Tűzfal¶
Mostantól a régi, elavult XP már nem felel meg a céljainknak, a böngészője már a legegyszerűbb weblapok megjelenítésére sem képes, ezért cseréljük le azt egy Windows 7-re! (Ez elérhető a dl.koczka.com oldalon.)
A tűzfal beállítását az IP/Firewall menüben végezzük el. Az adott feladatnak megfelelően kell a megfelelő panelt kiválasztani és a szabályt leíró paramétereket megadni.
Kimenő forgalom korlátozása¶
A belső hálózatban működő Windows XP számára tiltsuk meg külső IP címek pingelését!
A megoldáshoz tehát válasszuk ki az IP/Firewall menüpontot, majd a Filter Rules lapot. Ebben fogjuk megadni a szabály leírását.
- Enabled:
a szabály csak akkor érvényesül, ha ez a checkbox be van kapcsolva.
- Chain:
Ez azt a „láncot” írja le, amelyben a szabályt el szeretnénk helyezni. Az
Inputa routerbe bejövő csomagokat, azOutputaz abból kimenőket, aForwardpedig az átmenőket jelenti. Mivel a feladatban egy belső gép átmenő forgalmát akarjuk szabályozni, ezt választjuk ki.- Src. Address:
a csomag feladójának címe vagy hálózata. Itt a belső hálózat virtuális Windows gépének címét kell megadni, ez a példában
192.168.100.10, de a konkrét értéket a DHCP szerverLeaseslapján érdemes kinézni.- Protocol:
a leggyakoribb protokollok a TCP, az UDP és az ICMP, a feladatban szereplő ping ez utóbbit használja, ezért ezt kell kiválasztani.
- In. Interface:
ez annak az interfésznek a neve, ahonnan a csomagok érkeznek. Példánkban ez a belső hálózat, amit az
Ether2-es porthoz kapcsoltunk.- Action:
itt határozzuk meg, hogy mi történjen a csomaggal. A feladat értelmében ezt eldobjuk, tehát a szükséges beállítás a
Drop. MondhatunkReject-et is, ekkor aReject withmezőben megadhatjuk, hogy milyen üzenetet küldünk vissza a feladónak (pl. icmp admin prohibited, de széles a választék…). ADropbeállítása esetén a csomag küldőjének semmilyen választ sem küldünk, így nem szerez tudomást a csomag elvesztésének okáról.
Tűzfal események naplózása¶
A tűzfalszabályok beállításakor megadható, hogy a tiltott csomagok küldésének tényét a rendszer naplózza, ehhez a Log checkboxot kell bekapcsolni. Ennek hatására minden egyes csomagot nyomon követhetünk, melyet legegyszerűbben a terminálban a /log print paranccsal nézhetünk meg. Amennyiben szétválaszthatóvá akarjuk tenni az egyes logüzenet csoportokat, meg lehet adni egy ún. Log Prefixet is, ez a szabályhoz tartozó log sorok elejébe be fogja írni a router. (Ez példánkban a „belso-ping-hiba-” szöveg volt).
[admin@koczka.ferenc] > /log print
10:56:26 system,info router rebooted
10:56:26 dhcp,info internal-dhcp deassigned 192.168.100.10 for 08:00:27:3E:C5:D8 opsys-xp
10:56:29 dhcp,info dhcp-client on ether1 got IP address 10.1.74.112
10:56:33 system,info,account user admin logged in via local
10:57:02 system,error,critical login failure for user admin from 10.1.74.11 via web
10:57:07 system,info,account user admin logged in from 10.1.74.11 via web
11:14:07 system,info,account user admin logged in via local
11:14:50 dhcp,info internal-dhcp assigned 192.168.100.10 for 08:00:27:3E:C5:D8 opsys-xp
11:15:02 firewall,info belso-ping-hiba- forward: in:ether2 out:ether1, connection-state:new src-mac 08:00:27:3e:c5:d8, proto ICMP (type 8, code 0), 192.168.100.10->8.8.8.8, len 60
11:15:03 firewall,info belso-ping-hiba- forward: in:ether2 out:ether1, connection-state:new src-mac 08:00:27:3e:c5:d8, proto ICMP (type 8, code 0), 192.168.100.10->8.8.8.8, len 60
Feladatok¶
Módosítsd úgy a tűzfalszabályt, hogy csak a 8.8.8.8 címet ne lehessen pingelni!
A belső hálózat gépei számára tiltsd meg a www.uni-eszterhazy.hu weboldal elérését!
Tiltsd meg a Windows 7 számára az ssh kapcsolatok létrehozását az alapértelmezett porton!