Ezt a funkciót a filtsrv.nlm oldja meg.
Jellemzői:
- Be és kimenő csomagokat is szűr
- NAT-l is működik.
- Rendszerszinten működik.
- A régi IPX/IP-vel is használható, ami a mai rendszerekben már nem található meg.
Hátránya:
- Csak a konzolon konfigurálható
- Felhasználó-szintű szűrésre nem képes.
- időpont-szerinti szűrésre nem képes.
Bekapcsolása a következő helyen lehetséges:
load inetcfg
Protocols
TCP/IP
Filter Support: Enabled
Konfigurálását a következő parancs kiadásával kezdhetjük meg:
load filtcfg
Válasszuk ki a Configure TCP/IP Filters menüpontot!
Válasszuk ki a Configure TCP/IP Filters menüpontot!
Válasszuk ki a Packet Forwarding Filters menüpontot!
A Status: legyen Enabled!
A szűrés alapvetően két oldalról konfigurálható.
Minden csomag átmehet, kivéve amit a szűrőlistában megadtunk.
(Deny Packets in Filter List)
Minden csomag tiltott, kivéve amit a szűrőlistában megadunk.
(Permit Packets in Filter List)
Mindkettő változatnak meg van a maga rajongó tábora. Én nem szeretnék egyik mellett sem kardoskodni, mindenki válassza a neki szimpatikusabbat. Azonban nézzük mire kell figyelnünk a választásnál:
Deny Packets in Filter List (Minden csomag jöhet mehet, kivéve, amit a szürőlistában beállítunk):
- Kényelmes, mert csak annyi szabályt kell beállítanunk, amennyi tiltást szeretnénk.
- Gáz ha valamit kihagyunk vagy rosszul konfigurálunk, mert akkor nem fog működni a tiltásunk.
Permit Packets in Filter List (Minden csomag tiltva, kivéve, amit a szürőlistában beállítunk):
- Kényelmes, mert egészen biztos, hogy minden tiltva lesz.
- Gáz ha valamit kihagyunk vagy rosszul konfigurálunk, mert akkor nem fog működni a felhasználóknál néhány alkalmazás. (Például elfelejtük engedélyezni a POP3-s forgalmat, akkor főnök nem tudja letölteni a leveleit egy külső szolgáltatótól. Vagy ha elfelejtjük engedélyezni a 6667-s portot, akkor a főnök nem tud IRC-zni. :))))) De komolyra fordítva a szót, ide tartozhat a NEPTUN-os probléma is, ami állandó gond a tanártovábbképzésben résztvevőknek.)
Melyiket válasszuk?
Közhálós viszonylatban elegendő a Mindent engedélyezek, kivéve ami a szűrőlistában szerepel. Ugyanis a szerver kívülről a Közhálós switchben lévő tűzfallal ugyis védett. Amelyik port ezen keresztül is elérhető, azt ugyis mi kértük megnyitni. Nem sok értelme lenne a dupla tiltásnak.
Amenniyben nem közhálós kapcsolatunk van, s a szerverünk közvetlenül az Internet-hez kapcsolódik mindeféle egyéb tűzfal nélkül, akkor válasszuk a Minden tilos, kivéve ami a szűrőlistában szerepel változatot, mellyel egy védelmi vonalat építhetünk ki az Internet és a szerverünk közé.
A következő cikkünkben a szabályok felvételével ismerkedhetünk meg.