quick-start.mo « LC_MESSAGES « es « _locale « docs - vyos-documentation.git - VyOS readthedocs (mirror of https://github.com/marekm72/vyos-documentation.git)

blob: 0a3a4fbbfb03dcb6ff6f1cf79e9bb2330f3ccef2 (plain)

ofs	hex dump	ascii
0000	de 12 04 95 00 00 00 00 53 00 00 00 1c 00 00 00 b4 02 00 00 71 00 00 00 4c 05 00 00 00 00 00 00	........S...........q...L.......
0020	10 07 00 00 6a 00 00 00 11 07 00 00 93 01 00 00 7c 07 00 00 46 00 00 00 10 09 00 00 34 00 00 00	....j...........\|...F.......4...
0040	57 09 00 00 3d 00 00 00 8c 09 00 00 5f 00 00 00 ca 09 00 00 ff 00 00 00 2a 0a 00 00 56 00 00 00	W...=......._...........*...V...
0060	2a 0b 00 00 18 00 00 00 81 0b 00 00 17 00 00 00 9a 0b 00 00 c1 00 00 00 b2 0b 00 00 84 00 00 00	*...............................
0080	74 0c 00 00 1c 00 00 00 f9 0c 00 00 53 00 00 00 16 0d 00 00 16 00 00 00 6a 0d 00 00 d6 00 00 00	t...........S...........j.......
00a0	81 0d 00 00 da 00 00 00 58 0e 00 00 0f 00 00 00 33 0f 00 00 44 00 00 00 43 0f 00 00 12 00 00 00	........X.......3...D...C.......
00c0	88 0f 00 00 19 00 00 00 9b 0f 00 00 23 00 00 00 b5 0f 00 00 a0 00 00 00 d9 0f 00 00 12 01 00 00	............#...................
00e0	7a 10 00 00 89 00 00 00 8d 11 00 00 8d 00 00 00 17 12 00 00 31 00 00 00 a5 12 00 00 14 00 00 00	z...................1...........
0100	d7 12 00 00 22 01 00 00 ec 12 00 00 95 00 00 00 0f 14 00 00 b7 00 00 00 a5 14 00 00 f3 00 00 00	...."...........................
0120	5d 15 00 00 7c 00 00 00 51 16 00 00 08 00 00 00 ce 16 00 00 c8 00 00 00 d7 16 00 00 09 00 00 00	]...\|...Q.......................
0140	a0 17 00 00 cd 00 00 00 aa 17 00 00 99 00 00 00 78 18 00 00 27 01 00 00 12 19 00 00 25 01 00 00	................x...'.......%...
0160	3a 1a 00 00 17 00 00 00 60 1b 00 00 3e 00 00 00 78 1b 00 00 03 00 00 00 b7 1b 00 00 bc 00 00 00	:.......`...>...x...............
0180	bb 1b 00 00 66 00 00 00 78 1c 00 00 42 00 00 00 df 1c 00 00 16 00 00 00 22 1d 00 00 1f 00 00 00	....f...x...B...........".......
01a0	39 1d 00 00 1d 00 00 00 59 1d 00 00 18 00 00 00 77 1d 00 00 18 00 00 00 90 1d 00 00 0b 00 00 00	9.......Y.......w...............
01c0	a9 1d 00 00 29 00 00 00 b5 1d 00 00 27 00 00 00 df 1d 00 00 0e 00 00 00 07 1e 00 00 2b 00 00 00	....).......'...............+...
01e0	16 1e 00 00 5b 00 00 00 42 1e 00 00 5d 00 00 00 9e 1e 00 00 47 00 00 00 fc 1e 00 00 45 00 00 00	....[...B...].......G.......E...
0200	44 1f 00 00 47 00 00 00 8a 1f 00 00 08 01 00 00 d2 1f 00 00 ac 00 00 00 db 20 00 00 94 00 00 00	D...G...........................
0220	88 21 00 00 89 00 00 00 1d 22 00 00 6d 00 00 00 a7 22 00 00 f6 00 00 00 15 23 00 00 f2 00 00 00	.!......."..m....".......#......
0240	0c 24 00 00 87 00 00 00 ff 24 00 00 17 01 00 00 87 25 00 00 72 01 00 00 9f 26 00 00 91 00 00 00	.$.......$.......%..r....&......
0260	12 28 00 00 43 01 00 00 a4 28 00 00 9c 00 00 00 e8 29 00 00 02 01 00 00 85 2a 00 00 9b 00 00 00	.(..C....(.......).......*......
0280	88 2b 00 00 99 00 00 00 24 2c 00 00 61 00 00 00 be 2c 00 00 64 00 00 00 20 2d 00 00 60 00 00 00	.+......$,..a....,..d....-..`...
02a0	85 2d 00 00 5c 00 00 00 e6 2d 00 00 5a 00 00 00 43 2e 00 00 da 00 00 00 9e 2e 00 00 6a 00 00 00	.-..\....-..Z...C...........j...
02c0	79 2f 00 00 93 01 00 00 e4 2f 00 00 46 00 00 00 78 31 00 00 34 00 00 00 bf 31 00 00 50 00 00 00	y/......./..F...x1..4....1..P...
02e0	f4 31 00 00 62 00 00 00 45 32 00 00 11 01 00 00 a8 32 00 00 5a 00 00 00 ba 33 00 00 18 00 00 00	.1..b...E2.......2..Z....3......
0300	15 34 00 00 17 00 00 00 2e 34 00 00 c1 00 00 00 46 34 00 00 84 00 00 00 08 35 00 00 26 00 00 00	.4.......4......F4.......5..&...
0320	8d 35 00 00 5f 00 00 00 b4 35 00 00 16 00 00 00 14 36 00 00 0a 01 00 00 2b 36 00 00 da 00 00 00	.5.._....5.......6......+6......
0340	36 37 00 00 16 00 00 00 11 38 00 00 52 00 00 00 28 38 00 00 16 00 00 00 7b 38 00 00 19 00 00 00	67.......8..R...(8......{8......
0360	92 38 00 00 23 00 00 00 ac 38 00 00 a0 00 00 00 d0 38 00 00 12 01 00 00 71 39 00 00 97 00 00 00	.8..#....8.......8......q9......
0380	84 3a 00 00 8d 00 00 00 1c 3b 00 00 47 00 00 00 aa 3b 00 00 23 00 00 00 f2 3b 00 00 22 01 00 00	.:.......;..G....;..#....;.."...
03a0	16 3c 00 00 9b 00 00 00 39 3d 00 00 b7 00 00 00 d5 3d 00 00 1d 01 00 00 8d 3e 00 00 7c 00 00 00	.<......9=.......=.......>..\|...
03c0	ab 3f 00 00 0b 00 00 00 28 40 00 00 c8 00 00 00 34 40 00 00 0e 00 00 00 fd 40 00 00 cd 00 00 00	.?......(@......4@.......@......
03e0	0c 41 00 00 9d 00 00 00 da 41 00 00 27 01 00 00 78 42 00 00 25 01 00 00 a0 43 00 00 1d 00 00 00	.A.......A..'...xB..%....C......
0400	c6 44 00 00 3e 00 00 00 e4 44 00 00 03 00 00 00 23 45 00 00 bc 00 00 00 27 45 00 00 75 00 00 00	.D..>....D......#E......'E..u...
0420	e4 45 00 00 40 00 00 00 5a 46 00 00 16 00 00 00 9b 46 00 00 1f 00 00 00 b2 46 00 00 1d 00 00 00	.E..@...ZF.......F.......F......
0440	d2 46 00 00 18 00 00 00 f0 46 00 00 18 00 00 00 09 47 00 00 0e 00 00 00 22 47 00 00 29 00 00 00	.F.......F.......G......"G..)...
0460	31 47 00 00 37 00 00 00 5b 47 00 00 0c 00 00 00 93 47 00 00 2f 00 00 00 a0 47 00 00 64 00 00 00	1G..7...[G.......G../....G..d...
0480	d0 47 00 00 5d 00 00 00 35 48 00 00 47 00 00 00 93 48 00 00 5b 00 00 00 db 48 00 00 47 00 00 00	.G..]...5H..G....H..[....H..G...
04a0	37 49 00 00 08 01 00 00 7f 49 00 00 d2 00 00 00 88 4a 00 00 9d 00 00 00 5b 4b 00 00 89 00 00 00	7I.......I.......J......[K......
04c0	f9 4b 00 00 79 00 00 00 83 4c 00 00 f6 00 00 00 fd 4c 00 00 07 01 00 00 f4 4d 00 00 8a 00 00 00	.K..y....L.......L.......M......
04e0	fc 4e 00 00 17 01 00 00 87 4f 00 00 72 01 00 00 9f 50 00 00 ae 00 00 00 12 52 00 00 43 01 00 00	.N.......O..r....P.......R..C...
0500	c1 52 00 00 9c 00 00 00 05 54 00 00 02 01 00 00 a2 54 00 00 9b 00 00 00 a5 55 00 00 99 00 00 00	.R.......T.......T.......U......
0520	41 56 00 00 65 00 00 00 db 56 00 00 64 00 00 00 41 57 00 00 61 00 00 00 a6 57 00 00 5c 00 00 00	AV..e....V..d...AW..a....W..\...
0540	08 58 00 00 5d 00 00 00 65 58 00 00 01 00 00 00 00 00 00 00 00 00 00 00 3f 00 00 00 00 00 00 00	.X..]...eX..............?.......
0560	05 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 00 00 00 00 08 00 00 00 42 00 00 00 07 00 00 00	........................B.......
0580	44 00 00 00 24 00 00 00 51 00 00 00 00 00 00 00 15 00 00 00 34 00 00 00 1d 00 00 00 39 00 00 00	D...$...Q...........4.......9...
05a0	00 00 00 00 52 00 00 00 38 00 00 00 1f 00 00 00 3d 00 00 00 40 00 00 00 0b 00 00 00 4a 00 00 00	....R...8.......=...@.......J...
05c0	00 00 00 00 35 00 00 00 48 00 00 00 41 00 00 00 00 00 00 00 00 00 00 00 43 00 00 00 3c 00 00 00	....5...H...A...........C...<...
05e0	4b 00 00 00 02 00 00 00 36 00 00 00 18 00 00 00 50 00 00 00 00 00 00 00 00 00 00 00 28 00 00 00	K.......6.......P...........(...
0600	00 00 00 00 00 00 00 00 1e 00 00 00 33 00 00 00 2e 00 00 00 45 00 00 00 32 00 00 00 0f 00 00 00	............3.......E...2.......
0620	00 00 00 00 3a 00 00 00 31 00 00 00 22 00 00 00 13 00 00 00 27 00 00 00 17 00 00 00 4d 00 00 00	....:...1...".......'.......M...
0640	49 00 00 00 00 00 00 00 23 00 00 00 0d 00 00 00 0c 00 00 00 47 00 00 00 00 00 00 00 00 00 00 00	I.......#...........G...........
0660	4f 00 00 00 29 00 00 00 3e 00 00 00 4c 00 00 00 00 00 00 00 2a 00 00 00 2f 00 00 00 00 00 00 00	O...)...>...L.......*.../.......
0680	10 00 00 00 1c 00 00 00 21 00 00 00 25 00 00 00 00 00 00 00 53 00 00 00 04 00 00 00 00 00 00 00	........!...%.......S...........
06a0	06 00 00 00 2c 00 00 00 20 00 00 00 00 00 00 00 1a 00 00 00 0e 00 00 00 14 00 00 00 37 00 00 00	....,.......................7...
06c0	12 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 3b 00 00 00 0a 00 00 00 30 00 00 00	....................;.......0...
06e0	16 00 00 00 00 00 00 00 2d 00 00 00 1b 00 00 00 46 00 00 00 00 00 00 00 26 00 00 00 19 00 00 00	........-.......F.......&.......
0700	00 00 00 00 2b 00 00 00 4e 00 00 00 11 00 00 00 00 41 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f	....+...N........A.default.actio
0720	6e 20 6f 66 20 60 60 72 65 74 75 72 6e 60 60 2c 20 77 68 69 63 68 20 72 65 74 75 72 6e 73 20 74	n.of.``return``,.which.returns.t
0740	68 65 20 70 61 63 6b 65 74 20 62 61 63 6b 20 74 6f 20 74 68 65 20 6f 72 69 67 69 6e 61 6c 20 63	he.packet.back.to.the.original.c
0760	68 61 69 6e 20 69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 2e 00 41 20 6e 65	hain.if.no.action.is.taken..A.ne
0780	77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 e2 80 94 77 68 69 63 68 20 75 73 65	w.firewall.structure...which.use
07a0	73 20 74 68 65 20 60 60 6e 66 74 61 62 6c 65 73 60 60 20 62 61 63 6b 65 6e 64 2c 20 72 61 74 68	s.the.``nftables``.backend,.rath
07c0	65 72 20 74 68 61 6e 20 60 60 69 70 74 61 62 6c 65 73 60 60 e2 80 94 69 73 20 61 76 61 69 6c 61	er.than.``iptables``...is.availa
07e0	62 6c 65 20 6f 6e 20 61 6c 6c 20 69 6e 73 74 61 6c 6c 61 74 69 6f 6e 73 20 73 74 61 72 74 69 6e	ble.on.all.installations.startin
0800	67 20 66 72 6f 6d 20 56 79 4f 53 20 60 60 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38	g.from.VyOS.``1.4-rolling-202308
0820	30 34 30 35 35 37 60 60 2e 20 54 68 65 20 66 69 72 65 77 61 6c 6c 20 73 75 70 70 6f 72 74 73 20	040557``..The.firewall.supports.
0840	63 72 65 61 74 69 6f 6e 20 6f 66 20 64 69 73 74 69 6e 63 74 2c 20 69 6e 74 65 72 6c 69 6e 6b 65	creation.of.distinct,.interlinke
0860	64 20 63 68 61 69 6e 73 20 66 6f 72 20 65 61 63 68 20 60 4e 65 74 66 69 6c 74 65 72 20 68 6f 6f	d.chains.for.each.`Netfilter.hoo
0880	6b 20 3c 68 74 74 70 73 3a 2f 2f 77 69 6b 69 2e 6e 66 74 61 62 6c 65 73 2e 6f 72 67 2f 77 69 6b	k.<https://wiki.nftables.org/wik
08a0	69 2d 6e 66 74 61 62 6c 65 73 2f 69 6e 64 65 78 2e 70 68 70 2f 4e 65 74 66 69 6c 74 65 72 5f 68	i-nftables/index.php/Netfilter_h
08c0	6f 6f 6b 73 3e 60 5f 20 61 6e 64 20 61 6c 6c 6f 77 73 20 66 6f 72 20 6d 6f 72 65 20 67 72 61 6e	ooks>`_.and.allows.for.more.gran
08e0	75 6c 61 72 20 63 6f 6e 74 72 6f 6c 20 6f 76 65 72 20 74 68 65 20 70 61 63 6b 65 74 20 66 69 6c	ular.control.over.the.packet.fil
0900	74 65 72 69 6e 67 20 70 72 6f 63 65 73 73 2e 00 41 20 72 75 6c 65 20 74 6f 20 60 60 61 63 63 65	tering.process..A.rule.to.``acce
0920	70 74 60 60 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e	pt``.packets.from.established.an
0940	64 20 72 65 6c 61 74 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 20 72 75 6c 65 20 74 6f	d.related.connections..A.rule.to
0960	20 60 60 64 72 6f 70 60 60 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 69 6e 76 61 6c 69 64 20 63	.``drop``.packets.from.invalid.c
0980	6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 64 64 20 61 20 73 65 74 20 6f 66 20 66 69 72 65 77 61 6c	onnections..Add.a.set.of.firewal
09a0	6c 20 70 6f 6c 69 63 69 65 73 20 66 6f 72 20 6f 75 72 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69	l.policies.for.our.outside/WAN.i
09c0	6e 74 65 72 66 61 63 65 2e 00 41 66 74 65 72 20 65 76 65 72 79 20 63 6f 6e 66 69 67 75 72 61 74	nterface..After.every.configurat
09e0	69 6f 6e 20 63 68 61 6e 67 65 2c 20 79 6f 75 20 6e 65 65 64 20 74 6f 20 61 70 70 6c 79 20 74 68	ion.change,.you.need.to.apply.th
0a00	65 20 63 68 61 6e 67 65 73 20 62 79 20 75 73 69 6e 67 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67	e.changes.by.using.the.following
0a20	20 63 6f 6d 6d 61 6e 64 3a 00 41 66 74 65 72 20 73 77 69 74 63 68 69 6e 67 20 74 6f 20 3a 72 65	.command:.After.switching.to.:re
0a40	66 3a 60 71 75 69 63 6b 2d 73 74 61 72 74 2d 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f 64	f:`quick-start-configuration-mod
0a60	65 60 20 69 73 73 75 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 63 6f 6d 6d 61 6e 64 73 2c	e`.issue.the.following.commands,
0a80	20 61 6e 64 20 79 6f 75 72 20 73 79 73 74 65 6d 20 77 69 6c 6c 20 6c 69 73 74 65 6e 20 6f 6e 20	.and.your.system.will.listen.on.
0aa0	65 76 65 72 79 20 69 6e 74 65 72 66 61 63 65 20 66 6f 72 20 69 6e 63 6f 6d 69 6e 67 20 53 53 48	every.interface.for.incoming.SSH
0ac0	20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 20 59 6f 75 20 6d 69 67 68 74 20 77 61 6e 74 20 74 6f 20	.connections..You.might.want.to.
0ae0	63 68 65 63 6b 20 74 68 65 20 3a 72 65 66 3a 60 73 73 68 60 20 63 68 61 70 74 65 72 20 6f 6e 20	check.the.:ref:`ssh`.chapter.on.
0b00	68 6f 77 20 74 6f 20 6c 69 73 74 65 6e 20 6f 6e 20 73 70 65 63 69 66 69 63 20 61 64 64 72 65 73	how.to.listen.on.specific.addres
0b20	73 65 73 20 6f 6e 6c 79 2e 00 41 66 74 65 72 20 73 77 69 74 63 68 69 6e 67 20 74 6f 20 3a 72 65	ses.only..After.switching.to.:re
0b40	66 3a 60 71 75 69 63 6b 2d 73 74 61 72 74 2d 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f 64	f:`quick-start-configuration-mod
0b60	65 60 20 69 73 73 75 65 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 63 6f 6d 6d 61 6e 64 73 3a	e`.issue.the.following.commands:
0b80	00 41 6c 6c 6f 77 20 41 63 63 65 73 73 20 74 6f 20 53 65 72 76 69 63 65 73 00 41 6c 6c 6f 77 20	.Allow.Access.to.Services.Allow.
0ba0	4d 61 6e 61 67 65 6d 65 6e 74 20 41 63 63 65 73 73 00 41 6c 74 65 72 6e 61 74 69 76 65 6c 79 2c	Management.Access.Alternatively,
0bc0	20 69 6e 73 74 65 61 64 20 6f 66 20 63 6f 6e 66 69 67 75 72 69 6e 67 20 74 68 65 20 60 60 43 4f	.instead.of.configuring.the.``CO
0be0	4e 4e 5f 46 49 4c 54 45 52 60 60 20 63 68 61 69 6e 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76	NN_FILTER``.chain.described.abov
0c00	65 2c 20 79 6f 75 20 63 61 6e 20 74 61 6b 65 20 74 68 65 20 6d 6f 72 65 20 74 72 61 64 69 74 69	e,.you.can.take.the.more.traditi
0c20	6f 6e 61 6c 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69	onal.stateful.connection.filteri
0c40	6e 67 20 61 70 70 72 6f 61 63 68 20 62 79 20 63 72 65 61 74 69 6e 67 20 72 75 6c 65 73 20 6f 6e	ng.approach.by.creating.rules.on
0c60	20 65 61 63 68 20 68 6f 6f 6b 27 73 20 63 68 61 69 6e 3a 00 41 6c 74 65 72 6e 61 74 69 76 65 6c	.each.hook's.chain:.Alternativel
0c80	79 2c 20 79 6f 75 20 63 61 6e 20 74 61 6b 65 20 74 68 65 20 6d 6f 72 65 20 74 72 61 64 69 74 69	y,.you.can.take.the.more.traditi
0ca0	6f 6e 61 6c 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69	onal.stateful.connection.filteri
0cc0	6e 67 20 61 70 70 72 6f 61 63 68 20 62 79 20 63 72 65 61 74 69 6e 67 20 72 75 6c 65 73 20 6f 6e	ng.approach.by.creating.rules.on
0ce0	20 65 61 63 68 20 62 61 73 65 20 68 6f 6f 6b 27 73 20 63 68 61 69 6e 3a 00 41 70 70 6c 79 20 74	.each.base.hook's.chain:.Apply.t
0d00	68 65 20 66 69 72 65 77 61 6c 6c 20 70 6f 6c 69 63 69 65 73 3a 00 41 73 20 61 62 6f 76 65 2c 20	he.firewall.policies:.As.above,.
0d20	63 6f 6d 6d 69 74 20 79 6f 75 72 20 63 68 61 6e 67 65 73 2c 20 73 61 76 65 20 74 68 65 20 63 6f	commit.your.changes,.save.the.co
0d40	6e 66 69 67 75 72 61 74 69 6f 6e 2c 20 61 6e 64 20 65 78 69 74 20 63 6f 6e 66 69 67 75 72 61 74	nfiguration,.and.exit.configurat
0d60	69 6f 6e 20 6d 6f 64 65 3a 00 42 6c 6f 63 6b 20 49 6e 63 6f 6d 69 6e 67 20 54 72 61 66 66 69 63	ion.mode:.Block.Incoming.Traffic
0d80	00 42 79 20 64 65 66 61 75 6c 74 2c 20 56 79 4f 53 20 69 73 20 69 6e 20 6f 70 65 72 61 74 69 6f	.By.default,.VyOS.is.in.operatio
0da0	6e 61 6c 20 6d 6f 64 65 2c 20 61 6e 64 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74	nal.mode,.and.the.command.prompt
0dc0	20 64 69 73 70 6c 61 79 73 20 61 20 60 24 60 2e 20 54 6f 20 63 6f 6e 66 69 67 75 72 65 20 56 79	.displays.a.`$`..To.configure.Vy
0de0	4f 53 2c 20 79 6f 75 20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 65 6e 74 65 72 20 63 6f 6e 66 69	OS,.you.will.need.to.enter.confi
0e00	67 75 72 61 74 69 6f 6e 20 6d 6f 64 65 2c 20 72 65 73 75 6c 74 69 6e 67 20 69 6e 20 74 68 65 20	guration.mode,.resulting.in.the.
0e20	63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61 79 69 6e 67 20 61 20 60 23 60 2c	command.prompt.displaying.a.`#`,
0e40	20 61 73 20 64 65 6d 6f 6e 73 74 72 61 74 65 64 20 62 65 6c 6f 77 3a 00 42 79 20 64 65 66 61 75	.as.demonstrated.below:.By.defau
0e60	6c 74 2c 20 56 79 4f 53 20 69 73 20 69 6e 20 6f 70 65 72 61 74 69 6f 6e 61 6c 20 6d 6f 64 65 2c	lt,.VyOS.is.in.operational.mode,
0e80	20 61 6e 64 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61 79 73	.and.the.command.prompt.displays
0ea0	20 61 20 60 60 24 60 60 2e 20 54 6f 20 63 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 2c 20 79 6f 75	.a.``$``..To.configure.VyOS,.you
0ec0	20 77 69 6c 6c 20 6e 65 65 64 20 74 6f 20 65 6e 74 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	.will.need.to.enter.configuratio
0ee0	6e 20 6d 6f 64 65 2c 20 72 65 73 75 6c 74 69 6e 67 20 69 6e 20 74 68 65 20 63 6f 6d 6d 61 6e 64	n.mode,.resulting.in.the.command
0f00	20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61 79 69 6e 67 20 61 20 60 60 23 60 60 2c 20 61 73 20 64	.prompt.displaying.a.``#``,.as.d
0f20	65 6d 6f 6e 73 74 72 61 74 65 64 20 62 65 6c 6f 77 3a 00 43 6f 6d 6d 69 74 20 61 6e 64 20 53 61	emonstrated.below:.Commit.and.Sa
0f40	76 65 00 43 6f 6d 6d 69 74 20 63 68 61 6e 67 65 73 2c 20 73 61 76 65 20 74 68 65 20 63 6f 6e 66	ve.Commit.changes,.save.the.conf
0f60	69 67 75 72 61 74 69 6f 6e 2c 20 61 6e 64 20 65 78 69 74 20 63 6f 6e 66 69 67 75 72 61 74 69 6f	iguration,.and.exit.configuratio
0f80	6e 20 6d 6f 64 65 3a 00 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 4d 6f 64 65 00 43 6f 6e 66 69	n.mode:.Configuration.Mode.Confi
0fa0	67 75 72 65 20 46 69 72 65 77 61 6c 6c 20 47 72 6f 75 70 73 00 43 6f 6e 66 69 67 75 72 65 20 53	gure.Firewall.Groups.Configure.S
0fc0	74 61 74 65 66 75 6c 20 50 61 63 6b 65 74 20 46 69 6c 74 65 72 69 6e 67 00 43 6f 6e 66 69 67 75	tateful.Packet.Filtering.Configu
0fe0	72 65 20 61 20 72 75 6c 65 20 6f 6e 20 74 68 65 20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 20	re.a.rule.on.the.``input``.hook.
1000	66 69 6c 74 65 72 20 74 6f 20 6a 75 6d 70 20 74 6f 20 74 68 65 20 60 60 56 79 4f 53 5f 4d 41 4e	filter.to.jump.to.the.``VyOS_MAN
1020	41 47 45 4d 45 4e 54 60 60 20 63 68 61 69 6e 20 77 68 65 6e 20 6e 65 77 20 63 6f 6e 6e 65 63 74	AGEMENT``.chain.when.new.connect
1040	69 6f 6e 73 20 61 72 65 20 61 64 64 72 65 73 73 65 64 20 74 6f 20 70 6f 72 74 20 32 32 20 28 53	ions.are.addressed.to.port.22.(S
1060	53 48 29 20 6f 6e 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 3a 00 43 72 65 61 74 65	SH).on.the.router.itself:.Create
1080	20 61 20 6e 65 77 20 63 68 61 69 6e 20 28 60 60 4f 55 54 53 49 44 45 2d 49 4e 60 60 29 20 77 68	.a.new.chain.(``OUTSIDE-IN``).wh
10a0	69 63 68 20 77 69 6c 6c 20 64 72 6f 70 20 61 6c 6c 20 74 72 61 66 66 69 63 20 74 68 61 74 20 69	ich.will.drop.all.traffic.that.i
10c0	73 20 6e 6f 74 20 65 78 70 6c 69 63 69 74 79 20 61 6c 6c 6f 77 65 64 20 61 74 20 73 6f 6d 65 20	s.not.explicity.allowed.at.some.
10e0	70 6f 69 6e 74 20 69 6e 20 74 68 65 20 63 68 61 69 6e 2e 20 54 68 65 6e 2c 20 77 65 20 63 61 6e	point.in.the.chain..Then,.we.can
1100	20 6a 75 6d 70 20 74 6f 20 74 68 61 74 20 63 68 61 69 6e 20 66 72 6f 6d 20 74 68 65 20 60 60 66	.jump.to.that.chain.from.the.``f
1120	6f 72 77 61 72 64 60 60 20 68 6f 6f 6b 20 77 68 65 6e 20 74 72 61 66 66 69 63 20 69 73 20 63 6f	orward``.hook.when.traffic.is.co
1140	6d 69 6e 67 20 66 72 6f 6d 20 74 68 65 20 60 60 57 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20	ming.from.the.``WAN``.interface.
1160	67 72 6f 75 70 20 61 6e 64 20 69 73 20 61 64 64 72 65 73 73 65 64 20 74 6f 20 6f 75 72 20 6c 6f	group.and.is.addressed.to.our.lo
1180	63 61 6c 20 6e 65 74 77 6f 72 6b 2e 00 44 48 43 50 20 63 6c 69 65 6e 74 73 20 77 69 6c 6c 20 62	cal.network..DHCP.clients.will.b
11a0	65 20 61 73 73 69 67 6e 65 64 20 49 50 20 61 64 64 72 65 73 73 65 73 20 77 69 74 68 69 6e 20 74	e.assigned.IP.addresses.within.t
11c0	68 65 20 72 61 6e 67 65 20 6f 66 20 60 31 39 32 2e 31 36 38 2e 30 2e 39 20 2d 20 31 39 32 2e 31	he.range.of.`192.168.0.9.-.192.1
11e0	36 38 2e 30 2e 32 35 34 60 20 61 6e 64 20 68 61 76 65 20 61 20 64 6f 6d 61 69 6e 20 6e 61 6d 65	68.0.254`.and.have.a.domain.name
1200	20 6f 66 20 60 69 6e 74 65 72 6e 61 6c 2d 6e 65 74 77 6f 72 6b 60 00 44 48 43 50 20 63 6c 69 65	.of.`internal-network`.DHCP.clie
1220	6e 74 73 20 77 69 6c 6c 20 62 65 20 61 73 73 69 67 6e 65 64 20 49 50 20 61 64 64 72 65 73 73 65	nts.will.be.assigned.IP.addresse
1240	73 20 77 69 74 68 69 6e 20 74 68 65 20 72 61 6e 67 65 20 6f 66 20 60 60 31 39 32 2e 31 36 38 2e	s.within.the.range.of.``192.168.
1260	30 2e 39 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 32 35 34 60 60 20 61 6e 64 20 68 61 76 65 20 61	0.9.-.192.168.0.254``.and.have.a
1280	20 64 6f 6d 61 69 6e 20 6e 61 6d 65 20 6f 66 20 60 60 69 6e 74 65 72 6e 61 6c 2d 6e 65 74 77 6f	.domain.name.of.``internal-netwo
12a0	72 6b 60 60 00 44 48 43 50 20 6c 65 61 73 65 73 20 77 69 6c 6c 20 68 6f 6c 64 20 66 6f 72 20 6f	rk``.DHCP.leases.will.hold.for.o
12c0	6e 65 20 64 61 79 20 28 38 36 34 30 30 20 73 65 63 6f 6e 64 73 29 00 44 48 43 50 2f 44 4e 53 20	ne.day.(86400.seconds).DHCP/DNS.
12e0	71 75 69 63 6b 2d 73 74 61 72 74 00 44 6f 63 75 6d 65 6e 74 61 74 69 6f 6e 20 66 6f 72 20 6d 6f	quick-start.Documentation.for.mo
1300	73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 43 4c 49 20 63 61 6e 20 62	st.of.the.new.firewall.CLI.can.b
1320	65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 60 20 63	e.found.in.the.:ref:`firewall`.c
1340	68 61 70 74 65 72 2e 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65 77 61 6c 6c 20 69 73 20 73 74	hapter.The.legacy.firewall.is.st
1360	69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73 69 6f 6e 73 20 62 65 66 6f 72	ill.available.for.versions.befor
1380	65 20 60 60 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38 30 34 30 35 35 37 60 60 20 61	e.``1.4-rolling-202308040557``.a
13a0	6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66 69 72	nd.can.be.found.in.the.:ref:`fir
13c0	65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e 20 54 68 65 20 65 78 61 6d 70	ewall-legacy`.chapter..The.examp
13e0	6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73 65 20 74 68 65 20 6e 65 77 20	les.in.this.section.use.the.new.
1400	63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 45 73 70 65 63 69 61 6c 6c 79 20 69 66 20 79 6f 75	configuration..Especially.if.you
1420	20 61 72 65 20 61 6c 6c 6f 77 69 6e 67 20 53 53 48 20 72 65 6d 6f 74 65 20 61 63 63 65 73 73 20	.are.allowing.SSH.remote.access.
1440	66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65 2c 20	from.the.outside/WAN.interface,.
1460	74 68 65 72 65 20 61 72 65 20 61 20 66 65 77 20 61 64 64 69 74 69 6f 6e 61 6c 20 63 6f 6e 66 69	there.are.a.few.additional.confi
1480	67 75 72 61 74 69 6f 6e 20 73 74 65 70 73 20 74 68 61 74 20 73 68 6f 75 6c 64 20 62 65 20 74 61	guration.steps.that.should.be.ta
14a0	6b 65 6e 2e 00 46 69 6e 61 6c 6c 79 2c 20 63 6f 6e 66 69 67 75 72 65 20 74 68 65 20 60 60 56 79	ken..Finally,.configure.the.``Vy
14c0	4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 20 63 68 61 69 6e 20 74 6f 20 61 63 63 65 70 74 20	OS_MANAGEMENT``.chain.to.accept.
14e0	63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20 74 68 65 20 60 60 4c 41 4e 60 60 20 69 6e 74 65	connection.from.the.``LAN``.inte
1500	72 66 61 63 65 20 67 72 6f 75 70 20 77 68 69 6c 65 20 6c 69 6d 69 74 69 6e 67 20 72 65 71 75 65	rface.group.while.limiting.reque
1520	73 74 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 74 68 65 20 60 60 57 41 4e 60 60 20 69 6e 74 65	sts.coming.from.the.``WAN``.inte
1540	72 66 61 63 65 20 67 72 6f 75 70 20 74 6f 20 34 20 70 65 72 20 6d 69 6e 75 74 65 3a 00 46 69 6e	rface.group.to.4.per.minute:.Fin
1560	61 6c 6c 79 2c 20 74 72 79 20 61 6e 64 20 53 53 48 20 69 6e 74 6f 20 74 68 65 20 56 79 4f 53 20	ally,.try.and.SSH.into.the.VyOS.
1580	69 6e 73 74 61 6c 6c 20 61 73 20 79 6f 75 72 20 6e 65 77 20 75 73 65 72 2e 20 4f 6e 63 65 20 79	install.as.your.new.user..Once.y
15a0	6f 75 20 68 61 76 65 20 63 6f 6e 66 69 72 6d 65 64 20 74 68 61 74 20 79 6f 75 72 20 6e 65 77 20	ou.have.confirmed.that.your.new.
15c0	75 73 65 72 20 63 61 6e 20 61 63 63 65 73 73 20 79 6f 75 72 20 72 6f 75 74 65 72 20 77 69 74 68	user.can.access.your.router.with
15e0	6f 75 74 20 61 20 70 61 73 73 77 6f 72 64 2c 20 64 65 6c 65 74 65 20 74 68 65 20 6f 72 69 67 69	out.a.password,.delete.the.origi
1600	6e 61 6c 20 60 60 76 79 6f 73 60 60 20 75 73 65 72 20 61 6e 64 20 63 6f 6d 70 6c 65 74 65 6c 79	nal.``vyos``.user.and.completely
1620	20 64 69 73 61 62 6c 65 20 70 61 73 73 77 6f 72 64 20 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e	.disable.password.authentication
1640	20 66 6f 72 20 3a 72 65 66 3a 60 73 73 68 60 3a 00 46 69 6e 61 6c 6c 79 2c 20 77 65 20 63 61 6e	.for.:ref:`ssh`:.Finally,.we.can
1660	20 6e 6f 77 20 63 6f 6e 66 69 67 75 72 65 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 73 65 72	.now.configure.access.to.the.ser
1680	76 69 63 65 73 20 72 75 6e 6e 69 6e 67 20 6f 6e 20 74 68 69 73 20 72 6f 75 74 65 72 2c 20 61 6c	vices.running.on.this.router,.al
16a0	6c 6f 77 69 6e 67 20 61 6c 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 63 6f 6d 69 6e 67 20 66 72	lowing.all.connections.coming.fr
16c0	6f 6d 20 6c 6f 63 61 6c 68 6f 73 74 3a 00 46 69 72 65 77 61 6c 6c 00 46 69 72 73 74 2c 20 63 72	om.localhost:.Firewall.First,.cr
16e0	65 61 74 65 20 61 20 6e 65 77 20 64 65 64 69 63 61 74 65 64 20 63 68 61 69 6e 20 28 60 60 56 79	eate.a.new.dedicated.chain.(``Vy
1700	4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 29 20 66 6f 72 20 6d 61 6e 61 67 65 6d 65 6e 74 20	OS_MANAGEMENT``).for.management.
1720	61 63 63 65 73 73 2c 20 77 68 69 63 68 20 72 65 74 75 72 6e 73 20 74 6f 20 74 68 65 20 70 61 72	access,.which.returns.to.the.par
1740	65 6e 74 20 63 68 61 69 6e 20 69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 2e	ent.chain.if.no.action.is.taken.
1760	20 41 64 64 20 61 20 72 75 6c 65 20 74 6f 20 61 63 63 65 70 74 20 74 72 61 66 66 69 63 20 66 72	.Add.a.rule.to.accept.traffic.fr
1780	6f 6d 20 74 68 65 20 60 60 4c 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 3a 00	om.the.``LAN``.interface.group:.
17a0	48 61 72 64 65 6e 69 6e 67 00 48 65 72 65 20 77 65 27 72 65 20 61 6c 6c 6f 77 69 6e 67 20 74 68	Hardening.Here.we're.allowing.th
17c0	65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 73 70 6f 6e 64 20 74 6f 20 70 69 6e 67 73 2e 20 54 68	e.router.to.respond.to.pings..Th
17e0	65 6e 2c 20 77 65 20 63 61 6e 20 61 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 44	en,.we.can.allow.access.to.the.D
1800	4e 53 20 72 65 63 75 72 73 6f 72 20 77 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 61 72 6c 69 65	NS.recursor.we.configured.earlie
1820	72 2c 20 61 63 63 65 70 74 69 6e 67 20 74 72 61 66 66 69 63 20 62 6f 75 6e 64 20 66 6f 72 20 70	r,.accepting.traffic.bound.for.p
1840	6f 72 74 20 35 33 20 66 72 6f 6d 20 61 6c 6c 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 60 60 4e	ort.53.from.all.hosts.on.the.``N
1860	45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 20 6e 65 74 77 6f 72 6b 3a 00 49 66 20 79 6f 75 20 77	ET-INSIDE-v4``.network:.If.you.w
1880	61 6e 74 65 64 20 74 6f 20 65 6e 61 62 6c 65 20 53 53 48 20 61 63 63 65 73 73 20 74 6f 20 79 6f	anted.to.enable.SSH.access.to.yo
18a0	75 72 20 66 69 72 65 77 61 6c 6c 20 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e	ur.firewall.from.the.outside/WAN
18c0	20 69 6e 74 65 72 66 61 63 65 2c 20 79 6f 75 20 63 6f 75 6c 64 20 63 72 65 61 74 65 20 73 6f 6d	.interface,.you.could.create.som
18e0	65 20 61 64 64 69 74 69 6f 6e 61 6c 20 72 75 6c 65 73 20 74 6f 20 61 6c 6c 6f 77 20 74 68 61 74	e.additional.rules.to.allow.that
1900	20 6b 69 6e 64 20 6f 66 20 74 72 61 66 66 69 63 2e 00 49 6e 20 74 68 69 73 20 63 61 73 65 2c 20	.kind.of.traffic..In.this.case,.
1920	77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 74 77 6f 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f	we.will.create.two.interface.gro
1940	75 70 73 20 e2 80 94 20 61 20 60 60 57 41 4e 60 60 20 67 72 6f 75 70 20 66 6f 72 20 6f 75 72 20	ups.....a.``WAN``.group.for.our.
1960	69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 74 68 65 20 70 75 62 6c	interfaces.connected.to.the.publ
1980	69 63 20 69 6e 74 65 72 6e 65 74 20 61 6e 64 20 61 20 60 60 4c 41 4e 60 60 20 67 72 6f 75 70 20	ic.internet.and.a.``LAN``.group.
19a0	66 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20	for.the.interfaces.connected.to.
19c0	6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 6e 65 74 77 6f 72 6b 2e 20 41 64 64 69 74 69 6f 6e 61 6c	our.internal.network..Additional
19e0	6c 79 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 61 20 6e 65 74 77 6f 72 6b 20 67 72 6f	ly,.we.will.create.a.network.gro
1a00	75 70 2c 20 60 60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 2c 20 74 68 61 74 20 63 6f 6e 74	up,.``NET-INSIDE-v4``,.that.cont
1a20	61 69 6e 73 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 73 75 62 6e 65 74 2e 00 49 6e 20 74 68 69	ains.our.internal.subnet..In.thi
1a40	73 20 63 61 73 65 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 74 77 6f 20 69 6e 74 65 72	s.case,.we.will.create.two.inter
1a60	66 61 63 65 20 67 72 6f 75 70 73 e2 80 94 61 20 60 60 57 41 4e 60 60 20 67 72 6f 75 70 20 66 6f	face.groups...a.``WAN``.group.fo
1a80	72 20 6f 75 72 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 74 68	r.our.interfaces.connected.to.th
1aa0	65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 6e 65 74 20 61 6e 64 20 61 20 60 60 4c 41 4e 60 60 20	e.public.internet.and.a.``LAN``.
1ac0	67 72 6f 75 70 20 66 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74	group.for.the.interfaces.connect
1ae0	65 64 20 74 6f 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 6e 65 74 77 6f 72 6b 2e 20 41 64 64 69	ed.to.our.internal.network..Addi
1b00	74 69 6f 6e 61 6c 6c 79 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 61 20 6e 65 74 77 6f	tionally,.we.will.create.a.netwo
1b20	72 6b 20 67 72 6f 75 70 2c 20 60 60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 2c 20 74 68 61	rk.group,.``NET-INSIDE-v4``,.tha
1b40	74 20 63 6f 6e 74 61 69 6e 73 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 73 75 62 6e 65 74 2e 00	t.contains.our.internal.subnet..
1b60	49 6e 74 65 72 66 61 63 65 20 43 6f 6e 66 69 67 75 72 61 74 69 6f 6e 00 4d 6f 73 74 20 69 6e 73	Interface.Configuration.Most.ins
1b80	74 61 6c 6c 61 74 69 6f 6e 73 20 77 6f 75 6c 64 20 63 68 6f 6f 73 65 20 74 68 69 73 20 6f 70 74	tallations.would.choose.this.opt
1ba0	69 6f 6e 2c 20 61 6e 64 20 77 69 6c 6c 20 63 6f 6e 74 61 69 6e 3a 00 4e 41 54 00 4e 6f 77 20 74	ion,.and.will.contain:.NAT.Now.t
1bc0	68 61 74 20 77 65 20 68 61 76 65 20 63 6f 6e 66 69 67 75 72 65 64 20 73 74 61 74 65 66 75 6c 20	hat.we.have.configured.stateful.
1be0	63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 74 6f 20 61 6c 6c 6f 77 20 74 72	connection.filtering.to.allow.tr
1c00	61 66 66 69 63 20 66 72 6f 6d 20 65 73 74 61 62 6c 69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74	affic.from.established.and.relat
1c20	65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2c 20 77 65 20 63 61 6e 20 62 6c 6f 63 6b 20 61 6c 6c	ed.connections,.we.can.block.all
1c40	20 6f 74 68 65 72 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66 66 69 63 20 61 64 64 72 65 73 73 65	.other.incoming.traffic.addresse
1c60	64 20 74 6f 20 6f 75 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f 72 6b 2e 00 4f 6e 63 65 20 79 6f 75	d.to.our.local.network..Once.you
1c80	72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 77 6f 72 6b 73 20 61 73 20 65 78 70 65 63 74 65	r.configuration.works.as.expecte
1ca0	64 2c 20 79 6f 75 20 63 61 6e 20 73 61 76 65 20 69 74 20 70 65 72 6d 61 6e 65 6e 74 6c 79 20 62	d,.you.can.save.it.permanently.b
1cc0	79 20 75 73 69 6e 67 20 74 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 63 6f 6d 6d 61 6e 64 3a 00 4f	y.using.the.following.command:.O
1ce0	6e 6c 79 20 68 6f 73 74 73 20 66 72 6f 6d 20 79 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e	nly.hosts.from.your.internal/LAN
1d00	20 6e 65 74 77 6f 72 6b 20 63 61 6e 20 75 73 65 20 74 68 65 20 44 4e 53 20 72 65 63 75 72 73 6f	.network.can.use.the.DNS.recurso
1d20	72 00 4f 70 74 69 6f 6e 20 31 3a 20 43 6f 6d 6d 6f 6e 20 43 68 61 69 6e 00 4f 70 74 69 6f 6e 20	r.Option.1:.Common.Chain.Option.
1d40	31 3a 20 47 6c 6f 62 61 6c 20 53 74 61 74 65 20 50 6f 6c 69 63 69 65 73 00 4f 70 74 69 6f 6e 20	1:.Global.State.Policies.Option.
1d60	32 3a 20 43 6f 6d 6d 6f 6e 2f 43 75 73 74 6f 6d 20 43 68 61 69 6e 00 4f 70 74 69 6f 6e 20 32 3a	2:.Common/Custom.Chain.Option.2:
1d80	20 50 65 72 2d 48 6f 6f 6b 20 43 68 61 69 6e 00 4f 70 74 69 6f 6e 20 33 3a 20 50 65 72 2d 48 6f	.Per-Hook.Chain.Option.3:.Per-Ho
1da0	6f 6b 20 43 68 61 69 6e 00 51 75 69 63 6b 20 53 74 61 72 74 00 52 65 70 6c 61 63 65 20 74 68 65	ok.Chain.Quick.Start.Replace.the
1dc0	20 64 65 66 61 75 6c 74 20 60 60 76 79 6f 73 60 60 20 73 79 73 74 65 6d 20 75 73 65 72 3a 00 52	.default.``vyos``.system.user:.R
1de0	65 70 6c 61 63 65 20 74 68 65 20 64 65 66 61 75 6c 74 20 60 76 79 6f 73 60 20 73 79 73 74 65 6d	eplace.the.default.`vyos`.system
1e00	20 75 73 65 72 3a 00 53 53 48 20 4d 61 6e 61 67 65 6d 65 6e 74 00 53 65 74 20 75 70 20 3a 72 65	.user:.SSH.Management.Set.up.:re
1e20	66 3a 60 73 73 68 5f 6b 65 79 5f 62 61 73 65 64 5f 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 60	f:`ssh_key_based_authentication`
1e40	3a 00 54 68 65 20 61 64 64 72 65 73 73 20 72 61 6e 67 65 20 60 31 39 32 2e 31 36 38 2e 30 2e 32	:.The.address.range.`192.168.0.2
1e60	2f 32 34 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 38 2f 32 34 60 20 77 69 6c 6c 20 62 65 20 72 65	/24.-.192.168.0.8/24`.will.be.re
1e80	73 65 72 76 65 64 20 66 6f 72 20 73 74 61 74 69 63 20 61 73 73 69 67 6e 6d 65 6e 74 73 00 54 68	served.for.static.assignments.Th
1ea0	65 20 61 64 64 72 65 73 73 20 72 61 6e 67 65 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 32 2f 32 34	e.address.range.``192.168.0.2/24
1ec0	20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 38 2f 32 34 60 60 20 77 69 6c 6c 20 62 65 20 72 65 73 65	.-.192.168.0.8/24``.will.be.rese
1ee0	72 76 65 64 20 66 6f 72 20 73 74 61 74 69 63 20 61 73 73 69 67 6e 6d 65 6e 74 73 00 54 68 65 20	rved.for.static.assignments.The.
1f00	63 68 61 69 6e 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 69 73 20 63 61 6c 6c 65 64 20 60	chain.we.will.create.is.called.`
1f20	60 43 4f 4e 4e 5f 46 49 4c 54 45 52 60 60 20 61 6e 64 20 68 61 73 20 74 68 72 65 65 20 72 75 6c	`CONN_FILTER``.and.has.three.rul
1f40	65 73 3a 00 54 68 65 20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 44 4e 53 20	es:.The.default.gateway.and.DNS.
1f60	72 65 63 75 72 73 6f 72 20 61 64 64 72 65 73 73 20 77 69 6c 6c 20 62 65 20 60 31 39 32 2e 31 36	recursor.address.will.be.`192.16
1f80	38 2e 30 2e 31 2f 32 34 60 00 54 68 65 20 64 65 66 61 75 6c 74 20 67 61 74 65 77 61 79 20 61 6e	8.0.1/24`.The.default.gateway.an
1fa0	64 20 44 4e 53 20 72 65 63 75 72 73 6f 72 20 61 64 64 72 65 73 73 20 77 69 6c 6c 20 62 65 20 60	d.DNS.recursor.address.will.be.`
1fc0	60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 60 00 54 68 65 20 66 69 72 65 77 61 6c 6c 20 62	`192.168.0.1/24``.The.firewall.b
1fe0	65 67 69 6e 73 20 77 69 74 68 20 74 68 65 20 62 61 73 65 20 60 60 66 69 6c 74 65 72 60 60 20 74	egins.with.the.base.``filter``.t
2000	61 62 6c 65 73 20 79 6f 75 20 64 65 66 69 6e 65 20 66 6f 72 20 65 61 63 68 20 6f 66 20 74 68 65	ables.you.define.for.each.of.the
2020	20 60 60 66 6f 72 77 61 72 64 60 60 2c 20 60 60 69 6e 70 75 74 60 60 2c 20 61 6e 64 20 60 60 6f	.``forward``,.``input``,.and.``o
2040	75 74 70 75 74 60 60 20 4e 65 74 66 69 74 65 72 20 68 6f 6f 6b 73 2e 20 45 61 63 68 20 6f 66 20	utput``.Netfiter.hooks..Each.of.
2060	74 68 65 73 65 20 74 61 62 6c 65 73 20 69 73 20 70 6f 70 75 6c 61 74 65 64 20 77 69 74 68 20 72	these.tables.is.populated.with.r
2080	75 6c 65 73 20 74 68 61 74 20 61 72 65 20 70 72 6f 63 65 73 73 65 64 20 69 6e 20 6f 72 64 65 72	ules.that.are.processed.in.order
20a0	20 61 6e 64 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 6f 74 68 65 72 20 63 68 61 69 6e 73 20 66 6f	.and.can.jump.to.other.chains.fo
20c0	72 20 6d 6f 72 65 20 67 72 61 6e 75 6c 61 72 20 66 69 6c 74 65 72 69 6e 67 2e 00 54 68 65 20 66	r.more.granular.filtering..The.f
20e0	6f 6c 6c 6f 77 69 6e 67 20 73 65 74 74 69 6e 67 73 20 77 69 6c 6c 20 63 6f 6e 66 69 67 75 72 65	ollowing.settings.will.configure
2100	20 3a 72 65 66 3a 60 73 6f 75 72 63 65 2d 6e 61 74 60 20 72 75 6c 65 73 20 66 6f 72 20 6f 75 72	.:ref:`source-nat`.rules.for.our
2120	20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 6e 65 74 77 6f 72 6b 2c 20 61 6c 6c 6f 77 69 6e 67 20	.internal/LAN.network,.allowing.
2140	68 6f 73 74 73 20 74 6f 20 63 6f 6d 6d 75 6e 69 63 61 74 65 20 74 68 72 6f 75 67 68 20 74 68 65	hosts.to.communicate.through.the
2160	20 6f 75 74 73 69 64 65 2f 57 41 4e 20 6e 65 74 77 6f 72 6b 20 76 69 61 20 49 50 20 6d 61 73 71	.outside/WAN.network.via.IP.masq
2180	75 65 72 61 64 65 2e 00 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20 73 65 74 74 69 6e 67 73 20 77	uerade..The.following.settings.w
21a0	69 6c 6c 20 63 6f 6e 66 69 67 75 72 65 20 44 48 43 50 20 61 6e 64 20 44 4e 53 20 73 65 72 76 69	ill.configure.DHCP.and.DNS.servi
21c0	63 65 73 20 6f 6e 20 79 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 6e 65 74 77 6f 72 6b	ces.on.your.internal/LAN.network
21e0	2c 20 77 68 65 72 65 20 56 79 4f 53 20 77 69 6c 6c 20 61 63 74 20 61 73 20 74 68 65 20 64 65 66	,.where.VyOS.will.act.as.the.def
2200	61 75 6c 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 44 4e 53 20 73 65 72 76 65 72 2e 00 54 68 65	ault.gateway.and.DNS.server..The
2220	6e 2c 20 77 65 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 74 68 65 20 63 6f 6d 6d 6f 6e 20 63 68 61	n,.we.can.jump.to.the.common.cha
2240	69 6e 20 66 72 6f 6d 20 62 6f 74 68 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 61 6e 64	in.from.both.the.``forward``.and
2260	20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 73 20 61 73 20 74 68 65 20 66 69 72 73 74 20 66 69	.``input``.hooks.as.the.first.fi
2280	6c 74 65 72 69 6e 67 20 72 75 6c 65 20 69 6e 20 74 68 65 20 72 65 73 70 65 63 74 69 76 65 20 63	ltering.rule.in.the.respective.c
22a0	68 61 69 6e 73 3a 00 54 68 65 73 65 20 72 75 6c 65 73 20 61 6c 6c 6f 77 20 53 53 48 20 74 72 61	hains:.These.rules.allow.SSH.tra
22c0	66 66 69 63 20 61 6e 64 20 72 61 74 65 20 6c 69 6d 69 74 20 69 74 20 74 6f 20 34 20 72 65 71 75	ffic.and.rate.limit.it.to.4.requ
22e0	65 73 74 73 20 70 65 72 20 6d 69 6e 75 74 65 2e 20 54 68 69 73 20 62 6c 6f 63 6b 73 20 62 72 75	ests.per.minute..This.blocks.bru
2300	74 65 2d 66 6f 72 63 69 6e 67 20 61 74 74 65 6d 70 74 73 3a 00 54 68 69 73 20 63 68 61 70 74 65	te-forcing.attempts:.This.chapte
2320	72 20 77 69 6c 6c 20 67 75 69 64 65 20 79 6f 75 20 6f 6e 20 68 6f 77 20 74 6f 20 67 65 74 20 75	r.will.guide.you.on.how.to.get.u
2340	70 20 74 6f 20 73 70 65 65 64 20 71 75 69 63 6b 6c 79 20 75 73 69 6e 67 20 79 6f 75 72 20 6e 65	p.to.speed.quickly.using.your.ne
2360	77 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 49 74 20 77 69 6c 6c 20 73 68 6f 77 20 79 6f 75 20	w.VyOS.system..It.will.show.you.
2380	61 20 76 65 72 79 20 62 61 73 69 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70	a.very.basic.configuration.examp
23a0	6c 65 20 74 68 61 74 20 77 69 6c 6c 20 70 72 6f 76 69 64 65 20 61 20 3a 72 65 66 3a 60 6e 61 74	le.that.will.provide.a.:ref:`nat
23c0	60 20 67 61 74 65 77 61 79 20 66 6f 72 20 61 20 64 65 76 69 63 65 20 77 69 74 68 20 74 77 6f 20	`.gateway.for.a.device.with.two.
23e0	6e 65 74 77 6f 72 6b 20 69 6e 74 65 72 66 61 63 65 73 20 28 60 60 65 74 68 30 60 60 20 61 6e 64	network.interfaces.(``eth0``.and
2400	20 60 60 65 74 68 31 60 60 29 2e 00 54 68 69 73 20 63 68 61 70 74 65 72 20 77 69 6c 6c 20 67 75	.``eth1``)..This.chapter.will.gu
2420	69 64 65 20 79 6f 75 20 6f 6e 20 68 6f 77 20 74 6f 20 67 65 74 20 75 70 20 74 6f 20 73 70 65 65	ide.you.on.how.to.get.up.to.spee
2440	64 20 71 75 69 63 6b 6c 79 20 75 73 69 6e 67 20 79 6f 75 72 20 6e 65 77 20 56 79 4f 53 20 73 79	d.quickly.using.your.new.VyOS.sy
2460	73 74 65 6d 2e 20 49 74 20 77 69 6c 6c 20 73 68 6f 77 20 79 6f 75 20 61 20 76 65 72 79 20 62 61	stem..It.will.show.you.a.very.ba
2480	73 69 63 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 77	sic.configuration.example.that.w
24a0	69 6c 6c 20 70 72 6f 76 69 64 65 20 61 20 3a 72 65 66 3a 60 6e 61 74 60 20 67 61 74 65 77 61 79	ill.provide.a.:ref:`nat`.gateway
24c0	20 66 6f 72 20 61 20 64 65 76 69 63 65 20 77 69 74 68 20 74 77 6f 20 6e 65 74 77 6f 72 6b 20 69	.for.a.device.with.two.network.i
24e0	6e 74 65 72 66 61 63 65 73 20 28 60 65 74 68 30 60 20 61 6e 64 20 60 65 74 68 31 60 29 2e 00 54	nterfaces.(`eth0`.and.`eth1`)..T
2500	68 69 73 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20 63 72 65 61 74 65 73 20 61 20 70 72 6f 70	his.configuration.creates.a.prop
2520	65 72 20 73 74 61 74 65 66 75 6c 20 66 69 72 65 77 61 6c 6c 20 74 68 61 74 20 62 6c 6f 63 6b 73	er.stateful.firewall.that.blocks
2540	20 61 6c 6c 20 74 72 61 66 66 69 63 20 77 68 69 63 68 20 77 61 73 20 6e 6f 74 20 69 6e 69 74 69	.all.traffic.which.was.not.initi
2560	61 74 65 64 20 66 72 6f 6d 20 74 68 65 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 73 69 64 65 20	ated.from.the.internal/LAN.side.
2580	66 69 72 73 74 2e 00 54 6f 20 6d 61 6b 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72	first..To.make.firewall.configur
25a0	61 74 69 6f 6e 20 65 61 73 69 65 72 2c 20 77 65 20 63 61 6e 20 63 72 65 61 74 65 20 67 72 6f 75	ation.easier,.we.can.create.grou
25c0	70 73 20 6f 66 20 69 6e 74 65 72 66 61 63 65 73 2c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 64 64 72	ps.of.interfaces,.networks,.addr
25e0	65 73 73 65 73 2c 20 70 6f 72 74 73 2c 20 61 6e 64 20 64 6f 6d 61 69 6e 73 20 74 68 61 74 20 64	esses,.ports,.and.domains.that.d
2600	65 73 63 72 69 62 65 20 64 69 66 66 65 72 65 6e 74 20 70 61 72 74 73 20 6f 66 20 6f 75 72 20 6e	escribe.different.parts.of.our.n
2620	65 74 77 6f 72 6b 2e 20 57 65 20 63 61 6e 20 74 68 65 6e 20 75 73 65 20 74 68 65 6d 20 66 6f 72	etwork..We.can.then.use.them.for
2640	20 66 69 6c 74 65 72 69 6e 67 20 77 69 74 68 69 6e 20 6f 75 72 20 66 69 72 65 77 61 6c 6c 20 72	.filtering.within.our.firewall.r
2660	75 6c 65 73 65 74 73 2c 20 61 6c 6c 6f 77 69 6e 67 20 66 6f 72 20 6d 6f 72 65 20 63 6f 6e 63 69	ulesets,.allowing.for.more.conci
2680	73 65 20 61 6e 64 20 72 65 61 64 61 62 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 55	se.and.readable.configuration..U
26a0	73 69 6e 67 20 6f 70 74 69 6f 6e 73 20 64 65 66 69 6e 65 64 20 69 6e 20 60 60 73 65 74 20 66 69	sing.options.defined.in.``set.fi
26c0	72 65 77 61 6c 6c 20 67 6c 6f 62 61 6c 2d 6f 70 74 69 6f 6e 73 20 73 74 61 74 65 2d 70 6f 6c 69	rewall.global-options.state-poli
26e0	63 79 60 60 2c 20 73 74 61 74 65 20 70 6f 6c 69 63 79 20 72 75 6c 65 73 20 74 68 61 74 20 61 70	cy``,.state.policy.rules.that.ap
2700	70 6c 69 65 73 20 66 6f 72 20 62 6f 74 68 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 20 61 72 65	plies.for.both.IPv4.and.IPv6.are
2720	20 63 72 65 61 74 65 64 2e 20 54 68 65 73 65 20 67 6c 6f 62 61 6c 20 73 74 61 74 65 20 70 6f 6c	.created..These.global.state.pol
2740	69 63 69 65 73 20 61 6c 73 6f 20 61 70 70 6c 69 65 73 20 66 6f 72 20 61 6c 6c 20 74 72 61 66 66	icies.also.applies.for.all.traff
2760	69 63 20 74 68 61 74 20 70 61 73 73 65 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 72 6f 75 74 65	ic.that.passes.through.the.route
2780	72 20 28 74 72 61 6e 73 69 74 29 20 61 6e 64 20 66 6f 72 20 74 72 61 66 66 69 63 20 6f 72 69 67	r.(transit).and.for.traffic.orig
27a0	69 6e 61 74 65 64 2f 64 65 73 74 69 6e 61 74 65 64 20 74 6f 2f 66 72 6f 6d 20 74 68 65 20 72 6f	inated/destinated.to/from.the.ro
27c0	75 74 65 72 20 69 74 73 65 6c 66 2c 20 61 6e 64 20 77 69 6c 6c 20 62 65 20 61 76 61 6c 75 61 74	uter.itself,.and.will.be.avaluat
27e0	65 64 20 62 65 66 6f 72 65 20 61 6e 79 20 6f 74 68 65 72 20 72 75 6c 65 20 64 65 66 69 6e 65 64	ed.before.any.other.rule.defined
2800	20 69 6e 20 74 68 65 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53 20 77 69 6c 6c 20 73 65 72 76	.in.the.firewall..VyOS.will.serv
2820	65 20 61 73 20 61 20 66 75 6c 6c 20 44 4e 53 20 72 65 63 75 72 73 6f 72 2c 20 72 65 70 6c 61 63	e.as.a.full.DNS.recursor,.replac
2840	69 6e 67 20 74 68 65 20 6e 65 65 64 20 74 6f 20 75 74 69 6c 69 7a 65 20 47 6f 6f 67 6c 65 2c 20	ing.the.need.to.utilize.Google,.
2860	43 6c 6f 75 64 66 6c 61 72 65 2c 20 6f 72 20 6f 74 68 65 72 20 70 75 62 6c 69 63 20 44 4e 53 20	Cloudflare,.or.other.public.DNS.
2880	73 65 72 76 65 72 73 20 28 77 68 69 63 68 20 69 73 20 67 6f 6f 64 20 66 6f 72 20 70 72 69 76 61	servers.(which.is.good.for.priva
28a0	63 79 29 00 57 65 20 63 61 6e 20 63 72 65 61 74 65 20 61 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e	cy).We.can.create.a.common.chain
28c0	20 66 6f 72 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69	.for.stateful.connection.filteri
28e0	6e 67 20 6f 66 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 20 28 6f 72 20 6d 75	ng.of.multiple.interfaces.(or.mu
2900	6c 74 69 70 6c 65 20 6e 65 74 66 69 6c 74 65 72 20 68 6f 6f 6b 73 20 6f 6e 20 6f 6e 65 20 69 6e	ltiple.netfilter.hooks.on.one.in
2920	74 65 72 66 61 63 65 29 2e 20 54 68 6f 73 65 20 69 6e 64 69 76 69 64 75 61 6c 20 63 68 61 69 6e	terface)..Those.individual.chain
2940	73 20 63 61 6e 20 74 68 65 6e 20 6a 75 6d 70 20 74 6f 20 74 68 65 20 63 6f 6d 6d 6f 6e 20 63 68	s.can.then.jump.to.the.common.ch
2960	61 69 6e 20 66 6f 72 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74	ain.for.stateful.connection.filt
2980	65 72 69 6e 67 2c 20 72 65 74 75 72 6e 69 6e 67 20 74 6f 20 74 68 65 20 6f 72 69 67 69 6e 61 6c	ering,.returning.to.the.original
29a0	20 63 68 61 69 6e 20 66 6f 72 20 66 75 72 74 68 65 72 20 72 75 6c 65 20 70 72 6f 63 65 73 73 69	.chain.for.further.rule.processi
29c0	6e 67 20 69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 20 6f 6e 20 74 68 65 20	ng.if.no.action.is.taken.on.the.
29e0	70 61 63 6b 65 74 2e 00 57 65 20 63 61 6e 20 6e 6f 77 20 63 6f 6e 66 69 67 75 72 65 20 61 63 63	packet..We.can.now.configure.acc
2a00	65 73 73 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2c 20 61 6c 6c 6f 77 69	ess.to.the.router.itself,.allowi
2a20	6e 67 20 53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 68 65 20 69 6e 73 69 64 65 2f 4c 41	ng.SSH.access.from.the.inside/LA
2a40	4e 20 6e 65 74 77 6f 72 6b 20 61 6e 64 20 72 61 74 65 20 6c 69 6d 69 74 69 6e 67 20 53 53 48 20	N.network.and.rate.limiting.SSH.
2a60	61 63 63 65 73 73 20 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 6e 65 74 77	access.from.the.outside/WAN.netw
2a80	6f 72 6b 2e 00 57 65 20 73 68 6f 75 6c 64 20 61 6c 73 6f 20 62 6c 6f 63 6b 20 61 6c 6c 20 74 72	ork..We.should.also.block.all.tr
2aa0	61 66 66 69 63 20 64 65 73 74 69 6e 61 74 65 64 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69	affic.destinated.to.the.router.i
2ac0	74 73 65 6c 66 20 74 68 61 74 20 69 73 6e 27 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f	tself.that.isn't.explicitly.allo
2ae0	77 65 64 20 61 74 20 73 6f 6d 65 20 70 6f 69 6e 74 20 69 6e 20 74 68 65 20 63 68 61 69 6e 20 66	wed.at.some.point.in.the.chain.f
2b00	6f 72 20 74 68 65 20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 2e 20 41 73 20 77 65 27 76 65 20	or.the.``input``.hook..As.we've.
2b20	61 6c 72 65 61 64 79 20 63 6f 6e 66 69 67 75 72 65 64 20 73 74 61 74 65 66 75 6c 20 70 61 63 6b	already.configured.stateful.pack
2b40	65 74 20 66 69 6c 74 65 72 69 6e 67 20 61 62 6f 76 65 2c 20 77 65 20 6f 6e 6c 79 20 6e 65 65 64	et.filtering.above,.we.only.need
2b60	20 74 6f 20 73 65 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 74 6f 20 60 60	.to.set.the.default.action.to.``
2b80	64 72 6f 70 60 60 3a 00 57 69 74 68 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74	drop``:.With.the.new.firewall.st
2ba0	72 75 63 74 75 72 65 2c 20 77 65 20 68 61 76 65 20 68 61 76 65 20 61 20 6c 6f 74 20 6f 66 20 66	ructure,.we.have.have.a.lot.of.f
2bc0	6c 65 78 69 62 69 6c 69 74 79 20 69 6e 20 68 6f 77 20 77 65 20 67 72 6f 75 70 20 61 6e 64 20 6f	lexibility.in.how.we.group.and.o
2be0	72 64 65 72 20 6f 75 72 20 72 75 6c 65 73 2c 20 61 73 20 73 68 6f 77 6e 20 62 79 20 74 68 65 20	rder.our.rules,.as.shown.by.the.
2c00	74 68 72 65 65 20 61 6c 74 65 72 6e 61 74 69 76 65 20 61 70 70 72 6f 61 63 68 65 73 20 62 65 6c	three.alternative.approaches.bel
2c20	6f 77 2e 00 57 69 74 68 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74	ow..With.the.new.firewall.struct
2c40	75 72 65 2c 20 77 65 20 68 61 76 65 20 68 61 76 65 20 61 20 6c 6f 74 20 6f 66 20 66 6c 65 78 69	ure,.we.have.have.a.lot.of.flexi
2c60	62 69 6c 69 74 79 20 69 6e 20 68 6f 77 20 77 65 20 67 72 6f 75 70 20 61 6e 64 20 6f 72 64 65 72	bility.in.how.we.group.and.order
2c80	20 6f 75 72 20 72 75 6c 65 73 2c 20 61 73 20 73 68 6f 77 6e 20 62 79 20 74 68 65 20 74 77 6f 20	.our.rules,.as.shown.by.the.two.
2ca0	61 6c 74 65 72 6e 61 74 69 76 65 20 61 70 70 72 6f 61 63 68 65 73 20 62 65 6c 6f 77 2e 00 59 6f	alternative.approaches.below..Yo
2cc0	75 20 6e 6f 77 20 73 68 6f 75 6c 64 20 68 61 76 65 20 61 20 73 69 6d 70 6c 65 20 79 65 74 20 73	u.now.should.have.a.simple.yet.s
2ce0	65 63 75 72 65 20 61 6e 64 20 66 75 6e 63 74 69 6f 6e 69 6e 67 20 72 6f 75 74 65 72 20 74 6f 20	ecure.and.functioning.router.to.
2d00	65 78 70 65 72 69 6d 65 6e 74 20 77 69 74 68 20 66 75 72 74 68 65 72 2e 20 45 6e 6a 6f 79 21 00	experiment.with.further..Enjoy!.
2d20	59 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77 69 6c 6c	Your.internal/LAN.interface.will
2d40	20 62 65 20 60 60 65 74 68 31 60 60 2e 20 49 74 20 77 69 6c 6c 20 75 73 65 20 61 20 73 74 61 74	.be.``eth1``..It.will.use.a.stat
2d60	69 63 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32	ic.IP.address.of.``192.168.0.1/2
2d80	34 60 60 2e 00 59 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 69 6e 74 65 72 66 61 63 65	4``..Your.internal/LAN.interface
2da0	20 77 69 6c 6c 20 62 65 20 60 65 74 68 31 60 2e 20 49 74 20 77 69 6c 6c 20 75 73 65 20 61 20 73	.will.be.`eth1`..It.will.use.a.s
2dc0	74 61 74 69 63 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 60 31 39 32 2e 31 36 38 2e 30 2e 31	tatic.IP.address.of.`192.168.0.1
2de0	2f 32 34 60 2e 00 59 6f 75 72 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65	/24`..Your.outside/WAN.interface
2e00	20 77 69 6c 6c 20 62 65 20 60 60 65 74 68 30 60 60 2e 20 49 74 20 77 69 6c 6c 20 72 65 63 65 69	.will.be.``eth0``..It.will.recei
2e20	76 65 20 69 74 73 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 76 69 61 20 44 48 43	ve.its.interface.address.via.DHC
2e40	50 2e 00 59 6f 75 72 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77 69	P..Your.outside/WAN.interface.wi
2e60	6c 6c 20 62 65 20 60 65 74 68 30 60 2e 20 49 74 20 77 69 6c 6c 20 72 65 63 65 69 76 65 20 69 74	ll.be.`eth0`..It.will.receive.it
2e80	73 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 76 69 61 20 44 48 43 50 2e 00 4d 49	s.interface.address.via.DHCP..MI
2ea0	4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65	ME-Version:.1.0.Content-Type:.te
2ec0	78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74 3d 55 54 46 2d 38 0a 43 6f 6e 74 65 6e 74 2d	xt/plain;.charset=UTF-8.Content-
2ee0	54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 38 62 69 74 0a 58 2d 47 65 6e 65 72 61	Transfer-Encoding:.8bit.X-Genera
2f00	74 6f 72 3a 20 4c 6f 63 61 6c 61 7a 79 20 28 68 74 74 70 73 3a 2f 2f 6c 6f 63 61 6c 61 7a 79 2e	tor:.Localazy.(https://localazy.
2f20	63 6f 6d 29 0a 50 72 6f 6a 65 63 74 2d 49 64 2d 56 65 72 73 69 6f 6e 3a 20 0a 4c 61 6e 67 75 61	com).Project-Id-Version:..Langua
2f40	67 65 3a 20 65 73 0a 50 6c 75 72 61 6c 2d 46 6f 72 6d 73 3a 20 6e 70 6c 75 72 61 6c 73 3d 32 3b	ge:.es.Plural-Forms:.nplurals=2;
2f60	20 70 6c 75 72 61 6c 3d 28 6e 3d 3d 31 29 20 3f 20 30 20 3a 20 31 3b 0a 00 41 20 64 65 66 61 75	.plural=(n==1).?.0.:.1;..A.defau
2f80	6c 74 20 61 63 74 69 6f 6e 20 6f 66 20 60 60 72 65 74 75 72 6e 60 60 2c 20 77 68 69 63 68 20 72	lt.action.of.``return``,.which.r
2fa0	65 74 75 72 6e 73 20 74 68 65 20 70 61 63 6b 65 74 20 62 61 63 6b 20 74 6f 20 74 68 65 20 6f 72	eturns.the.packet.back.to.the.or
2fc0	69 67 69 6e 61 6c 20 63 68 61 69 6e 20 69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b	iginal.chain.if.no.action.is.tak
2fe0	65 6e 2e 00 41 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65 e2 80 94 77	en..A.new.firewall.structure...w
3000	68 69 63 68 20 75 73 65 73 20 74 68 65 20 60 60 6e 66 74 61 62 6c 65 73 60 60 20 62 61 63 6b 65	hich.uses.the.``nftables``.backe
3020	6e 64 2c 20 72 61 74 68 65 72 20 74 68 61 6e 20 60 60 69 70 74 61 62 6c 65 73 60 60 e2 80 94 69	nd,.rather.than.``iptables``...i
3040	73 20 61 76 61 69 6c 61 62 6c 65 20 6f 6e 20 61 6c 6c 20 69 6e 73 74 61 6c 6c 61 74 69 6f 6e 73	s.available.on.all.installations
3060	20 73 74 61 72 74 69 6e 67 20 66 72 6f 6d 20 56 79 4f 53 20 60 60 31 2e 34 2d 72 6f 6c 6c 69 6e	.starting.from.VyOS.``1.4-rollin
3080	67 2d 32 30 32 33 30 38 30 34 30 35 35 37 60 60 2e 20 54 68 65 20 66 69 72 65 77 61 6c 6c 20 73	g-202308040557``..The.firewall.s
30a0	75 70 70 6f 72 74 73 20 63 72 65 61 74 69 6f 6e 20 6f 66 20 64 69 73 74 69 6e 63 74 2c 20 69 6e	upports.creation.of.distinct,.in
30c0	74 65 72 6c 69 6e 6b 65 64 20 63 68 61 69 6e 73 20 66 6f 72 20 65 61 63 68 20 60 4e 65 74 66 69	terlinked.chains.for.each.`Netfi
30e0	6c 74 65 72 20 68 6f 6f 6b 20 3c 68 74 74 70 73 3a 2f 2f 77 69 6b 69 2e 6e 66 74 61 62 6c 65 73	lter.hook.<https://wiki.nftables
3100	2e 6f 72 67 2f 77 69 6b 69 2d 6e 66 74 61 62 6c 65 73 2f 69 6e 64 65 78 2e 70 68 70 2f 4e 65 74	.org/wiki-nftables/index.php/Net
3120	66 69 6c 74 65 72 5f 68 6f 6f 6b 73 3e 60 5f 20 61 6e 64 20 61 6c 6c 6f 77 73 20 66 6f 72 20 6d	filter_hooks>`_.and.allows.for.m
3140	6f 72 65 20 67 72 61 6e 75 6c 61 72 20 63 6f 6e 74 72 6f 6c 20 6f 76 65 72 20 74 68 65 20 70 61	ore.granular.control.over.the.pa
3160	63 6b 65 74 20 66 69 6c 74 65 72 69 6e 67 20 70 72 6f 63 65 73 73 2e 00 41 20 72 75 6c 65 20 74	cket.filtering.process..A.rule.t
3180	6f 20 60 60 61 63 63 65 70 74 60 60 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 65 73 74 61 62 6c	o.``accept``.packets.from.establ
31a0	69 73 68 65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41	ished.and.related.connections..A
31c0	20 72 75 6c 65 20 74 6f 20 60 60 64 72 6f 70 60 60 20 70 61 63 6b 65 74 73 20 66 72 6f 6d 20 69	.rule.to.``drop``.packets.from.i
31e0	6e 76 61 6c 69 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2e 00 41 67 72 65 67 75 65 20 75 6e 20 63	nvalid.connections..Agregue.un.c
3200	6f 6e 6a 75 6e 74 6f 20 64 65 20 70 6f 6c c3 ad 74 69 63 61 73 20 64 65 20 66 69 72 65 77 61 6c	onjunto.de.pol..ticas.de.firewal
3220	6c 20 70 61 72 61 20 6e 75 65 73 74 72 61 20 69 6e 74 65 72 66 61 7a 20 65 78 74 65 72 6e 61 2f	l.para.nuestra.interfaz.externa/
3240	57 41 4e 2e 00 44 65 73 70 75 c3 a9 73 20 64 65 20 63 61 64 61 20 63 61 6d 62 69 6f 20 64 65 20	WAN..Despu..s.de.cada.cambio.de.
3260	63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 2c 20 64 65 62 65 20 61 70 6c 69 63 61 72 20 6c 6f 73	configuraci..n,.debe.aplicar.los
3280	20 63 61 6d 62 69 6f 73 20 6d 65 64 69 61 6e 74 65 20 65 6c 20 73 69 67 75 69 65 6e 74 65 20 63	.cambios.mediante.el.siguiente.c
32a0	6f 6d 61 6e 64 6f 3a 00 44 65 73 70 75 c3 a9 73 20 64 65 20 63 61 6d 62 69 61 72 20 61 20 3a 72	omando:.Despu..s.de.cambiar.a.:r
32c0	65 66 3a 60 71 75 69 63 6b 2d 73 74 61 72 74 2d 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f	ef:`quick-start-configuration-mo
32e0	64 65 60 2c 20 65 6a 65 63 75 74 65 20 6c 6f 73 20 73 69 67 75 69 65 6e 74 65 73 20 63 6f 6d 61	de`,.ejecute.los.siguientes.coma
3300	6e 64 6f 73 20 79 20 73 75 20 73 69 73 74 65 6d 61 20 65 73 63 75 63 68 61 72 c3 a1 20 65 6e 20	ndos.y.su.sistema.escuchar...en.
3320	63 61 64 61 20 69 6e 74 65 72 66 61 7a 20 6c 61 73 20 63 6f 6e 65 78 69 6f 6e 65 73 20 53 53 48	cada.interfaz.las.conexiones.SSH
3340	20 65 6e 74 72 61 6e 74 65 73 2e 20 45 73 20 70 6f 73 69 62 6c 65 20 71 75 65 20 64 65 73 65 65	.entrantes..Es.posible.que.desee
3360	20 63 6f 6e 73 75 6c 74 61 72 20 65 6c 20 63 61 70 c3 ad 74 75 6c 6f 20 3a 72 65 66 3a 60 73 73	.consultar.el.cap..tulo.:ref:`ss
3380	68 60 20 73 6f 62 72 65 20 63 c3 b3 6d 6f 20 65 73 63 75 63 68 61 72 20 73 6f 6c 6f 20 65 6e 20	h`.sobre.c..mo.escuchar.solo.en.
33a0	64 69 72 65 63 63 69 6f 6e 65 73 20 65 73 70 65 63 c3 ad 66 69 63 61 73 2e 00 44 65 73 70 75 c3	direcciones.espec..ficas..Despu.
33c0	a9 73 20 64 65 20 63 61 6d 62 69 61 72 20 61 20 3a 72 65 66 3a 60 71 75 69 63 6b 2d 73 74 61 72	.s.de.cambiar.a.:ref:`quick-star
33e0	74 2d 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2d 6d 6f 64 65 60 20 65 6d 69 74 61 20 6c 6f 73 20	t-configuration-mode`.emita.los.
3400	73 69 67 75 69 65 6e 74 65 73 20 63 6f 6d 61 6e 64 6f 73 3a 00 41 6c 6c 6f 77 20 41 63 63 65 73	siguientes.comandos:.Allow.Acces
3420	73 20 74 6f 20 53 65 72 76 69 63 65 73 00 41 6c 6c 6f 77 20 4d 61 6e 61 67 65 6d 65 6e 74 20 41	s.to.Services.Allow.Management.A
3440	63 63 65 73 73 00 41 6c 74 65 72 6e 61 74 69 76 65 6c 79 2c 20 69 6e 73 74 65 61 64 20 6f 66 20	ccess.Alternatively,.instead.of.
3460	63 6f 6e 66 69 67 75 72 69 6e 67 20 74 68 65 20 60 60 43 4f 4e 4e 5f 46 49 4c 54 45 52 60 60 20	configuring.the.``CONN_FILTER``.
3480	63 68 61 69 6e 20 64 65 73 63 72 69 62 65 64 20 61 62 6f 76 65 2c 20 79 6f 75 20 63 61 6e 20 74	chain.described.above,.you.can.t
34a0	61 6b 65 20 74 68 65 20 6d 6f 72 65 20 74 72 61 64 69 74 69 6f 6e 61 6c 20 73 74 61 74 65 66 75	ake.the.more.traditional.statefu
34c0	6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 61 70 70 72 6f 61 63 68 20	l.connection.filtering.approach.
34e0	62 79 20 63 72 65 61 74 69 6e 67 20 72 75 6c 65 73 20 6f 6e 20 65 61 63 68 20 68 6f 6f 6b 27 73	by.creating.rules.on.each.hook's
3500	20 63 68 61 69 6e 3a 00 41 6c 74 65 72 6e 61 74 69 76 65 6c 79 2c 20 79 6f 75 20 63 61 6e 20 74	.chain:.Alternatively,.you.can.t
3520	61 6b 65 20 74 68 65 20 6d 6f 72 65 20 74 72 61 64 69 74 69 6f 6e 61 6c 20 73 74 61 74 65 66 75	ake.the.more.traditional.statefu
3540	6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20 61 70 70 72 6f 61 63 68 20	l.connection.filtering.approach.
3560	62 79 20 63 72 65 61 74 69 6e 67 20 72 75 6c 65 73 20 6f 6e 20 65 61 63 68 20 62 61 73 65 20 68	by.creating.rules.on.each.base.h
3580	6f 6f 6b 27 73 20 63 68 61 69 6e 3a 00 41 70 6c 69 63 61 72 20 6c 61 73 20 70 6f 6c c3 ad 74 69	ook's.chain:.Aplicar.las.pol..ti
35a0	63 61 73 20 64 65 20 63 6f 72 74 61 66 75 65 67 6f 73 3a 00 43 6f 6d 6f 20 61 72 72 69 62 61 2c	cas.de.cortafuegos:.Como.arriba,
35c0	20 63 6f 6e 66 69 72 6d 65 20 73 75 73 20 63 61 6d 62 69 6f 73 2c 20 67 75 61 72 64 65 20 6c 61	.confirme.sus.cambios,.guarde.la
35e0	20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 79 20 73 61 6c 67 61 20 64 65 6c 20 6d 6f 64 6f	.configuraci..n.y.salga.del.modo
3600	20 64 65 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 3a 00 42 6c 6f 63 6b 20 49 6e 63 6f 6d 69	.de.configuraci..n:.Block.Incomi
3620	6e 67 20 54 72 61 66 66 69 63 00 44 65 20 66 6f 72 6d 61 20 70 72 65 64 65 74 65 72 6d 69 6e 61	ng.Traffic.De.forma.predetermina
3640	64 61 2c 20 56 79 4f 53 20 65 73 74 c3 a1 20 65 6e 20 6d 6f 64 6f 20 6f 70 65 72 61 74 69 76 6f	da,.VyOS.est...en.modo.operativo
3660	20 79 20 65 6c 20 73 c3 ad 6d 62 6f 6c 6f 20 64 65 6c 20 73 69 73 74 65 6d 61 20 6d 75 65 73 74	.y.el.s..mbolo.del.sistema.muest
3680	72 61 20 75 6e 20 60 24 60 2e 20 50 61 72 61 20 63 6f 6e 66 69 67 75 72 61 72 20 56 79 4f 53 2c	ra.un.`$`..Para.configurar.VyOS,
36a0	20 64 65 62 65 72 c3 a1 20 69 6e 67 72 65 73 61 72 20 61 6c 20 6d 6f 64 6f 20 64 65 20 63 6f 6e	.deber...ingresar.al.modo.de.con
36c0	66 69 67 75 72 61 63 69 c3 b3 6e 2c 20 6c 6f 20 71 75 65 20 64 61 72 c3 a1 20 63 6f 6d 6f 20 72	figuraci..n,.lo.que.dar...como.r
36e0	65 73 75 6c 74 61 64 6f 20 71 75 65 20 65 6c 20 73 c3 ad 6d 62 6f 6c 6f 20 64 65 6c 20 73 69 73	esultado.que.el.s..mbolo.del.sis
3700	74 65 6d 61 20 6d 75 65 73 74 72 65 20 75 6e 20 60 23 60 2c 20 63 6f 6d 6f 20 73 65 20 6d 75 65	tema.muestre.un.`#`,.como.se.mue
3720	73 74 72 61 20 61 20 63 6f 6e 74 69 6e 75 61 63 69 c3 b3 6e 3a 00 42 79 20 64 65 66 61 75 6c 74	stra.a.continuaci..n:.By.default
3740	2c 20 56 79 4f 53 20 69 73 20 69 6e 20 6f 70 65 72 61 74 69 6f 6e 61 6c 20 6d 6f 64 65 2c 20 61	,.VyOS.is.in.operational.mode,.a
3760	6e 64 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 70 72 6f 6d 70 74 20 64 69 73 70 6c 61 79 73 20 61	nd.the.command.prompt.displays.a
3780	20 60 60 24 60 60 2e 20 54 6f 20 63 6f 6e 66 69 67 75 72 65 20 56 79 4f 53 2c 20 79 6f 75 20 77	.``$``..To.configure.VyOS,.you.w
37a0	69 6c 6c 20 6e 65 65 64 20 74 6f 20 65 6e 74 65 72 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 20	ill.need.to.enter.configuration.
37c0	6d 6f 64 65 2c 20 72 65 73 75 6c 74 69 6e 67 20 69 6e 20 74 68 65 20 63 6f 6d 6d 61 6e 64 20 70	mode,.resulting.in.the.command.p
37e0	72 6f 6d 70 74 20 64 69 73 70 6c 61 79 69 6e 67 20 61 20 60 60 23 60 60 2c 20 61 73 20 64 65 6d	rompt.displaying.a.``#``,.as.dem
3800	6f 6e 73 74 72 61 74 65 64 20 62 65 6c 6f 77 3a 00 43 6f 6d 70 72 6f 6d c3 a9 74 65 74 65 20 79	onstrated.below:.Comprom..tete.y
3820	20 61 68 6f 72 72 61 00 43 6f 6e 66 69 72 6d 65 20 6c 6f 73 20 63 61 6d 62 69 6f 73 2c 20 67 75	.ahorra.Confirme.los.cambios,.gu
3840	61 72 64 65 20 6c 61 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 79 20 73 61 6c 67 61 20 64	arde.la.configuraci..n.y.salga.d
3860	65 6c 20 6d 6f 64 6f 20 64 65 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 3a 00 4d 6f 64 6f 20	el.modo.de.configuraci..n:.Modo.
3880	64 65 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 00 43 6f 6e 66 69 67 75 72 65 20 46 69 72 65	de.configuraci..n.Configure.Fire
38a0	77 61 6c 6c 20 47 72 6f 75 70 73 00 43 6f 6e 66 69 67 75 72 65 20 53 74 61 74 65 66 75 6c 20 50	wall.Groups.Configure.Stateful.P
38c0	61 63 6b 65 74 20 46 69 6c 74 65 72 69 6e 67 00 43 6f 6e 66 69 67 75 72 65 20 61 20 72 75 6c 65	acket.Filtering.Configure.a.rule
38e0	20 6f 6e 20 74 68 65 20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 20 66 69 6c 74 65 72 20 74 6f	.on.the.``input``.hook.filter.to
3900	20 6a 75 6d 70 20 74 6f 20 74 68 65 20 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60	.jump.to.the.``VyOS_MANAGEMENT``
3920	20 63 68 61 69 6e 20 77 68 65 6e 20 6e 65 77 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 61 72 65 20	.chain.when.new.connections.are.
3940	61 64 64 72 65 73 73 65 64 20 74 6f 20 70 6f 72 74 20 32 32 20 28 53 53 48 29 20 6f 6e 20 74 68	addressed.to.port.22.(SSH).on.th
3960	65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 3a 00 43 72 65 61 74 65 20 61 20 6e 65 77 20 63 68	e.router.itself:.Create.a.new.ch
3980	61 69 6e 20 28 60 60 4f 55 54 53 49 44 45 2d 49 4e 60 60 29 20 77 68 69 63 68 20 77 69 6c 6c 20	ain.(``OUTSIDE-IN``).which.will.
39a0	64 72 6f 70 20 61 6c 6c 20 74 72 61 66 66 69 63 20 74 68 61 74 20 69 73 20 6e 6f 74 20 65 78 70	drop.all.traffic.that.is.not.exp
39c0	6c 69 63 69 74 79 20 61 6c 6c 6f 77 65 64 20 61 74 20 73 6f 6d 65 20 70 6f 69 6e 74 20 69 6e 20	licity.allowed.at.some.point.in.
39e0	74 68 65 20 63 68 61 69 6e 2e 20 54 68 65 6e 2c 20 77 65 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20	the.chain..Then,.we.can.jump.to.
3a00	74 68 61 74 20 63 68 61 69 6e 20 66 72 6f 6d 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20	that.chain.from.the.``forward``.
3a20	68 6f 6f 6b 20 77 68 65 6e 20 74 72 61 66 66 69 63 20 69 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d	hook.when.traffic.is.coming.from
3a40	20 74 68 65 20 60 60 57 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 61 6e 64	.the.``WAN``.interface.group.and
3a60	20 69 73 20 61 64 64 72 65 73 73 65 64 20 74 6f 20 6f 75 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f	.is.addressed.to.our.local.netwo
3a80	72 6b 2e 00 41 20 6c 6f 73 20 63 6c 69 65 6e 74 65 73 20 44 48 43 50 20 73 65 20 6c 65 73 20 61	rk..A.los.clientes.DHCP.se.les.a
3aa0	73 69 67 6e 61 72 c3 a1 6e 20 64 69 72 65 63 63 69 6f 6e 65 73 20 49 50 20 64 65 6e 74 72 6f 20	signar..n.direcciones.IP.dentro.
3ac0	64 65 6c 20 72 61 6e 67 6f 20 64 65 20 60 31 39 32 2e 31 36 38 2e 30 2e 39 20 2d 20 31 39 32 2e	del.rango.de.`192.168.0.9.-.192.
3ae0	31 36 38 2e 30 2e 32 35 34 60 20 79 20 74 65 6e 64 72 c3 a1 6e 20 75 6e 20 6e 6f 6d 62 72 65 20	168.0.254`.y.tendr..n.un.nombre.
3b00	64 65 20 64 6f 6d 69 6e 69 6f 20 64 65 20 60 72 65 64 2d 69 6e 74 65 72 6e 61 60 00 44 48 43 50	de.dominio.de.`red-interna`.DHCP
3b20	20 63 6c 69 65 6e 74 73 20 77 69 6c 6c 20 62 65 20 61 73 73 69 67 6e 65 64 20 49 50 20 61 64 64	.clients.will.be.assigned.IP.add
3b40	72 65 73 73 65 73 20 77 69 74 68 69 6e 20 74 68 65 20 72 61 6e 67 65 20 6f 66 20 60 60 31 39 32	resses.within.the.range.of.``192
3b60	2e 31 36 38 2e 30 2e 39 20 2d 20 31 39 32 2e 31 36 38 2e 30 2e 32 35 34 60 60 20 61 6e 64 20 68	.168.0.9.-.192.168.0.254``.and.h
3b80	61 76 65 20 61 20 64 6f 6d 61 69 6e 20 6e 61 6d 65 20 6f 66 20 60 60 69 6e 74 65 72 6e 61 6c 2d	ave.a.domain.name.of.``internal-
3ba0	6e 65 74 77 6f 72 6b 60 60 00 4c 61 73 20 63 6f 6e 63 65 73 69 6f 6e 65 73 20 64 65 20 44 48 43	network``.Las.concesiones.de.DHC
3bc0	50 20 73 65 20 6d 61 6e 74 65 6e 64 72 c3 a1 6e 20 64 75 72 61 6e 74 65 20 75 6e 20 64 c3 ad 61	P.se.mantendr..n.durante.un.d..a
3be0	20 28 38 36 34 30 30 20 73 65 67 75 6e 64 6f 73 29 00 47 75 c3 ad 61 20 64 65 20 69 6e 69 63 69	.(86400.segundos).Gu..a.de.inici
3c00	6f 20 72 c3 a1 70 69 64 6f 20 64 65 20 44 48 43 50 2f 44 4e 53 00 44 6f 63 75 6d 65 6e 74 61 74	o.r..pido.de.DHCP/DNS.Documentat
3c20	69 6f 6e 20 66 6f 72 20 6d 6f 73 74 20 6f 66 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c	ion.for.most.of.the.new.firewall
3c40	20 43 4c 49 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65 20 3a 72 65 66 3a 60 66	.CLI.can.be.found.in.the.:ref:`f
3c60	69 72 65 77 61 6c 6c 60 20 63 68 61 70 74 65 72 2e 54 68 65 20 6c 65 67 61 63 79 20 66 69 72 65	irewall`.chapter.The.legacy.fire
3c80	77 61 6c 6c 20 69 73 20 73 74 69 6c 6c 20 61 76 61 69 6c 61 62 6c 65 20 66 6f 72 20 76 65 72 73	wall.is.still.available.for.vers
3ca0	69 6f 6e 73 20 62 65 66 6f 72 65 20 60 60 31 2e 34 2d 72 6f 6c 6c 69 6e 67 2d 32 30 32 33 30 38	ions.before.``1.4-rolling-202308
3cc0	30 34 30 35 35 37 60 60 20 61 6e 64 20 63 61 6e 20 62 65 20 66 6f 75 6e 64 20 69 6e 20 74 68 65	040557``.and.can.be.found.in.the
3ce0	20 3a 72 65 66 3a 60 66 69 72 65 77 61 6c 6c 2d 6c 65 67 61 63 79 60 20 63 68 61 70 74 65 72 2e	.:ref:`firewall-legacy`.chapter.
3d00	20 54 68 65 20 65 78 61 6d 70 6c 65 73 20 69 6e 20 74 68 69 73 20 73 65 63 74 69 6f 6e 20 75 73	.The.examples.in.this.section.us
3d20	65 20 74 68 65 20 6e 65 77 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 45 73 70 65 63 69 61	e.the.new.configuration..Especia
3d40	6c 6d 65 6e 74 65 20 73 69 20 65 73 74 c3 a1 20 70 65 72 6d 69 74 69 65 6e 64 6f 20 65 6c 20 61	lmente.si.est...permitiendo.el.a
3d60	63 63 65 73 6f 20 72 65 6d 6f 74 6f 20 53 53 48 20 64 65 73 64 65 20 6c 61 20 69 6e 74 65 72 66	cceso.remoto.SSH.desde.la.interf
3d80	61 7a 20 65 78 74 65 72 69 6f 72 2f 57 41 4e 2c 20 68 61 79 20 61 6c 67 75 6e 6f 73 20 70 61 73	az.exterior/WAN,.hay.algunos.pas
3da0	6f 73 20 64 65 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 61 64 69 63 69 6f 6e 61 6c 65 73	os.de.configuraci..n.adicionales
3dc0	20 71 75 65 20 73 65 20 64 65 62 65 6e 20 74 6f 6d 61 72 2e 00 46 69 6e 61 6c 6c 79 2c 20 63 6f	.que.se.deben.tomar..Finally,.co
3de0	6e 66 69 67 75 72 65 20 74 68 65 20 60 60 56 79 4f 53 5f 4d 41 4e 41 47 45 4d 45 4e 54 60 60 20	nfigure.the.``VyOS_MANAGEMENT``.
3e00	63 68 61 69 6e 20 74 6f 20 61 63 63 65 70 74 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 72 6f 6d 20	chain.to.accept.connection.from.
3e20	74 68 65 20 60 60 4c 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 77 68 69 6c	the.``LAN``.interface.group.whil
3e40	65 20 6c 69 6d 69 74 69 6e 67 20 72 65 71 75 65 73 74 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20	e.limiting.requests.coming.from.
3e60	74 68 65 20 60 60 57 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 20 74 6f 20 34	the.``WAN``.interface.group.to.4
3e80	20 70 65 72 20 6d 69 6e 75 74 65 3a 00 46 69 6e 61 6c 6d 65 6e 74 65 2c 20 69 6e 74 65 6e 74 65	.per.minute:.Finalmente,.intente
3ea0	20 79 20 53 53 48 20 65 6e 20 6c 61 20 69 6e 73 74 61 6c 61 63 69 c3 b3 6e 20 64 65 20 56 79 4f	.y.SSH.en.la.instalaci..n.de.VyO
3ec0	53 20 63 6f 6d 6f 20 73 75 20 6e 75 65 76 6f 20 75 73 75 61 72 69 6f 2e 20 55 6e 61 20 76 65 7a	S.como.su.nuevo.usuario..Una.vez
3ee0	20 71 75 65 20 68 61 79 61 20 63 6f 6e 66 69 72 6d 61 64 6f 20 71 75 65 20 73 75 20 6e 75 65 76	.que.haya.confirmado.que.su.nuev
3f00	6f 20 75 73 75 61 72 69 6f 20 70 75 65 64 65 20 61 63 63 65 64 65 72 20 61 20 73 75 20 65 6e 72	o.usuario.puede.acceder.a.su.enr
3f20	75 74 61 64 6f 72 20 73 69 6e 20 63 6f 6e 74 72 61 73 65 c3 b1 61 2c 20 65 6c 69 6d 69 6e 65 20	utador.sin.contrase..a,.elimine.
3f40	65 6c 20 75 73 75 61 72 69 6f 20 60 60 76 79 6f 73 60 60 20 6f 72 69 67 69 6e 61 6c 20 79 20 64	el.usuario.``vyos``.original.y.d
3f60	65 73 68 61 62 69 6c 69 74 65 20 63 6f 6d 70 6c 65 74 61 6d 65 6e 74 65 20 6c 61 20 61 75 74 65	eshabilite.completamente.la.aute
3f80	6e 74 69 63 61 63 69 c3 b3 6e 20 64 65 20 63 6f 6e 74 72 61 73 65 c3 b1 61 20 70 61 72 61 20 3a	nticaci..n.de.contrase..a.para.:
3fa0	72 65 66 3a 60 73 73 68 60 3a 00 46 69 6e 61 6c 6c 79 2c 20 77 65 20 63 61 6e 20 6e 6f 77 20 63	ref:`ssh`:.Finally,.we.can.now.c
3fc0	6f 6e 66 69 67 75 72 65 20 61 63 63 65 73 73 20 74 6f 20 74 68 65 20 73 65 72 76 69 63 65 73 20	onfigure.access.to.the.services.
3fe0	72 75 6e 6e 69 6e 67 20 6f 6e 20 74 68 69 73 20 72 6f 75 74 65 72 2c 20 61 6c 6c 6f 77 69 6e 67	running.on.this.router,.allowing
4000	20 61 6c 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 20 63 6f 6d 69 6e 67 20 66 72 6f 6d 20 6c 6f 63	.all.connections.coming.from.loc
4020	61 6c 68 6f 73 74 3a 00 63 6f 72 74 61 66 75 65 67 6f 73 00 46 69 72 73 74 2c 20 63 72 65 61 74	alhost:.cortafuegos.First,.creat
4040	65 20 61 20 6e 65 77 20 64 65 64 69 63 61 74 65 64 20 63 68 61 69 6e 20 28 60 60 56 79 4f 53 5f	e.a.new.dedicated.chain.(``VyOS_
4060	4d 41 4e 41 47 45 4d 45 4e 54 60 60 29 20 66 6f 72 20 6d 61 6e 61 67 65 6d 65 6e 74 20 61 63 63	MANAGEMENT``).for.management.acc
4080	65 73 73 2c 20 77 68 69 63 68 20 72 65 74 75 72 6e 73 20 74 6f 20 74 68 65 20 70 61 72 65 6e 74	ess,.which.returns.to.the.parent
40a0	20 63 68 61 69 6e 20 69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 2e 20 41 64	.chain.if.no.action.is.taken..Ad
40c0	64 20 61 20 72 75 6c 65 20 74 6f 20 61 63 63 65 70 74 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20	d.a.rule.to.accept.traffic.from.
40e0	74 68 65 20 60 60 4c 41 4e 60 60 20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 3a 00 45 6e 64	the.``LAN``.interface.group:.End
4100	75 72 65 63 69 6d 69 65 6e 74 6f 00 48 65 72 65 20 77 65 27 72 65 20 61 6c 6c 6f 77 69 6e 67 20	urecimiento.Here.we're.allowing.
4120	74 68 65 20 72 6f 75 74 65 72 20 74 6f 20 72 65 73 70 6f 6e 64 20 74 6f 20 70 69 6e 67 73 2e 20	the.router.to.respond.to.pings..
4140	54 68 65 6e 2c 20 77 65 20 63 61 6e 20 61 6c 6c 6f 77 20 61 63 63 65 73 73 20 74 6f 20 74 68 65	Then,.we.can.allow.access.to.the
4160	20 44 4e 53 20 72 65 63 75 72 73 6f 72 20 77 65 20 63 6f 6e 66 69 67 75 72 65 64 20 65 61 72 6c	.DNS.recursor.we.configured.earl
4180	69 65 72 2c 20 61 63 63 65 70 74 69 6e 67 20 74 72 61 66 66 69 63 20 62 6f 75 6e 64 20 66 6f 72	ier,.accepting.traffic.bound.for
41a0	20 70 6f 72 74 20 35 33 20 66 72 6f 6d 20 61 6c 6c 20 68 6f 73 74 73 20 6f 6e 20 74 68 65 20 60	.port.53.from.all.hosts.on.the.`
41c0	60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 20 6e 65 74 77 6f 72 6b 3a 00 53 69 20 71 75 69	`NET-INSIDE-v4``.network:.Si.qui
41e0	73 69 65 72 61 20 68 61 62 69 6c 69 74 61 72 20 65 6c 20 61 63 63 65 73 6f 20 53 53 48 20 61 20	siera.habilitar.el.acceso.SSH.a.
4200	73 75 20 66 69 72 65 77 61 6c 6c 20 64 65 73 64 65 20 6c 61 20 69 6e 74 65 72 66 61 7a 20 65 78	su.firewall.desde.la.interfaz.ex
4220	74 65 72 6e 61 2f 57 41 4e 2c 20 70 6f 64 72 c3 ad 61 20 63 72 65 61 72 20 61 6c 67 75 6e 61 73	terna/WAN,.podr..a.crear.algunas
4240	20 72 65 67 6c 61 73 20 61 64 69 63 69 6f 6e 61 6c 65 73 20 70 61 72 61 20 70 65 72 6d 69 74 69	.reglas.adicionales.para.permiti
4260	72 20 65 73 65 20 74 69 70 6f 20 64 65 20 74 72 c3 a1 66 69 63 6f 2e 00 49 6e 20 74 68 69 73 20	r.ese.tipo.de.tr..fico..In.this.
4280	63 61 73 65 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 74 77 6f 20 69 6e 74 65 72 66 61	case,.we.will.create.two.interfa
42a0	63 65 20 67 72 6f 75 70 73 20 e2 80 94 20 61 20 60 60 57 41 4e 60 60 20 67 72 6f 75 70 20 66 6f	ce.groups.....a.``WAN``.group.fo
42c0	72 20 6f 75 72 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64 20 74 6f 20 74 68	r.our.interfaces.connected.to.th
42e0	65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 6e 65 74 20 61 6e 64 20 61 20 60 60 4c 41 4e 60 60 20	e.public.internet.and.a.``LAN``.
4300	67 72 6f 75 70 20 66 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74	group.for.the.interfaces.connect
4320	65 64 20 74 6f 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 6e 65 74 77 6f 72 6b 2e 20 41 64 64 69	ed.to.our.internal.network..Addi
4340	74 69 6f 6e 61 6c 6c 79 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 61 20 6e 65 74 77 6f	tionally,.we.will.create.a.netwo
4360	72 6b 20 67 72 6f 75 70 2c 20 60 60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60 60 2c 20 74 68 61	rk.group,.``NET-INSIDE-v4``,.tha
4380	74 20 63 6f 6e 74 61 69 6e 73 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 73 75 62 6e 65 74 2e 00	t.contains.our.internal.subnet..
43a0	49 6e 20 74 68 69 73 20 63 61 73 65 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 74 77 6f	In.this.case,.we.will.create.two
43c0	20 69 6e 74 65 72 66 61 63 65 20 67 72 6f 75 70 73 e2 80 94 61 20 60 60 57 41 4e 60 60 20 67 72	.interface.groups...a.``WAN``.gr
43e0	6f 75 70 20 66 6f 72 20 6f 75 72 20 69 6e 74 65 72 66 61 63 65 73 20 63 6f 6e 6e 65 63 74 65 64	oup.for.our.interfaces.connected
4400	20 74 6f 20 74 68 65 20 70 75 62 6c 69 63 20 69 6e 74 65 72 6e 65 74 20 61 6e 64 20 61 20 60 60	.to.the.public.internet.and.a.``
4420	4c 41 4e 60 60 20 67 72 6f 75 70 20 66 6f 72 20 74 68 65 20 69 6e 74 65 72 66 61 63 65 73 20 63	LAN``.group.for.the.interfaces.c
4440	6f 6e 6e 65 63 74 65 64 20 74 6f 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 6e 65 74 77 6f 72 6b	onnected.to.our.internal.network
4460	2e 20 41 64 64 69 74 69 6f 6e 61 6c 6c 79 2c 20 77 65 20 77 69 6c 6c 20 63 72 65 61 74 65 20 61	..Additionally,.we.will.create.a
4480	20 6e 65 74 77 6f 72 6b 20 67 72 6f 75 70 2c 20 60 60 4e 45 54 2d 49 4e 53 49 44 45 2d 76 34 60	.network.group,.``NET-INSIDE-v4`
44a0	60 2c 20 74 68 61 74 20 63 6f 6e 74 61 69 6e 73 20 6f 75 72 20 69 6e 74 65 72 6e 61 6c 20 73 75	`,.that.contains.our.internal.su
44c0	62 6e 65 74 2e 00 43 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 64 65 20 6c 61 20 69 6e 74 65 72	bnet..Configuraci..n.de.la.inter
44e0	66 61 7a 00 4d 6f 73 74 20 69 6e 73 74 61 6c 6c 61 74 69 6f 6e 73 20 77 6f 75 6c 64 20 63 68 6f	faz.Most.installations.would.cho
4500	6f 73 65 20 74 68 69 73 20 6f 70 74 69 6f 6e 2c 20 61 6e 64 20 77 69 6c 6c 20 63 6f 6e 74 61 69	ose.this.option,.and.will.contai
4520	6e 3a 00 4e 41 54 00 4e 6f 77 20 74 68 61 74 20 77 65 20 68 61 76 65 20 63 6f 6e 66 69 67 75 72	n:.NAT.Now.that.we.have.configur
4540	65 64 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67	ed.stateful.connection.filtering
4560	20 74 6f 20 61 6c 6c 6f 77 20 74 72 61 66 66 69 63 20 66 72 6f 6d 20 65 73 74 61 62 6c 69 73 68	.to.allow.traffic.from.establish
4580	65 64 20 61 6e 64 20 72 65 6c 61 74 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 73 2c 20 77 65 20 63	ed.and.related.connections,.we.c
45a0	61 6e 20 62 6c 6f 63 6b 20 61 6c 6c 20 6f 74 68 65 72 20 69 6e 63 6f 6d 69 6e 67 20 74 72 61 66	an.block.all.other.incoming.traf
45c0	66 69 63 20 61 64 64 72 65 73 73 65 64 20 74 6f 20 6f 75 72 20 6c 6f 63 61 6c 20 6e 65 74 77 6f	fic.addressed.to.our.local.netwo
45e0	72 6b 2e 00 55 6e 61 20 76 65 7a 20 71 75 65 20 73 75 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3	rk..Una.vez.que.su.configuraci..
4600	6e 20 66 75 6e 63 69 6f 6e 65 20 63 6f 6d 6f 20 73 65 20 65 73 70 65 72 61 62 61 2c 20 70 75 65	n.funcione.como.se.esperaba,.pue
4620	64 65 20 67 75 61 72 64 61 72 6c 61 20 70 65 72 6d 61 6e 65 6e 74 65 6d 65 6e 74 65 20 75 73 61	de.guardarla.permanentemente.usa
4640	6e 64 6f 20 65 6c 20 73 69 67 75 69 65 6e 74 65 20 63 6f 6d 61 6e 64 6f 3a 00 53 6f 6c 6f 20 6c	ndo.el.siguiente.comando:.Solo.l
4660	6f 73 20 68 6f 73 74 73 20 64 65 20 73 75 20 72 65 64 20 4c 41 4e 2f 69 6e 74 65 72 6e 61 20 70	os.hosts.de.su.red.LAN/interna.p
4680	75 65 64 65 6e 20 75 73 61 72 20 65 6c 20 72 65 63 75 72 73 6f 72 20 44 4e 53 00 4f 70 74 69 6f	ueden.usar.el.recursor.DNS.Optio
46a0	6e 20 31 3a 20 43 6f 6d 6d 6f 6e 20 43 68 61 69 6e 00 4f 70 74 69 6f 6e 20 31 3a 20 47 6c 6f 62	n.1:.Common.Chain.Option.1:.Glob
46c0	61 6c 20 53 74 61 74 65 20 50 6f 6c 69 63 69 65 73 00 4f 70 74 69 6f 6e 20 32 3a 20 43 6f 6d 6d	al.State.Policies.Option.2:.Comm
46e0	6f 6e 2f 43 75 73 74 6f 6d 20 43 68 61 69 6e 00 4f 70 74 69 6f 6e 20 32 3a 20 50 65 72 2d 48 6f	on/Custom.Chain.Option.2:.Per-Ho
4700	6f 6b 20 43 68 61 69 6e 00 4f 70 74 69 6f 6e 20 33 3a 20 50 65 72 2d 48 6f 6f 6b 20 43 68 61 69	ok.Chain.Option.3:.Per-Hook.Chai
4720	6e 00 49 6e 69 63 69 6f 20 72 c3 a1 70 69 64 6f 00 52 65 70 6c 61 63 65 20 74 68 65 20 64 65 66	n.Inicio.r..pido.Replace.the.def
4740	61 75 6c 74 20 60 60 76 79 6f 73 60 60 20 73 79 73 74 65 6d 20 75 73 65 72 3a 00 52 65 65 6d 70	ault.``vyos``.system.user:.Reemp
4760	6c 61 63 65 20 65 6c 20 75 73 75 61 72 69 6f 20 64 65 6c 20 73 69 73 74 65 6d 61 20 60 76 79 6f	lace.el.usuario.del.sistema.`vyo
4780	73 60 20 70 72 65 64 65 74 65 72 6d 69 6e 61 64 6f 3a 00 47 65 73 74 69 c3 b3 6e 20 53 53 48 00	s`.predeterminado:.Gesti..n.SSH.
47a0	43 6f 6e 66 69 67 75 72 61 72 20 3a 72 65 66 3a 60 73 73 68 5f 6b 65 79 5f 62 61 73 65 64 5f 61	Configurar.:ref:`ssh_key_based_a
47c0	75 74 68 65 6e 74 69 63 61 74 69 6f 6e 60 3a 00 45 6c 20 72 61 6e 67 6f 20 64 65 20 64 69 72 65	uthentication`:.El.rango.de.dire
47e0	63 63 69 6f 6e 65 73 20 60 31 39 32 2e 31 36 38 2e 30 2e 32 2f 32 34 20 2d 20 31 39 32 2e 31 36	cciones.`192.168.0.2/24.-.192.16
4800	38 2e 30 2e 38 2f 32 34 60 20 73 65 20 72 65 73 65 72 76 61 72 c3 a1 20 70 61 72 61 20 61 73 69	8.0.8/24`.se.reservar...para.asi
4820	67 6e 61 63 69 6f 6e 65 73 20 65 73 74 c3 a1 74 69 63 61 73 00 54 68 65 20 61 64 64 72 65 73 73	gnaciones.est..ticas.The.address
4840	20 72 61 6e 67 65 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 32 2f 32 34 20 2d 20 31 39 32 2e 31 36	.range.``192.168.0.2/24.-.192.16
4860	38 2e 30 2e 38 2f 32 34 60 60 20 77 69 6c 6c 20 62 65 20 72 65 73 65 72 76 65 64 20 66 6f 72 20	8.0.8/24``.will.be.reserved.for.
4880	73 74 61 74 69 63 20 61 73 73 69 67 6e 6d 65 6e 74 73 00 54 68 65 20 63 68 61 69 6e 20 77 65 20	static.assignments.The.chain.we.
48a0	77 69 6c 6c 20 63 72 65 61 74 65 20 69 73 20 63 61 6c 6c 65 64 20 60 60 43 4f 4e 4e 5f 46 49 4c	will.create.is.called.``CONN_FIL
48c0	54 45 52 60 60 20 61 6e 64 20 68 61 73 20 74 68 72 65 65 20 72 75 6c 65 73 3a 00 4c 61 20 70 75	TER``.and.has.three.rules:.La.pu
48e0	65 72 74 61 20 64 65 20 65 6e 6c 61 63 65 20 70 72 65 64 65 74 65 72 6d 69 6e 61 64 61 20 79 20	erta.de.enlace.predeterminada.y.
4900	6c 61 20 64 69 72 65 63 63 69 c3 b3 6e 20 64 65 6c 20 72 65 63 75 72 73 6f 72 20 44 4e 53 20 73	la.direcci..n.del.recursor.DNS.s
4920	65 72 c3 a1 6e 20 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 00 54 68 65 20 64 65 66 61 75	er..n.`192.168.0.1/24`.The.defau
4940	6c 74 20 67 61 74 65 77 61 79 20 61 6e 64 20 44 4e 53 20 72 65 63 75 72 73 6f 72 20 61 64 64 72	lt.gateway.and.DNS.recursor.addr
4960	65 73 73 20 77 69 6c 6c 20 62 65 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f 32 34 60 60 00 54	ess.will.be.``192.168.0.1/24``.T
4980	68 65 20 66 69 72 65 77 61 6c 6c 20 62 65 67 69 6e 73 20 77 69 74 68 20 74 68 65 20 62 61 73 65	he.firewall.begins.with.the.base
49a0	20 60 60 66 69 6c 74 65 72 60 60 20 74 61 62 6c 65 73 20 79 6f 75 20 64 65 66 69 6e 65 20 66 6f	.``filter``.tables.you.define.fo
49c0	72 20 65 61 63 68 20 6f 66 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 2c 20 60 60 69 6e 70	r.each.of.the.``forward``,.``inp
49e0	75 74 60 60 2c 20 61 6e 64 20 60 60 6f 75 74 70 75 74 60 60 20 4e 65 74 66 69 74 65 72 20 68 6f	ut``,.and.``output``.Netfiter.ho
4a00	6f 6b 73 2e 20 45 61 63 68 20 6f 66 20 74 68 65 73 65 20 74 61 62 6c 65 73 20 69 73 20 70 6f 70	oks..Each.of.these.tables.is.pop
4a20	75 6c 61 74 65 64 20 77 69 74 68 20 72 75 6c 65 73 20 74 68 61 74 20 61 72 65 20 70 72 6f 63 65	ulated.with.rules.that.are.proce
4a40	73 73 65 64 20 69 6e 20 6f 72 64 65 72 20 61 6e 64 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 6f 74	ssed.in.order.and.can.jump.to.ot
4a60	68 65 72 20 63 68 61 69 6e 73 20 66 6f 72 20 6d 6f 72 65 20 67 72 61 6e 75 6c 61 72 20 66 69 6c	her.chains.for.more.granular.fil
4a80	74 65 72 69 6e 67 2e 00 4c 6f 73 20 73 69 67 75 69 65 6e 74 65 73 20 61 6a 75 73 74 65 73 20 63	tering..Los.siguientes.ajustes.c
4aa0	6f 6e 66 69 67 75 72 61 72 c3 a1 6e 20 6c 61 73 20 72 65 67 6c 61 73 20 3a 72 65 66 3a 60 73 6f	onfigurar..n.las.reglas.:ref:`so
4ac0	75 72 63 65 2d 6e 61 74 60 20 70 61 72 61 20 6e 75 65 73 74 72 61 20 72 65 64 20 69 6e 74 65 72	urce-nat`.para.nuestra.red.inter
4ae0	6e 61 2f 4c 41 4e 2c 20 6c 6f 20 71 75 65 20 70 65 72 6d 69 74 69 72 c3 a1 20 71 75 65 20 6c 6f	na/LAN,.lo.que.permitir...que.lo
4b00	73 20 68 6f 73 74 73 20 73 65 20 63 6f 6d 75 6e 69 71 75 65 6e 20 61 20 74 72 61 76 c3 a9 73 20	s.hosts.se.comuniquen.a.trav..s.
4b20	64 65 20 6c 61 20 72 65 64 20 65 78 74 65 72 6e 61 2f 57 41 4e 20 61 20 74 72 61 76 c3 a9 73 20	de.la.red.externa/WAN.a.trav..s.
4b40	64 65 6c 20 65 6e 6d 61 73 63 61 72 61 6d 69 65 6e 74 6f 20 64 65 20 49 50 2e 00 4c 6f 73 20 73	del.enmascaramiento.de.IP..Los.s
4b60	69 67 75 69 65 6e 74 65 73 20 61 6a 75 73 74 65 73 20 63 6f 6e 66 69 67 75 72 61 72 c3 a1 6e 20	iguientes.ajustes.configurar..n.
4b80	6c 6f 73 20 73 65 72 76 69 63 69 6f 73 20 44 48 43 50 20 79 20 44 4e 53 20 65 6e 20 73 75 20 72	los.servicios.DHCP.y.DNS.en.su.r
4ba0	65 64 20 69 6e 74 65 72 6e 61 2f 4c 41 4e 2c 20 64 6f 6e 64 65 20 56 79 4f 53 20 61 63 74 75 61	ed.interna/LAN,.donde.VyOS.actua
4bc0	72 c3 a1 20 63 6f 6d 6f 20 70 75 65 72 74 61 20 64 65 20 65 6e 6c 61 63 65 20 70 72 65 64 65 74	r...como.puerta.de.enlace.predet
4be0	65 72 6d 69 6e 61 64 61 20 79 20 73 65 72 76 69 64 6f 72 20 44 4e 53 2e 00 54 68 65 6e 2c 20 77	erminada.y.servidor.DNS..Then,.w
4c00	65 20 63 61 6e 20 6a 75 6d 70 20 74 6f 20 74 68 65 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e 20 66	e.can.jump.to.the.common.chain.f
4c20	72 6f 6d 20 62 6f 74 68 20 74 68 65 20 60 60 66 6f 72 77 61 72 64 60 60 20 61 6e 64 20 60 60 69	rom.both.the.``forward``.and.``i
4c40	6e 70 75 74 60 60 20 68 6f 6f 6b 73 20 61 73 20 74 68 65 20 66 69 72 73 74 20 66 69 6c 74 65 72	nput``.hooks.as.the.first.filter
4c60	69 6e 67 20 72 75 6c 65 20 69 6e 20 74 68 65 20 72 65 73 70 65 63 74 69 76 65 20 63 68 61 69 6e	ing.rule.in.the.respective.chain
4c80	73 3a 00 45 73 74 61 73 20 72 65 67 6c 61 73 20 70 65 72 6d 69 74 65 6e 20 65 6c 20 74 72 c3 a1	s:.Estas.reglas.permiten.el.tr..
4ca0	66 69 63 6f 20 53 53 48 20 79 20 6c 6f 20 6c 69 6d 69 74 61 6e 20 61 20 34 20 73 6f 6c 69 63 69	fico.SSH.y.lo.limitan.a.4.solici
4cc0	74 75 64 65 73 20 70 6f 72 20 6d 69 6e 75 74 6f 2e 20 45 73 74 6f 20 62 6c 6f 71 75 65 61 20 6c	tudes.por.minuto..Esto.bloquea.l
4ce0	6f 73 20 69 6e 74 65 6e 74 6f 73 20 64 65 20 66 75 65 72 7a 61 20 62 72 75 74 61 3a 00 54 68 69	os.intentos.de.fuerza.bruta:.Thi
4d00	73 20 63 68 61 70 74 65 72 20 77 69 6c 6c 20 67 75 69 64 65 20 79 6f 75 20 6f 6e 20 68 6f 77 20	s.chapter.will.guide.you.on.how.
4d20	74 6f 20 67 65 74 20 75 70 20 74 6f 20 73 70 65 65 64 20 71 75 69 63 6b 6c 79 20 75 73 69 6e 67	to.get.up.to.speed.quickly.using
4d40	20 79 6f 75 72 20 6e 65 77 20 56 79 4f 53 20 73 79 73 74 65 6d 2e 20 49 74 20 77 69 6c 6c 20 73	.your.new.VyOS.system..It.will.s
4d60	68 6f 77 20 79 6f 75 20 61 20 76 65 72 79 20 62 61 73 69 63 20 63 6f 6e 66 69 67 75 72 61 74 69	how.you.a.very.basic.configurati
4d80	6f 6e 20 65 78 61 6d 70 6c 65 20 74 68 61 74 20 77 69 6c 6c 20 70 72 6f 76 69 64 65 20 61 20 3a	on.example.that.will.provide.a.:
4da0	72 65 66 3a 60 6e 61 74 60 20 67 61 74 65 77 61 79 20 66 6f 72 20 61 20 64 65 76 69 63 65 20 77	ref:`nat`.gateway.for.a.device.w
4dc0	69 74 68 20 74 77 6f 20 6e 65 74 77 6f 72 6b 20 69 6e 74 65 72 66 61 63 65 73 20 28 60 60 65 74	ith.two.network.interfaces.(``et
4de0	68 30 60 60 20 61 6e 64 20 60 60 65 74 68 31 60 60 29 2e 00 45 73 74 65 20 63 61 70 c3 ad 74 75	h0``.and.``eth1``)..Este.cap..tu
4e00	6c 6f 20 6c 6f 20 67 75 69 61 72 c3 a1 20 73 6f 62 72 65 20 63 c3 b3 6d 6f 20 70 6f 6e 65 72 73	lo.lo.guiar...sobre.c..mo.poners
4e20	65 20 61 6c 20 64 c3 ad 61 20 72 c3 a1 70 69 64 61 6d 65 6e 74 65 20 63 6f 6e 20 73 75 20 6e 75	e.al.d..a.r..pidamente.con.su.nu
4e40	65 76 6f 20 73 69 73 74 65 6d 61 20 56 79 4f 53 2e 20 4c 65 20 6d 6f 73 74 72 61 72 c3 a1 20 75	evo.sistema.VyOS..Le.mostrar...u
4e60	6e 20 65 6a 65 6d 70 6c 6f 20 64 65 20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 6d 75 79 20	n.ejemplo.de.configuraci..n.muy.
4e80	62 c3 a1 73 69 63 6f 20 71 75 65 20 70 72 6f 70 6f 72 63 69 6f 6e 61 72 c3 a1 20 75 6e 61 20 70	b..sico.que.proporcionar...una.p
4ea0	75 65 72 74 61 20 64 65 20 65 6e 6c 61 63 65 20 3a 72 65 66 3a 60 6e 61 74 60 20 70 61 72 61 20	uerta.de.enlace.:ref:`nat`.para.
4ec0	75 6e 20 64 69 73 70 6f 73 69 74 69 76 6f 20 63 6f 6e 20 64 6f 73 20 69 6e 74 65 72 66 61 63 65	un.dispositivo.con.dos.interface
4ee0	73 20 64 65 20 72 65 64 20 28 60 65 74 68 30 60 20 79 20 60 65 74 68 31 60 29 2e 00 45 73 74 61	s.de.red.(`eth0`.y.`eth1`)..Esta
4f00	20 63 6f 6e 66 69 67 75 72 61 63 69 c3 b3 6e 20 63 72 65 61 20 75 6e 20 66 69 72 65 77 61 6c 6c	.configuraci..n.crea.un.firewall
4f20	20 63 6f 6e 20 65 73 74 61 64 6f 20 61 64 65 63 75 61 64 6f 20 71 75 65 20 62 6c 6f 71 75 65 61	.con.estado.adecuado.que.bloquea
4f40	20 74 6f 64 6f 20 65 6c 20 74 72 c3 a1 66 69 63 6f 20 71 75 65 20 6e 6f 20 73 65 20 69 6e 69 63	.todo.el.tr..fico.que.no.se.inic
4f60	69 c3 b3 20 70 72 69 6d 65 72 6f 20 64 65 73 64 65 20 65 6c 20 6c 61 64 6f 20 69 6e 74 65 72 6e	i...primero.desde.el.lado.intern
4f80	6f 2f 4c 41 4e 2e 00 54 6f 20 6d 61 6b 65 20 66 69 72 65 77 61 6c 6c 20 63 6f 6e 66 69 67 75 72	o/LAN..To.make.firewall.configur
4fa0	61 74 69 6f 6e 20 65 61 73 69 65 72 2c 20 77 65 20 63 61 6e 20 63 72 65 61 74 65 20 67 72 6f 75	ation.easier,.we.can.create.grou
4fc0	70 73 20 6f 66 20 69 6e 74 65 72 66 61 63 65 73 2c 20 6e 65 74 77 6f 72 6b 73 2c 20 61 64 64 72	ps.of.interfaces,.networks,.addr
4fe0	65 73 73 65 73 2c 20 70 6f 72 74 73 2c 20 61 6e 64 20 64 6f 6d 61 69 6e 73 20 74 68 61 74 20 64	esses,.ports,.and.domains.that.d
5000	65 73 63 72 69 62 65 20 64 69 66 66 65 72 65 6e 74 20 70 61 72 74 73 20 6f 66 20 6f 75 72 20 6e	escribe.different.parts.of.our.n
5020	65 74 77 6f 72 6b 2e 20 57 65 20 63 61 6e 20 74 68 65 6e 20 75 73 65 20 74 68 65 6d 20 66 6f 72	etwork..We.can.then.use.them.for
5040	20 66 69 6c 74 65 72 69 6e 67 20 77 69 74 68 69 6e 20 6f 75 72 20 66 69 72 65 77 61 6c 6c 20 72	.filtering.within.our.firewall.r
5060	75 6c 65 73 65 74 73 2c 20 61 6c 6c 6f 77 69 6e 67 20 66 6f 72 20 6d 6f 72 65 20 63 6f 6e 63 69	ulesets,.allowing.for.more.conci
5080	73 65 20 61 6e 64 20 72 65 61 64 61 62 6c 65 20 63 6f 6e 66 69 67 75 72 61 74 69 6f 6e 2e 00 55	se.and.readable.configuration..U
50a0	73 69 6e 67 20 6f 70 74 69 6f 6e 73 20 64 65 66 69 6e 65 64 20 69 6e 20 60 60 73 65 74 20 66 69	sing.options.defined.in.``set.fi
50c0	72 65 77 61 6c 6c 20 67 6c 6f 62 61 6c 2d 6f 70 74 69 6f 6e 73 20 73 74 61 74 65 2d 70 6f 6c 69	rewall.global-options.state-poli
50e0	63 79 60 60 2c 20 73 74 61 74 65 20 70 6f 6c 69 63 79 20 72 75 6c 65 73 20 74 68 61 74 20 61 70	cy``,.state.policy.rules.that.ap
5100	70 6c 69 65 73 20 66 6f 72 20 62 6f 74 68 20 49 50 76 34 20 61 6e 64 20 49 50 76 36 20 61 72 65	plies.for.both.IPv4.and.IPv6.are
5120	20 63 72 65 61 74 65 64 2e 20 54 68 65 73 65 20 67 6c 6f 62 61 6c 20 73 74 61 74 65 20 70 6f 6c	.created..These.global.state.pol
5140	69 63 69 65 73 20 61 6c 73 6f 20 61 70 70 6c 69 65 73 20 66 6f 72 20 61 6c 6c 20 74 72 61 66 66	icies.also.applies.for.all.traff
5160	69 63 20 74 68 61 74 20 70 61 73 73 65 73 20 74 68 72 6f 75 67 68 20 74 68 65 20 72 6f 75 74 65	ic.that.passes.through.the.route
5180	72 20 28 74 72 61 6e 73 69 74 29 20 61 6e 64 20 66 6f 72 20 74 72 61 66 66 69 63 20 6f 72 69 67	r.(transit).and.for.traffic.orig
51a0	69 6e 61 74 65 64 2f 64 65 73 74 69 6e 61 74 65 64 20 74 6f 2f 66 72 6f 6d 20 74 68 65 20 72 6f	inated/destinated.to/from.the.ro
51c0	75 74 65 72 20 69 74 73 65 6c 66 2c 20 61 6e 64 20 77 69 6c 6c 20 62 65 20 61 76 61 6c 75 61 74	uter.itself,.and.will.be.avaluat
51e0	65 64 20 62 65 66 6f 72 65 20 61 6e 79 20 6f 74 68 65 72 20 72 75 6c 65 20 64 65 66 69 6e 65 64	ed.before.any.other.rule.defined
5200	20 69 6e 20 74 68 65 20 66 69 72 65 77 61 6c 6c 2e 00 56 79 4f 53 20 73 65 72 76 69 72 c3 a1 20	.in.the.firewall..VyOS.servir...
5220	63 6f 6d 6f 20 75 6e 20 72 65 63 75 72 73 6f 20 64 65 20 44 4e 53 20 63 6f 6d 70 6c 65 74 6f 2c	como.un.recurso.de.DNS.completo,
5240	20 72 65 65 6d 70 6c 61 7a 61 6e 64 6f 20 6c 61 20 6e 65 63 65 73 69 64 61 64 20 64 65 20 75 74	.reemplazando.la.necesidad.de.ut
5260	69 6c 69 7a 61 72 20 47 6f 6f 67 6c 65 2c 20 43 6c 6f 75 64 66 6c 61 72 65 20 75 20 6f 74 72 6f	ilizar.Google,.Cloudflare.u.otro
5280	73 20 73 65 72 76 69 64 6f 72 65 73 20 44 4e 53 20 70 c3 ba 62 6c 69 63 6f 73 20 28 6c 6f 20 63	s.servidores.DNS.p..blicos.(lo.c
52a0	75 61 6c 20 65 73 20 62 75 65 6e 6f 20 70 61 72 61 20 6c 61 20 70 72 69 76 61 63 69 64 61 64 29	ual.es.bueno.para.la.privacidad)
52c0	00 57 65 20 63 61 6e 20 63 72 65 61 74 65 20 61 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e 20 66 6f	.We.can.create.a.common.chain.fo
52e0	72 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69 6e 67 20	r.stateful.connection.filtering.
5300	6f 66 20 6d 75 6c 74 69 70 6c 65 20 69 6e 74 65 72 66 61 63 65 73 20 28 6f 72 20 6d 75 6c 74 69	of.multiple.interfaces.(or.multi
5320	70 6c 65 20 6e 65 74 66 69 6c 74 65 72 20 68 6f 6f 6b 73 20 6f 6e 20 6f 6e 65 20 69 6e 74 65 72	ple.netfilter.hooks.on.one.inter
5340	66 61 63 65 29 2e 20 54 68 6f 73 65 20 69 6e 64 69 76 69 64 75 61 6c 20 63 68 61 69 6e 73 20 63	face)..Those.individual.chains.c
5360	61 6e 20 74 68 65 6e 20 6a 75 6d 70 20 74 6f 20 74 68 65 20 63 6f 6d 6d 6f 6e 20 63 68 61 69 6e	an.then.jump.to.the.common.chain
5380	20 66 6f 72 20 73 74 61 74 65 66 75 6c 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 69 6c 74 65 72 69	.for.stateful.connection.filteri
53a0	6e 67 2c 20 72 65 74 75 72 6e 69 6e 67 20 74 6f 20 74 68 65 20 6f 72 69 67 69 6e 61 6c 20 63 68	ng,.returning.to.the.original.ch
53c0	61 69 6e 20 66 6f 72 20 66 75 72 74 68 65 72 20 72 75 6c 65 20 70 72 6f 63 65 73 73 69 6e 67 20	ain.for.further.rule.processing.
53e0	69 66 20 6e 6f 20 61 63 74 69 6f 6e 20 69 73 20 74 61 6b 65 6e 20 6f 6e 20 74 68 65 20 70 61 63	if.no.action.is.taken.on.the.pac
5400	6b 65 74 2e 00 57 65 20 63 61 6e 20 6e 6f 77 20 63 6f 6e 66 69 67 75 72 65 20 61 63 63 65 73 73	ket..We.can.now.configure.access
5420	20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65 6c 66 2c 20 61 6c 6c 6f 77 69 6e 67 20	.to.the.router.itself,.allowing.
5440	53 53 48 20 61 63 63 65 73 73 20 66 72 6f 6d 20 74 68 65 20 69 6e 73 69 64 65 2f 4c 41 4e 20 6e	SSH.access.from.the.inside/LAN.n
5460	65 74 77 6f 72 6b 20 61 6e 64 20 72 61 74 65 20 6c 69 6d 69 74 69 6e 67 20 53 53 48 20 61 63 63	etwork.and.rate.limiting.SSH.acc
5480	65 73 73 20 66 72 6f 6d 20 74 68 65 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 6e 65 74 77 6f 72 6b	ess.from.the.outside/WAN.network
54a0	2e 00 57 65 20 73 68 6f 75 6c 64 20 61 6c 73 6f 20 62 6c 6f 63 6b 20 61 6c 6c 20 74 72 61 66 66	..We.should.also.block.all.traff
54c0	69 63 20 64 65 73 74 69 6e 61 74 65 64 20 74 6f 20 74 68 65 20 72 6f 75 74 65 72 20 69 74 73 65	ic.destinated.to.the.router.itse
54e0	6c 66 20 74 68 61 74 20 69 73 6e 27 74 20 65 78 70 6c 69 63 69 74 6c 79 20 61 6c 6c 6f 77 65 64	lf.that.isn't.explicitly.allowed
5500	20 61 74 20 73 6f 6d 65 20 70 6f 69 6e 74 20 69 6e 20 74 68 65 20 63 68 61 69 6e 20 66 6f 72 20	.at.some.point.in.the.chain.for.
5520	74 68 65 20 60 60 69 6e 70 75 74 60 60 20 68 6f 6f 6b 2e 20 41 73 20 77 65 27 76 65 20 61 6c 72	the.``input``.hook..As.we've.alr
5540	65 61 64 79 20 63 6f 6e 66 69 67 75 72 65 64 20 73 74 61 74 65 66 75 6c 20 70 61 63 6b 65 74 20	eady.configured.stateful.packet.
5560	66 69 6c 74 65 72 69 6e 67 20 61 62 6f 76 65 2c 20 77 65 20 6f 6e 6c 79 20 6e 65 65 64 20 74 6f	filtering.above,.we.only.need.to
5580	20 73 65 74 20 74 68 65 20 64 65 66 61 75 6c 74 20 61 63 74 69 6f 6e 20 74 6f 20 60 60 64 72 6f	.set.the.default.action.to.``dro
55a0	70 60 60 3a 00 57 69 74 68 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63	p``:.With.the.new.firewall.struc
55c0	74 75 72 65 2c 20 77 65 20 68 61 76 65 20 68 61 76 65 20 61 20 6c 6f 74 20 6f 66 20 66 6c 65 78	ture,.we.have.have.a.lot.of.flex
55e0	69 62 69 6c 69 74 79 20 69 6e 20 68 6f 77 20 77 65 20 67 72 6f 75 70 20 61 6e 64 20 6f 72 64 65	ibility.in.how.we.group.and.orde
5600	72 20 6f 75 72 20 72 75 6c 65 73 2c 20 61 73 20 73 68 6f 77 6e 20 62 79 20 74 68 65 20 74 68 72	r.our.rules,.as.shown.by.the.thr
5620	65 65 20 61 6c 74 65 72 6e 61 74 69 76 65 20 61 70 70 72 6f 61 63 68 65 73 20 62 65 6c 6f 77 2e	ee.alternative.approaches.below.
5640	00 57 69 74 68 20 74 68 65 20 6e 65 77 20 66 69 72 65 77 61 6c 6c 20 73 74 72 75 63 74 75 72 65	.With.the.new.firewall.structure
5660	2c 20 77 65 20 68 61 76 65 20 68 61 76 65 20 61 20 6c 6f 74 20 6f 66 20 66 6c 65 78 69 62 69 6c	,.we.have.have.a.lot.of.flexibil
5680	69 74 79 20 69 6e 20 68 6f 77 20 77 65 20 67 72 6f 75 70 20 61 6e 64 20 6f 72 64 65 72 20 6f 75	ity.in.how.we.group.and.order.ou
56a0	72 20 72 75 6c 65 73 2c 20 61 73 20 73 68 6f 77 6e 20 62 79 20 74 68 65 20 74 77 6f 20 61 6c 74	r.rules,.as.shown.by.the.two.alt
56c0	65 72 6e 61 74 69 76 65 20 61 70 70 72 6f 61 63 68 65 73 20 62 65 6c 6f 77 2e 00 41 68 6f 72 61	ernative.approaches.below..Ahora
56e0	20 64 65 62 65 72 c3 ad 61 20 74 65 6e 65 72 20 75 6e 20 65 6e 72 75 74 61 64 6f 72 20 73 69 6d	.deber..a.tener.un.enrutador.sim
5700	70 6c 65 20 70 65 72 6f 20 73 65 67 75 72 6f 20 79 20 66 75 6e 63 69 6f 6e 61 6c 20 70 61 72 61	ple.pero.seguro.y.funcional.para
5720	20 65 78 70 65 72 69 6d 65 6e 74 61 72 20 6d c3 a1 73 2e 20 c2 a1 44 69 73 66 72 75 74 61 72 21	.experimentar.m..s....Disfrutar!
5740	00 59 6f 75 72 20 69 6e 74 65 72 6e 61 6c 2f 4c 41 4e 20 69 6e 74 65 72 66 61 63 65 20 77 69 6c	.Your.internal/LAN.interface.wil
5760	6c 20 62 65 20 60 60 65 74 68 31 60 60 2e 20 49 74 20 77 69 6c 6c 20 75 73 65 20 61 20 73 74 61	l.be.``eth1``..It.will.use.a.sta
5780	74 69 63 20 49 50 20 61 64 64 72 65 73 73 20 6f 66 20 60 60 31 39 32 2e 31 36 38 2e 30 2e 31 2f	tic.IP.address.of.``192.168.0.1/
57a0	32 34 60 60 2e 00 53 75 20 69 6e 74 65 72 66 61 7a 20 69 6e 74 65 72 6e 61 2f 4c 41 4e 20 73 65	24``..Su.interfaz.interna/LAN.se
57c0	72 c3 a1 20 60 65 74 68 31 60 2e 20 55 74 69 6c 69 7a 61 72 c3 a1 20 75 6e 61 20 64 69 72 65 63	r...`eth1`..Utilizar...una.direc
57e0	63 69 c3 b3 6e 20 49 50 20 65 73 74 c3 a1 74 69 63 61 20 64 65 20 60 31 39 32 2e 31 36 38 2e 30	ci..n.IP.est..tica.de.`192.168.0
5800	2e 31 2f 32 34 60 2e 00 59 6f 75 72 20 6f 75 74 73 69 64 65 2f 57 41 4e 20 69 6e 74 65 72 66 61	.1/24`..Your.outside/WAN.interfa
5820	63 65 20 77 69 6c 6c 20 62 65 20 60 60 65 74 68 30 60 60 2e 20 49 74 20 77 69 6c 6c 20 72 65 63	ce.will.be.``eth0``..It.will.rec
5840	65 69 76 65 20 69 74 73 20 69 6e 74 65 72 66 61 63 65 20 61 64 64 72 65 73 73 20 76 69 61 20 44	eive.its.interface.address.via.D
5860	48 43 50 2e 00 53 75 20 69 6e 74 65 72 66 61 7a 20 65 78 74 65 72 69 6f 72 2f 57 41 4e 20 73 65	HCP..Su.interfaz.exterior/WAN.se
5880	72 c3 a1 20 60 65 74 68 30 60 2e 20 52 65 63 69 62 69 72 c3 a1 20 73 75 20 64 69 72 65 63 63 69	r...`eth0`..Recibir...su.direcci
58a0	c3 b3 6e 20 64 65 20 69 6e 74 65 72 66 61 7a 20 61 20 74 72 61 76 c3 a9 73 20 64 65 20 44 48 43	..n.de.interfaz.a.trav..s.de.DHC
58c0	50 2e 00	P..