Mascara de Red

La máscara de red permite distinguir dentro de la dirección IP, los bits que identifican a la red y los bits que identifican al host. En una dirección IP versión 4, de los 32 bits que se tienen en total, se definen por defecto para una dirección clase A, que los primeros ocho (8) bits son para la red y los restantes 24 para host, en una dirección de clase B, los primeros 16 bits son la parte de red y la de host son los siguientes 16, y para una dirección de clase C, los primeros 24 bits son la parte de red y los ocho (8) restantes son la parte de host. 

Por ejemplo, de la dirección de clase A 10.2.1.2 sabemos que pertenece a la red 10.0.0.0 y el anfitrión o host al que se refiere es el 2.1.2 dentro de la misma.La máscara se forma poniendo en 1 los bits que identifican la red y en 0 los bits que identifican al host. De esta forma una dirección de clase A tendrá una máscara por defecto de 255.0.0.0, una de clase B 255.255.0.0 y una de clase C 255.255.255.0. Los dispositivos de red realizan un AND entre la dirección IP y la máscara de red para obtener la dirección de red a la que pertenece el host identificado por la dirección IP dada.

Por ejemplo:Dirección IP: 196.5.4.44Máscara de red (por defecto): 255.255.255.0AND (en binario):11000100.00000101.00000100.00101100 (196.5.4.44) Dirección IP 

11111111.11111111.11111111.00000000 (255.255.255.0) Máscara de red 

11000100.00000101.00000100.00000000 (196.5.4.0) Resultado del AND 

Esta información la requiere conocer un router ya que necesita saber cuál es la red a la que pertenece la dirección IP del data-grama destino para poder consultar la tabla de encaminamiento y poder enviar el data-grama por la interfaz de salida.

La máscara también puede ser representada de la siguiente forma 10.2.1.2/8 donde el /8 indica que los 8 bits más significativos de máscara que están destinados a redes o número de bits en 1, es decir /8 = 255.0.0.0. Análogamente (/16 = 255.255.0.0) y (/24 = 255.255.255.0).Las máscaras de red por defecto se refieren a las que no contienen sub-redes, pero cuando estas se crean, las máscaras por defecto cambian, dependiendo de cuántos bits se tomen para crear las sub-redes.

Reglas del IP

Para administrar el cortafuegos, utilice el filtro IP para especificar los conjuntos de reglas que se utilizarán para filtrar el tráfico de red. Puede crear los siguientes tipos de conjuntos de reglas:

*Conjuntos de reglas de filtros de paquetes*Conjuntos de reglas de traducción de direcciones de red (NAT)  

Asimismo, puede crear agrupaciones de direcciones para hacer referencia a grupos de direcciones IP. Estas agrupaciones podrán utilizarse más adelante en un conjunto de reglas. Las agrupaciones de direcciones aceleran el procesamiento de reglas. Asimismo, facilitan la administración de grupos de direcciones de gran tamaño.

Cuando se crea un filtro, se especifica una regla que rige el tráfico IP que circula hacia dentro y hacia afuera del sistema.Las reglas que se definen especifican si el sistema debe permitir o denegar el acceso a los paquetes que intentan acceder al sistema. El sistema dirige los paquetes IP tomando como base el tipo de información que figura en las cabeceras de los mismos. También los dirige a la acción que tenga especificado que se debe aplicar. 

Asimismo, descarta cualquier paquete que no coincida con una regla concreta. Esta regla de descartar automáticamente se denomina regla de denegación por omisión. La regla de denegación por omisión, que se encuentra al final del archivo, se activa automáticamente cada vez que un paquete no coincide con el criterio de las reglas anteriores. Para que la regla de denegación por omisión esté activa, debe haber como mínimo una regla de filtro activada.