Pravidla rozšφřenΘho paketovΘho filtru se zobrazujφ v zßložce Pravidla okna Rozšφřen² paketov² filtr.
Pravidla tvořφ uspořßdan² seznam. Při zachycenφ sφťovΘ komunikace se seznam prochßzφ shora dolů a použije se prvnφ pravidlo, kterΘmu danß komunikace vyhovφ. Tlačφtky se šipkami nahoru a dolů v pravΘ čßsti okna nebo klßvesami Ctrl + šipka nahoru, Ctrl + šipka dolů lze pořadφ pravidel v seznamu upravit dle potřeby. Dφky těmto vlastnostem je možno vytvßřet složitějšφ kombinace filtrovacφch pravidel.
Pro zv²šenφ přehlednosti lze pravidla paketovΘho filtru řadit do skupin. Členstvφ ve skupině nemß žßdn² vliv na vyhodnocovßnφ pravidel — vždy jsou prochßzena pravidla ve všech skupinßch. Skupiny pravidel se zobrazujφ v levΘ čßsti zßložky Pravidla.
Po kliknutφ na jmΘno skupiny se ve střednφ čßsti okna zobrazφ seznam pravidel patřφcφch do tΘto skupiny.
Nßsledujφcφ dvě skupiny jsou předdefinovanΘ a nelze je zrušit:
Všechna pravidla („nadřazenß skupina“) — obsahuje všechna pravidla paketovΘho filtru
V²chozφ (v²chozφ skupina) — do tΘto skupiny je automaticky zařazeno každΘ nově vytvořenΘ pravidlo, pokud uživatel nezvolφ jinou skupinu.
Poznßmka: Skupiny pravidel nelze explicitně vytvßřet a rušit. Skupinu lze vytvořit zadßnφm nßzvu novΘ (dosud neexistujφcφ) skupiny při definici pravidla. Zanikß automaticky při odstraněnφ poslednφho pravidla.
K manipulaci s pravidly paketovΘho filtru sloužφ tlačφtka pod seznamem skupin:
Změnit — ·prava vybranΘho pravidla (dialog pro ·pravu pravidla lze takΘ otevřφt dvojit²m kliknutφm myšφ na vybranΘ pravidlo)
Přidat — přidßnφ novΘho pravidla na konec seznamu
Vložit — přidßnφ (vloženφ) novΘho pravidla na aktußlnφ pozici (nad označenΘ pravidlo)
Odebrat — smazßnφ označenΘho pravidla
Poznßmky:
Nenφ-li označeno žßdnΘ pravidlo, je aktivnφ pouze tlačφtko Přidat.
Přidrženφm klßvesy Ctrl nebo Shift lze označit vφce pravidel současně. Takto označenou skupinu pravidel lze pouze přesunout nebo smazat. Tlačφtko Změnit v tomto přφpadě otevře dialog pro změnu prvnφho (hornφho) označenΘho pravidla. Funkce Vložit vložφ novΘ pravidlo nad prvnφ pravidlo skupiny.
Po stisknutφ tlačφtka Přidat, Vložit nebo Změnit se otevře dialog pro definici pravidla paketovΘho filtru. Pravidlo mß tyto parametry:
- Popis
Nßzev/popis pravidla. Do tΘto položky doporučujeme vyplnit stručn² popis pravidla (·čel pravidla, nßzev aplikace atd.) — v²razně se tφm zlepšφ přehlednost seznamu pravidel. Do automaticky vytvßřen²ch pravidel se jako popis vklßdß nßzev lokßlnφ aplikace, kterß se ·častnφ danΘ komunikace.
- Aplikace
Lokßlnφ aplikace, pro kterou pravidlo platφ. Aplikaci lze zadat ručně (jmΘno spustitelnΘho souboru včetně plnΘ cesty), vybrat ze seznamu (při rozbalenφ tΘto položky se nabφdne seznam aplikacφ použit²ch v jin²ch pravidlech) nebo vyhledat na disku počφtače (po stisknutφ tlačφtka Prochßzet... se zobrazφ standardnφ systΘmov² dialog pro otevřenφ souboru).
Filtrovacφ pravidlo může b²t i obecnΘ, tj. bude platit pro libovolnou aplikaci. Toho dosßhneme v²běrem specißlnφ volby any, přφp. ponechßme pole Application prßzdnΘ.
- Skupina
Skupina pravidel, do kterΘ mß b²t pravidlo zařazeno. Zařazenφ do skupiny nemß žßdn² vliv na funkci pravidla, sloužφ pouze pro zpřehledněnφ seznamu pravidel.
V položce Skupina lze vybrat některou z již existujφcφch skupin nebo zadat nßzev novΘ skupiny — tφm dojde k vytvořenφ skupiny, do kterΘ bude pravidlo zařazeno. Při vytvßřenφ novΘho pravidla je vždy nastavena v²chozφ skupina V²chozφ. TotΘž platφ pro pravidla vytvßřenß automaticky (viz v²še nebo kapitola Dialog Upozorněnφ na spojenφ (zachycenφ neznßmΘ komunikace)).
- Zaznamenat do zßznamu Sφť
Zapnutφ/vypnutφ zßznamu komunikace vyhovujφcφ tomuto pravidlu do zßznamu Sφť (viz kapitola Zßznam Sφť).
- Upozornit uživatele
Zapnutφ/vypnutφ zobrazenφ upozorněnφ uživateli (viz kapitola Upozorněnφ na udßlost) při zachycenφ komunikace vyhovujφcφ tomuto pravidlu.
- Protokol
Nastavenφ komunikačnφch protokolů, pro kterΘ mß pravidlo platit. Typicky je při komunikaci použφvßn jeden protokol (např. TCP nebo UDP), některΘ aplikace však mohou využφvat vφce protokolů současně (např. TCP a UDP na stejn²ch portech).
Zůstane-li pole Protocol prßzdnΘ (tj. nezadßme žßdn² komunikačnφ protokol), bude pravidlo platit pro libovoln² komunikačnφ protokol.
Poznßmka: Komunikuje-li aplikace protokolem TCP i UDP, přičemž každ² protokol použφvß jinΘ porty, je třeba v paketovΘm filtru definovat dvě různß pravidla.
Po stisknutφ tlačφtka Přidat nebo Změnit se otevře dialog pro definici protokolu.
Protokol je specifikovßn čφslem protokolu v hlavičce IP paketu. Toto čφslo lze přφmo zadat do položky Čφslo. V položce JmΘno je možno vybrat někter² z předdefinovan²ch standardnφch protokolů.
Položka Popis sloužφ k zadßnφ popisu protokolu (pro zv²šenφ přehlednosti). Zobrazuje se pouze v tomto dialogu.
Při v²běru protokolu ICMP se v dialogu zobrazφ specißlnφ položka K≤dy. V nφ lze nastavit typy ICMP zprßv, pro kterΘ bude pravidlo platit.
Typy zprßv se zadßvajφ jejich čφseln²mi k≤dy (jednotlivΘ k≤dy musφ b²t odděleny čßrkou). Zůstane-li položka K≤dy nevyplněna, bude pravidlo platit pro všechny typy ICMP zprßv.
K snadnΘmu nastavenφ typů ICMP zprßv sloužφ specißlnφ dialog, kter² se zobrazφ stisknutφm tlačφtka Vybrat. V tomto dialogu je možnΘ vybrat požadovanΘ typy ICMP zprßv. Jejich k≤dy budou po stisknutφ tlačφtka OK automaticky dosazeny do položky K≤dy.
- Lokßlnφ
Specifikace lokßlnφ strany spojenφ. Kerio Personal Firewall implicitně použφvß všechny lokßlnφ IP adresy včetně zpětnovazebnφch (loopback). Z tohoto důvodu lze pro lokßlnφ stranu spojenφ specifikovat pouze porty.
Tlačφtkem Přidat lze přidat jeden port (Přidat port) nebo rozsah portů (Přidat rozsah portů). Jednotliv²ch portů i rozsahů portů může b²t zadßno vφce — takto lze pokr²t libovolnou množinu portů.
Port může b²t zadßn čφslem v položce Čφslo (platnΘ jsou pouze hodnoty z rozsahu 1-65535) nebo v²běrem předdefinovanΘ standardnφ služby v položce JmΘno. Položka Popis sloužφ k zadßnφ popisu portu, resp. služby (pro zv²šenφ přehlednosti).
V přφpadě rozsahu portů dialog obsahuje dvě čßsti: Prvnφ port (počßtečnφ port rozsahu) a Poslednφ port (koncov² port rozsahu).
- Vzdßlen²
Specifikace vzdßlenΘ strany spojenφ. Dle potřeby je možno zadat IP adresu, port, přφpadně obojφ. Pravidlo se pak uplatnφ, jestliže zachycen² paket bude obsahovat některou z IP adres a zßroveň někter² z portů uveden²ch v poli Vzdßlen².
Vzdßlen² port může b²t opět zadßn jednotlivě (Přidat port) nebo jako rozsah portů (Přidat rozsah portů).
IP adresa může b²t zadßna jako:
jedna IP adresa (Přidat adresu)
rozsah IP adres (Přidat rozsah adres) — zadßme počßtečnφ a koncovou adresu požadovanΘho rozsahu
subsφť (Přidat adresu / masku) — zadßme adresu subsφtě a odpovφdajφcφ masku
skupina IP adres (Přidat skupinu IP adres) — v položce Vybrat vybereme některou ze skupin IP adres definovan²ch v zßložce Skupiny IP adres
JednotlivΘ možnosti zadßnφ portů a IP adres lze libovolně kombinovat.
- Směr
Směr komunikace, pro kter² mß pravidlo platit: oba směry, přφchozφ komunikace nebo odchozφ komunikace.
Směrem komunikace je v tomto přφpadě mφněn směr navazovßnφ spojenφ (resp. směr prvnφho paketu, kter² zahajuje komunikaci).
- Akce
Akce, kterou mß Kerio Personal Firewall provΘst při zachycenφ komunikace odpovφdajφcφ tomuto pravidlu:
Povolit komunikaci
Zakßzat komunikaci
Při definici filtrovacφho pravidla je třeba znßt logickΘ vztahy mezi jednotliv²mi čßstmi pravidla a položkami v nich obsažen²mi.
Vztah mezi poli Protokol, Lokßlnφ a Vzdßlen² je „a zßroveň“. Pravidlu tedy vyhovφ komunikace, kterß splnφ podmφnky ve všech těchto polφch.
Mezi položkami stejnΘho typu (tj. protokoly, IP adresy a porty) v jednom poli platφ vztah „nebo“.
Přφklad: Pole Vzdßlen² obsahuje dva rozsahy portů: 80-88 a 8000-8080. Podmφnka bude splněna, bude-li vzdßlen² port patřit do jednoho z těchto rozsahů.
Mezi položkami typu „IP adresa“ a „port“ v poli Vzdßlen² platφ vztah „a zßroveň“.
Přφklad: Pole Vzdßlen² obsahuje IP adresu 65.131.55.1 a port 80. Tuto podmφnku splnφ komunikace se vzdßlen²m počφtačem s IP adresou 65.131.55.1 na portu 80.
Položky Protocol, Lokßlnφ a Vzdßlen² spolu ·zce souvisejφ. Při definici filtrovacφch pravidel by měl uživatel dodržovat několik zßkladnφch zßsad:
Porty majφ smysl pouze v přφpadě komunikačnφch protokolů TCP a UDP. U ostatnφch protokolů jsou ignorovßny.
Platφ-li pravidlo pro libovoln² protokol (pole Protokol je prßzdnΘ), pak se porty uplatnφ v přφpadě, kdy je zachycena komunikace protokolem TCP nebo UDP.
Aplikačnφ služba je dßna čφsly portů a protokoly. V dialogu pro definici filtrovacφho pravidla však nßzev služby představuje pouze port — odpovφdajφcφ protokol je třeba doplnit ručně.
Přφklad: Chceme vytvořit pravidlo pro přφchozφ HTTP komunikaci (např. povolit přφstup na WWW server na počφtači, kter² je chrßněn Kerio Personal Firewallem).
V sekci Lokßlnφ přidßme jeden port (Přidat port), zvolφme službu HTTP — tφm se nastavφ port 80.
V sekci Protokol musφme nastavit protokol TCP, kter² služba HTTP použφvß.
Velmi rošφřen² je model komunikace klient-server, kdy server čekß na znßmΘm (dohodnutΘm) portu na přφchozφ spojenφ. Klient při navazovßnφ spojenφ požßdß operačnφ systΘm o přidělenφ volnΘho lokßlnφho portu (kter² nenφ předem znßm). Z toho vypl²vß, že zatφmco port serveru musφ b²t znßm, port klienta může b²t (tΘměř) libovoln².
Tyto skutečnosti je třeba brßt v ·vahu při definici pravidel paketovΘho filtru. Pro ilustraci uveďme dva přφklady:
Přφklad 1: Chceme povolit přφstup k WWW serveru na lokßlnφm počφtači z počφtače s IP adresou 60.80.100.120. Definujeme pravidlo:
Protokol — [6] TCP (služba HTTP využφvß transportnφ protokol TCP)
Lokßlnφ — Port: [80] HTTP (na lokßlnφm počφtači běžφ WWW server)
Vzdßlen² — Address: 60.80.100.120 (na vzdßlenΘm počφtači bude provozovßn klient — WWW prohlφžeč; port předem neznßme, proto v pravidle uvedeme pouze IP adresu)
Přφklad 2: Z lokßlnφho počφtače chceme zakßzat přφstup k WWW serveru s IP adresou 90.80.70.60. Pravidlo definujeme takto:
Protokol — [6] TCP
Lokßlnφ — toto pole ponechßme nevyplněnΘ (port klienta nelze předem určit)
Vzdßlen² — Port: [80] HTTP, Address: 90.80.70.60 (specifikujeme vzdßlen² server)