ve
WinRoute usnadňují definici komunikačních pravidel
(povolení či zakázání přístupu z lokální sítě do Internetu nebo naopak
zpřístupnění lokálního serveru z Internetu). Zjednodušeně lze říci, že
služba je definována komunikačním protokolem a číslem portu, na kterém je
přístupná (např. služba HTTP používá protokol TCP, port
80
). K vybraným službám lze rovněž přiřadit inspekční
modul (detaily viz dále).
Služby se definují v sekci Konfigurace → Definice → Služby. Ve výchozí instalaci WinRoute je zde již předdefinována řada standardních služeb (např. HTTP, FTP, DNS atd.).
Stisknutím tlačítka
nebo se otevírá dialog pro definici služby.Identifikace služby v rámci WinRoute. Z důvodu přehlednosti by jméno mělo být stručné a výstižné.
Textový popis definované služby. Doporučujeme popisovat důsledně význam každé definice, zejména pokud se jedná o nestandardní služby — ušetříte si mnoho času a námahy při pozdějším odhalování chyb či předávání WinRoute jinému správci.
Komunikační protokol, který služba používá.
Většina standardních služeb používá protokol TCP nebo UDP, případně oba (lze definovat jako jednu službu pomocí volby TCP/UDP). Další volby jsou ICMP (internetové řídicí zprávy) a jiný.
Volba jiný dovoluje specifikovat protokol
jeho číslem v hlavičce IP paketu. Takto lze definovat libovolný protokol
nesený v IP (např. GRE — číslo protokolu 47
).
Inspekční modul WinRoute (viz dále), který bude použit pro tuto službu.
Každý modul by měl být používán pouze pro službu, pro kterou je určen. Použití nesprávného modulu pravděpodobně způsobí nefunkčnost dané služby.
Je-li použit komunikační protokol TCP a/nebo UDP, pak je daná služba určena číslem cílového portu. Předpokládáme-li standardní model klient-server, server čeká na spojení na známém portu (číslo odpovídá dané službě), zatímco klient svůj port předem nezná (bude mu přidělen operačním systémem při navazování spojení). Z toho vyplývá, že u standardních služeb je zpravidla znám cílový port, zatímco zdrojový může být (téměř) libovolný.
Poznámka: Specifikace zdrojového portu může mít význam např. při definici pravidla pro filtrování určitého typu komunikace. Podrobnosti najdete v kapitole 7.3 Definice vlastních komunikačních pravidel.
Zdrojový a cílový port lze specifikovat jako:
Libovolný — všechny porty
(1-65535
)
Rovná se — konkrétní port (např.
80
)
Větší než, Menší než — všechny porty s číslem větším, resp. menším než je zadáno
Různý od — všechny porty kromě uvedeného
V rozsahu — porty v zadaném rozsahu (včetně počátečního a koncového)
Seznam — seznam portů oddělených
čárkami (např.: 80,8000,8080
)
WinRoute obsahuje speciální moduly, které sledují komunikaci daným aplikačním protokolem (např. HTTP, FTP apod.). Tuto komunikaci pak mohou určitým způsobem modifikovat (filtrovat) nebo přizpůsobit chování firewallu danému protokolu. Činnost inspekčních modulů bude objasněna na dvou jednoduchých příkladech:
Inspekční modul protokolu HTTP sleduje komunikaci klientů (prohlížečů) s WWW servery a může blokovat přístup na určité stránky či stahování některých typů objektů (např. obrázky, reklamy či zvukové soubory).
Při použití FTP v aktivním režimu otevírá datové spojení server zpět na klienta. Za normálních okolností není možné přes firewall (resp. firewall s překladem adres) takovéto spojení navázat a FTP je možné používat pouze v pasivním režimu. Inspekční modul FTP však rozpozná, že se jedná o FTP v aktivním režimu a zajistí otevření příslušného portu a přesměrování spojení na odpovídajícího klienta v lokální síti. Uživatel v lokální síti pak není firewallem omezován a může používat FTP v obou režimech.
Inspekční modul se aktivuje, pokud je uveden v definici služby a příslušná komunikace je povolena. Každý inspekční modul obsluhuje protokol, pro který je určen, a službu, v jejíž definici je použit. Ve výchozí konfiguraci WinRoute jsou všechny dostupné inspekční moduly použity v definici příslušných služeb (a budou tedy automaticky aplikovány na odpovídající komunikaci), s výjimkou inspekčních modulů protokolů pro hlasové služby SIP a H.323 (SIP a H.323 jsou komplexní protokoly a inspekční moduly nemusí v některých konfiguracích fungovat správně).
Chceme-li explicitně aplikovat inspekční modul na jinou komunikaci, musíme buď definovat novou službu s použitím tohoto modulu nebo nastavit inspekční modul přímo v příslušném komunikačním pravidle.
Chceme provádět inspekci protokolu HTTP
na nestandardním portu 8080
. Definujeme novou službu:
protokol TCP
, port 8080
, inspekční modul
HTTP
. Tím je zajištěno, že na komunikaci protokolem
TCP na portu 8080
procházející přes
WinRoute bude automaticky aplikován inspekční modul
protokolu HTTP.
Poznámka:
Inspekční moduly obecně nelze použít pro zabezpečenou komunikaci (SSL/TLS). V tomto případě WinRoute „vidí“ pouze binární data — komunikaci nelze dešifrovat.
V některých případech nemusí být aplikace inspekčního modulu na určitou komunikaci žádoucí. Nastane-li tato situace, je možné příslušný inspekční modul „vyřadit“. Podrobnosti naleznete v kapitole 7.7 Vyřazení inspekčního modulu pro určitou službu.