7.3  Definice vlastních komunikačních pravidel

Komunikační pravidla jsou zobrazována ve formě tabulky, kde každý řádek obsahuje jedno pravidlo a ve sloupcích jsou jeho jednotlivé části (jméno, podmínky, akce — podrobnosti viz dále). Dvojitým kliknutím levým tlačítkem myši na vybrané pole tabulky (případně kliknutím pravým tlačítkem a volbou Změnit... z kontextového menu) se zobrazí dialog pro změnu vybrané položky.

Nové pravidlo přidáme stisknutím tlačítka Přidat a šipkovými tlačítky v pravé části okna jej přesuneme na požadované místo.

Jméno

Název pravidla. Měl by být stručný a výstižný, aby tabulka pravidel byla přehledná. Detailnější informace by měly být zapsány do položky Popis.

Zaškrtávací pole před jménem pravidla slouží k jeho aktivaci a deaktivaci. Není-li toto pole zaškrtnuto, pak se WinRoute chová, jako by pravidlo neexistovalo. Toho lze využít např. pro dočasné vyřazení pravidla — není třeba je odstraňovat a později znovu definovat.

Komunikační pravidlo — jméno, barva a popis pravidla

Obrázek 7.8. Komunikační pravidlo — jméno, barva a popis pravidla


Kromě jména lze nastavit také barvu pozadí řádku tabulky s tímto pravidlem. Volba Transparentní znamená, že řádek bude „průhledný“ (pod textem bude barva pozadí celého seznamu, typicky bílá). Barevné označení umožňuje zvýraznit některá pravidla nebo odlišit určité skupiny pravidel (např. pravidla pro odchozí a pro příchozí komunikaci).

Položka Popis může obsahovat libovolný text popisující význam a účel daného pravidla (maximálně 1024 znaků).

Je-li popis uveden, pak se v seznamu pravidel ve sloupci Jméno vedle názvu pravidla zobrazí symbol „bubliny“. Umístěním kurzoru myši na tento symbol bude zobrazen text popisu pravidla.

Doporučujeme důsledně popisovat všechna vytvořená pravidla (v pravidlech vytvořených průvodcem je popis již vyplněn). Ne vždy je totiž na první pohled zřejmé, k jakému účelu konkrétní pravidlo slouží. Dobré popisy pravidel ušetří správci WinRoute mnoho času při pozdějším ladění či hledání problémů.

Poznámka: Popis a barevné označení pravidla slouží pouze pro zlepšení přehlednosti — nemají vliv na činnost firewallu.

Zdroj, Cíl

Volba zdroje, resp. cíle komunikace, pro niž má pravidlo platit.

Komunikační pravidlo — definice zdrojových adres

Obrázek 7.9. Komunikační pravidlo — definice zdrojových adres


Tlačítkem Přidat lze definovat novou položku zdroje, resp. cíle komunikace:

  • Počítač — jméno nebo IP adresa konkrétního počítače (např. www.firma.cz nebo 192.168.1.1)

    Upozornění

    Je-li zdrojový nebo cílový počítač zadán DNS jménem, pak WinRoute zjišťuje odpovídající IP adresu v okamžiku stisknutí tlačítka Použít.

    Pokud není nalezen odpovídající záznam v DNS cache, vysílá se DNS dotaz do Internetu. Je-li internetové připojení realizováno vytáčenou linkou, která je momentálně zavěšena, vyšle se tento dotaz až po vytočení linky. Do zjištění IP adresy z DNS jména je však příslušné pravidlo neaktivní. V krajním případě může dojít i k tomu, že po definici pravidla bude linka vytočena na základě komunikace, která má být pravidlem zakázána.

    Z výše uvedených důvodů doporučujeme v případě vytáčené linky do Internetu zadávat zdrojové a cílové počítače výhradně IP adresami!

  • Rozsah IP adres — např. 192.168.1.10192.168.1.20

  • Skupinu IP adres — skupina adres definovaná ve WinRoute (viz kapitola 14.1  Skupiny IP adres)

  • Subsíť s maskou — subsíť zadaná adresou sítě a maskou

    (např. 192.168.1.0/255.255.255.0)

  • Síť připojenou k rozhraní — výběr rozhraní nebo skupiny rozhraní, odkud paket přichází (v položce Zdroj) nebo kudy má být odeslán (v položce Cíl).

    Komunikační pravidlo — výběr rozhraní nebo skupiny rozhraní

    Obrázek 7.10. Komunikační pravidlo — výběr rozhraní nebo skupiny rozhraní


    Skupiny rozhraní umožňují vytvářet obecnější pravidla, která jsou nezávislá na konkrétní konfiguraci sítě (např. při změně internetového připojení nebo přidání segmentu lokální sítě není nutné taková pravidla měnit). Je-li to možné, doporučujeme definovat komunikační pravidla s použitím skupin rozhraní. Podrobnosti o síťových rozhraních a skupinách rozhraní viz kapitola 5  Síťová rozhraní.

    Poznámka: V komunikačních pravidlech lze použít pouze skupiny Internetová rozhraní a Důvěryhodná / lokální rozhraní. Rozhraní pro Kerio VPN se přidávají jiným způsobem (viz níže). Skupina Ostatní rozhraní obsahuje rozhraní různých typů, která nebyla zařazena do jiné skupiny. Komunikační pravidlo pro tuto skupinu jako celek by ve většině případů nemělo žádný smysl.

  • VPN — virtuální privátní síť (vytvořená pomocí Kerio VPN). Volbou VPN můžeme přidat položky následujících typů:

    Komunikační pravidlo — VPN klienti / VPN tunel v definici zdrojových nebo cílových adres

    Obrázek 7.11. Komunikační pravidlo — VPN klienti / VPN tunel v definici zdrojových nebo cílových adres


    1. Příchozí spojení (VPN klienti) — všichni VPN klienti připojující se k VPN serveru ve WinRoute pomocí aplikace Kerio VPN Client,

    2. VPN tunel — síť připojená vybraným VPN tunelem. Speciální volba Vše znamená všechny sítě připojené všemi definovanými VPN tunely (které jsou v daném okamžiku aktivní).

    Podrobné informace o VPN řešení ve WinRoute naleznete v kapitole 23  Kerio VPN.

  • Uživatele — uživatelé nebo skupiny uživatelů, které lze vybrat ve speciálním dialogu.

    Komunikační pravidlo — uživatelé a skupiny v definici zdrojových nebo cílových adres

    Obrázek 7.12. Komunikační pravidlo — uživatelé a skupiny v definici zdrojových nebo cílových adres


    Volba Ověření uživatelé znamená, že podmínka bude platit pro všechny uživatele, kteří jsou na firewall již přihlášeni (viz kapitola 10.1  Ověřování uživatelů na firewallu). Volbou Uživatelé z domény můžeme přidat požadované uživatele a/nebo skupiny z mapovaných Active Directory domén nebo z lokální databáze uživatelů (podrobnosti viz kapitola 15  Uživatelské účty a skupiny).

    Tip

    Do pravidla můžeme přidat uživatele/skupiny z několika různých domén zároveň. Vybereme doménu, přidáme uživatele a/nebo skupiny, pak zvolíme jinou doménu a postup opakujeme.

    V komunikačních pravidlech má uživatel význam IP adresy počítače, z něhož je přihlášen. Podrobnosti o přihlašování uživatelů k firewallu naleznete v kapitole 10.1  Ověřování uživatelů na firewallu.

    Poznámka:

    1. Povolení / zákaz přístupu určitým uživatelům má smysl jen tehdy, pokud není z příslušných IP adres povolen přístup nepřihlášeným uživatelům (jinak totiž nejsou uživatelé donuceni se přihlásit). Pokud uživatelé pracují střídavě na různých počítačích, je třeba vzít v úvahu IP adresy všech těchto počítačů.

    2. Jsou-li uživatelské účty nebo skupiny použity jako zdroj v pravidle pro přístup do Internetu, pak v případě služby HTTP nebude funkční automatické přesměrování uživatelů na přihlašovací stránku ani NTLM ověřování. K přesměrování totiž dojde až po úspěšném navázání spojení na cílový server.

      Jsou-li komunikační pravidla nastavena tímto způsobem, pak je třeba uživatelům sdělit, že před přístupem do Internetu musejí otevřít přihlašovací stránku (viz kapitoly 11  WWW rozhraní10.1  Ověřování uživatelů na firewallu) ve svém WWW prohlížeči a přihlásit se.

      Tato problematika je podrobně diskutována v kapitole 7.6  Použití uživatelských účtů a skupin v komunikačních pravidlech.

  • Firewall — speciální skupina adres zahrnující všechna rozhraní počítače, na němž WinRoute běží. Tuto volbu lze s výhodou využít např. pro povolení komunikace mezi lokální sítí a počítačem s WinRoute.

Tlačítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovněž výchozí hodnota při vytváření nového pravidla). Bude-li pak přidána alespoň jedna nová položka, bude položka Libovolný automaticky odstraněna.

Tlačítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Toto je užitečné při změně pravidel — není nutné odstraňovat postupně jednotlivé položky. Bude-li pak přidána alespoň jedna nová položka, bude hodnota Nic automaticky odstraněna. Ponecháme-li ve sloupci Zdroj a/nebo Cíl hodnotu Nic, pak bude pravidlo neaktivní.

Hodnota Nic má své opodstatnění při odstranění síťových rozhraní (viz kapitola 5  Síťová rozhraní) a uživatelských účtů nebo skupin (viz kapitola 15  Uživatelské účty a skupiny). Do položek Zdroj, Cíl nebo Služba všech pravidel, ve kterých bylo použito odstraněné rozhraní, (resp. uživatelský účet, skupina nebo služba) bude automaticky dosazena hodnota Nic, čímž budou příslušná pravidla deaktivována.

Definice pravidla s hodnotou Nic v některém sloupci nemá praktický význam — pro deaktivaci pravidla je vhodnější použít zaškrtávací pole ve sloupci Jméno.

Poznámka: Odstraněné rozhraní nelze nahradit položkou Libovolný — mohlo by dojít k zásadní změně smyslu komunikačních pravidel (např. povolení nežádoucí komunikace).

Služba

Definice služby (resp. služeb), pro kterou má toto komunikační pravidlo platit. Seznam může obsahovat více služeb definovaných v sekci Konfigurace → Definice → Služby (viz kapitola 14.3  Služby) a/nebo služeb zadaných protokolem a číslem portu (případně rozsahem portů — pro jeho specifikaci se zde používá pomlčka).

Komunikační pravidlo — nastavení služby

Obrázek 7.13. Komunikační pravidlo — nastavení služby


Tlačítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovněž výchozí hodnota při vytváření nového pravidla). Bude-li pak přidána alespoň jedna nová služba, bude položka Libovolný automaticky odstraněna.

Tlačítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Bude-li pak přidána alespoň jedna nová služba, bude hodnota Nic automaticky odstraněna. Ponecháme-li ve sloupci Služba hodnotu Nic, pak bude pravidlo neaktivní.

Hodnota Nic má své opodstatnění při odstraňování definovaných služeb (viz kapitola 14.3  Služby). Do položky Služba všech pravidel, ve kterých byla použita odstraněná služba, bude automaticky dosazena hodnota Nic, čímž budou příslušná pravidla deaktivována. Ruční dosazení hodnoty Nic nemá praktický význam — pro deaktivaci pravidla je vhodnější použít zaškrtávací pole ve sloupci Jméno.

Poznámka: Existuje-li ve WinRoute pro určitou službu inspekční modul, pak se tento modul automaticky aplikuje na veškerou odpovídající komunikaci. Chceme-li docílit toho, aby na určitou komunikaci nebyl aplikován příslušný inspekční modul, je třeba to v komunikačním pravidle explicitně uvést. Podrobné informace viz kapitola 7.7  Vyřazení inspekčního modulu pro určitou službu.

Akce

Způsob, jak WinRoute obslouží komunikaci, která vyhoví podmínkám tohoto pravidla (podmínka je dána položkami Zdroj, Cíl a Služba). Možnosti jsou:

Komunikační pravidlo — volba akce

Obrázek 7.14. Komunikační pravidlo — volba akce


  • Povolit — firewall komunikaci propustí

  • Zakázat — firewall pošle klientovi (iniciátorovi komunikace) řídicí zprávu, že přístup na danou adresu či port je zakázán. Výhodou tohoto způsobu je okamžitá reakce, klient se však dozví o tom, že je komunikace blokována firewallem.

  • Zahodit — firewall bude zahazovat veškeré pakety vyhovující danému pravidlu. Klientovi nebude poslána žádná řídicí zpráva a ten tuto situaci vyhodnotí jako síťovou chybu. Odezva klienta není v tomto případě okamžitá (klient určitou dobu čeká na odpověď, poté se případně snaží navázat spojení znovu atd.), existence firewallu mu však zůstane skryta.

Poznámka: Na základě výše popsaných skutečností doporučujeme při omezování lokálních uživatelů v přístupu na Internet používat volbu Zakázat, při blokování přístupu z Internetu naopak volbu Zahodit.

Překlad

Způsob překladu zdrojové nebo cílové IP adresy (případně obou).

Překlad zdrojové IP adresy (NAT — sdílení internetového připojení)

Překlad zdrojové adresy (NAT — Network Address Translation) se též nazývá maskování IP adresy nebo sdílení internetového připojení. V odchozích paketech z lokální sítě do Internetu se zdrojová (privátní) IP adresa nahrazuje adresou rozhraní připojeného do Internetu. Celá lokální síť má tak transparentní přístup do Internetu, ale navenek se jeví jako jeden počítač.

Překlad zdrojové adresy se používá v komunikačních pravidlech, která se aplikují na komunikaci z lokální privátní sítě do Internetu. V ostatních pravidlech (komunikace mezi lokální sítí a firewallem, mezi firewallem a Internetem apod.) nemá překlad zdrojové adresy smysl. Podrobnější informace včetně příkladů pravidel naleznete v kapitole 7.4  Základní typy komunikačních pravidel.

Pro překlad zdrojové adresy nabízí WinRoute tyto možnosti:

Automatický výběr IP adresy
Komunikační pravidlo — NAT — automatický výběr adresy

Obrázek 7.15. Komunikační pravidlo — NAT — automatický výběr adresy


Ve výchozím nastavení bude v paketech odesílaných z lokální sítě do Internetu nahrazena zdrojová IP adresa IP adresou internetového rozhraní firewallu, přes které je paket odesílán. Tento způsob překladu IP adres je optimální pro použití v obecném pravidle pro přístup z lokální sítě do Internetu (viz kapitola 7.4  Základní typy komunikačních pravidel), protože funguje správně při libovolné konfiguraci internetového připojení a stavu jednotlivých linek (podrobnosti viz kapitola 6  Internetové připojení).

Pokud WinRoute pracuje v režimu rozložení zátěže internetového připojení (viz kapitola 6.4  Rozložení zátěže internetového připojení), můžeme zvolit způsob, jakým bude komunikace mezi lokální sítí a Internetem „rozdělována“ mezi jednotlivé internetové linky:

  • Rozložení podle zdrojových počítačů — veškerá komunikace z konkrétního počítače (klienta) v lokální síti bude směrována vždy toutéž internetovou linkou. Všechna spojení z daného klienta budou navázána ze stejné zdrojové IP adresy (veřejné adresy příslušného rozhraní firewallu). Tento způsob je nastaven jako výchozí, protože zaručuje stejné chování jako v případě klienta připojeného přímo do Internetu. Rozložení zátěže mezi jednotlivé linky však nemusí být optimální.

  • Rozložení podle spojení — pro každé spojení navazované z lokální sítě do Internetu bude vybrána internetová linka tak, aby zátěž byla rozložená optimálně. Tento způsob zajišťuje maximální využití kapacity internetového připojení, může však docházet k problémům s některými službami. Jednotlivá spojení jsou totiž navazována z různých zdrojových IP adres (podle rozhraní, ze kterého byl paket z firewallu odeslán), což může server vyhodnotit jako útok a v důsledku toho ukončit relaci, blokovat komunikaci apod.

Je-li použit jiný typ internetového připojení (jedna pevná linka, vytáčení na žádost nebo zálohované připojení), nemají tyto volby na činnost WinRoute žádný vliv.

Tip

Pro maximální využití kapacity připojení můžeme použít kombinaci obou způsobů rozložení zátěže. V obecném pravidle pro přístup z lokání sítě do Internetu použijeme rozložení podle spojení a přidáme pravidlo pro specifické služby (servery, klienty apod.), ve kterém bude použito rozložení zátěže podle počítačů. Viz též kapitola 7.4  Základní typy komunikačních pravidel.

Překlad na adresu vybraného rozhraní

Pro NAT můžeme vybrat konkrétní rozhraní, na jehož IP adresu bude zdrojová adresa v odchozích paketech překládána. Tím je zároveň dáno, že pakety budou do Internetu odesílány právě přes tuto linku. Takto lze definovat pravidla pro odesílání určité komunikace přes vybrané rozhraní — tzv. policy routing — viz kapitola 7.5  Policy routing.

Komunikační pravidlo — NAT — překlad na adresu vybraného rozhraní

Obrázek 7.16. Komunikační pravidlo — NAT — překlad na adresu vybraného rozhraní


Pokud by došlo k výpadku vybrané internetové linky, pak by pro komunikaci vyhovující tomuto pravidlu (specifické služby, klienti apod.) byl Internet nedostupný. Pro ošetření této situace je možné povolit použití jiného rozhraní (linky) při výpadku vybrané linky. WinRoute se pak bude po dobu trvání výpadku chovat stejně jako v případě automatického výběru rozhraní (viz výše).

Překlad na zadanou IP adresu

Pro NAT může být zadána IP adresa, která bude použita jako zdrojová adresa ve všech paketech odesílaných z lokální sítě do Internetu. Tato možnost slouží především pro zachování kompatibility se staršími verzemi WinRoute. Použití pevné IP adresy má však značná omezení:

  • Je nutné použít IP adresu některého z internetových rozhraní firewallu. Při použití jiné adresy (či dokonce lokální privátní adresy) nebude překlad IP adres fungovat správně a pakety odeslané do Internetu budou zahazovány.

  • Ze zřejmých důvodů nelze specifickou IP adresu použít v režimech zálohování internetového připojení a rozložení zátěže.

Komunikační pravidlo — NAT — překlad na zadanou IP adresu

Obrázek 7.17. Komunikační pravidlo — NAT — překlad na zadanou IP adresu


Full cone NAT

Při všech způsobech překladu IP adres je možné nastavit režim povolení příchozích paketů z libovolné adresy — tzv. Full cone NAT.

Je-li tato volba vypnuta, pak WinRoute provádí tzv. Port restricted cone NAT. V odchozích paketech z lokální sítě do Internetu zamění zdrojovou IP adresu za veřejnou IP adresu příslušného rozhraní firewallu (viz výše). Pokud je to možné, zachová původní zdrojový port, v opačném případě přidělí jiný volný zdrojový port. V příchozím směru pak propustí pouze pakety vyslané ze stejné IP adresy a portu, na který byl odeslán odchozí paket. Tento způsob překladu zaručuje vysokou bezpečnost — firewall nepropustí do lokální sítě žádný paket, který není odpovědí na vyslaný požadavek.

Řada aplikací (zejména programy pro multimédia, internetovou telefonii — VoIP apod.) však často používá model komunikace, kdy se k portu „otevřenému“ odchozím paketem mohou připojit další klienti pro navázání přímého spojení. Proto WinRoute podporuje také režim Full cone NAT, kde neplatí uvedené omezení pro příchozí pakety. Na daném portu jsou pak propouštěny příchozí pakety s libovolnou zdrojovou IP adresou a portem. Tento způsob překladu umožňuje provozovat v privátní síti aplikace, které by za normálních okolností fungovaly omezeně nebo nefungovaly vůbec.

Příklad použití Full cone NAT pro VoIP aplikace naleznete v kapitole 7.8  Použití Full cone NAT.

Upozornění

Použití Full cone NAT představuje značné bezpečnostní riziko — k portu otevřenému odchozím spojením je povolen přístup bez omezení. Z tohoto důvodu doporučujeme povolovat Full cone NAT pouze pro konkrétní službu (pro tento účel vytvoříme speciální komunikační pravidlo).

V žádném případě nepovolujte Full cone NAT v obecném pravidle pro komunikaci z lokální sítě do Internetu[4]! Takové pravidlo by znamenalo výraznou degradaci zabezpečení lokální sítě.

Poznámka:

  1. Starší verze WinRoute (do verze 6.3.1 včetně) prováděly tzv. symetrický překlad (Symmetric NAT), kdy byl každému odchozímu spojení na firewallu přidělen nový zdrojový port z vyhrazeného rozsahu. Z tohoto důvodu poskytuje WinRoute od verze 6.4.0 výrazně lepší podporu VoIP a multimediálních aplikací než předchozí verze, i bez speciálních komunikačních pravidel. Oba způsoby překladu jsou stejně bezpečné — liší se pouze způsobem přiřazování zdrojových portů na firewallu.

  2. Způsob překladu IP adres použitý od verze 6.4.0 (tj. Port restricted cone NAT) umožňuje také použití protokolu IPSec. Speciální podpora pro IPSec, obsažená ve starších verzích WinRoute, již není potřeba.

Překlad cílové adresy (mapování portů)

Překlad cílové adresy (též mapování portů) slouží ke zpřístupnění služby běžící na počítači v privátní lokální síti z Internetu. Pokud příchozí paket vyhovuje daným podmínkám, je cílová adresa zaměněna a paket směrován na příslušný počítač. Tímto způsobem bude služba „přenesena“ na internetové rozhraní počítače s WinRoute (resp. na IP adresu, z níž je mapována). Z pohledu klienta v Internetu služba běží na IP adrese, ze které je mapována (tzn. obvykle na veřejné IP adrese firewallu).

Nastavení překladu cílové adresy (mapování portů):

Komunikační pravidlo — překlad cílové adresy

Obrázek 7.18. Komunikační pravidlo — překlad cílové adresy


  • Nepřekládat — cílová adresa zůstane nezměněna.

  • Překládat na — IP adresa, na níž má být cílová adresa paketu změněna. Tato adresa je zároveň adresou počítače, kde daná služba skutečně běží.

    Do položky Překládat na lze rovněž uvést DNS jméno cílového počítače. V tom případě zjistí WinRoute příslušnou IP adresu DNS dotazem.

    Upozornění

    Nedoporučujeme zadávat jména počítačů, pro které neexistuje záznam v lokálním DNS. Do zjištění odpovídající IP adresy je totiž příslušné pravidlo neaktivní, což může mít za následek dočasnou nefunkčnost mapované služby.

  • Překládat port na — při záměně cílové adresy může být zaměněn i port dané služby. Služba tedy může fyzicky běžet na jiném portu, než na kterém je dostupná z Internetu.

    Poznámka: Tuto volbu je možné použít jen v případě, je-li v položce Služba komunikačního pravidla uvedena pouze jedna služba a tato služba používá pouze jeden port nebo jeden rozsah portů.

Příklady nastavení komunikačních pravidel pro mapování portů naleznete v kapitole 7.4  Základní typy komunikačních pravidel.

Záznam

O komunikaci, která vyhověla tomuto pravidlu, lze provést záznam následujícím způsobem:

Komunikační pravidlo — záznam paketů a/nebo spojení

Obrázek 7.19. Komunikační pravidlo — záznam paketů a/nebo spojení


  • Zaznamenat odpovídající pakety — veškeré pakety, které vyhoví tomuto pravidlu (propuštěné, odmítnuté či zahozené — v závislosti na typu akce v pravidle) budou zaznamenány do záznamu Filter.

  • Zaznamenat odpovídající spojení — všechna spojení vyhovující tomuto pravidlu budou zaznamenána do záznamu Connection (pouze v případě povolujícího pravidla). Jednotlivé pakety v rámci těchto spojení se již nezaznamenávají.

    Poznámka: U zakazujících a zahazujících pravidel nelze zaznamenávat spojení (k vytvoření spojení nedojde).

Následující dva sloupce jsou ve výchozím nastavení okna Komunikační pravidla skryté (nastavení zobrazovaných sloupců viz kapitola 3.2  Nastavení pohledů):

Platí v

Časový interval, ve kterém má pravidlo platit. Mimo tento časový interval se WinRoute chová tak, jako by pravidlo neexistovalo.

Speciální volba vždy vypíná časové omezení pravidla (v okně Komunikační pravidla se nezobrazuje).

V okamžiku začátku platnosti zakazujícího pravidla a v okamžiku skončení platnosti povolujícího pravidla jsou ihned ukončena všechna aktivní síťová spojení vyhovující příslušnému pravidlu.

Inspekční modul

Volba inspekčního modulu, který má být aplikován na komunikaci vyhovující pravidlu. Možnosti jsou následující:

Komunikační pravidlo — výběr inspekčního modulu

Obrázek 7.20. Komunikační pravidlo — výběr inspekčního modulu


  • Výchozí — na komunikaci vyhovující tomuto pravidlu budou aplikovány všechny potřebné inspekční moduly, případně inspekční moduly služeb uvedených v položce Služba.

  • Žádný — nebude aplikován žádný inspekční modul (bez ohledu na to, jak jsou definovány služby použité v položce Služba).

  • Jiný — výběr konkrétního inspekčního modulu, který má být aplikován na komunikaci popsanou tímto pravidlem (k dispozici jsou všechny inspekční moduly, které WinRoute obsahuje). Na danou komunikaci nebude aplikován žádný další inspekční modul, bez ohledu na nastavení služeb v položce Služba.

    Tuto volbu doporučujeme používat, pouze pokud komunikační pravidlo popisuje protokol, pro který je inspekční modul určen. Použití nesprávného inspekčního modulu může způsobit nefunkčnost dané služby.

    Další informace naleznete v kapitole 7.7  Vyřazení inspekčního modulu pro určitou službu.

Poznámka: Je-li v definici pravidla použita konkrétní služba (viz položka Služba), doporučujeme v položce Inspekční modul ponechat volbu Výchozí (inspekční modul je již zahrnut v definici služby).



[4] Typicky pravidlo NAT vytvořené Průvodcem komunikačními pravidly — viz kapitola 7.1  Průvodce komunikačními pravidly.