Filtcfg I.
2005/10/30 23:13
1063 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Előző cikkünkben láthattuk, hogy a korlátozás tűzfal nélkül szinte lehetetlen. Bármily hihetetlen a Novell NetWare a 4.11-s verzióóta tartalmaz egy olyan eszközt, mely tűzfalként funkcionálhat. Ennek a működését konfigurálását tekintjük most át.

Ezt a funkciót a filtsrv.nlm oldja meg.

Jellemzői:
- Be és kimenő csomagokat is szűr
- NAT-l is működik.
- Rendszerszinten működik.
- A régi IPX/IP-vel is használható, ami a mai rendszerekben már nem található meg.

Hátránya:
- Csak a konzolon konfigurálható
- Felhasználó-szintű szűrésre nem képes.
- időpont-szerinti szűrésre nem képes.

Bekapcsolása a következő helyen lehetséges:
load inetcfg
Protocols
TCP/IP
Filter Support: Enabled

Konfigurálását a következő parancs kiadásával kezdhetjük meg:

load filtcfg

Válasszuk ki a Configure TCP/IP Filters menüpontot!

Válasszuk ki a Configure TCP/IP Filters menüpontot!

Válasszuk ki a Packet Forwarding Filters menüpontot!

A Status: legyen Enabled!

A szűrés alapvetően két oldalról konfigurálható.

Minden csomag átmehet, kivéve amit a szűrőlistában megadtunk.
(Deny Packets in Filter List)

Minden csomag tiltott, kivéve amit a szűrőlistában megadunk.
(Permit Packets in Filter List)

Mindkettő változatnak meg van a maga rajongó tábora. Én nem szeretnék egyik mellett sem kardoskodni, mindenki válassza a neki szimpatikusabbat. Azonban nézzük mire kell figyelnünk a választásnál:
Deny Packets in Filter List (Minden csomag jöhet mehet, kivéve, amit a szürőlistában beállítunk):
- Kényelmes, mert csak annyi szabályt kell beállítanunk, amennyi tiltást szeretnénk.
- Gáz ha valamit kihagyunk vagy rosszul konfigurálunk, mert akkor nem fog működni a tiltásunk.

Permit Packets in Filter List (Minden csomag tiltva, kivéve, amit a szürőlistában beállítunk):
- Kényelmes, mert egészen biztos, hogy minden tiltva lesz.
- Gáz ha valamit kihagyunk vagy rosszul konfigurálunk, mert akkor nem fog működni a felhasználóknál néhány alkalmazás. (Például elfelejtük engedélyezni a POP3-s forgalmat, akkor főnök nem tudja letölteni a leveleit egy külső szolgáltatótól. Vagy ha elfelejtjük engedélyezni a 6667-s portot, akkor a főnök nem tud IRC-zni. :))))) De komolyra fordítva a szót, ide tartozhat a NEPTUN-os probléma is, ami állandó gond a tanártovábbképzésben résztvevőknek.)

Melyiket válasszuk?

Közhálós viszonylatban elegendő a Mindent engedélyezek, kivéve ami a szűrőlistában szerepel. Ugyanis a szerver kívülről a Közhálós switchben lévő tűzfallal ugyis védett. Amelyik port ezen keresztül is elérhető, azt ugyis mi kértük megnyitni. Nem sok értelme lenne a dupla tiltásnak.

Amenniyben nem közhálós kapcsolatunk van, s a szerverünk közvetlenül az Internet-hez kapcsolódik mindeféle egyéb tűzfal nélkül, akkor válasszuk a Minden tilos, kivéve ami a szűrőlistában szerepel változatot, mellyel egy védelmi vonalat építhetünk ki az Internet és a szerverünk közé.

A következő cikkünkben a szabályok felvételével ismerkedhetünk meg.

 

Molnár Péter

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek