12.6  Filtrování protokolu FTP

Pravidla pro přístup na FTP servery se nastavují v sekci Konfigurace → Filtrování obsahu → Pravidla pro FTP.

Pravidla pro FTP

Obrázek 12.14. Pravidla pro FTP


Pravidla v této sekci jsou vždy procházena shora dolů (pořadí lze upravit tlačítky se šipkami na pravé straně okna). Vyhodnocování se zastaví na prvním pravidle, kterému FTP požadavek vyhoví. Pokud požadavek nevyhoví žádnému pravidlu, je přístup na FTP server povolen (implicitně vše povoleno).

Poznámka:

  1. Výchozí instalace WinRoute obsahuje několik předdefinovaných pravidel pro FTP. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce WinRoute je může použít, případně upravit dle vlastního uvážení.

  2. Ve výchozím nastavení je zapnuto pravidlo zakazující pokračování ve stahování souboru po přerušení (tzv. resume — FTP příkaz REST). Toto je velmi důležité pro správnou funkci antivirové kontroly: pro spolehlivé nalezení viru je třeba, aby byl soubor kontrolován jako celek.

    Je-li toto chování nežádoucí, můžeme předdefinované pravidlo vypnout. Pak ale není zaručena plná spolehlivost antivirové kontroly. Bezpečnější postup v takovém případě je definovat výjimku pro konkrétní FTP server — pravidlo povolující přístup na tento server bez omezení. Toto pravidlo musí být umístěno nad předdefinovaným pravidlem zakazujícím pokračování ve stahování.

    Podrobnosti o antivirové kontrole protokolu FTP naleznete v kapitole 13.3  Antivirová kontrola protokolů HTTP a FTP.

Definice pravidel pro FTP

Chceme-li přidat nové pravidlo, označíme v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlačítko Přidat. Šipkovými tlačítky na pravé straně okna lze pořadí pravidel dodatečně upravit.

Zaškrtávací pole vedle popisu pravidla slouží k jeho „vypnutí“ — pravidlo můžete dočasně vyřadit bez nutnosti jej odstraňovat a poté znovu přidávat.

Poznámka: Přístup k FTP serverům, pro které neexistuje odpovídající pravidlo, je povolen (implicitně vše povoleno). Chceme-li povolit přístup pouze k omezené skupině FTP serverů a všechny ostatní stránky blokovat, je třeba na konec seznamu umístit pravidlo zakazující přístup ke všem FTP serverům.

Dialog pro definici pravidla pro FTP:

Pravidlo pro FTP — základní parametry

Obrázek 12.15. Pravidlo pro FTP — základní parametry


Záložka Obecné slouží k nastavení základních podmínek a akcí, které mají být při jejich splnění provedeny.

Popis

Slovní popis funkce pravidla (pro snazší orientaci správce WinRoute).

Jestliže na FTP server přistupuje

Volba, pro které uživatele bude toto pravidlo platit:

  • libovolný uživatel — pro všechny uživatele (bez ohledu na to, zda jsou na firewallu ověřeni či nikoliv)

  • libovolný uživatel ověřený na firewallu — pro všechny uživatele, kteří jsou přihlášeni

  • vybraní uživatelé — pro vybrané uživatele a/nebo skupiny uživatelů.

    Tlačítko Nastavit otevírá dialog pro výběr uživatelů a skupin (přidržením kláves Ctrl a Shift můžete vybrat více uživatelů / skupin současně).

Poznámka: Povolení nebo omezení vztahující se na vybrané uživatele (případně na všechny přihlášené uživatele) má smysl pouze v kombinaci s pravidlem zakazujícím přístup nepřihlášeným uživatelům.

A FTP server vyhovuje těmto kritériím

Specifikace FTP serverů, pro které má toto pravidlo platit:

  • libovolný server — libovolný FTP server

  • server — IP adresa nebo DNS jméno konkrétního FTP serveru.

    Je-li FTP server zadán DNS jménem, pak WinRoute automaticky zjistí z DNS odpovídající IP adresu. Zjištění IP adresy se provádí bezprostředně po potvrzení změn stisknutím tlačítka Použít (pro všechna pravidla, v nichž byl FTP server zadán jménem).

    Upozornění

    Dokud se nepodaří zjistit odpovídající IP adresu, je příslušné pravidlo neaktivní!

  • IP adresa ze skupiny — výběr skupiny IP adres FTP serverů, které mají být zakázány nebo povoleny.

    Tlačítko Změnit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 14.1  Skupiny IP adres).

Akce

Volba akce, která bude provedena, jestliže jsou splněny podmínky pro uživatele a FTP server:

  • PovolitWinRoute povolí přístup na definované FTP servery za podmínek nastavených v záložce Upřesnění — viz dále).

  • ZakázatWinRoute bude blokovat určité FTP příkazy či celé spojení (v závislosti na nastavení v záložce Upřesnění).

Zaškrtnutím volby Zaznamenat budou všechny přístupy na FTP, které vyhověly tomuto pravidlu, zaznamenány do záznamu Filter (viz kapitola 22.9  Záznam Filter).

V záložce Upřesnění jsou obsaženy další podmínky, za kterých má pravidlo platit, a upřesňující podmínky pro FTP komunikaci.

Pravidlo pro FTP — upřesňující nastavení

Obrázek 12.16. Pravidlo pro FTP — upřesňující nastavení


Platí v časovém intervalu

Výběr časového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlačítko Změnit otevírá dialog pro úpravu časových intervalů (podrobnosti viz kapitola 14.2  Časové intervaly).

Platí pro skupinu IP adres

Výběr skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klientů). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta.

Tlačítko Změnit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 14.1  Skupiny IP adres).

Obsah

Upřesňující volby pro obsah FTP komunikace.

Volba Typ nastavuje způsob filtrování:

  • Download, Upload, Download / Upload přenos souborů v některém směru, případně v obou směrech.

    Při výběru některé z těchto voleb se zobrazí položka Jméno souboru — v této položce můžete uvést jména souborů, pro které má pravidlo platit. Ve jméně souboru lze použít hvězdičkovou konvenci (např. *.exe — spustitelné soubory).

  • FTP příkaz — výběr příkazů protokolu FTP, pro které má pravidlo platit

  • Libovolný — zakazuje jakékoli připojení nebo příkaz, jakoukoli komunikaci

Provádět antivirovou kontrolu obsahu dle pravidel

Zapnutí/vypnutí antivirové kontroly FTP komunikace vyhovující tomuto pravidlu.

Tato volba je dostupná pouze v povolujících pravidlech — je-li určitá komunikace zakázána, nemá nastavení antivirové kontroly smysl.