Previous Topic

Next Topic

Book Contents

Book Index

Paketový filtr

Pravidla pro filtrování paketů lze nastavit v menu Settings -> Advanced -> Packet Filter.

Paketový filtr

Samostatná pravidla pro každé rozhraní

Filtrovací pravidla lze nastavit pro každé rozhraní zvlášť. To značně zjednodušuje definici těchto pravidel, zejména v případě, kdy má WinRoute několik rozhraní do lokálních segmentů. Rozhraní, pro které má být nový paketový filtr definován, lze jednoduše označit v okně Paket Filter.

Samostatná pravidla pro příchozí a odchozí pakety

Na každém rozhraní lze odděleně definovat pravidla pro příchozí a odchozí pakety. Pravidla pro příchozí pakety se definují v záložce "Incoming", pro odchozí v záložce "Outgoing". Seznam rozhraní je samozřejmě v obou záložkách stejný. Klasifikace paketů na odchozí a příchozí se provádí z pohledu daného rozhraní - např. pakety jdoucí z lokální sítě do Internetu jsou "Incoming" na vnitřním rozhraní a "Outgoing" na vnějším.

Poznámka: Filtrování paketů se provádí DŘÍVE než NAT. Proto je možno i na vnějším rozhraní filtrovat pakety na základě privátních adres vaší lokální sítě.

Aplikace pravidel: SHORA DOLŮ

Filtrovací pravidla jsou zpracovávána vždy shora dolů. Chcete-li tedy např. zakázat přístup na všechny WWW servery kromě jednoho, je třeba nejprve definovat pravidlo povolující přístup na jeden konkrétní server a teprve pak pravidlo zakazující přístup na všechny servery. Pokud paket vyhoví kritériím určitého pravidla, pravidla pod ním se již nezpracovávají. Pořadí pravidel lze podle potřeby upravit tlačítky se šipkami (na pravém okraji okna Packet Filter).

Definice pravidel pro filtrování paketů

Nejprve je třeba určit, na kterém rozhraní a pro který směr má být pravidlo nastaveno. Podle toho vyberte záložku "Incoming" nebo "Outgoing" a příslušné rozhraní. Tlačítkem "Add" přidejte nové filtrovací pravidlo:

Protocol

Specifikuje protokol, jehož pakety mají být filtrovány. Lze zvolit prakticky libovolný protokol transportní úrovně nesený v IP (předdefinovány jsou IP, TCP, UDP, ICMP, ARP a PPTP, volba "Other" však umožňuje definovat protokol přímo číslem protokolu v IP záhlaví). Ve většině běžných případů však lze vystačit s protokolem TCP, případně UDP.

Source, Destination

Popis paketu, na nějž se má filtrovací pravidlo vztahovat. Paket je specifikován zdrojovou a cílovou IP adresou a v případě protokolů TCP a UDP také zdrojovým a cílovým portem.

V poli "Type" lze vybrat typ zdrojové, resp. cílové adresy: libovolná adresa ("Any Address"), jeden počítač ("Host"), rozsah IP adres ("Network/Range") nebo subsíť definovaná adresou a maskou ("Network/Mask").

Je-li zvolen protokol TCP nebo UDP, je možno specifikovat také zdrojový, resp. cílový port: libovolný port ("Any"), jeden konkrétní port ("Equal to"), větší než ("Greather than"), menší než ("Less than"), neroven ("Not equal to"), v rozsahu ("Between") nebo mimo rozsah ("Not between").

TCP Flags, ICMP Types

Je-li zvolen protokol TCP nebo ICMP, je umožněna další specifikace:

Action

Akce, která se má provést s paketem vyhovujícím výše definovaným kritériím:

Log Packet

Volby "Log into file" a "Log into file" zapínají záznam zachycených paketů do souboru "security.log", resp. do okna Security Log.

Valid at

Tato volba umožňuje omezit platnost definovaného pravidla jen na vybraný časový interval (viz kap. Nástroje / časové intervaly).

Příklad nastavení paketového filtru

Uživatelům v lokální síti chceme povolit pouze přístup na WWW (TCP/80) a na Telnet servery (TCP/23). Kromě toho je třeba povolit DNS dotazy, aby uživatelé mohli zadávat cílové servery jmény.

Požadavky z lokální sítě PŘICHÁZEJÍ na VNITŘNÍ síťovou kartu - zvolíme tedy záložku "Incoming" a vybereme rozhraní vedoucí do lokální sítě.

Přidáme následující pravidla:

  1. Povol všechny TCP pakety s cílovým portem 23 (pro Telnet)
  2. Povol všechny TCP pakety s cílovým portem 80 (pro WWW)
  3. Povol všechny UDP pakety s cílovým portem 53 (pro DNS dotazy)
  4. Zakaž veškerou ostatní IP komunikaci.

Poznámka: Pravidla by bylo rovněž možno definovat na vnějším rozhraní v záložce "Outgoing". Rozdíl je pouze v tom, že na vnitřním rozhraní budou filtrovány i pakety jdoucí přímo na počítač s WinRoute (v tomto případě nevadí).

Viz též...

Firewall

Základní informace

Kontrola zdrojových IP adres (Anti-spoofing)