НАСТРОЙКА FIREWALL

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #071, стр. 071-098-4

Теперь отключим некоторые правила, созданные визардом, а некоторые подправим. Для отключения правила достаточно снять галочку возле имени и не забыть нажать Apply. Итак, отключаем следующие правила: ISS OrangeWeb Filter (спам-фильтр, который через некоторое время запросит денег), правило NAT (мы задали вместо него свои правила), правило Local Traffic (аналогично). Теперь подправим правило FireWall Traffic. Все нужные тебе сетевые сервисы добавляй в это правило. Мы добавим пока ICQ, IRC, Ping.

Вот, в первом приближении настроили. Теперь для примера создадим правило, которое будет резать рекламу в аське. Создаем правило, называем его «Баннеры», источник - Any, Destination – ar.atwola.com, Service – Any, Action – Deny, и писать лог, дабы проследить работоспособность правила.

Ну и напоследок создадим правило, разрешающее контроллеру домена обновлять зону DNS и синхронизировать время с серверами точного времени. Создаем правило, называем его по имени контроллера домена (дабы потом разобраться, что мы тут натворили), в источнике указываем IP-адрес контроллера домена, в назначении – Any, Service – DNS,NTP, Action – Permit, и в Translation выбираем Translate to IP address outgoing interface (typical setting).

Таким образом, мы рассмотрели случаи отрезания ненужных вещей (на примере правила «Баннеры») и создания специальных разрешений на примере правила XakDomain. Теперь, читая полезные форумы и наткнувшись где-нибудь на предупреждение о каком-либо вирусе, использующий определенный порт. Тебе достаточно этот порт внести в правило BAN, и через твой файрвол вирь не пролезет. Аналогично ты поступаешь с навязчивой рекламой: вычисляешь адрес рекламы и прописываешь его в правило «Баннеры». Если тебе необходим какой-либо дополнительный сервис – прописываешь его в правило Firewall Traffic. Если необходимый тебе сервис отсутствует в таблице выбора, ты можешь создать его сам. Для этого раскрываешь закладку Definitions, далее Services, жмешь ADD, даешь имя сервису (например, MyService), выбираешь протокол, указываешь порты, заполняешь описание, нажимаешь ОК и Apply. Теперь созданный тобой сервис станет доступен в правилах.

Проверяем: лезем в Traffic Policy, добавляем наш вновь созданный сервис в правило Firewall Traffic, двойной щелчок на Service, и в списке находим наш сервис.

Мы рассмотрели примерное создание правил для защиты сети и обеспечения необходимой функциональности. В следующем модуле мы продолжим настройку нашего файрвола, разберемся с пользователями, квотами и контентным фильтром.