|
 |
Персональный пакетный фильтр представляет собой набор правил для фильтрации исходящих к клиенту IP-пакетов на интерфейсе ISP — клиент. С помощью редактора пакетных фильтров клиент создает набор правил, разрешающих или запрещающих прием пакетов определенного типа или адресованных определенному сервису Интернет. Использование фильтра может быть полезно в тех случаях, когда необходимо ограничить входящий трафик, например, разрешив доступ к установленному у вас веб серверу только с определенных адресов. Таким образом, с помощью пакетных фильтров можно организовать персональный firewall на стороне провайдера.
Редактор персональных фильтров находится на сервере статистики.
В настоящий момент редактор фильтров доступен клиентам, использующим dialup-доступ, а также клиентам услуги VPN, подключенных с использованием технологии xDSL.
Все действия по созданию и редактированию наборов правил фильтрации выполняются с помощью «Редактора пакетных фильтров», доступного через ссылку на сервере статистики. На странице редактора отображаются уже созданные правила фильтрации, либо пустой список, если ни одно правило не было создано. Для добавления правила следует нажать »>>» в той строчке списка, ниже которой будет вставлена новая запись. В случае, если список пуст, следует нажать »>>» в заголовке таблицы. Для удаления правила нужно нажать »<<» в строчке с удаляемым правилом.
Таблица редактора состоит из следующих полей:
 | #: порядковый номер правила в списке; |
| | Действие:
| | deny — запрещающее правило, пакеты, подпадающие под действие этого правила, будут отбрасываться; |
| | permit — разрешающее правило, пакет будет пропущен далее к клиенту; |
|
| | Протокол:
| | ip — обрабатывать все пакеты протокола IP; |
| | tcp — только пакеты протокола TCP; |
| | udp — только пакеты протокола UDP; |
| | icmp — только пакеты протокола ICMP; |
|
| | Адрес источника: условие выбора пакета по адресу источника, может принимать следующие значения:
| | any — под условие подпадают все пакеты, т.е. IP адрес может быть любым; |
| | IP-адрес в формате x.x.x.x — только пакеты с адресом источника x.x.x.x; |
| | адрес сети в формате x.x.x.x/m.m.m.m — обрабатывать пакеты из сети с адресом x.x.x.x и маской m.m.m.m, причем, маска сети указывается в реверсном формате (инвертируются все байты маски). Например, для сети 192.168.0.0 с маской 255.255.255.0 реверсная маска будет равна 0.0.0.255; |
|
| | Порт источника (только для протоколов TCP и UDP): порт с которого отослан пакет на удаленном хосте. Указывается условие и номер порта:
| | none — порт источника не имеет значения; |
| | equal — равен указанному; |
| | lower — меньше указанного; |
| | greater — больше; |
| | notequal — не равен указанному; |
| | range — диапазон портов, указывается промежуток портов через тире (например: 1024-1200) |
|
| | Адрес назначения: принимает те же значения, что и »Адрес источника», но для адреса или адресов клиента. Клиентам с динамическим IP здесь следует указывать «any»; |
| | Порт назначения: то же что и »Порт источника», но для хоста, указанного в адресе назначения; |
| | Тип ICMP (только для протокола ICMP): возможны следующие значения (с полным списком можно ознакомиться здесь):
| | тип_ICMP — указывается тип ICMP-сообщений (например, 3 — сообщения об ошибках при доставке пакетов); |
| | тип_ICMP/код_ICMP — позволяет фильтровать не только по типу, но и по коду ICMP-сообщений (например, 3/0 — Net Unreachable); |
|
| | Дополнительно: дополнительные опции правила:
| | Established — под действие правила подпадают только пакеты из уже установленного TCP-соединения. Только для протокола TCP; |
| | Check fragments — под действие правила подпадают только фрагменты пакетов TCP и UDP, следующие за начальным пакетом в группе фрагментов; |
|
При обработке пакета правила проверяются по очереди от начала до первого удовлетворяющего условию. Как только было найдено такое правило, дальнейшая обработка списка прекращается, и пакет либо отбрасывается, либо проходит дальше.
Изменения, произведенные в редакторе, будут активизированы при следующем реконнекте.
ВНИМАНИЕ ! Некорректная настройка фильтра может привести к невозможности работы в Интернет !
Во избежание проблем при некорректной настройке набора фильтров в начало этого набора всегда неявно добавляются правила, разрешающие клиенту доступ к серверу статистики. Таким образом, если вы ошибочно настроили фильтр, вы в любой момент сможете это исправить.
|
|
