Правила фільтрації пакетів та списки АСL, Системне адміністрування та багато іншого

Правила фільтрації пакетів та списки АСL

Брандмауери виконують фільтрацію пакетів шляхом перевірки заголовків вхідних пакетів щодо їх задоволення певним критеріям, встановленим з допомогою правил фільтрації пакетів. Фільтрації піддаються пакети, що надходять як зсередини, так і ззовні локальної мережі, причому фільтр працює асиметрично, по-різному обробляючи вхідні та вихідні пакети. Таким чином, для фільтрації вхідних та вихідних пакетів слід використовувати різні правила фільтрації.

При надходженні пакета в брандмауер, маршрутизатор, що входить до його складу, з фільтрацією пакетів витягує з пакета заголовки і послідовно застосовує правила фільтрації пакетів, причому в тому порядку, в якому вони збережені в списку АСL брандмауера. Застосування правил виконується з урахуванням наступних принципів:

Щоб створити правило фільтрації пакетів, слід зазначити, по-перше, дію, що виконується при збігу критеріїв правила з параметрами пакета (наприклад, «дозволити» або «блокувати»), по-друге, протокол обробки пакета і, по-третє, номер порту для прийому пакета. Наприклад, щоб пропустити через брандмауер пакет повідомлення електронної пошти, для поштового шлюзу слід створити правило, яке дозволяє зовнішнє з'єднання до порту 25 за протоколом SMTP (Simple Mail Transfer Protocol – простий протокол електронної пошти).

Найголовніше, на що слід звернути увагу при створенні правил фільтрації пакетів, це порядок їх запису до списку АСL, від якого залежить функціонування брандмауера. Некоректний порядок запису правил може призвести до повного блокування міжмережевого з'єднання або відкидання коректних пакетів і вирішення некоректних.

Допустимо, потрібно створити правило, що дозволяє приєднання до поштового шлюзу хостаMailer всіх хостів глобальної мережі, крім хостаSpammer. Для цього створимо таблицю (див. таблицю 3.4), в яку записано відповідне правило фільтрації.

Таблиця 3.4. Додавання правила блокування до списку АСL

---