14.3  Služby

ve WinRoute usnadňují definici komunikačních pravidel (povolení či zakázání přístupu z lokální sítě do Internetu nebo naopak zpřístupnění lokálního serveru z Internetu). Zjednodušeně lze říci, že služba je definována komunikačním protokolem a číslem portu, na kterém je přístupná (např. služba HTTP používá protokol TCP, port 80). K vybraným službám lze rovněž přiřadit inspekční modul (detaily viz dále).

Služby se definují v sekci Konfigurace → Definice → Služby. Ve výchozí instalaci WinRoute je zde již předdefinována řada standardních služeb (např. HTTP, FTP, DNS atd.).

Síťové služby ve WinRoute

Obrázek 14.5. Síťové služby ve WinRoute


Stisknutím tlačítka Přidat nebo Změnit se otevírá dialog pro definici služby.

Definice síťové služby

Obrázek 14.6. Definice síťové služby


Jméno

Identifikace služby v rámci WinRoute. Z důvodu přehlednosti by jméno mělo být stručné a výstižné.

Popis

Textový popis definované služby. Doporučujeme popisovat důsledně význam každé definice, zejména pokud se jedná o nestandardní služby — ušetříte si mnoho času a námahy při pozdějším odhalování chyb či předávání WinRoute jinému správci.

Protokol

Komunikační protokol, který služba používá.

Většina standardních služeb používá protokol TCP nebo UDP, případně oba (lze definovat jako jednu službu pomocí volby TCP/UDP). Další volby jsou ICMP (internetové řídicí zprávy) a jiný.

Volba jiný dovoluje specifikovat protokol jeho číslem v hlavičce IP paketu. Takto lze definovat libovolný protokol nesený v IP (např. GRE — číslo protokolu 47).

Nastavení protokolu v definici služby

Obrázek 14.7. Nastavení protokolu v definici služby


Inspekční modul

Inspekční modul WinRoute (viz dále), který bude použit pro tuto službu.

Upozornění

Každý modul by měl být používán pouze pro službu, pro kterou je určen. Použití nesprávného modulu pravděpodobně způsobí nefunkčnost dané služby.

Zdrojový a cílový port

Je-li použit komunikační protokol TCP a/nebo UDP, pak je daná služba určena číslem cílového portu. Předpokládáme-li standardní model klient-server, server čeká na spojení na známém portu (číslo odpovídá dané službě), zatímco klient svůj port předem nezná (bude mu přidělen operačním systémem při navazování spojení). Z toho vyplývá, že u standardních služeb je zpravidla znám cílový port, zatímco zdrojový může být (téměř) libovolný.

Poznámka: Specifikace zdrojového portu může mít význam např. při definici pravidla pro filtrování určitého typu komunikace. Podrobnosti najdete v kapitole 7.3  Definice vlastních komunikačních pravidel.

Zdrojový a cílový port lze specifikovat jako:

Nastavení zdrojového a cílového portu v definici služby

Obrázek 14.8. Nastavení zdrojového a cílového portu v definici služby


  • Libovolný — všechny porty (1-65535)

  • Rovná se — konkrétní port (např. 80)

  • Větší než, Menší než — všechny porty s číslem větším, resp. menším než je zadáno

  • Různý od — všechny porty kromě uvedeného

  • V rozsahu — porty v zadaném rozsahu (včetně počátečního a koncového)

  • Seznam — seznam portů oddělených čárkami (např.: 80,8000,8080)

Inspekční moduly

WinRoute obsahuje speciální moduly, které sledují komunikaci daným aplikačním protokolem (např. HTTP, FTP apod.). Tuto komunikaci pak mohou určitým způsobem modifikovat (filtrovat) nebo přizpůsobit chování firewallu danému protokolu. Činnost inspekčních modulů bude objasněna na dvou jednoduchých příkladech:

  1. Inspekční modul protokolu HTTP sleduje komunikaci klientů (prohlížečů) s WWW servery a může blokovat přístup na určité stránky či stahování některých typů objektů (např. obrázky, reklamy či zvukové soubory).

  2. Při použití FTP v aktivním režimu otevírá datové spojení server zpět na klienta. Za normálních okolností není možné přes firewall (resp. firewall s překladem adres) takovéto spojení navázat a FTP je možné používat pouze v pasivním režimu. Inspekční modul FTP však rozpozná, že se jedná o FTP v aktivním režimu a zajistí otevření příslušného portu a přesměrování spojení na odpovídajícího klienta v lokální síti. Uživatel v lokální síti pak není firewallem omezován a může používat FTP v obou režimech.

Inspekční modul se aktivuje, pokud je uveden v definici služby a příslušná komunikace je povolena. Každý inspekční modul obsluhuje protokol, pro který je určen, a službu, v jejíž definici je použit. Ve výchozí konfiguraci WinRoute jsou všechny dostupné inspekční moduly použity v definici příslušných služeb (a budou tedy automaticky aplikovány na odpovídající komunikaci), s výjimkou inspekčních modulů protokolů pro hlasové služby SIP a H.323 (SIP a H.323 jsou komplexní protokoly a inspekční moduly nemusí v některých konfiguracích fungovat správně).

Chceme-li explicitně aplikovat inspekční modul na jinou komunikaci, musíme buď definovat novou službu s použitím tohoto modulu nebo nastavit inspekční modul přímo v příslušném komunikačním pravidle.

Příklad

Chceme provádět inspekci protokolu HTTP na nestandardním portu 8080. Definujeme novou službu: protokol TCP, port 8080, inspekční modul HTTP. Tím je zajištěno, že na komunikaci protokolem TCP na portu 8080 procházející přes WinRoute bude automaticky aplikován inspekční modul protokolu HTTP.

Poznámka:

  1. Inspekční moduly obecně nelze použít pro zabezpečenou komunikaci (SSL/TLS). V tomto případě WinRoutevidí“ pouze binární data — komunikaci nelze dešifrovat.

  2. V některých případech nemusí být aplikace inspekčního modulu na určitou komunikaci žádoucí. Nastane-li tato situace, je možné příslušný inspekční modul „vyřadit“. Podrobnosti naleznete v kapitole 7.7  Vyřazení inspekčního modulu pro určitou službu.