Фильтр сетевого экрана
|
Фильтр сетевого экрана |
|
Правила фильтров в списке обрабатываются по принципу первого совпадения условия фильтра, просмотр правил в списке идет сначала списка (сверху). Если фильтр разрешающий, то данный трафик считается разрешенным и нижестоящие фильтры игнорируются. Если фильтр запрещающий, то трафик запрещается, нижестоящие фильтры также игнорируются. Правила из общих настроек проверяются после правил списка, т.е. они будут применяться, если трафик не попал ни под одно из условий списка. Также смотрите описание работы сетевого экрана.
В связи с этим имеет значение порядок фильтров в списке и в консоли имеются соотв. кнопки, с помощью которых можно перемещать правила по списку.
Для правила доступны следующие настройки -
Имя - отображаемое имя фильтра. Обязательный параметр.
Отключить фильтр - можно временно отключить фильтр, не удаляя его из списка.
На разрешение - фильтр является разрешающим.
На запрет - фильтр является запрещающим. Условия фильтров этого списка проверяются до правил общих настроек, поэтому такой запрещающий фильтр будет иметь приоритет над правилами общих настроек.
Направление - определяет направление движения пакетов, которое попадет под действие фильтра. Тут речь идет именно о одиночных пакетах, не следует это путать с направлениями TCP соединений и UDP запросов, что задается соотв. правилами в общих настройках.
Тип трафика - задает условие типа трафика - любой, контролируемый или неконтролируемый. Про типы трафика подробно написано в разделе "Сетевой экран". Так как контролируемый трафик может быть выделен только для TCP и UDP, то это условие доступно только для этого трафика. Также следует иметь ввиду, что это также доступно только для исходящих пакетов, поэтому если в настройке Направление заданы только входящие пакеты, это условие работать не будет.
IP протокол - эта группа настроек задает типы IP протоколов. Тут можно выбрать тип протокола из списка или, выбрав "другой", ввести номер IP протокола. Для задания в этом списке доступны следующие типы протоколов -
| • | ICMP - Служебный IP протокол, в частности, обеспечивающий работу системных утилит ping и tracert. Для этого типа протокола можно в качестве дополнительного условия выбрать тип запроса в отдельном списке. |
| • | UDP и TCP - основные протоколы Internet. Для них дополнительно в качестве условия можно задавать номера портов, см. ниже. |
Следующие протоколы из списка описывают более сложные правила, одно такое правило заменяет сразу несколько простых.
| • | IPSec - защищенный IP протокол, в частности, применяется для VPN/L2TP соединений. Включает UDP/500 и IP протоколы 50/51. |
| • | PPTP client - клиентское VPN/PPTP/L2TP соединение. Включает исходящее TCP/1723 и GRE (IP протокол 47). |
| • | PPTP server - серверное VPN/PPTP/L2TP соединение. Включает входящее TCP/1723 и GRE (IP протокол 47). |
НЕ - флаг исключения. Можно задать фильтр, который будет срабатывать на любой протокол, кроме выбранного.
Внешний адрес - в этой группе настроек задаются IP адреса и порты, соответствующие удаленной стороне относительно сервера. Для исходящих пакетов это соответствует адресу назначения, для входящих - адресу источника.
Список - можно выбрать описание IP сетей.
Или для IP адреса тут можно задать как одиночный адрес, так и IP сеть. Для IP адреса доступно условие "наоборот" - галка НЕ.
Для TCP и UDP можно задать порт, как одиночный, так и диапазон. Для удобного ввода динамического диапазона предусмотрена соотв. кнопка. Для порта также доступно условие "наоборот" - галка НЕ.
Если требуется задать условие для клиентского TCP или UDP соединения (т.е. сервер во внешней сети), номер порта сервера надо задавать именно в этой группе настроек.
Локальный адрес - в этой группе настроек задаются IP адреса и порты, соответствующие местной стороне - самому серверу или внутренней сети. Для исходящих пакетов это соответствует адресу источника, для входящих - адресу назначения.
Для IP адреса тут можно задать как одиночный адрес, так и сеть.
ВНИМАНИЕ ! Если настроен NAT, то тут не в коем случае нельзя указывать IP адреса внутренней сети, так эти адреса в IP пакетах служба NAT подменяет IP адресом внешнего сетевого интерфейса. Эту настойку можно использовать для задания IP адреса внутренней сети только, если сервер настроен как роутер, или для привязки правила к IP адресу внешнего интерфейса. Но для второго случая более удобным может быть задание интерфейса по имени - см. ниже.
Для TCP и UDP можно задать порт, как одиночный, так и диапазон. Для удобного ввода динамического диапазона предусмотрена соотв. кнопка. Для порта также доступно условие "наоборот" - галка НЕ.
Если требуется задать условие для серверного TCP или UDP соединения (т.е. сервер тут или он внутри своей сети), номер порта сервера надо задавать именно в этой группе настроек.
Интерфейс - привязывает правило к конкретному внешнему интерфейсу. Следует отметить, что ввод этой настройки возможен только для активного интерфейса. Если вызывается окно редактирования фильтра, где задан интерфейс, который в настоящее время не активен, то выводится предупреждение. И тут возможно два варианта - не трогать эту настройку или очистить ее. В первом случае изменение этой настройки будет запрещено.
На закладке дополнительно доступны настройки -
Автоудаление - настройки для временного фильтра. Задается время, по истечении которого фильтр будет удален или отключен.
Примечание - любой комментарий произвольной длины.
Текущая страница справки: help.smart-soft.ru/index.html?extfwfilter.htm