UNS Training
McAfee Web Gateway
McAfee Email Gateway
McAfee Firewall Enterprise










Blog de McAfee Firewall Enterprise (Sidewinder) en Español


                                

Con D.J. Ashba, guitarista de Guns N' Roses. Los Angeles, California - Feb, 2011.


lista de blogs anteriores

McAfee Firewall Enterprise (Sidewinder) - Alternate Default Gateway


Hola amigos. En este blog vamos a discutir "Alternate Default Gateway" en el McAfee Firewall Enterprise. MFE v.8 tiene la capacidad de tener coneciones a dos diferentes IPS's en modo Activo/Pasivo. Si el ISP primario (Default Gateway), no esta disponible, el MFE, manda todo el trafico a el secundario (Alternate Default Gateway).







ZONAS Y INTERFACES
Primero, tenemos que configurar otro ZONE para ISP#2.







Tambien recomendo configurar un "ZONE GROUP" que incluye los dos ZONEs externos.







Despues, tenemos que configurar el ip de la tarjeta de rede de ISP#2











ROUTING
Routing se configuar en Network/Routing/Static Routing







El "Default Route" de este MFE es, 111.1.1.99. Vamos a cambiar la configuacion y selecionar: "Use alternate default route".

Tambien tenemos que verificar que el IP de el "Primary default route" esta en la ventana de "Ping address:". El interval default es: 30 segundos y 3 fallas. Si el MFE no puede mandar/recibir un "ping" de el ip de el "Primary default route", el MFE empiesa a mandar todo su trafico a el "Alternate default route".







El ip de el "Alternate default route" (ISP #2), es 192.168.1.1.







El tcpdump verifica que el MFE esta mandando un ping a el "Primary default route" cada 30 segundos.











Verificamos el status de nuestro alternate default route table.







El primario esta activo y el alternate esta en standby.











REGLAS
Por default, las reglas de MFE solo tienen zonas, internal y external. Tenemos que modificar todas estas reglas.

Aqui tenemos un screen-shot de la regla, "Internet-Services". La zona destina es "external".







Si no modifcamos esta regla y el MFE se cambia a el "Alternate default route", no hay regla para que el trafico llega a la "zona alternate" y los coneciones de los usarios estan en modo: "Access Denied".







Tenemos que modifcar la regla. Cambiamos el "Destination Zone" a: ISP1-2(Group)











ALTERNATE TAKEOVER
Desenchufe el cable de electricidad de el ISP#1 Router.







Tenia un ping corriendo desde un notebook en la rede "internal" a un ip en el Internet, 4.2.2.1.

Vemos que se fallio durante la prueba de: "Ping address": Cuando el MFE empeso a mandar el trafico por el "Alternate default route", el ping desde el notebook a el ip 4.2.2.1 funcióno de nuevo.







Imidiatamente, el MFE genera un alama.







En la ventana de "Status", vemos que ISP #1 no esta disponible, y el "Alternate default route" esta activo.







Trafico HTTP en el tcpdump de la interface de "Alternate default route"











DEFAULT TAKEBACK
Cuando el ISP #1 esta disponivle otra vez, el "Status se cambia.







Si deseas regresar a ISP #1, el cambio no es automatico. Se hace por linia de comando:



     cf static reset_default



El MFE se regrea a el "Primary default route"







La vercion de este MFE es 8.1.1.p01


Muchas gracias,

- Frank Osgood.

Lista de blogs anteriores

Cursos de McAfee Web Gateway / Enterprise Firewall en Español


Si tienes preguntas o recomendaciones para el blog, o para suscribir a ediciones nuevas, por favor manda un correo a fosgood@unsinc.com.

Gracias.


El Blog-ero: Hola. Soy Frank Osgood de Universal Network Solucions (UNS). Yo ha trabajado con el firewall de Sidewinder desde 1999. Este blog pertenesa a observaciones que ha tenido con funciones nuevos y tambien con configuraciones avanzados. Tambien ensenio la clase de certification de Sidewinder 6 y 7. UNS es el ATC de Sidewinder y Webwasher para America Latina(Centro de Entrenamiento Autorizado). La información en este blog no es sancionada por McAfee / Secure Computing.