Pravidla pro filtrování paketů lze nastavit v menu Settings -> Advanced -> Packet Filter.
Samostatná pravidla pro každé rozhraní
Filtrovací pravidla lze nastavit pro každé rozhraní zvlášť. To značně zjednodušuje definici těchto pravidel, zejména v případě, kdy má WinRoute několik rozhraní do lokálních segmentů. Rozhraní, pro které má být nový paketový filtr definován, lze jednoduše označit v okně Paket Filter.
Samostatná pravidla pro příchozí a odchozí pakety
Na každém rozhraní lze odděleně definovat pravidla pro příchozí a odchozí pakety. Pravidla pro příchozí pakety se definují v záložce "Incoming", pro odchozí v záložce "Outgoing". Seznam rozhraní je samozřejmě v obou záložkách stejný. Klasifikace paketů na odchozí a příchozí se provádí z pohledu daného rozhraní - např. pakety jdoucí z lokální sítě do Internetu jsou "Incoming" na vnitřním rozhraní a "Outgoing" na vnějším.
Poznámka: Filtrování paketů se provádí DŘÍVE než NAT. Proto je možno i na vnějším rozhraní filtrovat pakety na základě privátních adres vaší lokální sítě.
Aplikace pravidel: SHORA DOLŮ
Filtrovací pravidla jsou zpracovávána vždy shora dolů. Chcete-li tedy např. zakázat přístup na všechny WWW servery kromě jednoho, je třeba nejprve definovat pravidlo povolující přístup na jeden konkrétní server a teprve pak pravidlo zakazující přístup na všechny servery. Pokud paket vyhoví kritériím určitého pravidla, pravidla pod ním se již nezpracovávají. Pořadí pravidel lze podle potřeby upravit tlačítky se šipkami (na pravém okraji okna Packet Filter).
Definice pravidel pro filtrování paketů
Nejprve je třeba určit, na kterém rozhraní a pro který směr má být pravidlo nastaveno. Podle toho vyberte záložku "Incoming" nebo "Outgoing" a příslušné rozhraní. Tlačítkem "Add" přidejte nové filtrovací pravidlo:
Protocol
Specifikuje protokol, jehož pakety mají být filtrovány. Lze zvolit prakticky libovolný protokol transportní úrovně nesený v IP (předdefinovány jsou IP, TCP, UDP, ICMP, ARP a PPTP, volba "Other" však umožňuje definovat protokol přímo číslem protokolu v IP záhlaví). Ve většině běžných případů však lze vystačit s protokolem TCP, případně UDP.
Source, Destination
Popis paketu, na nějž se má filtrovací pravidlo vztahovat. Paket je specifikován zdrojovou a cílovou IP adresou a v případě protokolů TCP a UDP také zdrojovým a cílovým portem.
V poli "Type" lze vybrat typ zdrojové, resp. cílové adresy: libovolná adresa ("Any Address"), jeden počítač ("Host"), rozsah IP adres ("Network/Range") nebo subsíť definovaná adresou a maskou ("Network/Mask").
Je-li zvolen protokol TCP nebo UDP, je možno specifikovat také zdrojový, resp. cílový port: libovolný port ("Any"), jeden konkrétní port ("Equal to"), větší než ("Greather than"), menší než ("Less than"), neroven ("Not equal to"), v rozsahu ("Between") nebo mimo rozsah ("Not between").
TCP Flags, ICMP Types
Je-li zvolen protokol TCP nebo ICMP, je umožněna další specifikace:
Action
Akce, která se má provést s paketem vyhovujícím výše definovaným kritériím:
Log Packet
Volby "Log into file" a "Log into file" zapínají záznam zachycených paketů do souboru "security.log", resp. do okna Security Log.
Valid at
Tato volba umožňuje omezit platnost definovaného pravidla jen na vybraný časový interval (viz kap. Nástroje / časové intervaly).
Příklad nastavení paketového filtru
Uživatelům v lokální síti chceme povolit pouze přístup na WWW (TCP/80) a na Telnet servery (TCP/23). Kromě toho je třeba povolit DNS dotazy, aby uživatelé mohli zadávat cílové servery jmény.
Požadavky z lokální sítě PŘICHÁZEJÍ na VNITŘNÍ síťovou kartu - zvolíme tedy záložku "Incoming" a vybereme rozhraní vedoucí do lokální sítě.
Přidáme následující pravidla:
Poznámka: Pravidla by bylo rovněž možno definovat na vnějším rozhraní v záložce "Outgoing". Rozdíl je pouze v tom, že na vnitřním rozhraní budou filtrovány i pakety jdoucí přímo na počítač s WinRoute (v tomto případě nevadí).