Paketov² filtr

Pravidla pro filtrovßnφ paket∙ lze nastavit v menu Settings -> Advanced -> Packet Filter.

Samostatnß pravidla pro ka₧dΘ rozhranφ

Filtrovacφ pravidla lze nastavit pro ka₧dΘ rozhranφ zvlßÜ¥. To znaΦn∞ zjednoduÜuje definici t∞chto pravidel, zejmΘna v p°φpad∞, kdy mß WinRoute n∞kolik rozhranφ do lokßlnφch segment∙. Rozhranφ, pro kterΘ mß b²t nov² paketov² filtr definovßn, lze jednoduÜe oznaΦit v okn∞ Paket Filter.

Samostatnß pravidla pro p°φchozφ a odchozφ pakety

Na ka₧dΘm rozhranφ lze odd∞len∞ definovat pravidla pro p°φchozφ a odchozφ pakety. Pravidla pro p°φchozφ pakety se definujφ v zßlo₧ce "Incoming", pro odchozφ v zßlo₧ce "Outgoing". Seznam rozhranφ je samoz°ejm∞ v obou zßlo₧kßch stejn². Klasifikace paket∙ na odchozφ a p°φchozφ se provßdφ z pohledu danΘho rozhranφ - nap°. pakety jdoucφ z lokßlnφ sφt∞ do Internetu jsou "Incoming" na vnit°nφm rozhranφ a "Outgoing" na vn∞jÜφm.

Poznßmka: Filtrovßnφ paket∙ se provßdφ D╪═VE ne₧ NAT. Proto je mo₧no i na vn∞jÜφm rozhranφ filtrovat pakety na zßklad∞ privßtnφch adres vaÜφ lokßlnφ sφt∞.

Aplikace pravidel: SHORA DOL┘

Filtrovacφ pravidla jsou zpracovßvßna v₧dy shora dol∙. Chcete-li tedy nap°. zakßzat p°φstup na vÜechny WWW servery krom∞ jednoho, je t°eba nejprve definovat pravidlo povolujφcφ p°φstup na jeden konkrΘtnφ server a teprve pak pravidlo zakazujφcφ p°φstup na vÜechny servery. Pokud paket vyhovφ kritΘriφm urΦitΘho pravidla, pravidla pod nφm se ji₧ nezpracovßvajφ. Po°adφ pravidel lze podle pot°eby upravit tlaΦφtky se Üipkami (na pravΘm okraji okna Packet Filter).

Definice pravidel pro filtrovßnφ paket∙

Nejprve je t°eba urΦit, na kterΘm rozhranφ a pro kter² sm∞r mß b²t pravidlo nastaveno. Podle toho vyberte zßlo₧ku "Incoming" nebo "Outgoing" a p°φsluÜnΘ rozhranφ. TlaΦφtkem "Add" p°idejte novΘ filtrovacφ pravidlo:

Protocol

Specifikuje protokol, jeho₧ pakety majφ b²t filtrovßny. Lze zvolit prakticky libovoln² protokol transportnφ ·rovn∞ nesen² v IP (p°eddefinovßny jsou IP, TCP, UDP, ICMP, ARP a PPTP, volba "Other" vÜak umo₧≥uje definovat protokol p°φmo Φφslem protokolu v IP zßhlavφ). Ve v∞tÜin∞ b∞₧n²ch p°φpad∙ vÜak lze vystaΦit s protokolem TCP, p°φpadn∞ UDP.

Source, Destination

Popis paketu, na n∞j₧ se mß filtrovacφ pravidlo vztahovat. Paket je specifikovßn zdrojovou a cφlovou IP adresou a v p°φpad∞ protokol∙ TCP a UDP takΘ zdrojov²m a cφlov²m portem.

V poli "Type" lze vybrat typ zdrojovΘ, resp. cφlovΘ adresy: libovolnß adresa ("Any Address"), jeden poΦφtaΦ ("Host"), rozsah IP adres ("Network/Range") nebo subsφ¥ definovanß adresou a maskou ("Network/Mask").

Je-li zvolen protokol TCP nebo UDP, je mo₧no specifikovat takΘ zdrojov², resp. cφlov² port: libovoln² port ("Any"), jeden konkrΘtnφ port ("Equal to"), v∞tÜφ ne₧ ("Greather than"), menÜφ ne₧ ("Less than"), neroven ("Not equal to"), v rozsahu ("Between") nebo mimo rozsah ("Not between").

TCP Flags, ICMP Types

Je-li zvolen protokol TCP nebo ICMP, je umo₧n∞na dalÜφ specifikace:

• TCP Flags - filter se bude vztahovat jen na pakety navazujφcφ spojenφ ("Only establishing TCP connections"), nebo pouze na pakety v rßmci ji₧ vytvo°enΘho spojenφ ("Only established TCP connections"). Jsou-li ob∞ volby vypnuty nebo naopak ob∞ zapnuty, znamenß to vÜechny TCP pakety.
• ICMP Types - filtrovßnφ jen vybran²ch typ∙ ICMP zprßv ("All" = vÜechny).

Action

Akce, kterß se mß provΘst s paketem vyhovujφcφm v²Üe definovan²m kritΘriφm:

• "Permit" - povolit. Tato volba se vyu₧ije, mß-li b²t definovßna v²jimka z pravidla (nap°. zßkaz p°φstupu na vÜechny WWW servery krom∞ jednoho) nebo pokud mß b²t paket pouze zaznamenßvßn (viz volba "Log Packet").
• "Drop" - zahodit. Paket je "tiÜe zlikvidovßn".
• "Deny" - zakßzat. Paket je rovn∞₧ zahozen, ale navφc se k jeho zdroji vyÜle °φdicφ zprßva, ₧e cφl je nedostupn². Tato volba je ·Φinn∞jÜφ ne₧ "Drop", proto₧e klient (zdroj) se o nedostupnosti cφle okam₧it∞ dozvφ, zatφmco v p°φpad∞ "Drop" se m∙₧e domnφvat, ₧e se jednß o sφ¥ovou chybu, a pokusφ se vysφlßnφ zopakovat. Volbu "Deny" lze vÜak pou₧φt pouze u protokol∙ IP, TCP a UDP.

Log Packet

Volby "Log into file" a "Log into file" zapφnajφ zßznam zachycen²ch paket∙ do souboru "security.log", resp. do okna Security Log.

Valid at

Tato volba umo₧≥uje omezit platnost definovanΘho pravidla jen na vybran² Φasov² interval (viz kap. Nßstroje / ΦasovΘ intervaly).

P°φklad nastavenφ paketovΘho filtru

U₧ivatel∙m v lokßlnφ sφti chceme povolit pouze p°φstup na WWW (TCP/80) a na Telnet servery (TCP/23). Krom∞ toho je t°eba povolit DNS dotazy, aby u₧ivatelΘ mohli zadßvat cφlovΘ servery jmΘny.

Po₧adavky z lokßlnφ sφt∞ P╪ICH┴ZEJ═ na VNIT╪N═ sφ¥ovou kartu - zvolφme tedy zßlo₧ku "Incoming" a vybereme rozhranφ vedoucφ do lokßlnφ sφt∞.

P°idßme nßsledujφcφ pravidla:

1. Povol vÜechny TCP pakety s cφlov²m portem 23 (pro Telnet)
2. Povol vÜechny TCP pakety s cφlov²m portem 80 (pro WWW)
3. Povol vÜechny UDP pakety s cφlov²m portem 53 (pro DNS dotazy)
4. Zaka₧ veÜkerou ostatnφ IP komunikaci.

Poznßmka: Pravidla by bylo rovn∞₧ mo₧no definovat na vn∞jÜφm rozhranφ v zßlo₧ce "Outgoing". Rozdφl je pouze v tom, ₧e na vnit°nφm rozhranφ budou filtrovßny i pakety jdoucφ p°φmo na poΦφtaΦ s WinRoute (v tomto p°φpad∞ nevadφ).