Az egyszerűbb esetet nézzük meg. Minden csomag jöhet/mehet, kivéve amit beállítunk a szűrésnél. Próbáljuk meg beállítani, hogy a hálózat minden gépéről tiltsuk a 80-s portot, valamint a 20 és 21-s portot. Ezzel ha a böngésző programban (legyen az bármelyik) nem állítunk be valamilyen proxy-t, akkor a szabványos oldalak nem fognak megjelenni, valamint ftp-szerverket sem tudunk elérni egyetlen programmal sem. Burkoltan láthatjuk, hogy ez az a lépés mely a proxy használatát kikényszeríti.
Lássuk miképpen tudjuk ezt megtenni.
Az előző cikkünkben ismertetett módon jussunk el a Packet Forwarding Filters sorra!
Az Action: sorban állítsuk be a Deny Packet in Filter List-t!
A Filters: sorban állíthatjuk be azokat a szabályokat, melyeket tiltani szeretnénk.
Az Exceptions: sorban állíthatjuk be azokat a szabályokat, melyek mindenképpen engedélyezve lesznek, mégha a Filters: sorban megadott szabályok valamelyike teljesülne is.
Válasszuk ki a Filters: sort!
Itt láthajuk a már létező szabályokat.
Enter-rel egy létező szabályt módosíthatunk.
Insert gombbal új szabályt vehetünk fel.
Delete gombbal egy létező szabályt törölhetünk.
Vegyünk fel egy új szabályt, nyomjuk meg az Insert billentyűt! Legyen ez a szabály, ami tiltja a belső háló gépeinek az FTP-zést!
Egy kis magyarázat:
A szabály azon csomagokra vonatkozik,melyek forrása:
Source Interface Type: Interface vagy Interface Group
Source Interface: <All Interface> vagy a konkrét kártya neve a szerverben.
A szabály azon csomagokra vonatkozik,melyeknek célja:
Destination Interface Type:Interface vagy Interface Group
Destination Interface:<All Interface> vagy a konkrét kártya neve a szerverben.
A csomag típusa:
Packet type: ftp
Protocol: TCP
Mely portról történik a kapcsolódás:
Src Port(s): <All>
Mely portra történik a kapcsolódás:
Dest Prt(s): 21
Src Addr Type: <Any Address> vagy <Network> vagy <Host>
<Any Address>: a csomag forrása bármilyen cím lehet.
<Network>: A csomag forrása az itt megadott ip-tartományból van.
<Host>: A csomag forrása egy adott gép IP-címe.
Src IP Address: Network es Host esetében a forrás ip-címe.
A csomag célcíme:
Dest Addr Type:<Any Address> vagy <Network> vagy <Host>
Dest IP Address: Network es Host esetében a cél ip-címe.
Logging: A szabály loggolása, csak ideiglenesen kapcsoljuk be, mert hatalmas log állományokat fog létrehozni!
A Packet Type megadásakor a program segítséget ad, "néhány előre létrehozott típussal:
Egy kis magyarázat:
A szabály azon csomagokra vonatkozik,melyek forrása:
Source Interface Type: Interface vagy Interface Group
Source Interface: <All Interface> vagy a konkrét kártya neve a szerverben.
A szabály azon csomagokra vonatkozik,melyeknek célja:
Destination Interface Type:Interface vagy Interface Group
Destination Interface:<All Interface> vagy a konkrét kártya neve a szerverben.
A csomag típusa:
Packet type: ftp
Protocol: TCP
Mely portról történik a kapcsolódás:
Src Port(s): <All>
Mely portra történik a kapcsolódás:
Dest Prt(s): 21
Src Addr Type: <Any Address> vagy <Network> vagy <Host>
<Any Address>: a csomag forrása bármilyen cím lehet.
<Network>: A csomag forrása az itt megadott ip-tartományból van.
<Host>: A csomag forrása egy adott gép IP-címe.
Src IP Address: Network es Host esetében a forrás ip-címe.
A csomag célcíme:
Dest Addr Type:<Any Address> vagy <Network> vagy <Host>
Dest IP Address: Network es Host esetében a cél ip-címe.
Logging: A szabály loggolása, csak ideiglenesen kapcsoljuk be, mert hatalmas log állományokat fog létrehozni!
A Packet Type megadásakor a program segítséget ad, "néhány előre létrehozott típussal:
Ezzel a szabállyal minden ftp forgalmat megtiltottunk a belső háló felöl. Még a saját FTP szerverünkhöz sem férhet hozzá egyetlen belső gépről csatlakozó felhasználó. Ezért szükségünk van egy Exceptions-ra, mely a saját FTP szerverünk elérését engedélyezi:
Láthatjuk, hogy a fenti tiltó szabályhoz képest a Dest IP Address sor ki van töltve, mely a szerver belső kártyájához engedélyezi az FTP-s elérést.
Amennyiben a web-s 80-s portot is letiltottuk, akkor hasonlóan kell egy Exceptions-t (Kívételt) írnunk, hogy a belső hálóról a saját webszerverünk azért elérhető legyen. Például így:
A következő cikkünkben áttekintjük milyen lehetőségeink vannak proxy automatikus beállításának..