65 20 74 6f 20 60 60 64 72 6f 70 60 60 20 70 61 63 6b 65 74	tions..A.rule.to.``drop``.packet
08c0	73 20 66 72 6f 6d 20 69 6e 76 61 6c 69 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 64 64 20	s.from.invalid.connections..Add.
08e0	61 20 73 65 74 20 6f 66 20 66 69 72 65 77 61 6c 6c 20 70 6f 6c 69 63 69 65 73 20 66 6f 72 20 6f	a.set.of.firewall.policies.for.o
0900	75 72 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2e 00 41 66 74 65 72 20	ur.outside/WAN.interface..After.
0920	65 76 65 72 79 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 68 61 6e 67 65 2c 20 79 6f 75 20	every.configuration.change,.you.
0940	6e 65 65 64 20 74 6f 20 61 70 70 6c 79 20 74 68 65 20 63 68 61 6e 67 65 73 20 62 79 20 75 73 69	need.to.apply.the.changes.by.usi
0960	6e 67 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 63 6f 6d 6d 61 6e 64 3a 00 41 66 74 65 72 20	ng.the.following.command:.After.
0980	73 77 69 74 63 68 69 6e 67 20 74 6f 20 3a 72 65 66 3a 60 71 75 69 63 6b 2d 73 74 61 72 74 2d 63	switching.to.:ref:`quick-start-c
09a0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f 64 65 60 20 69 73 73 75 65 20 74 68 65 20 66 6f 6c	onfiguration-mode`.issue.the.fol
09c0	6c 6f 77 69 6e 67 20 63 6f 6d 6d 61 6e 64 73 2c 20 61 6e 64 20 79 6f 75 72 20 73 79 73 74 65 6d	lowing.commands,.and.your.system
09e0	20 77 69 6c 6c 20 6c 69 73 74 65 6e 20 6f 6e 20 65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 20	.will.listen.on.every.interface.
0a00	66 6f 72 20 69 6e 63 6f 6d 69 6e 67 20 53 53 48 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 20 59 6f	for.incoming.SSH.connections..Yo
0a20	75 20 6d 69 67 68 74 20 77 61 6e 74 20 74 6f 20 63 68 65 63 6b 20 74 68 65 20 3a 72 65 66 3a 60	u.might.want.to.check.the.:ref:`
0a40	73 73 68 60 20 63 68 61 70 74 65 72 20 6f 6e 20 68 6f 77 20 74 6f 20 6c 69 73 74 65 6e 20 6f 6e	ssh`.chapter.on.how.to.listen.on
0a60	20 73 70 65 63 69 66 69 63 20 61 64 64 72 65 73 73 65 73 20 6f 6e 6c 79 2e 00 41 66 74 65 72 20	.specific.addresses.only..After.
0a80	73 77 69 74 63 68 69 6e 67 20 74 6f 20 3a 72 65 66 3a 60 71 75 69 63 6b 2d 73 74 61 72 74 2d 63	switching.to.:ref:`quick-start-c
0aa0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f 64 65 60 20 69 73 73 75 65 20 74 68 65 20 66 6f 6c	onfiguration-mode`.issue.the.fol
0ac0	6c 6f 77 69 6e 67 20 63 6f 6d 6d 61 6e 64 73 3a 00 41 6c 6c 6f 77 20 41 63 63 65 73 73 20 74 6f	lowing.commands:.Allow.Access.to
0ae0	20 53 65 72 76 69 63 65 73 00 41 6c 6c 6f 77 20 4d 61 6e 61 67 65 6d 65 6e 74 20 41 63 63 65 73	.Services.Allow.Management.Acces
0b00	73 00 41 6c 74 65 72 6e 61 74 69 76 65 6c 79 2c 20 69 6e 73 74 65 61 64 20 6f 66 20 63 6f 6e 66	s.Alternatively,.instead.of.conf
0b20	69 67 75 72 69 6e 67 20 74 68 65 20 60 60 43 4f 4e 4e 5f 46 49 4c 54 45 52 60 60 20 63 68 61 69	iguring.the.``CONN_FILTER``.chai
0b40	6e 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 2c 20 79 6f 75 20 63 61 6e 20 74 61 6b 65 20	n.described.above,.you.can.take.
0b60	74 68 65 20 6d 6f 72 65 20 74 72 61 64 69 74 69 6f 6e 61 6c 20 73 74 61 74 65 66 75 6c 20 63 6f	the.more.traditional.stateful.co
0b80	6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 61 70 70 72 6f 61 63 68 20 62 79 20 63	nnection.filtering.approach.by.c
0ba0	72 65 61 74 69 6e 67 20 72 75 6c 65 73 20 6f 6e 20 65 61 63 68 20 68 6f 6f 6b 27 73 20 63 68 61	reating.rules.on.each.hook's.cha
0bc0	69 6e 3a 00 41 70 70 6c 79 20 74 68 65 20 66 69 72 65 77 61 6c 6c 20 70 6f 6c 69 63 69 65 73 3a	in:.Apply.the.firewall.policies:
0be0	00 41 73 20 61 62 6f 76 65 2c 20 63 6f 6d 6d 69 74 20 79 6f 75 72 20 63 68 61 6e 67 65 73 2c 20	.As.above,.commit.your.changes,.
0c00	73 61 76 65 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 61 6e 64 20 65 78 69 74	save.the.configuration,.and.exit
0c20	20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 64 65 3a 00 42 6c 6f 63 6b 20 49 6e 63 6f 6d	.configuration.mode:.Block.Incom
0c40	69 6e 67 20 54 72 61 66 66 69 63 00 42 79 20 64 65 66 61 75 6c 74 2c 20 56 79 4f 53 20 69 73 20	ing.Traffic.By.default,.VyOS.is.
0c60	69 6e 20 6f 70 65 72 61 74 69 6f 6e 61 6c 20 6d 6f 64 65 2c 20 61 6e 64 20 74 68 65 20 63 6f 6d	in.operational.mode,.and.the.com
0c80	6d 61 6e 64 20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61 79 73 20 61 20 60 24 60 2e 20 54 6f 20 63	mand.prompt.displays.a.`$`..To.c
0ca0	6f 6e 66 69 67 75 72 65 20 56 79 4f 53 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20	onfigure.VyOS,.you.will.need.to.
0cc0	65 6e 74 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 64 65 2c 20 72 65 73 75 6c 74	enter.configuration.mode,.result
0ce0	69 6e 67 20 69 6e 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61	ing.in.the.command.prompt.displa
0d00	79 69 6e 67 20 61 20 60 23 60 2c 20 61 73 20 64 65 6d 6f 6e 73 74 72 61 74 65 64 20 62 65 6c 6f	ying.a.`#`,.as.demonstrated.belo
0d20	77 3a 00 42 79 20 64 65 66 61 75 6c 74 2c 20 56 79 4f 53 20 69 73 20 69 6e 20 6f 70 65 72 61 74	w:.By.default,.VyOS.is.in.operat
0d40	69 6f 6e 61 6c 20 6d 6f 64 65 2c 20 61 6e 64 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 70 72 6f 6d	ional.mode,.and.the.command.prom
0d60	70 74 20 64 69 73 70 6c 61 79 73 20 61 20 60 60 24 60 60 2e 20 54 6f 20 63 6f 6e 66 69 67 75 72	pt.displays.a.``$``..To.configur
0d80	65 20 56 79 4f 53 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 65 6e 74 65 72 20 63	e.VyOS,.you.will.need.to.enter.c
0da0	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 64 65 2c 20 72 65 73 75 6c 74 69 6e 67 20 69 6e 20	onfiguration.mode,.resulting.in.
0dc0	74 68 65 20 63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61 79 69 6e 67 20 61 20	the.command.prompt.displaying.a.
0de0	60 60 23 60 60 2c 20 61 73 20 64 65 6d 6f 6e 73 74 72 61 74 65 64 20 62 65 6c 6f 77 3a 00 43 6f	``#``,.as.demonstrated.below:.Co
0e00	6d 6d 69 74 20 61 6e 64 20 53 61 76 65 00 43 6f 6d 6d 69 74 20 63 68 61 6e 67 65 73 2c 20 73 61	mmit.and.Save.Commit.changes,.sa
0e20	76 65 20 74 68 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 61 6e 64 20 65 78 69 74 20 63	ve.the.configuration,.and.exit.c
0e40	6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 64 65 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e	onfiguration.mode:.Configuration
0e60	20 4d 6f 64 65 00 43 6f 6e 66 69 67 75 72 65 20 46 69 72 65 77 61 6c 6c 20 47 72 6f 75 70 73 00	.Mode.Configure.Firewall.Groups.
0e80	43 6f 6e 66 69 67 75 72 65 20 53 74 61 74 65 66 75 6c 20 50 61 63 6b 65 74 20 46 69 6c 74 65 72	Configure.Stateful.Packet.Filter
0ea0	69 6e 67 00 43 6f 6e 66 69 67 75 72 65 20 61 20 72 75 6c 65 20 6f 6e 20 74 68 65 20 60 60 69 6e	ing.Configure.a.rule.on.the.``in
0ec0	70 75 74 60 60 20 68 6f 6f 6b 20 66 69 6c 74 65 72 20 74 6f 20 6a 75 6d 70 20 74 6f 20 74 68 65	put``.hook.filter.to.jump.to.the
0ee0	20 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 20 63 68 61 69 6e 20 77 68 65 6e 20	.``VyOS_MANAGEMENT``.chain.when.
0f00	6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 72 65 20 61 64 64 72 65 73 73 65 64 20 74 6f	new.connections.are.addressed.to
0f20	20 70 6f 72 74 20 32 32 20 28 53 53 48 29 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73	.port.22.(SSH).on.the.router.its
0f40	65 6c 66 3a 00 43 72 65 61 74 65 20 61 20 6e 65 77 20 63 68 61 69 6e 20 28 60 60 4f 55 54 53 49	elf:.Create.a.new.chain.(``OUTSI
0f60	44 45 2d 49 4e 60 60 29 20 77 68 69 63 68 20 77 69 6c 6c 20 64 72 6f 70 20 61 6c 6c 20 74 72 61	DE-IN``).which.will.drop.all.tra
0f80	66 66 69 63 20 74 68 61 74 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 79 20 61 6c 6c 6f 77	ffic.that.is.not.explicity.allow
0fa0	65 64 20 61 74 20 73 6f 6d 65 20 70 6f 69 6e 74 20 69 6e 20 74 68 65 20 63 68 61 69 6e 2e 20 54	ed.at.some.point.in.the.chain..T
0fc0	68 65 6e 2c 20 77 65 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 74 68 61 74 20 63 68 61 69 6e 20 66	hen,.we.can.jump.to.that.chain.f
0fe0	72 6f 6d 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 68 6f 6f 6b 20 77 68 65 6e 20 74 72	rom.the.``forward``.hook.when.tr
1000	61 66 66 69 63 20 69 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 74 68 65 20 60 60 57 41 4e 60 60	affic.is.coming.from.the.``WAN``
1020	20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 61 6e 64 20 69 73 20 61 64 64 72 65 73 73 65	.interface.group.and.is.addresse
1040	64 20 74 6f 20 6f 75 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 2e 00 44 48 43 50 20 63 6c 69	d.to.our.local.network..DHCP.cli
1060	65 6e 74 73 20 77 69 6c 6c 20 62 65 20 61 73 73 69 67 6e 65 64 20 49 50 20 61 64 64 72 65 73 73	ents.will.be.assigned.IP.address
1080	65 73 20 77 69 74 68 69 6e 20 74 68 65 20 72 61 6e 67 65 20 6f 66 20 60 31 39 32 2e 31 36 38 2e	es.within.the.range.of.`192.168.
10a0	30 2e 39 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 32 35 34 60 20 61 6e 64 20 68 61 76 65 20 61 20	0.9.-.192.168.0.254`.and.have.a.
10c0	64 6f 6d 61 69 6e 20 6e 61 6d 65 20 6f 66 20 60 69 6e 74 65 72 6e 61 6c 2d 6e 65 74 77 6f 72 6b	domain.name.of.`internal-network
10e0	60 00 44 48 43 50 20 63 6c 69 65 6e 74 73 20 77 69 6c 6c 20 62 65 20 61 73 73 69 67 6e 65 64 20	`.DHCP.clients.will.be.assigned.
1100	49 50 20 61 64 64 72 65 73 73 65 73 20 77 69 74 68 69 6e 20 74 68 65 20 72 61 6e 67 65 20 6f 66	IP.addresses.within.the.range.of
1120	20 60 60 31 39 32 2e 31 36 38 2e 30 2e 39 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 32 35 34 60 60	.``192.168.0.9.-.192.168.0.254``
1140	20 61 6e 64 20 68 61 76 65 20 61 20 64 6f 6d 61 69 6e 20 6e 61 6d 65 20 6f 66 20 60 60 69 6e 74	.and.have.a.domain.name.of.``int
1160	65 72 6e 61 6c 2d 6e 65 74 77 6f 72 6b 60 60 00 44 48 43 50 20 6c 65 61 73 65 73 20 77 69 6c 6c	ernal-network``.DHCP.leases.will
1180	20 68 6f 6c 64 20 66 6f 72 20 6f 6e 65 20 64 61 79 20 28 38 36 34 30 30 20 73 65 63 6f 6e 64 73	.hold.for.one.day.(86400.seconds
11a0	29 00 44 48 43 50 2f 44 4e 53 20 71 75 69 63 6b 2d 73 74 61 72 74 00 44 6f 63 75 6d 65 6e 74 61	).DHCP/DNS.quick-start.Documenta
11c0	74 69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c	tion.for.most.of.the.new.firewal
11e0	6c 20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60	l.CLI.can.be.found.in.the.:ref:`
1200	66 69 72 65 77 61 6c 6c 60 20 63 68 61 70 74 65 72 2e 54 68 65 20 6c 65 67 61 63 79 20 66 69 72	firewall`.chapter.The.legacy.fir
1220	65 77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72	ewall.is.still.available.for.ver
1240	73 69 6f 6e 73 20 62 65 66 6f 72 65 20 60 60 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30	sions.before.``1.4-rolling-20230
1260	38 30 34 30 35 35 37 60 60 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68	8040557``.and.can.be.found.in.th
1280	65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72	e.:ref:`firewall-legacy`.chapter
12a0	2e 20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75	..The.examples.in.this.section.u
12c0	73 65 20 74 68 65 20 6e 65 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 45 73 70 65 63 69	se.the.new.configuration..Especi
12e0	61 6c 6c 79 20 69 66 20 79 6f 75 20 61 72 65 20 61 6c 6c 6f 77 69 6e 67 20 53 53 48 20 72 65 6d	ally.if.you.are.allowing.SSH.rem
1300	6f 74 65 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e 20	ote.access.from.the.outside/WAN.
1320	69 6e 74 65 72 66 61 63 65 2c 20 74 68 65 72 65 20 61 72 65 20 61 20 66 65 77 20 61 64 64 69 74	interface,.there.are.a.few.addit
1340	69 6f 6e 61 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 74 68 61 74 20 73	ional.configuration.steps.that.s
1360	68 6f 75 6c 64 20 62 65 20 74 61 6b 65 6e 2e 00 46 69 6e 61 6c 6c 79 2c 20 63 6f 6e 66 69 67 75	hould.be.taken..Finally,.configu
1380	72 65 20 74 68 65 20 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 20 63 68 61 69 6e	re.the.``VyOS_MANAGEMENT``.chain
13a0	20 74 6f 20 61 63 63 65 70 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 60	.to.accept.connection.from.the.`
13c0	60 4c 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 77 68 69 6c 65 20 6c 69 6d	`LAN``.interface.group.while.lim
13e0	69 74 69 6e 67 20 72 65 71 75 65 73 74 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 74 68 65 20 60	iting.requests.coming.from.the.`
1400	60 57 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 74 6f 20 34 20 70 65 72 20	`WAN``.interface.group.to.4.per.
1420	6d 69 6e 75 74 65 3a 00 46 69 6e 61 6c 6c 79 2c 20 74 72 79 20 61 6e 64 20 53 53 48 20 69 6e 74	minute:.Finally,.try.and.SSH.int
1440	6f 20 74 68 65 20 56 79 4f 53 20 69 6e 73 74 61 6c 6c 20 61 73 20 79 6f 75 72 20 6e 65 77 20 75	o.the.VyOS.install.as.your.new.u
1460	73 65 72 2e 20 4f 6e 63 65 20 79 6f 75 20 68 61 76 65 20 63 6f 6e 66 69 72 6d 65 64 20 74 68 61	ser..Once.you.have.confirmed.tha
1480	74 20 79 6f 75 72 20 6e 65 77 20 75 73 65 72 20 63 61 6e 20 61 63 63 65 73 73 20 79 6f 75 72 20	t.your.new.user.can.access.your.
14a0	72 6f 75 74 65 72 20 77 69 74 68 6f 75 74 20 61 20 70 61 73 73 77 6f 72 64 2c 20 64 65 6c 65 74	router.without.a.password,.delet
14c0	65 20 74 68 65 20 6f 72 69 67 69 6e 61 6c 20 60 60 76 79 6f 73 60 60 20 75 73 65 72 20 61 6e 64	e.the.original.``vyos``.user.and
14e0	20 63 6f 6d 70 6c 65 74 65 6c 79 20 64 69 73 61 62 6c 65 20 70 61 73 73 77 6f 72 64 20 61 75 74	.completely.disable.password.aut
1500	68 65 6e 74 69 63 61 74 69 6f 6e 20 66 6f 72 20 3a 72 65 66 3a 60 73 73 68 60 3a 00 46 69 6e 61	hentication.for.:ref:`ssh`:.Fina
1520	6c 6c 79 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 63 6f 6e 66 69 67 75 72 65 20 61 63 63 65 73 73	lly,.we.can.now.configure.access
1540	20 74 6f 20 74 68 65 20 73 65 72 76 69 63 65 73 20 72 75 6e 6e 69 6e 67 20 6f 6e 20 74 68 69 73	.to.the.services.running.on.this
1560	20 72 6f 75 74 65 72 2c 20 61 6c 6c 6f 77 69 6e 67 20 61 6c 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e	.router,.allowing.all.connection
1580	73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 6c 6f 63 61 6c 68 6f 73 74 3a 00 46 69 72 65 77 61 6c	s.coming.from.localhost:.Firewal
15a0	6c 00 46 69 72 73 74 2c 20 63 72 65 61 74 65 20 61 20 6e 65 77 20 64 65 64 69 63 61 74 65 64 20	l.First,.create.a.new.dedicated.
15c0	63 68 61 69 6e 20 28 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 29 20 66 6f 72 20	chain.(``VyOS_MANAGEMENT``).for.
15e0	6d 61 6e 61 67 65 6d 65 6e 74 20 61 63 63 65 73 73 2c 20 77 68 69 63 68 20 72 65 74 75 72 6e 73	management.access,.which.returns
1600	20 74 6f 20 74 68 65 20 70 61 72 65 6e 74 20 63 68 61 69 6e 20 69 66 20 6e 6f 20 61 63 74 69 6f	.to.the.parent.chain.if.no.actio
1620	6e 20 69 73 20 74 61 6b 65 6e 2e 20 41 64 64 20 61 20 72 75 6c 65 20 74 6f 20 61 63 63 65 70 74	n.is.taken..Add.a.rule.to.accept
1640	20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 60 60 4c 41 4e 60 60 20 69 6e 74 65 72 66	.traffic.from.the.``LAN``.interf
1660	61 63 65 20 67 72 6f 75 70 3a 00 48 61 72 64 65 6e 69 6e 67 00 48 65 72 65 20 77 65 27 72 65 20	ace.group:.Hardening.Here.we're.
1680	61 6c 6c 6f 77 69 6e 67 20 74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 73 70 6f 6e 64 20 74	allowing.the.router.to.respond.t
16a0	6f 20 70 69 6e 67 73 2e 20 54 68 65 6e 2c 20 77 65 20 63 61 6e 20 61 6c 6c 6f 77 20 61 63 63 65	o.pings..Then,.we.can.allow.acce
16c0	73 73 20 74 6f 20 74 68 65 20 44 4e 53 20 72 65 63 75 72 73 6f 72 20 77 65 20 63 6f 6e 66 69 67	ss.to.the.DNS.recursor.we.config
16e0	75 72 65 64 20 65 61 72 6c 69 65 72 2c 20 61 63 63 65 70 74 69 6e 67 20 74 72 61 66 66 69 63 20	ured.earlier,.accepting.traffic.
1700	62 6f 75 6e 64 20 66 6f 72 20 70 6f 72 74 20 35 33 20 66 72 6f 6d 20 61 6c 6c 20 68 6f 73 74 73	bound.for.port.53.from.all.hosts
1720	20 6f 6e 20 74 68 65 20 60 60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 20 6e 65 74 77 6f 72	.on.the.``NET-INSIDE-v4``.networ
1740	6b 3a 00 49 66 20 79 6f 75 20 77 61 6e 74 65 64 20 74 6f 20 65 6e 61 62 6c 65 20 53 53 48 20 61	k:.If.you.wanted.to.enable.SSH.a
1760	63 63 65 73 73 20 74 6f 20 79 6f 75 72 20 66 69 72 65 77 61 6c 6c 20 66 72 6f 6d 20 74 68 65 20	ccess.to.your.firewall.from.the.
1780	6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20 79 6f 75 20 63 6f 75 6c 64	outside/WAN.interface,.you.could
17a0	20 63 72 65 61 74 65 20 73 6f 6d 65 20 61 64 64 69 74 69 6f 6e 61 6c 20 72 75 6c 65 73 20 74 6f	.create.some.additional.rules.to
17c0	20 61 6c 6c 6f 77 20 74 68 61 74 20 6b 69 6e 64 20 6f 66 20 74 72 61 66 66 69 63 2e 00 49 6e 20	.allow.that.kind.of.traffic..In.
17e0	74 68 69 73 20 63 61 73 65 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 74 77 6f 20 69 6e	this.case,.we.will.create.two.in
1800	74 65 72 66 61 63 65 20 67 72 6f 75 70 73 e2 80 94 61 20 60 60 57 41 4e 60 60 20 67 72 6f 75 70	terface.groups...a.``WAN``.group
1820	20 66 6f 72 20 6f 75 72 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f	.for.our.interfaces.connected.to
1840	20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 6e 65 74 20 61 6e 64 20 61 20 60 60 4c 41 4e	.the.public.internet.and.a.``LAN
1860	60 60 20 67 72 6f 75 70 20 66 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e	``.group.for.the.interfaces.conn
1880	65 63 74 65 64 20 74 6f 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 6e 65 74 77 6f 72 6b 2e 20 41	ected.to.our.internal.network..A
18a0	64 64 69 74 69 6f 6e 61 6c 6c 79 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 61 20 6e 65	dditionally,.we.will.create.a.ne
18c0	74 77 6f 72 6b 20 67 72 6f 75 70 2c 20 60 60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 2c 20	twork.group,.``NET-INSIDE-v4``,.
18e0	74 68 61 74 20 63 6f 6e 74 61 69 6e 73 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 73 75 62 6e 65	that.contains.our.internal.subne
1900	74 2e 00 49 6e 74 65 72 66 61 63 65 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4e 41 54 00 4e	t..Interface.Configuration.NAT.N
1920	6f 77 20 74 68 61 74 20 77 65 20 68 61 76 65 20 63 6f 6e 66 69 67 75 72 65 64 20 73 74 61 74 65	ow.that.we.have.configured.state
1940	66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 74 6f 20 61 6c 6c 6f	ful.connection.filtering.to.allo
1960	77 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72	w.traffic.from.established.and.r
1980	65 6c 61 74 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2c 20 77 65 20 63 61 6e 20 62 6c 6f 63 6b	elated.connections,.we.can.block
19a0	20 61 6c 6c 20 6f 74 68 65 72 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 61 64 64 72	.all.other.incoming.traffic.addr
19c0	65 73 73 65 64 20 74 6f 20 6f 75 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 2e 00 4f 6e 63 65	essed.to.our.local.network..Once
19e0	20 79 6f 75 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 6f 72 6b 73 20 61 73 20 65 78 70	.your.configuration.works.as.exp
1a00	65 63 74 65 64 2c 20 79 6f 75 20 63 61 6e 20 73 61 76 65 20 69 74 20 70 65 72 6d 61 6e 65 6e 74	ected,.you.can.save.it.permanent
1a20	6c 79 20 62 79 20 75 73 69 6e 67 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 63 6f 6d 6d 61 6e	ly.by.using.the.following.comman
1a40	64 3a 00 4f 6e 6c 79 20 68 6f 73 74 73 20 66 72 6f 6d 20 79 6f 75 72 20 69 6e 74 65 72 6e 61 6c	d:.Only.hosts.from.your.internal
1a60	2f 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 75 73 65 20 74 68 65 20 44 4e 53 20 72 65 63	/LAN.network.can.use.the.DNS.rec
1a80	75 72 73 6f 72 00 4f 70 74 69 6f 6e 20 31 3a 20 43 6f 6d 6d 6f 6e 20 43 68 61 69 6e 00 4f 70 74	ursor.Option.1:.Common.Chain.Opt
1aa0	69 6f 6e 20 32 3a 20 50 65 72 2d 48 6f 6f 6b 20 43 68 61 69 6e 00 51 75 69 63 6b 20 53 74 61 72	ion.2:.Per-Hook.Chain.Quick.Star
1ac0	74 00 52 65 70 6c 61 63 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 60 60 76 79 6f 73 60 60 20 73	t.Replace.the.default.``vyos``.s
1ae0	79 73 74 65 6d 20 75 73 65 72 3a 00 52 65 70 6c 61 63 65 20 74 68 65 20 64 65 66 61 75 6c 74 20	ystem.user:.Replace.the.default.
1b00	60 76 79 6f 73 60 20 73 79 73 74 65 6d 20 75 73 65 72 3a 00 53 53 48 20 4d 61 6e 61 67 65 6d 65	`vyos`.system.user:.SSH.Manageme
1b20	6e 74 00 53 65 74 20 75 70 20 3a 72 65 66 3a 60 73 73 68 5f 6b 65 79 5f 62 61 73 65 64 5f 61 75	nt.Set.up.:ref:`ssh_key_based_au
1b40	74 68 65 6e 74 69 63 61 74 69 6f 6e 60 3a 00 54 68 65 20 61 64 64 72 65 73 73 20 72 61 6e 67 65	thentication`:.The.address.range
1b60	20 60 31 39 32 2e 31 36 38 2e 30 2e 32 2f 32 34 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 38 2f 32	.`192.168.0.2/24.-.192.168.0.8/2
1b80	34 60 20 77 69 6c 6c 20 62 65 20 72 65 73 65 72 76 65 64 20 66 6f 72 20 73 74 61 74 69 63 20 61	4`.will.be.reserved.for.static.a
1ba0	73 73 69 67 6e 6d 65 6e 74 73 00 54 68 65 20 61 64 64 72 65 73 73 20 72 61 6e 67 65 20 60 60 31	ssignments.The.address.range.``1
1bc0	39 32 2e 31 36 38 2e 30 2e 32 2f 32 34 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 38 2f 32 34 60 60	92.168.0.2/24.-.192.168.0.8/24``
1be0	20 77 69 6c 6c 20 62 65 20 72 65 73 65 72 76 65 64 20 66 6f 72 20 73 74 61 74 69 63 20 61 73 73	.will.be.reserved.for.static.ass
1c00	69 67 6e 6d 65 6e 74 73 00 54 68 65 20 63 68 61 69 6e 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74	ignments.The.chain.we.will.creat
1c20	65 20 69 73 20 63 61 6c 6c 65 64 20 60 60 43 4f 4e 4e 5f 46 49 4c 54 45 52 60 60 20 61 6e 64 20	e.is.called.``CONN_FILTER``.and.
1c40	68 61 73 20 74 68 72 65 65 20 72 75 6c 65 73 3a 00 54 68 65 20 64 65 66 61 75 6c 74 20 67 61 74	has.three.rules:.The.default.gat
1c60	65 77 61 79 20 61 6e 64 20 44 4e 53 20 72 65 63 75 72 73 6f 72 20 61 64 64 72 65 73 73 20 77 69	eway.and.DNS.recursor.address.wi
1c80	6c 6c 20 62 65 20 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 00 54 68 65 20 64 65 66 61 75	ll.be.`192.168.0.1/24`.The.defau
1ca0	6c 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 44 4e 53 20 72 65 63 75 72 73 6f 72 20 61 64 64 72	lt.gateway.and.DNS.recursor.addr
1cc0	65 73 73 20 77 69 6c 6c 20 62 65 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 60 00 54	ess.will.be.``192.168.0.1/24``.T
1ce0	68 65 20 66 69 72 65 77 61 6c 6c 20 62 65 67 69 6e 73 20 77 69 74 68 20 74 68 65 20 62 61 73 65	he.firewall.begins.with.the.base
1d00	20 60 60 66 69 6c 74 65 72 60 60 20 74 61 62 6c 65 73 20 79 6f 75 20 64 65 66 69 6e 65 20 66 6f	.``filter``.tables.you.define.fo
1d20	72 20 65 61 63 68 20 6f 66 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 2c 20 60 60 69 6e 70	r.each.of.the.``forward``,.``inp
1d40	75 74 60 60 2c 20 61 6e 64 20 60 60 6f 75 74 70 75 74 60 60 20 4e 65 74 66 69 74 65 72 20 68 6f	ut``,.and.``output``.Netfiter.ho
1d60	6f 6b 73 2e 20 45 61 63 68 20 6f 66 20 74 68 65 73 65 20 74 61 62 6c 65 73 20 69 73 20 70 6f 70	oks..Each.of.these.tables.is.pop
1d80	75 6c 61 74 65 64 20 77 69 74 68 20 72 75 6c 65 73 20 74 68 61 74 20 61 72 65 20 70 72 6f 63 65	ulated.with.rules.that.are.proce
1da0	73 73 65 64 20 69 6e 20 6f 72 64 65 72 20 61 6e 64 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 6f 74	ssed.in.order.and.can.jump.to.ot
1dc0	68 65 72 20 63 68 61 69 6e 73 20 66 6f 72 20 6d 6f 72 65 20 67 72 61 6e 75 6c 61 72 20 66 69 6c	her.chains.for.more.granular.fil
1de0	74 65 72 69 6e 67 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 65 74 74 69 6e 67 73 20 77	tering..The.following.settings.w
1e00	69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 3a 72 65 66 3a 60 73 6f 75 72 63 65 2d 6e 61 74 60 20	ill.configure.:ref:`source-nat`.
1e20	72 75 6c 65 73 20 66 6f 72 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 6e 65 74 77 6f	rules.for.our.internal/LAN.netwo
1e40	72 6b 2c 20 61 6c 6c 6f 77 69 6e 67 20 68 6f 73 74 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74	rk,.allowing.hosts.to.communicat
1e60	65 20 74 68 72 6f 75 67 68 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 6e 65 74 77 6f 72	e.through.the.outside/WAN.networ
1e80	6b 20 76 69 61 20 49 50 20 6d 61 73 71 75 65 72 61 64 65 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69	k.via.IP.masquerade..The.followi
1ea0	6e 67 20 73 65 74 74 69 6e 67 73 20 77 69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 44 48 43 50 20	ng.settings.will.configure.DHCP.
1ec0	61 6e 64 20 44 4e 53 20 73 65 72 76 69 63 65 73 20 6f 6e 20 79 6f 75 72 20 69 6e 74 65 72 6e 61	and.DNS.services.on.your.interna
1ee0	6c 2f 4c 41 4e 20 6e 65 74 77 6f 72 6b 2c 20 77 68 65 72 65 20 56 79 4f 53 20 77 69 6c 6c 20 61	l/LAN.network,.where.VyOS.will.a
1f00	63 74 20 61 73 20 74 68 65 20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 44 4e	ct.as.the.default.gateway.and.DN
1f20	53 20 73 65 72 76 65 72 2e 00 54 68 65 6e 2c 20 77 65 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 74	S.server..Then,.we.can.jump.to.t
1f40	68 65 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e 20 66 72 6f 6d 20 62 6f 74 68 20 74 68 65 20 60 60	he.common.chain.from.both.the.``
1f60	66 6f 72 77 61 72 64 60 60 20 61 6e 64 20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 73 20 61 73	forward``.and.``input``.hooks.as
1f80	20 74 68 65 20 66 69 72 73 74 20 66 69 6c 74 65 72 69 6e 67 20 72 75 6c 65 20 69 6e 20 74 68 65	.the.first.filtering.rule.in.the
1fa0	20 72 65 73 70 65 63 74 69 76 65 20 63 68 61 69 6e 73 3a 00 54 68 65 73 65 20 72 75 6c 65 73 20	.respective.chains:.These.rules.
1fc0	61 6c 6c 6f 77 20 53 53 48 20 74 72 61 66 66 69 63 20 61 6e 64 20 72 61 74 65 20 6c 69 6d 69 74	allow.SSH.traffic.and.rate.limit
1fe0	20 69 74 20 74 6f 20 34 20 72 65 71 75 65 73 74 73 20 70 65 72 20 6d 69 6e 75 74 65 2e 20 54 68	.it.to.4.requests.per.minute..Th
2000	69 73 20 62 6c 6f 63 6b 73 20 62 72 75 74 65 2d 66 6f 72 63 69 6e 67 20 61 74 74 65 6d 70 74 73	is.blocks.brute-forcing.attempts
2020	3a 00 54 68 69 73 20 63 68 61 70 74 65 72 20 77 69 6c 6c 20 67 75 69 64 65 20 79 6f 75 20 6f 6e	:.This.chapter.will.guide.you.on
2040	20 68 6f 77 20 74 6f 20 67 65 74 20 75 70 20 74 6f 20 73 70 65 65 64 20 71 75 69 63 6b 6c 79 20	.how.to.get.up.to.speed.quickly.
2060	75 73 69 6e 67 20 79 6f 75 72 20 6e 65 77 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 49 74 20 77	using.your.new.VyOS.system..It.w
2080	69 6c 6c 20 73 68 6f 77 20 79 6f 75 20 61 20 76 65 72 79 20 62 61 73 69 63 20 63 6f 6e 66 69 67	ill.show.you.a.very.basic.config
20a0	75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 77 69 6c 6c 20 70 72 6f 76 69 64	uration.example.that.will.provid
20c0	65 20 61 20 3a 72 65 66 3a 60 6e 61 74 60 20 67 61 74 65 77 61 79 20 66 6f 72 20 61 20 64 65 76	e.a.:ref:`nat`.gateway.for.a.dev
20e0	69 63 65 20 77 69 74 68 20 74 77 6f 20 6e 65 74 77 6f 72 6b 20 69 6e 74 65 72 66 61 63 65 73 20	ice.with.two.network.interfaces.
2100	28 60 60 65 74 68 30 60 60 20 61 6e 64 20 60 60 65 74 68 31 60 60 29 2e 00 54 68 69 73 20 63 68	(``eth0``.and.``eth1``)..This.ch
2120	61 70 74 65 72 20 77 69 6c 6c 20 67 75 69 64 65 20 79 6f 75 20 6f 6e 20 68 6f 77 20 74 6f 20 67	apter.will.guide.you.on.how.to.g
2140	65 74 20 75 70 20 74 6f 20 73 70 65 65 64 20 71 75 69 63 6b 6c 79 20 75 73 69 6e 67 20 79 6f 75	et.up.to.speed.quickly.using.you
2160	72 20 6e 65 77 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 49 74 20 77 69 6c 6c 20 73 68 6f 77 20	r.new.VyOS.system..It.will.show.
2180	79 6f 75 20 61 20 76 65 72 79 20 62 61 73 69 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65	you.a.very.basic.configuration.e
21a0	78 61 6d 70 6c 65 20 74 68 61 74 20 77 69 6c 6c 20 70 72 6f 76 69 64 65 20 61 20 3a 72 65 66 3a	xample.that.will.provide.a.:ref:
21c0	60 6e 61 74 60 20 67 61 74 65 77 61 79 20 66 6f 72 20 61 20 64 65 76 69 63 65 20 77 69 74 68 20	`nat`.gateway.for.a.device.with.
21e0	74 77 6f 20 6e 65 74 77 6f 72 6b 20 69 6e 74 65 72 66 61 63 65 73 20 28 60 65 74 68 30 60 20 61	two.network.interfaces.(`eth0`.a
2200	6e 64 20 60 65 74 68 31 60 29 2e 00 54 68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63	nd.`eth1`)..This.configuration.c
2220	72 65 61 74 65 73 20 61 20 70 72 6f 70 65 72 20 73 74 61 74 65 66 75 6c 20 66 69 72 65 77 61 6c	reates.a.proper.stateful.firewal
2240	6c 20 74 68 61 74 20 62 6c 6f 63 6b 73 20 61 6c 6c 20 74 72 61 66 66 69 63 20 77 68 69 63 68 20	l.that.blocks.all.traffic.which.
2260	77 61 73 20 6e 6f 74 20 69 6e 69 74 69 61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 69 6e 74 65 72	was.not.initiated.from.the.inter
2280	6e 61 6c 2f 4c 41 4e 20 73 69 64 65 20 66 69 72 73 74 2e 00 54 6f 20 6d 61 6b 65 20 66 69 72 65	nal/LAN.side.first..To.make.fire
22a0	77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 61 73 69 65 72 2c 20 77 65 20 63 61	wall.configuration.easier,.we.ca
22c0	6e 20 63 72 65 61 74 65 20 67 72 6f 75 70 73 20 6f 66 20 69 6e 74 65 72 66 61 63 65 73 2c 20 6e	n.create.groups.of.interfaces,.n
22e0	65 74 77 6f 72 6b 73 2c 20 61 64 64 72 65 73 73 65 73 2c 20 70 6f 72 74 73 2c 20 61 6e 64 20 64	etworks,.addresses,.ports,.and.d
2300	6f 6d 61 69 6e 73 20 74 68 61 74 20 64 65 73 63 72 69 62 65 20 64 69 66 66 65 72 65 6e 74 20 70	omains.that.describe.different.p
2320	61 72 74 73 20 6f 66 20 6f 75 72 20 6e 65 74 77 6f 72 6b 2e 20 57 65 20 63 61 6e 20 74 68 65 6e	arts.of.our.network..We.can.then
2340	20 75 73 65 20 74 68 65 6d 20 66 6f 72 20 66 69 6c 74 65 72 69 6e 67 20 77 69 74 68 69 6e 20 6f	.use.them.for.filtering.within.o
2360	75 72 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65 74 73 2c 20 61 6c 6c 6f 77 69 6e 67 20 66	ur.firewall.rulesets,.allowing.f
2380	6f 72 20 6d 6f 72 65 20 63 6f 6e 63 69 73 65 20 61 6e 64 20 72 65 61 64 61 62 6c 65 20 63 6f 6e	or.more.concise.and.readable.con
23a0	66 69 67 75 72 61 74 69 6f 6e 2e 00 56 79 4f 53 20 77 69 6c 6c 20 73 65 72 76 65 20 61 73 20 61	figuration..VyOS.will.serve.as.a
23c0	20 66 75 6c 6c 20 44 4e 53 20 72 65 63 75 72 73 6f 72 2c 20 72 65 70 6c 61 63 69 6e 67 20 74 68	.full.DNS.recursor,.replacing.th
23e0	65 20 6e 65 65 64 20 74 6f 20 75 74 69 6c 69 7a 65 20 47 6f 6f 67 6c 65 2c 20 43 6c 6f 75 64 66	e.need.to.utilize.Google,.Cloudf
2400	6c 61 72 65 2c 20 6f 72 20 6f 74 68 65 72 20 70 75 62 6c 69 63 20 44 4e 53 20 73 65 72 76 65 72	lare,.or.other.public.DNS.server
2420	73 20 28 77 68 69 63 68 20 69 73 20 67 6f 6f 64 20 66 6f 72 20 70 72 69 76 61 63 79 29 00 57 65	s.(which.is.good.for.privacy).We
2440	20 63 61 6e 20 63 72 65 61 74 65 20 61 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e 20 66 6f 72 20 73	.can.create.a.common.chain.for.s
2460	74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 6f 66 20	tateful.connection.filtering.of.
2480	6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 20 28 6f 72 20 6d 75 6c 74 69 70 6c 65	multiple.interfaces.(or.multiple
24a0	20 6e 65 74 66 69 6c 74 65 72 20 68 6f 6f 6b 73 20 6f 6e 20 6f 6e 65 20 69 6e 74 65 72 66 61 63	.netfilter.hooks.on.one.interfac
24c0	65 29 2e 20 54 68 6f 73 65 20 69 6e 64 69 76 69 64 75 61 6c 20 63 68 61 69 6e 73 20 63 61 6e 20	e)..Those.individual.chains.can.
24e0	74 68 65 6e 20 6a 75 6d 70 20 74 6f 20 74 68 65 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e 20 66 6f	then.jump.to.the.common.chain.fo
2500	72 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 2c	r.stateful.connection.filtering,
2520	20 72 65 74 75 72 6e 69 6e 67 20 74 6f 20 74 68 65 20 6f 72 69 67 69 6e 61 6c 20 63 68 61 69 6e	.returning.to.the.original.chain
2540	20 66 6f 72 20 66 75 72 74 68 65 72 20 72 75 6c 65 20 70 72 6f 63 65 73 73 69 6e 67 20 69 66 20	.for.further.rule.processing.if.
2560	6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 20 6f 6e 20 74 68 65 20 70 61 63 6b 65 74	no.action.is.taken.on.the.packet
2580	2e 00 57 65 20 63 61 6e 20 6e 6f 77 20 63 6f 6e 66 69 67 75 72 65 20 61 63 63 65 73 73 20 74 6f	..We.can.now.configure.access.to
25a0	20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2c 20 61 6c 6c 6f 77 69 6e 67 20 53 53 48	.the.router.itself,.allowing.SSH
25c0	20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 68 65 20 69 6e 73 69 64 65 2f 4c 41 4e 20 6e 65 74 77	.access.from.the.inside/LAN.netw
25e0	6f 72 6b 20 61 6e 64 20 72 61 74 65 20 6c 69 6d 69 74 69 6e 67 20 53 53 48 20 61 63 63 65 73 73	ork.and.rate.limiting.SSH.access
2600	20 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 6e 65 74 77 6f 72 6b 2e 00 57	.from.the.outside/WAN.network..W
2620	65 20 73 68 6f 75 6c 64 20 61 6c 73 6f 20 62 6c 6f 63 6b 20 61 6c 6c 20 74 72 61 66 66 69 63 20	e.should.also.block.all.traffic.
2640	64 65 73 74 69 6e 61 74 65 64 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 20	destinated.to.the.router.itself.
2660	74 68 61 74 20 69 73 6e 27 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 65 64 20 61 74	that.isn't.explicitly.allowed.at
2680	20 73 6f 6d 65 20 70 6f 69 6e 74 20 69 6e 20 74 68 65 20 63 68 61 69 6e 20 66 6f 72 20 74 68 65	.some.point.in.the.chain.for.the
26a0	20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 2e 20 41 73 20 77 65 27 76 65 20 61 6c 72 65 61 64	.``input``.hook..As.we've.alread
26c0	79 20 63 6f 6e 66 69 67 75 72 65 64 20 73 74 61 74 65 66 75 6c 20 70 61 63 6b 65 74 20 66 69 6c	y.configured.stateful.packet.fil
26e0	74 65 72 69 6e 67 20 61 62 6f 76 65 2c 20 77 65 20 6f 6e 6c 79 20 6e 65 65 64 20 74 6f 20 73 65	tering.above,.we.only.need.to.se
2700	74 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 74 6f 20 60 60 64 72 6f 70 60 60	t.the.default.action.to.``drop``
2720	3a 00 57 69 74 68 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72	:.With.the.new.firewall.structur
2740	65 2c 20 77 65 20 68 61 76 65 20 68 61 76 65 20 61 20 6c 6f 74 20 6f 66 20 66 6c 65 78 69 62 69	e,.we.have.have.a.lot.of.flexibi
2760	6c 69 74 79 20 69 6e 20 68 6f 77 20 77 65 20 67 72 6f 75 70 20 61 6e 64 20 6f 72 64 65 72 20 6f	lity.in.how.we.group.and.order.o
2780	75 72 20 72 75 6c 65 73 2c 20 61 73 20 73 68 6f 77 6e 20 62 79 20 74 68 65 20 74 77 6f 20 61 6c	ur.rules,.as.shown.by.the.two.al
27a0	74 65 72 6e 61 74 69 76 65 20 61 70 70 72 6f 61 63 68 65 73 20 62 65 6c 6f 77 2e 00 59 6f 75 20	ternative.approaches.below..You.
27c0	6e 6f 77 20 73 68 6f 75 6c 64 20 68 61 76 65 20 61 20 73 69 6d 70 6c 65 20 79 65 74 20 73 65 63	now.should.have.a.simple.yet.sec
27e0	75 72 65 20 61 6e 64 20 66 75 6e 63 74 69 6f 6e 69 6e 67 20 72 6f 75 74 65 72 20 74 6f 20 65 78	ure.and.functioning.router.to.ex
2800	70 65 72 69 6d 65 6e 74 20 77 69 74 68 20 66 75 72 74 68 65 72 2e 20 45 6e 6a 6f 79 21 00 59 6f	periment.with.further..Enjoy!.Yo
2820	75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77 69 6c 6c 20 62	ur.internal/LAN.interface.will.b
2840	65 20 60 60 65 74 68 31 60 60 2e 20 49 74 20 77 69 6c 6c 20 75 73 65 20 61 20 73 74 61 74 69 63	e.``eth1``..It.will.use.a.static
2860	20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60	.IP.address.of.``192.168.0.1/24`
2880	60 2e 00 59 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77	`..Your.internal/LAN.interface.w
28a0	69 6c 6c 20 62 65 20 60 65 74 68 31 60 2e 20 49 74 20 77 69 6c 6c 20 75 73 65 20 61 20 73 74 61	ill.be.`eth1`..It.will.use.a.sta
28c0	74 69 63 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32	tic.IP.address.of.`192.168.0.1/2
28e0	34 60 2e 00 59 6f 75 72 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77	4`..Your.outside/WAN.interface.w
2900	69 6c 6c 20 62 65 20 60 60 65 74 68 30 60 60 2e 20 49 74 20 77 69 6c 6c 20 72 65 63 65 69 76 65	ill.be.``eth0``..It.will.receive
2920	20 69 74 73 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 76 69 61 20 44 48 43 50 2e	.its.interface.address.via.DHCP.
2940	00 59 6f 75 72 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77 69 6c 6c	.Your.outside/WAN.interface.will
2960	20 62 65 20 60 65 74 68 30 60 2e 20 49 74 20 77 69 6c 6c 20 72 65 63 65 69 76 65 20 69 74 73 20	.be.`eth0`..It.will.receive.its.
2980	69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 76 69 61 20 44 48 43 50 2e 00 4d 49 4d 45	interface.address.via.DHCP..MIME
29a0	2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74	-Version:.1.0.Content-Type:.text
29c0	2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74 3d 55 54 46 2d 38 0a 43 6f 6e 74 65 6e 74 2d 54 72	/plain;.charset=UTF-8.Content-Tr
29e0	61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 38 62 69 74 0a 58 2d 47 65 6e 65 72 61 74 6f	ansfer-Encoding:.8bit.X-Generato
2a00	72 3a 20 4c 6f 63 61 6c 61 7a 79 20 28 68 74 74 70 73 3a 2f 2f 6c 6f 63 61 6c 61 7a 79 2e 63 6f	r:.Localazy.(https://localazy.co
2a20	6d 29 0a 50 72 6f 6a 65 63 74 2d 49 64 2d 56 65 72 73 69 6f 6e 3a 20 0a 4c 61 6e 67 75 61 67 65	m).Project-Id-Version:..Language
2a40	3a 20 65 73 0a 50 6c 75 72 61 6c 2d 46 6f 72 6d 73 3a 20 6e 70 6c 75 72 61 6c 73 3d 32 3b 20 70	:.es.Plural-Forms:.nplurals=2;.p
2a60	6c 75 72 61 6c 3d 28 6e 3d 3d 31 29 20 3f 20 30 20 3a 20 31 3b 0a 00 41 20 64 65 66 61 75 6c 74	lural=(n==1).?.0.:.1;..A.default
2a80	20 61 63 74 69 6f 6e 20 6f 66 20 60 60 72 65 74 75 72 6e 60 60 2c 20 77 68 69 63 68 20 72 65 74	.action.of.``return``,.which.ret
2aa0	75 72 6e 73 20 74 68 65 20 70 61 63 6b 65 74 20 62 61 63 6b 20 74 6f 20 74 68 65 20 6f 72 69 67	urns.the.packet.back.to.the.orig
2ac0	69 6e 61 6c 20 63 68 61 69 6e 20 69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e	inal.chain.if.no.action.is.taken
2ae0	2e 00 41 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 e2 80 94 77 68 69	..A.new.firewall.structure...whi
2b00	63 68 20 75 73 65 73 20 74 68 65 20 60 60 6e 66 74 61 62 6c 65 73 60 60 20 62 61 63 6b 65 6e 64	ch.uses.the.``nftables``.backend
2b20	2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 60 60 69 70 74 61 62 6c 65 73 60 60 e2 80 94 69 73 20	,.rather.than.``iptables``...is.
2b40	61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 6c 6c 20 69 6e 73 74 61 6c 6c 61 74 69 6f 6e 73 20 73	available.on.all.installations.s
2b60	74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 60 60 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d	tarting.from.VyOS.``1.4-rolling-
2b80	32 30 32 33 30 38 30 34 30 35 35 37 60 60 2e 20 54 68 65 20 66 69 72 65 77 61 6c 6c 20 73 75 70	202308040557``..The.firewall.sup
2ba0	70 6f 72 74 73 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 64 69 73 74 69 6e 63 74 2c 20 69 6e 74 65	ports.creation.of.distinct,.inte
2bc0	72 6c 69 6e 6b 65 64 20 63 68 61 69 6e 73 20 66 6f 72 20 65 61 63 68 20 60 4e 65 74 66 69 6c 74	rlinked.chains.for.each.`Netfilt
2be0	65 72 20 68 6f 6f 6b 20 3c 68 74 74 70 73 3a 2f 2f 77 69 6b 69 2e 6e 66 74 61 62 6c 65 73 2e 6f	er.hook.<https://wiki.nftables.o
2c00	72 67 2f 77 69 6b 69 2d 6e 66 74 61 62 6c 65 73 2f 69 6e 64 65 78 2e 70 68 70 2f 4e 65 74 66 69	rg/wiki-nftables/index.php/Netfi
2c20	6c 74 65 72 5f 68 6f 6f 6b 73 3e 60 5f 20 61 6e 64 20 61 6c 6c 6f 77 73 20 66 6f 72 20 6d 6f 72	lter_hooks>`_.and.allows.for.mor
2c40	65 20 67 72 61 6e 75 6c 61 72 20 63 6f 6e 74 72 6f 6c 20 6f 76 65 72 20 74 68 65 20 70 61 63 6b	e.granular.control.over.the.pack
2c60	65 74 20 66 69 6c 74 65 72 69 6e 67 20 70 72 6f 63 65 73 73 2e 00 41 20 72 75 6c 65 20 74 6f 20	et.filtering.process..A.rule.to.
2c80	60 60 61 63 63 65 70 74 60 60 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 65 73 74 61 62 6c 69 73	``accept``.packets.from.establis
2ca0	68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 20 72	hed.and.related.connections..A.r
2cc0	75 6c 65 20 74 6f 20 60 60 64 72 6f 70 60 60 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 69 6e 76	ule.to.``drop``.packets.from.inv
2ce0	61 6c 69 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 67 72 65 67 75 65 20 75 6e 20 63 6f 6e	alid.connections..Agregue.un.con
2d00	6a 75 6e 74 6f 20 64 65 20 70 6f 6c c3 ad 74 69 63 61 73 20 64 65 20 66 69 72 65 77 61 6c 6c 20	junto.de.pol..ticas.de.firewall.
2d20	70 61 72 61 20 6e 75 65 73 74 72 61 20 69 6e 74 65 72 66 61 7a 20 65 78 74 65 72 6e 61 2f 57 41	para.nuestra.interfaz.externa/WA
2d40	4e 2e 00 44 65 73 70 75 c3 a9 73 20 64 65 20 63 61 64 61 20 63 61 6d 62 69 6f 20 64 65 20 63 6f	N..Despu..s.de.cada.cambio.de.co
2d60	6e 66 69 67 75 72 61 63 69 c3 b3 6e 2c 20 64 65 62 65 20 61 70 6c 69 63 61 72 20 6c 6f 73 20 63	nfiguraci..n,.debe.aplicar.los.c
2d80	61 6d 62 69 6f 73 20 6d 65 64 69 61 6e 74 65 20 65 6c 20 73 69 67 75 69 65 6e 74 65 20 63 6f 6d	ambios.mediante.el.siguiente.com
2da0	61 6e 64 6f 3a 00 44 65 73 70 75 c3 a9 73 20 64 65 20 63 61 6d 62 69 61 72 20 61 20 3a 72 65 66	ando:.Despu..s.de.cambiar.a.:ref
2dc0	3a 60 71 75 69 63 6b 2d 73 74 61 72 74 2d 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f 64 65	:`quick-start-configuration-mode
2de0	60 2c 20 65 6a 65 63 75 74 65 20 6c 6f 73 20 73 69 67 75 69 65 6e 74 65 73 20 63 6f 6d 61 6e 64	`,.ejecute.los.siguientes.comand
2e00	6f 73 20 79 20 73 75 20 73 69 73 74 65 6d 61 20 65 73 63 75 63 68 61 72 c3 a1 20 65 6e 20 63 61	os.y.su.sistema.escuchar...en.ca
2e20	64 61 20 69 6e 74 65 72 66 61 7a 20 6c 61 73 20 63 6f 6e 65 78 69 6f 6e 65 73 20 53 53 48 20 65	da.interfaz.las.conexiones.SSH.e
2e40	6e 74 72 61 6e 74 65 73 2e 20 45 73 20 70 6f 73 69 62 6c 65 20 71 75 65 20 64 65 73 65 65 20 63	ntrantes..Es.posible.que.desee.c
2e60	6f 6e 73 75 6c 74 61 72 20 65 6c 20 63 61 70 c3 ad 74 75 6c 6f 20 3a 72 65 66 3a 60 73 73 68 60	onsultar.el.cap..tulo.:ref:`ssh`
2e80	20 73 6f 62 72 65 20 63 c3 b3 6d 6f 20 65 73 63 75 63 68 61 72 20 73 6f 6c 6f 20 65 6e 20 64 69	.sobre.c..mo.escuchar.solo.en.di
2ea0	72 65 63 63 69 6f 6e 65 73 20 65 73 70 65 63 c3 ad 66 69 63 61 73 2e 00 44 65 73 70 75 c3 a9 73	recciones.espec..ficas..Despu..s
2ec0	20 64 65 20 63 61 6d 62 69 61 72 20 61 20 3a 72 65 66 3a 60 71 75 69 63 6b 2d 73 74 61 72 74 2d	.de.cambiar.a.:ref:`quick-start-
2ee0	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f 64 65 60 20 65 6d 69 74 61 20 6c 6f 73 20 73 69	configuration-mode`.emita.los.si
2f00	67 75 69 65 6e 74 65 73 20 63 6f 6d 61 6e 64 6f 73 3a 00 41 6c 6c 6f 77 20 41 63 63 65 73 73 20	guientes.comandos:.Allow.Access.
2f20	74 6f 20 53 65 72 76 69 63 65 73 00 41 6c 6c 6f 77 20 4d 61 6e 61 67 65 6d 65 6e 74 20 41 63 63	to.Services.Allow.Management.Acc
2f40	65 73 73 00 41 6c 74 65 72 6e 61 74 69 76 65 6c 79 2c 20 69 6e 73 74 65 61 64 20 6f 66 20 63 6f	ess.Alternatively,.instead.of.co
2f60	6e 66 69 67 75 72 69 6e 67 20 74 68 65 20 60 60 43 4f 4e 4e 5f 46 49 4c 54 45 52 60 60 20 63 68	nfiguring.the.``CONN_FILTER``.ch
2f80	61 69 6e 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 2c 20 79 6f 75 20 63 61 6e 20 74 61 6b	ain.described.above,.you.can.tak
2fa0	65 20 74 68 65 20 6d 6f 72 65 20 74 72 61 64 69 74 69 6f 6e 61 6c 20 73 74 61 74 65 66 75 6c 20	e.the.more.traditional.stateful.
2fc0	63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 61 70 70 72 6f 61 63 68 20 62 79	connection.filtering.approach.by
2fe0	20 63 72 65 61 74 69 6e 67 20 72 75 6c 65 73 20 6f 6e 20 65 61 63 68 20 68 6f 6f 6b 27 73 20 63	.creating.rules.on.each.hook's.c
3000	68 61 69 6e 3a 00 41 70 6c 69 63 61 72 20 6c 61 73 20 70 6f 6c c3 ad 74 69 63 61 73 20 64 65 20	hain:.Aplicar.las.pol..ticas.de.
3020	63 6f 72 74 61 66 75 65 67 6f 73 3a 00 43 6f 6d 6f 20 61 72 72 69 62 61 2c 20 63 6f 6e 66 69 72	cortafuegos:.Como.arriba,.confir
3040	6d 65 20 73 75 73 20 63 61 6d 62 69 6f 73 2c 20 67 75 61 72 64 65 20 6c 61 20 63 6f 6e 66 69 67	me.sus.cambios,.guarde.la.config
3060	75 72 61 63 69 c3 b3 6e 20 79 20 73 61 6c 67 61 20 64 65 6c 20 6d 6f 64 6f 20 64 65 20 63 6f 6e	uraci..n.y.salga.del.modo.de.con
3080	66 69 67 75 72 61 63 69 c3 b3 6e 3a 00 42 6c 6f 63 6b 20 49 6e 63 6f 6d 69 6e 67 20 54 72 61 66	figuraci..n:.Block.Incoming.Traf
30a0	66 69 63 00 44 65 20 66 6f 72 6d 61 20 70 72 65 64 65 74 65 72 6d 69 6e 61 64 61 2c 20 56 79 4f	fic.De.forma.predeterminada,.VyO
30c0	53 20 65 73 74 c3 a1 20 65 6e 20 6d 6f 64 6f 20 6f 70 65 72 61 74 69 76 6f 20 79 20 65 6c 20 73	S.est...en.modo.operativo.y.el.s
30e0	c3 ad 6d 62 6f 6c 6f 20 64 65 6c 20 73 69 73 74 65 6d 61 20 6d 75 65 73 74 72 61 20 75 6e 20 60	..mbolo.del.sistema.muestra.un.`
3100	24 60 2e 20 50 61 72 61 20 63 6f 6e 66 69 67 75 72 61 72 20 56 79 4f 53 2c 20 64 65 62 65 72 c3	$`..Para.configurar.VyOS,.deber.
3120	a1 20 69 6e 67 72 65 73 61 72 20 61 6c 20 6d 6f 64 6f 20 64 65 20 63 6f 6e 66 69 67 75 72 61 63	..ingresar.al.modo.de.configurac
3140	69 c3 b3 6e 2c 20 6c 6f 20 71 75 65 20 64 61 72 c3 a1 20 63 6f 6d 6f 20 72 65 73 75 6c 74 61 64	i..n,.lo.que.dar...como.resultad
3160	6f 20 71 75 65 20 65 6c 20 73 c3 ad 6d 62 6f 6c 6f 20 64 65 6c 20 73 69 73 74 65 6d 61 20 6d 75	o.que.el.s..mbolo.del.sistema.mu
3180	65 73 74 72 65 20 75 6e 20 60 23 60 2c 20 63 6f 6d 6f 20 73 65 20 6d 75 65 73 74 72 61 20 61 20	estre.un.`#`,.como.se.muestra.a.
31a0	63 6f 6e 74 69 6e 75 61 63 69 c3 b3 6e 3a 00 42 79 20 64 65 66 61 75 6c 74 2c 20 56 79 4f 53 20	continuaci..n:.By.default,.VyOS.
31c0	69 73 20 69 6e 20 6f 70 65 72 61 74 69 6f 6e 61 6c 20 6d 6f 64 65 2c 20 61 6e 64 20 74 68 65 20	is.in.operational.mode,.and.the.
31e0	63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61 79 73 20 61 20 60 60 24 60 60 2e	command.prompt.displays.a.``$``.
3200	20 54 6f 20 63 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65	.To.configure.VyOS,.you.will.nee
3220	64 20 74 6f 20 65 6e 74 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 6d 6f 64 65 2c 20 72	d.to.enter.configuration.mode,.r
3240	65 73 75 6c 74 69 6e 67 20 69 6e 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74 20 64	esulting.in.the.command.prompt.d
3260	69 73 70 6c 61 79 69 6e 67 20 61 20 60 60 23 60 60 2c 20 61 73 20 64 65 6d 6f 6e 73 74 72 61 74	isplaying.a.``#``,.as.demonstrat
3280	65 64 20 62 65 6c 6f 77 3a 00 43 6f 6d 70 72 6f 6d c3 a9 74 65 74 65 20 79 20 61 68 6f 72 72 61	ed.below:.Comprom..tete.y.ahorra
32a0	00 43 6f 6e 66 69 72 6d 65 20 6c 6f 73 20 63 61 6d 62 69 6f 73 2c 20 67 75 61 72 64 65 20 6c 61	.Confirme.los.cambios,.guarde.la
32c0	20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 79 20 73 61 6c 67 61 20 64 65 6c 20 6d 6f 64 6f	.configuraci..n.y.salga.del.modo
32e0	20 64 65 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 3a 00 4d 6f 64 6f 20 64 65 20 63 6f 6e 66	.de.configuraci..n:.Modo.de.conf
3300	69 67 75 72 61 63 69 c3 b3 6e 00 43 6f 6e 66 69 67 75 72 65 20 46 69 72 65 77 61 6c 6c 20 47 72	iguraci..n.Configure.Firewall.Gr
3320	6f 75 70 73 00 43 6f 6e 66 69 67 75 72 65 20 53 74 61 74 65 66 75 6c 20 50 61 63 6b 65 74 20 46	oups.Configure.Stateful.Packet.F
3340	69 6c 74 65 72 69 6e 67 00 43 6f 6e 66 69 67 75 72 65 20 61 20 72 75 6c 65 20 6f 6e 20 74 68 65	iltering.Configure.a.rule.on.the
3360	20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 20 66 69 6c 74 65 72 20 74 6f 20 6a 75 6d 70 20 74	.``input``.hook.filter.to.jump.t
3380	6f 20 74 68 65 20 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 20 63 68 61 69 6e 20	o.the.``VyOS_MANAGEMENT``.chain.
33a0	77 68 65 6e 20 6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 72 65 20 61 64 64 72 65 73 73	when.new.connections.are.address
33c0	65 64 20 74 6f 20 70 6f 72 74 20 32 32 20 28 53 53 48 29 20 6f 6e 20 74 68 65 20 72 6f 75 74 65	ed.to.port.22.(SSH).on.the.route
33e0	72 20 69 74 73 65 6c 66 3a 00 43 72 65 61 74 65 20 61 20 6e 65 77 20 63 68 61 69 6e 20 28 60 60	r.itself:.Create.a.new.chain.(``
3400	4f 55 54 53 49 44 45 2d 49 4e 60 60 29 20 77 68 69 63 68 20 77 69 6c 6c 20 64 72 6f 70 20 61 6c	OUTSIDE-IN``).which.will.drop.al
3420	6c 20 74 72 61 66 66 69 63 20 74 68 61 74 20 69 73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 79 20	l.traffic.that.is.not.explicity.
3440	61 6c 6c 6f 77 65 64 20 61 74 20 73 6f 6d 65 20 70 6f 69 6e 74 20 69 6e 20 74 68 65 20 63 68 61	allowed.at.some.point.in.the.cha
3460	69 6e 2e 20 54 68 65 6e 2c 20 77 65 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 74 68 61 74 20 63 68	in..Then,.we.can.jump.to.that.ch
3480	61 69 6e 20 66 72 6f 6d 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 68 6f 6f 6b 20 77 68	ain.from.the.``forward``.hook.wh
34a0	65 6e 20 74 72 61 66 66 69 63 20 69 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 74 68 65 20 60 60	en.traffic.is.coming.from.the.``
34c0	57 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 61 6e 64 20 69 73 20 61 64 64	WAN``.interface.group.and.is.add
34e0	72 65 73 73 65 64 20 74 6f 20 6f 75 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 2e 00 41 20 6c	ressed.to.our.local.network..A.l
3500	6f 73 20 63 6c 69 65 6e 74 65 73 20 44 48 43 50 20 73 65 20 6c 65 73 20 61 73 69 67 6e 61 72 c3	os.clientes.DHCP.se.les.asignar.
3520	a1 6e 20 64 69 72 65 63 63 69 6f 6e 65 73 20 49 50 20 64 65 6e 74 72 6f 20 64 65 6c 20 72 61 6e	.n.direcciones.IP.dentro.del.ran
3540	67 6f 20 64 65 20 60 31 39 32 2e 31 36 38 2e 30 2e 39 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 32	go.de.`192.168.0.9.-.192.168.0.2
3560	35 34 60 20 79 20 74 65 6e 64 72 c3 a1 6e 20 75 6e 20 6e 6f 6d 62 72 65 20 64 65 20 64 6f 6d 69	54`.y.tendr..n.un.nombre.de.domi
3580	6e 69 6f 20 64 65 20 60 72 65 64 2d 69 6e 74 65 72 6e 61 60 00 44 48 43 50 20 63 6c 69 65 6e 74	nio.de.`red-interna`.DHCP.client
35a0	73 20 77 69 6c 6c 20 62 65 20 61 73 73 69 67 6e 65 64 20 49 50 20 61 64 64 72 65 73 73 65 73 20	s.will.be.assigned.IP.addresses.
35c0	77 69 74 68 69 6e 20 74 68 65 20 72 61 6e 67 65 20 6f 66 20 60 60 31 39 32 2e 31 36 38 2e 30 2e	within.the.range.of.``192.168.0.
35e0	39 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 32 35 34 60 60 20 61 6e 64 20 68 61 76 65 20 61 20 64	9.-.192.168.0.254``.and.have.a.d
3600	6f 6d 61 69 6e 20 6e 61 6d 65 20 6f 66 20 60 60 69 6e 74 65 72 6e 61 6c 2d 6e 65 74 77 6f 72 6b	omain.name.of.``internal-network
3620	60 60 00 4c 61 73 20 63 6f 6e 63 65 73 69 6f 6e 65 73 20 64 65 20 44 48 43 50 20 73 65 20 6d 61	``.Las.concesiones.de.DHCP.se.ma
3640	6e 74 65 6e 64 72 c3 a1 6e 20 64 75 72 61 6e 74 65 20 75 6e 20 64 c3 ad 61 20 28 38 36 34 30 30	ntendr..n.durante.un.d..a.(86400
3660	20 73 65 67 75 6e 64 6f 73 29 00 47 75 c3 ad 61 20 64 65 20 69 6e 69 63 69 6f 20 72 c3 a1 70 69	.segundos).Gu..a.de.inicio.r..pi
3680	64 6f 20 64 65 20 44 48 43 50 2f 44 4e 53 00 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72	do.de.DHCP/DNS.Documentation.for
36a0	20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61	.most.of.the.new.firewall.CLI.ca
36c0	6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c	n.be.found.in.the.:ref:`firewall
36e0	60 20 63 68 61 70 74 65 72 2e 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73	`.chapter.The.legacy.firewall.is
3700	20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65	.still.available.for.versions.be
3720	66 6f 72 65 20 60 60 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 60	fore.``1.4-rolling-202308040557`
3740	60 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60	`.and.can.be.found.in.the.:ref:`
3760	66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78	firewall-legacy`.chapter..The.ex
3780	61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6e	amples.in.this.section.use.the.n
37a0	65 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 45 73 70 65 63 69 61 6c 6d 65 6e 74 65 20	ew.configuration..Especialmente.
37c0	73 69 20 65 73 74 c3 a1 20 70 65 72 6d 69 74 69 65 6e 64 6f 20 65 6c 20 61 63 63 65 73 6f 20 72	si.est...permitiendo.el.acceso.r
37e0	65 6d 6f 74 6f 20 53 53 48 20 64 65 73 64 65 20 6c 61 20 69 6e 74 65 72 66 61 7a 20 65 78 74 65	emoto.SSH.desde.la.interfaz.exte
3800	72 69 6f 72 2f 57 41 4e 2c 20 68 61 79 20 61 6c 67 75 6e 6f 73 20 70 61 73 6f 73 20 64 65 20 63	rior/WAN,.hay.algunos.pasos.de.c
3820	6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 61 64 69 63 69 6f 6e 61 6c 65 73 20 71 75 65 20 73 65	onfiguraci..n.adicionales.que.se
3840	20 64 65 62 65 6e 20 74 6f 6d 61 72 2e 00 46 69 6e 61 6c 6c 79 2c 20 63 6f 6e 66 69 67 75 72 65	.deben.tomar..Finally,.configure
3860	20 74 68 65 20 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 20 63 68 61 69 6e 20 74	.the.``VyOS_MANAGEMENT``.chain.t
3880	6f 20 61 63 63 65 70 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 60 60 4c	o.accept.connection.from.the.``L
38a0	41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 77 68 69 6c 65 20 6c 69 6d 69 74	AN``.interface.group.while.limit
38c0	69 6e 67 20 72 65 71 75 65 73 74 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 74 68 65 20 60 60 57	ing.requests.coming.from.the.``W
38e0	41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 74 6f 20 34 20 70 65 72 20 6d 69	AN``.interface.group.to.4.per.mi
3900	6e 75 74 65 3a 00 46 69 6e 61 6c 6d 65 6e 74 65 2c 20 69 6e 74 65 6e 74 65 20 79 20 53 53 48 20	nute:.Finalmente,.intente.y.SSH.
3920	65 6e 20 6c 61 20 69 6e 73 74 61 6c 61 63 69 c3 b3 6e 20 64 65 20 56 79 4f 53 20 63 6f 6d 6f 20	en.la.instalaci..n.de.VyOS.como.
3940	73 75 20 6e 75 65 76 6f 20 75 73 75 61 72 69 6f 2e 20 55 6e 61 20 76 65 7a 20 71 75 65 20 68 61	su.nuevo.usuario..Una.vez.que.ha
3960	79 61 20 63 6f 6e 66 69 72 6d 61 64 6f 20 71 75 65 20 73 75 20 6e 75 65 76 6f 20 75 73 75 61 72	ya.confirmado.que.su.nuevo.usuar
3980	69 6f 20 70 75 65 64 65 20 61 63 63 65 64 65 72 20 61 20 73 75 20 65 6e 72 75 74 61 64 6f 72 20	io.puede.acceder.a.su.enrutador.
39a0	73 69 6e 20 63 6f 6e 74 72 61 73 65 c3 b1 61 2c 20 65 6c 69 6d 69 6e 65 20 65 6c 20 75 73 75 61	sin.contrase..a,.elimine.el.usua
39c0	72 69 6f 20 60 60 76 79 6f 73 60 60 20 6f 72 69 67 69 6e 61 6c 20 79 20 64 65 73 68 61 62 69 6c	rio.``vyos``.original.y.deshabil
39e0	69 74 65 20 63 6f 6d 70 6c 65 74 61 6d 65 6e 74 65 20 6c 61 20 61 75 74 65 6e 74 69 63 61 63 69	ite.completamente.la.autenticaci
3a00	c3 b3 6e 20 64 65 20 63 6f 6e 74 72 61 73 65 c3 b1 61 20 70 61 72 61 20 3a 72 65 66 3a 60 73 73	..n.de.contrase..a.para.:ref:`ss
3a20	68 60 3a 00 46 69 6e 61 6c 6c 79 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 63 6f 6e 66 69 67 75 72	h`:.Finally,.we.can.now.configur
3a40	65 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 73 65 72 76 69 63 65 73 20 72 75 6e 6e 69 6e 67	e.access.to.the.services.running
3a60	20 6f 6e 20 74 68 69 73 20 72 6f 75 74 65 72 2c 20 61 6c 6c 6f 77 69 6e 67 20 61 6c 6c 20 63 6f	.on.this.router,.allowing.all.co
3a80	6e 6e 65 63 74 69 6f 6e 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 6c 6f 63 61 6c 68 6f 73 74 3a	nnections.coming.from.localhost:
3aa0	00 63 6f 72 74 61 66 75 65 67 6f 73 00 46 69 72 73 74 2c 20 63 72 65 61 74 65 20 61 20 6e 65 77	.cortafuegos.First,.create.a.new
3ac0	20 64 65 64 69 63 61 74 65 64 20 63 68 61 69 6e 20 28 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d	.dedicated.chain.(``VyOS_MANAGEM
3ae0	45 4e 54 60 60 29 20 66 6f 72 20 6d 61 6e 61 67 65 6d 65 6e 74 20 61 63 63 65 73 73 2c 20 77 68	ENT``).for.management.access,.wh
3b00	69 63 68 20 72 65 74 75 72 6e 73 20 74 6f 20 74 68 65 20 70 61 72 65 6e 74 20 63 68 61 69 6e 20	ich.returns.to.the.parent.chain.
3b20	69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 2e 20 41 64 64 20 61 20 72 75 6c	if.no.action.is.taken..Add.a.rul
3b40	65 20 74 6f 20 61 63 63 65 70 74 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 74 68 65 20 60 60 4c	e.to.accept.traffic.from.the.``L
3b60	41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 3a 00 45 6e 64 75 72 65 63 69 6d 69	AN``.interface.group:.Endurecimi
3b80	65 6e 74 6f 00 48 65 72 65 20 77 65 27 72 65 20 61 6c 6c 6f 77 69 6e 67 20 74 68 65 20 72 6f 75	ento.Here.we're.allowing.the.rou
3ba0	74 65 72 20 74 6f 20 72 65 73 70 6f 6e 64 20 74 6f 20 70 69 6e 67 73 2e 20 54 68 65 6e 2c 20 77	ter.to.respond.to.pings..Then,.w
3bc0	65 20 63 61 6e 20 61 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 44 4e 53 20 72 65	e.can.allow.access.to.the.DNS.re
3be0	63 75 72 73 6f 72 20 77 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 61 72 6c 69 65 72 2c 20 61 63	cursor.we.configured.earlier,.ac
3c00	63 65 70 74 69 6e 67 20 74 72 61 66 66 69 63 20 62 6f 75 6e 64 20 66 6f 72 20 70 6f 72 74 20 35	cepting.traffic.bound.for.port.5
3c20	33 20 66 72 6f 6d 20 61 6c 6c 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 60 60 4e 45 54 2d 49 4e	3.from.all.hosts.on.the.``NET-IN
3c40	53 49 44 45 2d 76 34 60 60 20 6e 65 74 77 6f 72 6b 3a 00 53 69 20 71 75 69 73 69 65 72 61 20 68	SIDE-v4``.network:.Si.quisiera.h
3c60	61 62 69 6c 69 74 61 72 20 65 6c 20 61 63 63 65 73 6f 20 53 53 48 20 61 20 73 75 20 66 69 72 65	abilitar.el.acceso.SSH.a.su.fire
3c80	77 61 6c 6c 20 64 65 73 64 65 20 6c 61 20 69 6e 74 65 72 66 61 7a 20 65 78 74 65 72 6e 61 2f 57	wall.desde.la.interfaz.externa/W
3ca0	41 4e 2c 20 70 6f 64 72 c3 ad 61 20 63 72 65 61 72 20 61 6c 67 75 6e 61 73 20 72 65 67 6c 61 73	AN,.podr..a.crear.algunas.reglas
3cc0	20 61 64 69 63 69 6f 6e 61 6c 65 73 20 70 61 72 61 20 70 65 72 6d 69 74 69 72 20 65 73 65 20 74	.adicionales.para.permitir.ese.t
3ce0	69 70 6f 20 64 65 20 74 72 c3 a1 66 69 63 6f 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77	ipo.de.tr..fico..In.this.case,.w
3d00	65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 74 77 6f 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75	e.will.create.two.interface.grou
3d20	70 73 e2 80 94 61 20 60 60 57 41 4e 60 60 20 67 72 6f 75 70 20 66 6f 72 20 6f 75 72 20 69 6e 74	ps...a.``WAN``.group.for.our.int
3d40	65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 74 68 65 20 70 75 62 6c 69 63 20	erfaces.connected.to.the.public.
3d60	69 6e 74 65 72 6e 65 74 20 61 6e 64 20 61 20 60 60 4c 41 4e 60 60 20 67 72 6f 75 70 20 66 6f 72	internet.and.a.``LAN``.group.for
3d80	20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 6f 75 72	.the.interfaces.connected.to.our
3da0	20 69 6e 74 65 72 6e 61 6c 20 6e 65 74 77 6f 72 6b 2e 20 41 64 64 69 74 69 6f 6e 61 6c 6c 79 2c	.internal.network..Additionally,
3dc0	20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 61 20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c	.we.will.create.a.network.group,
3de0	20 60 60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 2c 20 74 68 61 74 20 63 6f 6e 74 61 69 6e	.``NET-INSIDE-v4``,.that.contain
3e00	73 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 73 75 62 6e 65 74 2e 00 43 6f 6e 66 69 67 75 72 61	s.our.internal.subnet..Configura
3e20	63 69 c3 b3 6e 20 64 65 20 6c 61 20 69 6e 74 65 72 66 61 7a 00 4e 41 54 00 4e 6f 77 20 74 68 61	ci..n.de.la.interfaz.NAT.Now.tha
3e40	74 20 77 65 20 68 61 76 65 20 63 6f 6e 66 69 67 75 72 65 64 20 73 74 61 74 65 66 75 6c 20 63 6f	t.we.have.configured.stateful.co
3e60	6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 74 6f 20 61 6c 6c 6f 77 20 74 72 61 66	nnection.filtering.to.allow.traf
3e80	66 69 63 20 66 72 6f 6d 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64	fic.from.established.and.related
3ea0	20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2c 20 77 65 20 63 61 6e 20 62 6c 6f 63 6b 20 61 6c 6c 20 6f	.connections,.we.can.block.all.o
3ec0	74 68 65 72 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 61 64 64 72 65 73 73 65 64 20	ther.incoming.traffic.addressed.
3ee0	74 6f 20 6f 75 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 2e 00 55 6e 61 20 76 65 7a 20 71 75	to.our.local.network..Una.vez.qu
3f00	65 20 73 75 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 66 75 6e 63 69 6f 6e 65 20 63 6f 6d	e.su.configuraci..n.funcione.com
3f20	6f 20 73 65 20 65 73 70 65 72 61 62 61 2c 20 70 75 65 64 65 20 67 75 61 72 64 61 72 6c 61 20 70	o.se.esperaba,.puede.guardarla.p
3f40	65 72 6d 61 6e 65 6e 74 65 6d 65 6e 74 65 20 75 73 61 6e 64 6f 20 65 6c 20 73 69 67 75 69 65 6e	ermanentemente.usando.el.siguien
3f60	74 65 20 63 6f 6d 61 6e 64 6f 3a 00 53 6f 6c 6f 20 6c 6f 73 20 68 6f 73 74 73 20 64 65 20 73 75	te.comando:.Solo.los.hosts.de.su
3f80	20 72 65 64 20 4c 41 4e 2f 69 6e 74 65 72 6e 61 20 70 75 65 64 65 6e 20 75 73 61 72 20 65 6c 20	.red.LAN/interna.pueden.usar.el.
3fa0	72 65 63 75 72 73 6f 72 20 44 4e 53 00 4f 70 74 69 6f 6e 20 31 3a 20 43 6f 6d 6d 6f 6e 20 43 68	recursor.DNS.Option.1:.Common.Ch
3fc0	61 69 6e 00 4f 70 74 69 6f 6e 20 32 3a 20 50 65 72 2d 48 6f 6f 6b 20 43 68 61 69 6e 00 49 6e 69	ain.Option.2:.Per-Hook.Chain.Ini
3fe0	63 69 6f 20 72 c3 a1 70 69 64 6f 00 52 65 70 6c 61 63 65 20 74 68 65 20 64 65 66 61 75 6c 74 20	cio.r..pido.Replace.the.default.
4000	60 60 76 79 6f 73 60 60 20 73 79 73 74 65 6d 20 75 73 65 72 3a 00 52 65 65 6d 70 6c 61 63 65 20	``vyos``.system.user:.Reemplace.
4020	65 6c 20 75 73 75 61 72 69 6f 20 64 65 6c 20 73 69 73 74 65 6d 61 20 60 76 79 6f 73 60 20 70 72	el.usuario.del.sistema.`vyos`.pr
4040	65 64 65 74 65 72 6d 69 6e 61 64 6f 3a 00 47 65 73 74 69 c3 b3 6e 20 53 53 48 00 43 6f 6e 66 69	edeterminado:.Gesti..n.SSH.Confi
4060	67 75 72 61 72 20 3a 72 65 66 3a 60 73 73 68 5f 6b 65 79 5f 62 61 73 65 64 5f 61 75 74 68 65 6e	gurar.:ref:`ssh_key_based_authen
4080	74 69 63 61 74 69 6f 6e 60 3a 00 45 6c 20 72 61 6e 67 6f 20 64 65 20 64 69 72 65 63 63 69 6f 6e	tication`:.El.rango.de.direccion
40a0	65 73 20 60 31 39 32 2e 31 36 38 2e 30 2e 32 2f 32 34 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 38	es.`192.168.0.2/24.-.192.168.0.8
40c0	2f 32 34 60 20 73 65 20 72 65 73 65 72 76 61 72 c3 a1 20 70 61 72 61 20 61 73 69 67 6e 61 63 69	/24`.se.reservar...para.asignaci
40e0	6f 6e 65 73 20 65 73 74 c3 a1 74 69 63 61 73 00 54 68 65 20 61 64 64 72 65 73 73 20 72 61 6e 67	ones.est..ticas.The.address.rang
4100	65 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 32 2f 32 34 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 38	e.``192.168.0.2/24.-.192.168.0.8
4120	2f 32 34 60 60 20 77 69 6c 6c 20 62 65 20 72 65 73 65 72 76 65 64 20 66 6f 72 20 73 74 61 74 69	/24``.will.be.reserved.for.stati
4140	63 20 61 73 73 69 67 6e 6d 65 6e 74 73 00 54 68 65 20 63 68 61 69 6e 20 77 65 20 77 69 6c 6c 20	c.assignments.The.chain.we.will.
4160	63 72 65 61 74 65 20 69 73 20 63 61 6c 6c 65 64 20 60 60 43 4f 4e 4e 5f 46 49 4c 54 45 52 60 60	create.is.called.``CONN_FILTER``
4180	20 61 6e 64 20 68 61 73 20 74 68 72 65 65 20 72 75 6c 65 73 3a 00 4c 61 20 70 75 65 72 74 61 20	.and.has.three.rules:.La.puerta.
41a0	64 65 20 65 6e 6c 61 63 65 20 70 72 65 64 65 74 65 72 6d 69 6e 61 64 61 20 79 20 6c 61 20 64 69	de.enlace.predeterminada.y.la.di
41c0	72 65 63 63 69 c3 b3 6e 20 64 65 6c 20 72 65 63 75 72 73 6f 72 20 44 4e 53 20 73 65 72 c3 a1 6e	recci..n.del.recursor.DNS.ser..n
41e0	20 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 00 54 68 65 20 64 65 66 61 75 6c 74 20 67 61	.`192.168.0.1/24`.The.default.ga
4200	74 65 77 61 79 20 61 6e 64 20 44 4e 53 20 72 65 63 75 72 73 6f 72 20 61 64 64 72 65 73 73 20 77	teway.and.DNS.recursor.address.w
4220	69 6c 6c 20 62 65 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 60 00 54 68 65 20 66 69	ill.be.``192.168.0.1/24``.The.fi
4240	72 65 77 61 6c 6c 20 62 65 67 69 6e 73 20 77 69 74 68 20 74 68 65 20 62 61 73 65 20 60 60 66 69	rewall.begins.with.the.base.``fi
4260	6c 74 65 72 60 60 20 74 61 62 6c 65 73 20 79 6f 75 20 64 65 66 69 6e 65 20 66 6f 72 20 65 61 63	lter``.tables.you.define.for.eac
4280	68 20 6f 66 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 2c 20 60 60 69 6e 70 75 74 60 60 2c	h.of.the.``forward``,.``input``,
42a0	20 61 6e 64 20 60 60 6f 75 74 70 75 74 60 60 20 4e 65 74 66 69 74 65 72 20 68 6f 6f 6b 73 2e 20	.and.``output``.Netfiter.hooks..
42c0	45 61 63 68 20 6f 66 20 74 68 65 73 65 20 74 61 62 6c 65 73 20 69 73 20 70 6f 70 75 6c 61 74 65	Each.of.these.tables.is.populate
42e0	64 20 77 69 74 68 20 72 75 6c 65 73 20 74 68 61 74 20 61 72 65 20 70 72 6f 63 65 73 73 65 64 20	d.with.rules.that.are.processed.
4300	69 6e 20 6f 72 64 65 72 20 61 6e 64 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 6f 74 68 65 72 20 63	in.order.and.can.jump.to.other.c
4320	68 61 69 6e 73 20 66 6f 72 20 6d 6f 72 65 20 67 72 61 6e 75 6c 61 72 20 66 69 6c 74 65 72 69 6e	hains.for.more.granular.filterin
4340	67 2e 00 4c 6f 73 20 73 69 67 75 69 65 6e 74 65 73 20 61 6a 75 73 74 65 73 20 63 6f 6e 66 69 67	g..Los.siguientes.ajustes.config
4360	75 72 61 72 c3 a1 6e 20 6c 61 73 20 72 65 67 6c 61 73 20 3a 72 65 66 3a 60 73 6f 75 72 63 65 2d	urar..n.las.reglas.:ref:`source-
4380	6e 61 74 60 20 70 61 72 61 20 6e 75 65 73 74 72 61 20 72 65 64 20 69 6e 74 65 72 6e 61 2f 4c 41	nat`.para.nuestra.red.interna/LA
43a0	4e 2c 20 6c 6f 20 71 75 65 20 70 65 72 6d 69 74 69 72 c3 a1 20 71 75 65 20 6c 6f 73 20 68 6f 73	N,.lo.que.permitir...que.los.hos
43c0	74 73 20 73 65 20 63 6f 6d 75 6e 69 71 75 65 6e 20 61 20 74 72 61 76 c3 a9 73 20 64 65 20 6c 61	ts.se.comuniquen.a.trav..s.de.la
43e0	20 72 65 64 20 65 78 74 65 72 6e 61 2f 57 41 4e 20 61 20 74 72 61 76 c3 a9 73 20 64 65 6c 20 65	.red.externa/WAN.a.trav..s.del.e
4400	6e 6d 61 73 63 61 72 61 6d 69 65 6e 74 6f 20 64 65 20 49 50 2e 00 4c 6f 73 20 73 69 67 75 69 65	nmascaramiento.de.IP..Los.siguie
4420	6e 74 65 73 20 61 6a 75 73 74 65 73 20 63 6f 6e 66 69 67 75 72 61 72 c3 a1 6e 20 6c 6f 73 20 73	ntes.ajustes.configurar..n.los.s
4440	65 72 76 69 63 69 6f 73 20 44 48 43 50 20 79 20 44 4e 53 20 65 6e 20 73 75 20 72 65 64 20 69 6e	ervicios.DHCP.y.DNS.en.su.red.in
4460	74 65 72 6e 61 2f 4c 41 4e 2c 20 64 6f 6e 64 65 20 56 79 4f 53 20 61 63 74 75 61 72 c3 a1 20 63	terna/LAN,.donde.VyOS.actuar...c
4480	6f 6d 6f 20 70 75 65 72 74 61 20 64 65 20 65 6e 6c 61 63 65 20 70 72 65 64 65 74 65 72 6d 69 6e	omo.puerta.de.enlace.predetermin
44a0	61 64 61 20 79 20 73 65 72 76 69 64 6f 72 20 44 4e 53 2e 00 54 68 65 6e 2c 20 77 65 20 63 61 6e	ada.y.servidor.DNS..Then,.we.can
44c0	20 6a 75 6d 70 20 74 6f 20 74 68 65 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e 20 66 72 6f 6d 20 62	.jump.to.the.common.chain.from.b
44e0	6f 74 68 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 61 6e 64 20 60 60 69 6e 70 75 74 60	oth.the.``forward``.and.``input`
4500	60 20 68 6f 6f 6b 73 20 61 73 20 74 68 65 20 66 69 72 73 74 20 66 69 6c 74 65 72 69 6e 67 20 72	`.hooks.as.the.first.filtering.r
4520	75 6c 65 20 69 6e 20 74 68 65 20 72 65 73 70 65 63 74 69 76 65 20 63 68 61 69 6e 73 3a 00 45 73	ule.in.the.respective.chains:.Es
4540	74 61 73 20 72 65 67 6c 61 73 20 70 65 72 6d 69 74 65 6e 20 65 6c 20 74 72 c3 a1 66 69 63 6f 20	tas.reglas.permiten.el.tr..fico.
4560	53 53 48 20 79 20 6c 6f 20 6c 69 6d 69 74 61 6e 20 61 20 34 20 73 6f 6c 69 63 69 74 75 64 65 73	SSH.y.lo.limitan.a.4.solicitudes
4580	20 70 6f 72 20 6d 69 6e 75 74 6f 2e 20 45 73 74 6f 20 62 6c 6f 71 75 65 61 20 6c 6f 73 20 69 6e	.por.minuto..Esto.bloquea.los.in
45a0	74 65 6e 74 6f 73 20 64 65 20 66 75 65 72 7a 61 20 62 72 75 74 61 3a 00 54 68 69 73 20 63 68 61	tentos.de.fuerza.bruta:.This.cha
45c0	70 74 65 72 20 77 69 6c 6c 20 67 75 69 64 65 20 79 6f 75 20 6f 6e 20 68 6f 77 20 74 6f 20 67 65	pter.will.guide.you.on.how.to.ge
45e0	74 20 75 70 20 74 6f 20 73 70 65 65 64 20 71 75 69 63 6b 6c 79 20 75 73 69 6e 67 20 79 6f 75 72	t.up.to.speed.quickly.using.your
4600	20 6e 65 77 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 49 74 20 77 69 6c 6c 20 73 68 6f 77 20 79	.new.VyOS.system..It.will.show.y
4620	6f 75 20 61 20 76 65 72 79 20 62 61 73 69 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78	ou.a.very.basic.configuration.ex
4640	61 6d 70 6c 65 20 74 68 61 74 20 77 69 6c 6c 20 70 72 6f 76 69 64 65 20 61 20 3a 72 65 66 3a 60	ample.that.will.provide.a.:ref:`
4660	6e 61 74 60 20 67 61 74 65 77 61 79 20 66 6f 72 20 61 20 64 65 76 69 63 65 20 77 69 74 68 20 74	nat`.gateway.for.a.device.with.t
4680	77 6f 20 6e 65 74 77 6f 72 6b 20 69 6e 74 65 72 66 61 63 65 73 20 28 60 60 65 74 68 30 60 60 20	wo.network.interfaces.(``eth0``.
46a0	61 6e 64 20 60 60 65 74 68 31 60 60 29 2e 00 45 73 74 65 20 63 61 70 c3 ad 74 75 6c 6f 20 6c 6f	and.``eth1``)..Este.cap..tulo.lo
46c0	20 67 75 69 61 72 c3 a1 20 73 6f 62 72 65 20 63 c3 b3 6d 6f 20 70 6f 6e 65 72 73 65 20 61 6c 20	.guiar...sobre.c..mo.ponerse.al.
46e0	64 c3 ad 61 20 72 c3 a1 70 69 64 61 6d 65 6e 74 65 20 63 6f 6e 20 73 75 20 6e 75 65 76 6f 20 73	d..a.r..pidamente.con.su.nuevo.s
4700	69 73 74 65 6d 61 20 56 79 4f 53 2e 20 4c 65 20 6d 6f 73 74 72 61 72 c3 a1 20 75 6e 20 65 6a 65	istema.VyOS..Le.mostrar...un.eje
4720	6d 70 6c 6f 20 64 65 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 6d 75 79 20 62 c3 a1 73 69	mplo.de.configuraci..n.muy.b..si
4740	63 6f 20 71 75 65 20 70 72 6f 70 6f 72 63 69 6f 6e 61 72 c3 a1 20 75 6e 61 20 70 75 65 72 74 61	co.que.proporcionar...una.puerta
4760	20 64 65 20 65 6e 6c 61 63 65 20 3a 72 65 66 3a 60 6e 61 74 60 20 70 61 72 61 20 75 6e 20 64 69	.de.enlace.:ref:`nat`.para.un.di
4780	73 70 6f 73 69 74 69 76 6f 20 63 6f 6e 20 64 6f 73 20 69 6e 74 65 72 66 61 63 65 73 20 64 65 20	spositivo.con.dos.interfaces.de.
47a0	72 65 64 20 28 60 65 74 68 30 60 20 79 20 60 65 74 68 31 60 29 2e 00 45 73 74 61 20 63 6f 6e 66	red.(`eth0`.y.`eth1`)..Esta.conf
47c0	69 67 75 72 61 63 69 c3 b3 6e 20 63 72 65 61 20 75 6e 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 20	iguraci..n.crea.un.firewall.con.
47e0	65 73 74 61 64 6f 20 61 64 65 63 75 61 64 6f 20 71 75 65 20 62 6c 6f 71 75 65 61 20 74 6f 64 6f	estado.adecuado.que.bloquea.todo
4800	20 65 6c 20 74 72 c3 a1 66 69 63 6f 20 71 75 65 20 6e 6f 20 73 65 20 69 6e 69 63 69 c3 b3 20 70	.el.tr..fico.que.no.se.inici...p
4820	72 69 6d 65 72 6f 20 64 65 73 64 65 20 65 6c 20 6c 61 64 6f 20 69 6e 74 65 72 6e 6f 2f 4c 41 4e	rimero.desde.el.lado.interno/LAN
4840	2e 00 54 6f 20 6d 61 6b 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e	..To.make.firewall.configuration
4860	20 65 61 73 69 65 72 2c 20 77 65 20 63 61 6e 20 63 72 65 61 74 65 20 67 72 6f 75 70 73 20 6f 66	.easier,.we.can.create.groups.of
4880	20 69 6e 74 65 72 66 61 63 65 73 2c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 64 64 72 65 73 73 65 73	.interfaces,.networks,.addresses
48a0	2c 20 70 6f 72 74 73 2c 20 61 6e 64 20 64 6f 6d 61 69 6e 73 20 74 68 61 74 20 64 65 73 63 72 69	,.ports,.and.domains.that.descri
48c0	62 65 20 64 69 66 66 65 72 65 6e 74 20 70 61 72 74 73 20 6f 66 20 6f 75 72 20 6e 65 74 77 6f 72	be.different.parts.of.our.networ
48e0	6b 2e 20 57 65 20 63 61 6e 20 74 68 65 6e 20 75 73 65 20 74 68 65 6d 20 66 6f 72 20 66 69 6c 74	k..We.can.then.use.them.for.filt
4900	65 72 69 6e 67 20 77 69 74 68 69 6e 20 6f 75 72 20 66 69 72 65 77 61 6c 6c 20 72 75 6c 65 73 65	ering.within.our.firewall.rulese
4920	74 73 2c 20 61 6c 6c 6f 77 69 6e 67 20 66 6f 72 20 6d 6f 72 65 20 63 6f 6e 63 69 73 65 20 61 6e	ts,.allowing.for.more.concise.an
4940	64 20 72 65 61 64 61 62 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 56 79 4f 53 20 73	d.readable.configuration..VyOS.s
4960	65 72 76 69 72 c3 a1 20 63 6f 6d 6f 20 75 6e 20 72 65 63 75 72 73 6f 20 64 65 20 44 4e 53 20 63	ervir...como.un.recurso.de.DNS.c
4980	6f 6d 70 6c 65 74 6f 2c 20 72 65 65 6d 70 6c 61 7a 61 6e 64 6f 20 6c 61 20 6e 65 63 65 73 69 64	ompleto,.reemplazando.la.necesid
49a0	61 64 20 64 65 20 75 74 69 6c 69 7a 61 72 20 47 6f 6f 67 6c 65 2c 20 43 6c 6f 75 64 66 6c 61 72	ad.de.utilizar.Google,.Cloudflar
49c0	65 20 75 20 6f 74 72 6f 73 20 73 65 72 76 69 64 6f 72 65 73 20 44 4e 53 20 70 c3 ba 62 6c 69 63	e.u.otros.servidores.DNS.p..blic
49e0	6f 73 20 28 6c 6f 20 63 75 61 6c 20 65 73 20 62 75 65 6e 6f 20 70 61 72 61 20 6c 61 20 70 72 69	os.(lo.cual.es.bueno.para.la.pri
4a00	76 61 63 69 64 61 64 29 00 57 65 20 63 61 6e 20 63 72 65 61 74 65 20 61 20 63 6f 6d 6d 6f 6e 20	vacidad).We.can.create.a.common.
4a20	63 68 61 69 6e 20 66 6f 72 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69	chain.for.stateful.connection.fi
4a40	6c 74 65 72 69 6e 67 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 20 28	ltering.of.multiple.interfaces.(
4a60	6f 72 20 6d 75 6c 74 69 70 6c 65 20 6e 65 74 66 69 6c 74 65 72 20 68 6f 6f 6b 73 20 6f 6e 20 6f	or.multiple.netfilter.hooks.on.o
4a80	6e 65 20 69 6e 74 65 72 66 61 63 65 29 2e 20 54 68 6f 73 65 20 69 6e 64 69 76 69 64 75 61 6c 20	ne.interface)..Those.individual.
4aa0	63 68 61 69 6e 73 20 63 61 6e 20 74 68 65 6e 20 6a 75 6d 70 20 74 6f 20 74 68 65 20 63 6f 6d 6d	chains.can.then.jump.to.the.comm
4ac0	6f 6e 20 63 68 61 69 6e 20 66 6f 72 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e	on.chain.for.stateful.connection
4ae0	20 66 69 6c 74 65 72 69 6e 67 2c 20 72 65 74 75 72 6e 69 6e 67 20 74 6f 20 74 68 65 20 6f 72 69	.filtering,.returning.to.the.ori
4b00	67 69 6e 61 6c 20 63 68 61 69 6e 20 66 6f 72 20 66 75 72 74 68 65 72 20 72 75 6c 65 20 70 72 6f	ginal.chain.for.further.rule.pro
4b20	63 65 73 73 69 6e 67 20 69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 20 6f 6e	cessing.if.no.action.is.taken.on
4b40	20 74 68 65 20 70 61 63 6b 65 74 2e 00 57 65 20 63 61 6e 20 6e 6f 77 20 63 6f 6e 66 69 67 75 72	.the.packet..We.can.now.configur
4b60	65 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2c 20 61	e.access.to.the.router.itself,.a
4b80	6c 6c 6f 77 69 6e 67 20 53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 68 65 20 69 6e 73 69	llowing.SSH.access.from.the.insi
4ba0	64 65 2f 4c 41 4e 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 72 61 74 65 20 6c 69 6d 69 74 69 6e 67	de/LAN.network.and.rate.limiting
4bc0	20 53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e	.SSH.access.from.the.outside/WAN
4be0	20 6e 65 74 77 6f 72 6b 2e 00 57 65 20 73 68 6f 75 6c 64 20 61 6c 73 6f 20 62 6c 6f 63 6b 20 61	.network..We.should.also.block.a
4c00	6c 6c 20 74 72 61 66 66 69 63 20 64 65 73 74 69 6e 61 74 65 64 20 74 6f 20 74 68 65 20 72 6f 75	ll.traffic.destinated.to.the.rou
4c20	74 65 72 20 69 74 73 65 6c 66 20 74 68 61 74 20 69 73 6e 27 74 20 65 78 70 6c 69 63 69 74 6c 79	ter.itself.that.isn't.explicitly
4c40	20 61 6c 6c 6f 77 65 64 20 61 74 20 73 6f 6d 65 20 70 6f 69 6e 74 20 69 6e 20 74 68 65 20 63 68	.allowed.at.some.point.in.the.ch
4c60	61 69 6e 20 66 6f 72 20 74 68 65 20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 2e 20 41 73 20 77	ain.for.the.``input``.hook..As.w
4c80	65 27 76 65 20 61 6c 72 65 61 64 79 20 63 6f 6e 66 69 67 75 72 65 64 20 73 74 61 74 65 66 75 6c	e've.already.configured.stateful
4ca0	20 70 61 63 6b 65 74 20 66 69 6c 74 65 72 69 6e 67 20 61 62 6f 76 65 2c 20 77 65 20 6f 6e 6c 79	.packet.filtering.above,.we.only
4cc0	20 6e 65 65 64 20 74 6f 20 73 65 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20	.need.to.set.the.default.action.
4ce0	74 6f 20 60 60 64 72 6f 70 60 60 3a 00 57 69 74 68 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61	to.``drop``:.With.the.new.firewa
4d00	6c 6c 20 73 74 72 75 63 74 75 72 65 2c 20 77 65 20 68 61 76 65 20 68 61 76 65 20 61 20 6c 6f 74	ll.structure,.we.have.have.a.lot
4d20	20 6f 66 20 66 6c 65 78 69 62 69 6c 69 74 79 20 69 6e 20 68 6f 77 20 77 65 20 67 72 6f 75 70 20	.of.flexibility.in.how.we.group.
4d40	61 6e 64 20 6f 72 64 65 72 20 6f 75 72 20 72 75 6c 65 73 2c 20 61 73 20 73 68 6f 77 6e 20 62 79	and.order.our.rules,.as.shown.by
4d60	20 74 68 65 20 74 77 6f 20 61 6c 74 65 72 6e 61 74 69 76 65 20 61 70 70 72 6f 61 63 68 65 73 20	.the.two.alternative.approaches.
4d80	62 65 6c 6f 77 2e 00 41 68 6f 72 61 20 64 65 62 65 72 c3 ad 61 20 74 65 6e 65 72 20 75 6e 20 65	below..Ahora.deber..a.tener.un.e
4da0	6e 72 75 74 61 64 6f 72 20 73 69 6d 70 6c 65 20 70 65 72 6f 20 73 65 67 75 72 6f 20 79 20 66 75	nrutador.simple.pero.seguro.y.fu
4dc0	6e 63 69 6f 6e 61 6c 20 70 61 72 61 20 65 78 70 65 72 69 6d 65 6e 74 61 72 20 6d c3 a1 73 2e 20	ncional.para.experimentar.m..s..
4de0	c2 a1 44 69 73 66 72 75 74 61 72 21 00 59 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 69	..Disfrutar!.Your.internal/LAN.i
4e00	6e 74 65 72 66 61 63 65 20 77 69 6c 6c 20 62 65 20 60 60 65 74 68 31 60 60 2e 20 49 74 20 77 69	nterface.will.be.``eth1``..It.wi
4e20	6c 6c 20 75 73 65 20 61 20 73 74 61 74 69 63 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 60 60	ll.use.a.static.IP.address.of.``
4e40	31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 60 2e 00 53 75 20 69 6e 74 65 72 66 61 7a 20 69 6e	192.168.0.1/24``..Su.interfaz.in
4e60	74 65 72 6e 61 2f 4c 41 4e 20 73 65 72 c3 a1 20 60 65 74 68 31 60 2e 20 55 74 69 6c 69 7a 61 72	terna/LAN.ser...`eth1`..Utilizar
4e80	c3 a1 20 75 6e 61 20 64 69 72 65 63 63 69 c3 b3 6e 20 49 50 20 65 73 74 c3 a1 74 69 63 61 20 64	...una.direcci..n.IP.est..tica.d
4ea0	65 20 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 2e 00 59 6f 75 72 20 6f 75 74 73 69 64 65	e.`192.168.0.1/24`..Your.outside
4ec0	2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77 69 6c 6c 20 62 65 20 60 60 65 74 68 30 60 60 2e	/WAN.interface.will.be.``eth0``.
4ee0	20 49 74 20 77 69 6c 6c 20 72 65 63 65 69 76 65 20 69 74 73 20 69 6e 74 65 72 66 61 63 65 20 61	.It.will.receive.its.interface.a
4f00	64 64 72 65 73 73 20 76 69 61 20 44 48 43 50 2e 00 53 75 20 69 6e 74 65 72 66 61 7a 20 65 78 74	ddress.via.DHCP..Su.interfaz.ext
4f20	65 72 69 6f 72 2f 57 41 4e 20 73 65 72 c3 a1 20 60 65 74 68 30 60 2e 20 52 65 63 69 62 69 72 c3	erior/WAN.ser...`eth0`..Recibir.
4f40	a1 20 73 75 20 64 69 72 65 63 63 69 c3 b3 6e 20 64 65 20 69 6e 74 65 72 66 61 7a 20 61 20 74 72	..su.direcci..n.de.interfaz.a.tr
4f60	61 76 c3 a9 73 20 64 65 20 44 48 43 50 2e 00	av..s.de.DHCP..