7.4  Základní typy komunikačních pravidel

Komunikační pravidla ve WinRoute nabízejí poměrně široké možnosti filtrování síťového provozu a zpřístupnění služeb. V této kapitole uvedeme příklady komunikačních pravidel řešících standardní situace. Podle těchto příkladů můžete snadno vytvořit sadu pravidel pro vaši konkrétní síťovou konfiguraci.

Překlad IP adres (NAT)

Překlad IP adres (též sdílení internetového připojení) znamená záměnu zdrojové (privátní) IP adresy v paketu jdoucím z lokální sítě do Internetu za IP adresu vnějšího rozhraní počítače s WinRoute. Tato technika se používá pro připojení lokální privátní sítě k Internetu prostřednictvím jedné veřejné IP adresy.

Příslušné komunikační pravidlo může vypadat následovně:

Typické komunikační pravidlo pro překlad IP adres (sdílení internetového připojení)

Obrázek 7.21. Typické komunikační pravidlo pro překlad IP adres (sdílení internetového připojení)


Zdroj

Skupina rozhraní Důvěryhodné / lokální. Tato skupina obsahuje všechny segmenty lokální sítě připojené přímo k firewallu. Pokud nemá být z některých segmentů povolen přístup do Internetu, je nevhodnější zařadit příslušné rozhraní do skupiny Ostatní rozhraní.

Je-li lokální síť tvořena kaskádními segmenty (tzn. obsahuje další směrovače), není třeba to v pravidle zohledňovat — pouze je nutné správně nastavit směrování (viz kapitola 18.1  Směrovací tabulka).

Cíl

Skupina rozhraní Internet. S použitím této skupiny je pravidlo univerzálně použitelné pro libovolný typ internetového připojení (viz kapitola 6  Internetové připojení) a ani v případě změny internetového připojení není nutné pravidlo měnit.

Služba

Tato položka může být použita ke globálnímu omezení přístupu do Internetu. Budou-li v pravidle pro překlad IP adres uvedeny konkrétní služby, pak bude překlad fungovat pouze pro tyto služby a ostatní služby v Internetu budou z lokální sítě nepřístupné.

Akce

Musí být nastavena na Povolit (jinak by byla komunikace blokována a překlad adres by již neměl žádný smysl).

Překlad

V sekci Překlad zdrojové adresy stačí vybrat volbu Výchozí nastavení — pro NAT se použije primární IP adresa rozhraní, přes které paket odchází z počítače s WinRoute. Tím je rovněž zajištěna univerzálnost pravidla — překlad adres bude probíhat vždy správně, bez ohledu na typ internetového připojení a konkrétní linku, přes kterou bude paket odeslán do Internetu.

Upozornění

V sekci Překlad cílové adresy by měla být nastavena volba Nepřekládat, jinak není zaručena zamýšlená funkce pravidla. Kombinace překladu zdrojové i cílové adresy má význam pouze ve speciálních případech.

Umístění pravidla

Pravidlo pro překlad zdrojových adres musí být umístěno pod všemi pravidly, která omezují přístup z lokální sítě do Internetu.

Poznámka: Takto definované pravidlo povoluje přístup do Internetu z počítačů v lokální síti, nikoliv však ze samotného firewallu (tj. počítače, na němž je WinRoute nainstalován)!

Komunikace mezi firewallem a Internetem musí být explicitně povolena samostatným pravidlem. Protože počítač s WinRoute má přímý přístup do Internetu, není nutné použít překlad IP adres.

Pravidlo pro komunikaci firewallu s počítači v Internetu

Obrázek 7.22. Pravidlo pro komunikaci firewallu s počítači v Internetu


Zpřístupnění služby (mapování portů)

Mapování portů zpřístupňuje z Internetu službu na počítači v lokální (zpravidla privátní) síti. Z pohledu klienta tato služba běží na vnější (veřejné) IP adrese počítače s WinRoute.

Od verze 6.4.0 WinRoute umožňuje přístup k mapované službě také z lokální sítě. Odpadají tedy komplikace s různými DNS záznamy pro Internet a lokální síť.

Komunikační pravidlo pro mapování portů může být definováno následovně:

Komunikační pravidlo pro zpřístupnění lokálního WWW serveru z Internetu

Obrázek 7.23. Komunikační pravidlo pro zpřístupnění lokálního WWW serveru z Internetu


Zdroj

K mapované službě se mohou připojovat klienti jak z Internetu, tak z lokální sítě. Z tohoto důvodu je možné v položce Zdroj ponechat hodnotu Libovolný (případně můžeme uvést všechny relevantní skupiny rozhraní nebo jednotlivá rozhraní — např. Internet a LAN).

Cíl

Počítač s WinRoute, tj. speciální rozhraní Firewall.

Takto bude služba přístupná na všech adresách rozhraní připojeného do Internetu. Chceme-li službu zpřístupnit na konkrétní IP adrese, použijeme volbu Počítač a zadáme požadovanou IP adresu (viz příklad pro multihoming).

Služba

Služby, které mají být zpřístupněny. Službu lze vybrat ze seznamu předdefinovaných služeb (viz kapitola 14.3  Služby) nebo zadat přímo protokolem a číslem portu.

V tomto poli mohou být uvedeny všechny služby, které běží na jednom počítači. Pro zpřístupnění služeb z jiného počítače je třeba vytvořit nové komunikační pravidlo.

Akce

Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování portů by nemělo žádný smysl).

Překlad

V sekci Překlad cílové adresy (mapování portů) zvolte Překládat na tuto IP adresu a uveďte IP adresu počítače v lokální síti, kde služba běží.

Volbou Překládat port na je možné mapovat službu na jiný port, než na kterém je služba přístupná z Internetu.

Upozornění

V sekci Překlad zdrojové adresy musí být nastavena volba Nepřekládat! Kombinace překladu zdrojové i cílové adresy má význam pouze ve speciálních případech.

Poznámka: Pro správnou funkci mapování portů je nutné, aby počítač, na němž mapovaná služba běží, měl nastavenu výchozí bránu na počítač s WinRoute. Bez splnění této podmínky nebude mapování fungovat.

Umístění pravidla

Jak již bylo zmíněno, k mapovaným službám je možné přistupovat i z lokální sítě. Při přístupu z lokální sítě se navazuje spojení z lokální (privátní) IP adresy na IP adresu v Internetu (veřejnou IP adresu firewallu). Pokud by pravidlu pro mapovanou službu předcházelo pravidlo povolující přístup z lokální sítě do Internetu, paket by na základě tohoto pravidla byl směrován do Internetu a následně zahozen. Z tohoto důvodu doporučujeme všechna pravidla pro mapované služby umisťovat vždy na začátek tabulky komunikačních pravidel.

Poznámka: Existují-li samostatná pravidla omezující přístup k mapovaným službám, musí být tato pravidla umístěna nad vlastními pravidly pro mapování. Zpravidla však lze mapování služby a omezení přístupu zkombinovat do jediného pravidla.

Zpřístupnění služeb na různých IP adresách (multihoming)

Multihoming je označení pro situaci, kdy má síťové rozhraní připojené do Internetu přiřazeno více veřejných IP adres. Typickým požadavkem je, aby na těchto adresách byly nezávisle zpřístupněny různé služby.

Předpokládejme, že v lokální síti běží WWW server web1 na počítači s IP adresou 192.168.1.100 a WWW server web2 s IP adresou 192.168.1.200. Rozhraní připojené do Internetu má přiřazeny veřejné IP adresy 63.157.211.10 a 63.157.211.11. Server web1 má být z Internetu dostupný na IP adrese 63.157.211.10, server web2 na IP adrese 63.157.211.11.

Pro splnění těchto požadavků definujeme ve WinRoute dvě komunikační pravidla:

Multihoming — mapování WWW serverů

Obrázek 7.24. Multihoming — mapování WWW serverů


Zdroj

Libovolný (viz předchozí příklad pro mapování jedné služby).

Cíl

Příslušná IP adresa rozhraní připojeného do Internetu (pro zadání jedné IP adresy slouží volba Počítač).

Služba

Služba, která má být zpřístupněna (v případě WWW serveru služba HTTP).

Akce

Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování portů by nemělo žádný smysl).

Překlad

V sekci Překlad cílové adresy (mapování portů) zvolíme Překládat na tuto IP adresu a zadáme IP adresu odpovídajícího WWW serveru (web1, resp. web2).

Omezení přístupu do Internetu

Velmi častým požadavkem je omezit přístup uživatelů z lokální sítě ke službám v Internetu. Omezení lze provést několika způsoby. V níže uvedených příkladech omezení zajišťuje přímo pravidlo pro překlad IP adres, a to specifikací podmínky, kdy má být překlad prováděn. Není třeba definovat žádné další pravidlo — implicitní pravidlo bude blokovat veškerou komunikaci, která těmto podmínkám nevyhoví.

Další způsoby omezování přístupu budou zmíněny v sekci Výjimky (viz níže).

Poznámka: Pravidla uvedená v těchto příkladech mohou být také použita, jestliže je WinRoute nasazen jako tzv. neutrální směrovač (tj. směrovač bez překladu IP adres) — pouze v položce Překlad nebude žádný překlad definován.

  1. Povolení přístupu pouze k vybraným službám. V pravidle pro překlad IP adres uvedeme v položce Služba pouze služby, které mají být povoleny.

    Sdílení internetového připojení — povolení přístupu pouze k vybraným službám

    Obrázek 7.25. Sdílení internetového připojení — povolení přístupu pouze k vybraným službám


  2. Omezení dle IP adres. Přístup k určitým službám (případně kompletní přístup do Internetu) bude povolen pouze z vybraných počítačů. V položce Zdroj definovaného pravidla uvedeme skupinu IP adres, ze kterých bude přístup do Internetu povolen. Tuto skupinu je třeba nejprve definovat v sekci Konfigurace → Definice → Skupiny (viz kapitola 15.5  Skupiny uživatelů).

    Povolení přístupu do Internetu pouze pro vybranou skupinu IP adres

    Obrázek 7.26. Povolení přístupu do Internetu pouze pro vybranou skupinu IP adres


    Poznámka: Definice pravidel tohoto typu je vhodná pouze v případě, že každý uživatel má svůj vlastní počítač (uživatelé se u počítačů nestřídají) a tyto počítače mají přiřazeny statické IP adresy.

  3. Omezení dle uživatelů. V tomto případě firewall kontroluje, zda z počítače, odkud komunikace přichází, je přihlášen určitý uživatel. Podle toho komunikaci povolí či zakáže.

    Povolení přístupu do Internetu pouze vybrané skupině uživatelů

    Obrázek 7.27. Povolení přístupu do Internetu pouze vybrané skupině uživatelů


    Nejjednodušší variantou tohoto omezení je pravidlo povolující přístup do Internetu pouze přihlášeným uživatelům. Internet tak bude dostupný všem uživatelům, kteří mají ve WinRoute uživatelský účet. Správce firewallu pak má detailní přehled o tom, kam kteří uživatelé přistupují a jaké služby využívají (anonymní přístup není možný).

    Povolení přístupu do Internetu pouze ověřeným uživatelům

    Obrázek 7.28. Povolení přístupu do Internetu pouze ověřeným uživatelům


    Podrobné informace o přihlašování uživatelů k firewallu naleznete v kapitole 10.1  Ověřování uživatelů na firewallu.

Poznámka:

  1. Výše uvedená pravidla lze různým způsobem kombinovat — např. povolit skupině uživatelů přístup do Internetu pouze k vybraným službám.

  2. Použití uživatelských účtů a skupin uživatelů v komunikačních pravidlech má určitá specifika. Touto problematikou se podrobně zabývá kapitola 7.6  Použití uživatelských účtů a skupin v komunikačních pravidlech.

Výjimky

Při omezování přístupu do Internetu může vzniknout požadavek, aby k určité službě byl povolen přístup pouze vybrané skupině uživatelů či IP adres. Všem ostatním uživatelům (resp. ze všech ostatních IP adres) má být přístup k této službě zakázán.

Jako příklad uvedeme povolení přístupu na servery v Internetu pomocí služby Telnet skupině uživatelů. Pro splnění tohoto požadavku definujeme dvě pravidla:

  • První pravidlo povolí službu Telnet vybrané skupině uživatelů (resp. skupině IP adres apod.).

  • Druhé pravidlo zakáže přístup k této službě všem ostatním uživatelům.

Výjimka — povolení služby Telnet pouze vybrané skupině uživatelů

Obrázek 7.29. Výjimka — povolení služby Telnet pouze vybrané skupině uživatelů