|
Правила сетевого экрана |
  
|
|
Правила сетевого экрана |
|
Имя: отображаемое уникальное имя правила. Обязательный параметр.
Отключить правило: можно временно отключить правило, не удаляя его из списка.
На разрешение: правило является разрешающим.
На запрет: правило является запрещающим. Условия правил этого списка проверяются до правил общих настроек, поэтому такое запрещающие правило будет иметь приоритет над правилами общих настроек.
Направление: определяет направление движения пакетов, которое попадет под действие правила. Речь идет именно об одиночных пакетах, поэтому не следует путать с направлениями TCP-соединений и UDP-запросов.
Тип трафика: задает условие типа трафика - любой, контролируемый или неконтролируемый. Типы трафика подробно описаны в разделе "Сетевой экран". По причине того что контролируемый трафик может быть выделен только для TCP и UDP, данное условие доступно только для этого трафика. Определение, что трафик контролируемый, возможно только для исходящих пакетов, поэтому, если в настройке "Направление" заданы только входящие пакеты, это условие работать не будет.
IP-протокол: эта группа настроек задает типы IP-протоколов. Здесь можно выбрать тип протокола из списка или, выбрав другой, ввести номер IP-протокола. Для задания в этом списке также доступны следующие типы протоколов:
| • | ICMP: служебный IP-протокол, в частности, обеспечивающий работу системных утилит ping и tracert. Для этого типа протокола можно в качестве дополнительного условия выбрать тип запроса в отдельном списке. |
| • | UDP и TCP: основные протоколы Internet. Для них дополнительно в качестве условия можно задавать номера портов - смотрите далее. |
Следующие протоколы из списка описывают более сложные правила. Одно такое правило заменяет сразу несколько простых правил.
| • | IPSec: защищенный IP-протокол, применяется, в частности, для VPN-/L2TP-соединений. Включает UDP/500 и IP-протоколы 50/51. |
| • | PPTP client: клиентское VPN-/PPTP-/L2TP-соединение. Включает исходящее TCP/1723 и GRE (IP-протокол 47). |
| • | PPTP server: серверное VPN-/PPTP-/L2TP-соединение. Включает входящее TCP/1723 и GRE (IP-протокол 47). |
НЕ: флаг исключения. Можно задать правило, который будет срабатывать на любой протокол, кроме выбранного.
Внешняя сторона: в данной группе настроек задаются IP-адреса и порты, соответствующие удаленной стороне относительно сервера. Для исходящих пакетов это соответствует адресу назначения, для входящих - адресу источника.
Список: можно выбрать описание IP-сетей.
Или для IP-адреса здесь можно задать как одиночный адрес, так и IP-сеть. Для IP-адреса доступно условие "наоборот" - галка "НЕ".
Для TCP и UDP можно задать порт, как одиночный, так и диапазон. Для удобного ввода динамического диапазона предусмотрена соответствующая кнопка. Для порта также доступно условие "наоборот" - галка "НЕ".
Если требуется задать условие для клиентского TCP- или UDP-соединения (т.е. сервер во внешней сети), номер порта сервера необходимо задавать именно в этой группе настроек.
Сторона сервера: в этой группе настроек задаются IP-адреса и порты, соответствующие местной стороне - самому серверу или внутренней сети. Для исходящих пакетов это соответствует адресу источника, для входящих - адресу назначения.
Для IP-адреса здесь можно задать как одиночный адрес, так и сеть.
Внимание! Следует иметь в виду, что при использовании NAT здесь задавать IP-адреса внутренних сетей нельзя - трафик на внешних счетчиках снимается с внешних интерфейсов, где внутренние IP-адреса подменены IP-адресами внешних интерфейсов.
Для TCP и UDP можно задать порт, как одиночный, так и диапазон. Для удобного ввода динамического диапазона предусмотрена соответствующая кнопка. Для порта также доступно условие "наоборот" - галка "НЕ".
Если требуется задать условие для серверного TCP- или UDP-соединения (т.е. сервер здесь или он внутри своей сети), номер порта сервера следует задавать именно в этой группе настроек.
Интерфейс: привязывает правило к конкретному внешнему интерфейсу. Следует отметить, что ввод этой настройки возможен только для активного в данный момент интерфейса. Если вызывается окно редактирования правила, где задан интерфейс, который в настоящее время не активен, то выводится предупреждение. И здесь возможны два варианта - не использовать эту настройку или очистить ее. В первом случае изменение этой настройки будет запрещено.
На закладке "Дополнительно" доступны настройки:
Автоудаление: настройки для временного правила. Задается время, по истечении которого правило будет удален или отключен.
Примечание: любой комментарий произвольной длины.
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?extfwfilter.htm