Administrator može da upravlja IP saobraćajem sa host kompjutera koristeći Transsmision Control Protocol Internet Protocol (TCP-IP) filtriranje. Ipak, konfiguracijom paketa za filtriranje na ruteru, možemo da kontrolišemo sav IP saobraćaj na mreži koji prolazi kroz ruter.
Kroz ovu lekciju naučićete da:
- Objasnite šta je filtriranje paketa
- Opišete kako se postavljaju filtriranja paketa
- Konfigurišete filtriranje paketa
Šta je Packet Filtering (filtriranje paketa)?
Filtriranje paketa sprečava određene tipove mrežnih paketa da budu poslati kroz ruter. Packet Filter je TCP-IP konfiguraciona postavka koja je dizajnirana da dozvoli ili da odbaci dolazeće ili odlazeće pakete.
Windows Server 2003 Routing and Remote Access podržava IP filtriranje paketa. Koristeći Routing and Remote Access, možemo da odredimo filter paket za svaki interfejs i nakon toga možemo da ih konfigurišemo da odrađuju sledeće:
- Da propuštaju sav saobraćaj osim paketa koje filter zabranjuje
- Da odbacuju sav mrežni saobraćaj osim paketa koje filter dozvoljava
Kada konfigurišemo paket filter, prvo moramo da odredimo da li želimo da filtriramo dolazeći ili odlazeći saobraćaj (Inbound or Outbound Filter). Nakon toga, potrebno je da selektujemo akciju koja će filtrirati ili primati sve pakete koji su konfigurisani u filteru ili će odbacivati sav saobraćaj koji je konfigurisan u filteru.
Možemo da iskoristimo filtriranje paketa da:
- Sprečimo pristup neautorizovanim korisnicima
- Sprečimo pristup resursima
- Poboljšamo performanse sprečavanjem nepotrebnih paketa da putuju kroz sporu konekciju
Na primer, ako želimo da dozvolimo korisnicima na internetu da se konektuju na Web server na našoj internoj mreži kroz Routing and Remote Access ruter, možemo da konfigurišemo Inbound filter koji dozvoljava samo pakete sa TCP 80 porta i IP adresu Web servera. Ni jedan drugi paket neće biti prihvaćen sa interneta.
Ako želimo da sprečimo da korisnici iz naše interne mreže pristupaju Web serverima na drugom portu koji nije TCP port 80, možemo da kreiramo Outbound filter (filter za odlazeći saobraćaj) koji će dozvoljavati pakete koji su upućeni ka TCP portu 80. Nijednom drugom paketu neće biti dozvoljen prolaz kroz Routing and Remote Access ruter.
Kako se postavljaju paket filteri
Administrator može da setuje nekoliko parametara za jedan individualni filter. Takođe, administratori mogu da kreiraju serije filtera koji ukazuju ruteru na tip saobraćaja koji je dozvoljen ili saobraćaj koji je zabranjen na svakom konfigurisanom interfejsu. Možemo da podesimo ove filtere i za dolazeći i za odlazeći saobraćaj (Inbound ili Outbound Traffic).
Ako je više parametara konfigurisano na određenom filteru, onda se parametar na filteru poredi sa logičkim AND-om kada se filter primenjuje na paket.
Na primer, polja u paketu moraju da odgovaraju svim konfigurisanim parametrima u filteru. Ako paket podataka ispunjava sve ove parametre koji su konfigurisani u filteru, tada će filter akcija biti primenjena (odbijanje ili prihvatanje paketa).
Iz razloga što i odlazeći i dolazeći filteri (Outbound and Inbound Filters) mogu da budu definisani za svaki interfejs na ruteru, moguće je kreirati kontradiktorne filtere. Kada su višestruki filteri konfigurisani, odvojeni filteri, koji se postavljaju na dolazeće i odlazeće pakete, se porede kroz logički OR.
Na primer, input filter na jednom interfejsu dozvoljava dolazeći saobraćaj, ali odlazeći filter na ruterovom interfejsu ne dozvoljava odlazeći saobraćaj. Rezultat je odbacivanje paketa i zabranjivanje prolaska kroz ruter (ako paket odgovara barem jednom od konfigurisanih paket filtera, on će biti prihvaćen ili odbačen u zavisnosti od Filter Action postavki).
Paket filteri se primenjuju po sledećim pravilima:- Inbound and Outbound proverava paket filter na ruteru.
- Ako paket ispunjava sve parametre u prvom filteru, primenjuje se akcija filtera koju smo konfigurisali (odbacivanje ili dozvoljavanje paketa).
- U slučaju da paket ne ispunjava sve parametre u filteru, paket će biti obeležen protiv sledećeg filtera na ruteru.
- Ako nijedan paket filter nije primenjen i ako je ruter konfigurisan sa Exclusion filterom, u tom slučaju paket prolazikroz ruter. Ako je Ruter konfigurisan sa Inclusion filterom, paket će biti odbačen i neće moći da prođe kroz ruter.
Kako se konfigurišu paket filteri
Da bismo konfigurisali IP paket filtriranja u Windows Server 2003 Routing and Remote Access (RAS), možemo da kreiramo filtere koji će da dozvoljavaju ili zabranjuju određene tipove saobraćaja na intefejsu. Ako paket podataka ne ispunjava određene zahteve filtera, on će biti odbačen i neće biti prosleđen. Prilikom konfiguracije filtera moramo da selektujemo interfejs na ruteru, određujemo input i output filter i odredimo akciju koju će odraditi filter.
Konfiguraciuja paket filtera: - U Routing and Remote Access konzoli, u konzolinom drvetu, proširimo ime kompjutera, proširimo IP Routing i kliknemo na General.
- U panelu sa detaljima, desni klik na interfejs na kojem hoćemo da dodamo filter i kliknemo na Properties.
- Na General kartici kliknemo ili na Inbound filters ili na Outbound Filters pa zatim kliknemo na New.
- U ADD IP Filter dijalog boksu, identifikujemo Source mrežu konfiguracijom sledećih postavki: IP Address ... potrebno je da upišemo ili mrežni ID ili izvornu IP adresu; Subnet Mask ... upišemo masku podmreže koja odgovara izvorišnom mrežnom ID-u ili izvorišnoj mrežnoj IP adresi.
- U Add IP Filter dijalog boksu identifikovati odredišnu mrežu konfiguracijom sledećih postavki: IP Address ... Subnet Mask.
- U ADD IP Filter dijalog boksu odredimo odgovarajući protokol: TCP. TCP (established), UDP, ICMP, Any, Other.
- U Add IP Filter dijalog boksu kliknemo na OK.
- U Filters dijalog boksu selektujemo jedan od sledećih odgovarajućih filter akcija i nakon toga kliknemo na OK.
- Receive all packets except those that meet the criteria below.
- Drop all packets those that meet the criteria below.
Važno: Nakon dodavanja filtera obavezno proveriti postavke da biste se osigurali i da biste se uverili da filteri izvršavaju akciju koju ste konfigurisali i da ne postoje nikakvi neželjeni efekti.
