Filtcfg II.
2005/10/30 23:21
2049 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.

A Novell NetWare beépített csomag-szűrőjének konfigurálását tekintjük át.

Az egyszerűbb esetet nézzük meg. Minden csomag jöhet/mehet, kivéve amit beállítunk a szűrésnél. Próbáljuk meg beállítani, hogy a hálózat minden gépéről tiltsuk a 80-s portot, valamint a 20 és 21-s portot. Ezzel ha a böngésző programban (legyen az bármelyik) nem állítunk be valamilyen proxy-t, akkor a szabványos oldalak nem fognak megjelenni, valamint ftp-szerverket sem tudunk elérni egyetlen programmal sem. Burkoltan láthatjuk, hogy ez az a lépés mely a proxy használatát kikényszeríti.

Lássuk miképpen tudjuk ezt megtenni.

Az előző cikkünkben ismertetett módon jussunk el a Packet Forwarding Filters sorra!

Az Action: sorban állítsuk be a Deny Packet in Filter List-t!
A Filters: sorban állíthatjuk be azokat a szabályokat, melyeket tiltani szeretnénk.
Az Exceptions: sorban állíthatjuk be azokat a szabályokat, melyek mindenképpen engedélyezve lesznek, mégha a Filters: sorban megadott szabályok valamelyike teljesülne is.

Válasszuk ki a Filters: sort!

Itt láthajuk a már létező szabályokat.

Enter-rel egy létező szabályt módosíthatunk.
Insert gombbal új szabályt vehetünk fel.
Delete gombbal egy létező szabályt törölhetünk.

Vegyünk fel egy új szabályt, nyomjuk meg az Insert billentyűt! Legyen ez a szabály, ami tiltja a belső háló gépeinek az FTP-zést!

Egy kis magyarázat:
A szabály azon csomagokra vonatkozik,melyek forrása:
Source Interface Type: Interface vagy Interface Group
Source Interface: <All Interface> vagy a konkrét kártya neve a szerverben.

A szabály azon csomagokra vonatkozik,melyeknek célja:
Destination Interface Type:Interface vagy Interface Group
Destination Interface:<All Interface> vagy a konkrét kártya neve a szerverben.

A csomag típusa:
Packet type: ftp
Protocol: TCP
Mely portról történik a kapcsolódás:
Src Port(s): <All>
Mely portra történik a kapcsolódás:
Dest Prt(s): 21

Src Addr Type: <Any Address> vagy <Network> vagy <Host>
<Any Address>: a csomag forrása bármilyen cím lehet.
<Network>: A csomag forrása az itt megadott ip-tartományból van.
<Host>: A csomag forrása egy adott gép IP-címe.
Src IP Address: Network es Host esetében a forrás ip-címe.

A csomag célcíme:
Dest Addr Type:<Any Address> vagy <Network> vagy <Host>
Dest IP Address: Network es Host esetében a cél ip-címe.

Logging: A szabály loggolása, csak ideiglenesen kapcsoljuk be, mert hatalmas log állományokat fog létrehozni!

A Packet Type megadásakor a program segítséget ad, "néhány előre létrehozott típussal:

Egy kis magyarázat:
A szabály azon csomagokra vonatkozik,melyek forrása:
Source Interface Type: Interface vagy Interface Group
Source Interface: <All Interface> vagy a konkrét kártya neve a szerverben.

A szabály azon csomagokra vonatkozik,melyeknek célja:
Destination Interface Type:Interface vagy Interface Group
Destination Interface:<All Interface> vagy a konkrét kártya neve a szerverben.

A csomag típusa:
Packet type: ftp
Protocol: TCP
Mely portról történik a kapcsolódás:
Src Port(s): <All>
Mely portra történik a kapcsolódás:
Dest Prt(s): 21

Src Addr Type: <Any Address> vagy <Network> vagy <Host>
<Any Address>: a csomag forrása bármilyen cím lehet.
<Network>: A csomag forrása az itt megadott ip-tartományból van.
<Host>: A csomag forrása egy adott gép IP-címe.
Src IP Address: Network es Host esetében a forrás ip-címe.

A csomag célcíme:
Dest Addr Type:<Any Address> vagy <Network> vagy <Host>
Dest IP Address: Network es Host esetében a cél ip-címe.

Logging: A szabály loggolása, csak ideiglenesen kapcsoljuk be, mert hatalmas log állományokat fog létrehozni!

A Packet Type megadásakor a program segítséget ad, "néhány előre létrehozott típussal:

Ezzel a szabállyal minden ftp forgalmat megtiltottunk a belső háló felöl. Még a saját FTP szerverünkhöz sem férhet hozzá egyetlen belső gépről csatlakozó felhasználó. Ezért szükségünk van egy Exceptions-ra, mely a saját FTP szerverünk elérését engedélyezi:

Láthatjuk, hogy a fenti tiltó szabályhoz képest a Dest IP Address sor ki van töltve, mely a szerver belső kártyájához engedélyezi az FTP-s elérést.

Amennyiben a web-s 80-s portot is letiltottuk, akkor hasonlóan kell egy Exceptions-t (Kívételt) írnunk, hogy a belső hálóról a saját webszerverünk azért elérhető legyen. Például így:

A következő cikkünkben áttekintjük milyen lehetőségeink vannak proxy automatikus beállításának..

Molnár Péter

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten