Читайте также: |
|
Пропускание пакета.
Вернемся к лабораторной сети, показанной на рис. 1, и рассмотрим несколько примеров создания фильтров.
Сначала, не создавая никаких фильтров, введем на маршрутизаторе Under-Server команду netsh routing ip show filter, отображающую все фильтры, имеющиеся на данном маршрутизаторе:
C:\>netsh routing ip show filter
Входящие Исходящие По требованию Фрагментирование Интерфейс
-------- ------------ ------------- ---------------- -----------------
0 <Forward> 0 <Forward> 0 <Forward> Запрещено Замыкание на себя
0 <Forward> 0 <Forward> 0 <Forward> Запрещено Сеть 2
0 <Forward> 0 <Forward> 0 <Forward> Запрещено Сеть 1
Как видно, по умолчанию никаких фильтров не создано. Forward означает, что все пакеты пропускаются. В случае создания фильтра он будет отбрасывать пакеты, соответствующие заданным в нем условиям.
Изменим настройку входного фильтра по умолчанию для интерфейса “Сеть 2”, введя на маршрутизаторе Under-Server следующую команду:
C:\>netsh routing ip set filter name=“Сеть 2” filtertype=input action=drop
Проверим результат действия этой команды, отобразив фильтры маршрутизатора Under-Server:
C:\>netsh routing ip show filter
Входящие Исходящие По требованию Фрагментирование Интерфейс
-------- ------------ ------------- ---------------- -----------------
0 <Forward> 0 <Forward> 0 <Forward> Запрещено Замыкание на себя
0 <Drop> 0 <Forward> 0 <Forward> Запрещено Сеть 2
0 <Forward> 0 <Forward> 0 <Forward> Запрещено Сеть 1
Drop в первом столбце означает, что все IP-пакеты, поступающие на интерфейс “Сеть 2” маршрутизатора Under-Server, будут отбрасываться. Если создать на этом интерфейсе входной фильтр, то все пакеты, соответствующие заданным в нем условиям, будут пропускаться.
Во всех представленных ниже примерах предполагается, что любой создаваемый фильтр изначально имеет настройку по умолчанию, т.е. пропускает все пакеты, кроме пакетов, соответствующих заданным в нем условиям.
Пример 1. Требуется запретить доступ к сети 3 (с адресом 192.168.15.0) из сети 1 (с адресом 192.168.10.0).
Создать соответствующий фильтр можно, в принципе, как на маршрутизаторе Over-Server, так и на маршрутизаторе Under-Server. Однако рекомендуется создавать фильтры как можно ближе к источнику запрещаемого трафика, чтобы запрещаемый трафик не занимал сетевые ресурсы на своем пути к пункту назначения. Исходя из этого правила, фильтр (входной) нужно создать на интерфейсе “Сеть 1” маршрутизатора Under-Server, введя на нем следующую команду:
C:\>netsh routing ip add filter name=“Сеть 1” filtertype=input srcaddr=192.168.10.0 srcmask=255.255.255.0 dstaddr=192.168.15.0 dstmask=255.255.255.0 proto=any
При вводе команд можно не указывать названия параметров. Тогда данная команда будет иметь следующий вид:
C:\>netsh routing ip add filter “Сеть 1” input 192.168.10.0 255.255.255.0 192.168.15.0 255.255.255.0 any
Пример 2. Требуется разрешить доступ к сети 2 (с адресом 192.168.0.0) только хосту Notebook (с адресом 192.168.10.4).
В данном примере нужно создать выходной фильтр на интерфейсе “Сеть 2” маршрутизатора Under-Server, введя на этом маршрутизаторе следующие команды:
C:\>netsh routing ip set filter “Сеть 2” output drop
C:\>netsh routing ip add filter “Сеть 2” output 192.168.10.4 255.255.255.255 192.168.0.0 255.255.255.0 any
Первая команда устанавливает интерфейс “Сеть 2” маршрутизатора Under-Server в режим отбрасывания всех исходящих через этот интерфейс IP-пакетов, т.е. после ввода этой команды маршрутизатор Under-Server не сможет передавать через свой интерфейс “Сеть 2” (с адресом 192.168.0.3) никаких IP-пакетов (как своих, так и от хоста Notebook). Вторая команда создает на интерфейсе “Сеть 2” маршрутизатора Under-Server выходной фильтр, который будет пропускать через этот интерфейс пакеты только от хоста Notebook (с адресом 192.168.10.4), предназначенные только для узлов сети 192.168.0.0 (при рассмотрении лаборатной сети – для узла Over-Server). Следовательно, хост Notebook не сможет передавать пакеты в сеть 192.168.15.0, а маршрутизатор Under-Server не сможет передавать через свой интерфейс “Сеть 2” вообще никаких IP-пакетов, источником которых он является. Таким образом, если в лабораторной сети используется протокол маршрутизации RIP, то RIP-сообщения с маршрутной информацией от маршрутизатора Under-Server пропускаться в сеть 192.168.0.0 не будут, и в таблице маршрутизации маршрутизатора Over-Server не будет записи о маршруте к сети 192.168.10.0. В результате при использовании протокола RIP успешное выполнение на хосте Notebook команды ping 192.168.0.1 будет невозможно, так как маршрутизатор Over-Server не сможет вернуть эхо-ответ из-за того, что не будет знать маршрута к сети 192.168.10.0. Отсюда можно сделать следующий вывод: если в сети используется протокол маршрутизации RIP, то при создании “разрешающих” фильтров (как в данном примере) нужно создать также фильтр, который будет пропускать пакеты RIP-сообщений с маршрутной информацией. В противном случае передача маршрутной информации будет невозможна. Как было указано выше, RIP-сообщения помещаются в дейтаграммы UDP, которые посылаются с интерфейса маршрутизатора и его UDP-порта 520 по широковещательному IP-адресу непосредственно подключенной сети и предназначены для UDP-порта назначения 520. Таким образом, чтобы в данном примере маршрутизатор Under-Server мог передавать RIP-сообщения в сеть 192.168.0.0, нужно ввести на нем дополнительно следующую команду:
C:\>netsh routing ip add filter “Сеть 2” output 192.168.0.3 255.255.255.255 192.168.0.255 255.255.255.255 udp 520 520
Выше отмечалось, что для отображения всех фильтров, имеющихся на маршрутизаторе, можно использовать команду netsh routing ip show filter. Если же нужно просмотреть содержимое фильтра (фильтров) на конкретном интерфейсе маршрутизатора, то следует использовать команду netsh routing ip show filter “Имя интерфейса”. Проверим результат действия этой команды, введя ее на маршрутизаторе Under-Server после создания фильтров для примера 2:
C:\>netsh routing ip show filter “Сеть 2”
Сведения об интерфейсе для интерфейса Сеть 2
-------------------------------------------------------
Тип фильтра: OUTPUT
Действие по умолчанию: DROP
Адрес Маска Адрес Маска Протокол Исх. Порт
источника источника назначения назначения порт назн.
----------------------------------------------------------------------------------
192.168.10.4 255.255.255.255 192.168.0.0 255.255.255.0 ANY 0 0
192.168.0.3 255.255.255.255 192.168.0.255 255.255.255.255 UDP 520 520
Если в условиях примера 2 требуется разрешить доступ к сети 192.168.15.0 узлам Under-Server и Notebook, то следует добавить на интерфейсе “Сеть 2” маршрутизатора Under-Server еще два соответствующих фильтра. В частности, чтобы разрешить доступ к сети 192.168.15.0 узлу Under-Server, нужно дополнительно ввести на нем следующую команду:
C:\>netsh routing ip add filter “Сеть 2” output 192.168.0.3 255.255.255.255 192.168.15.0 255.255.255.0 any
Чтобы разрешить доступ к сети 192.168.15.0 узлу Notebook, нужно дополнительно ввести на узле Under-Server следующую команду:
C:\>netsh routing ip add filter “Сеть 2” output 192.168.10.4 255.255.255.255 192.168.15.0 255.255.255.0 any
Пример 3. Требуется запретить доступ к службе Telnet узла Over-Server с узла Under-Server и из сети 1 (с адресом 192.168.10.0).
При создании фильтров необходимо иметь в виду, что обращение к службе Telnet осуществляется по протоколу Telnet, который использует на транспортном уровне протокол TCP и порт назначения 23. Можно создать фильтры на маршрутизаторе Over-Server. Однако лучше создать их на маршрутизаторе Under-Server, чтобы запрещаемый трафик не поступал напрасно в сеть 2. Таким образом, нужно ввести на маршрутизаторе Under-Server следующие команды:
C:\>netsh routing ip add filter “Сеть 1” input 192.168.10.0 255.255.255.0 192.168.0.1 255.255.255.255 tcp 0 23
C:\>netsh routing ip add filter “Сеть 1” input 192.168.10.0 255.255.255.0 192.168.15.75 255.255.255.255 tcp 0 23
C:\>netsh routing ip add filter “Сеть 2” output 192.168.0.3 255.255.255.255 192.168.0.1 255.255.255.255 tcp 0 23
C:\>netsh routing ip add filter “Сеть 2” output 192.168.0.3 255.255.255.255 192.168.15.75 255.255.255.255 tcp 0 23
Первая команда создает на интерфейсе “Сеть 1” маршрутизатора Under-Server входной фильтр, запрещающий доступ к службе Telnet узла Over-Server через его интерфейс с адресом 192.168.0.1 из сети 192.168.10.0. Вторая команда создает на интерфейсе “Сеть 1” маршрутизатора Under-Server входной фильтр, запрещающий доступ к службе Telnet узла Over-Server через его интерфейс с адресом 192.168.15.75 из сети 192.168.10.0. Третья команда создает на интерфейсе “Сеть 2” маршрутизатора Under-Server выходной фильтр, запрещающий доступ к службе Telnet узла Over-Server через его интерфейс с адресом 192.168.0.1 от интерфейса с адресом 192.168.0.3 маршрутизатора Under-Server. Четвертая команда создает на интерфейсе “Сеть 2” маршрутизатора Under-Server выходной фильтр, запрещающий доступ к службе Telnet узла Over-Server через его интерфейс с адресом 192.168.15.75 от интерфейса с адресом 192.168.0.3 маршрутизатора Under-Server.
Пример 4. При предположении, что на компьютере узла Over-Server реализован сервер DNS, требуется создать фильтр, который разрешал бы обращаться из лабораторной сети к узлу Over-Server только при условии, что обращение осуществляется к серверу DNS этого узла и только от хоста Notebook (с адресом 192.168.10.4).
При создании фильтра необходимо иметь в виду, что протокол DNS использует на транспортном уровне протокол UDP и для него зарезервирован UDP-порт 53. В данном примере нужно создать входной фильтр на интерфейсе “Сеть 2” маршрутизатора Over-Server, введя на этом маршрутизаторе следующие команды:
C:\>netsh routing ip set filter “Сеть 2” input drop
C:\>netsh routing ip add filter “Сеть 2” input 192.168.10.4 255.255.255.255 192.168.0.1 255.255.255.255 udp 0 53
Первая команда устанавливает интерфейс “Сеть 2” маршрутизатора Over-Server в режим отбрасывания всех входящих через этот интерфейс IP-пакетов, т.е. после ввода этой команды маршрутизатор Over-Server не сможет принимать через свой интерфейс “Сеть 2” (с адресом 192.168.0.1) никаких IP-пакетов. Вторая команда создает на интерфейсе “Сеть 2” маршрутизатора Over-Server входной фильтр, который будет пропускать через этот интерфейс только пакеты протокола UDP от хоста Notebook (с адресом 192.168.10.4), предназначенные для UDP-порта 53 узла с адресом 192.168.0.1, т.е. узла Over-Server.
Чтобы узел Over-Server мог ответить хосту Notebook на запрос DNS, он должен знать маршрут к сети 192.168.10.0. Если в лабораторной сети используется протокол маршрутизации RIP, то для выполнения названного требования нужно создать на интерфейсе “Сеть 2” маршрутизатора Over-Server еще один фильтр, который будет пропускать на этот маршрутизатор пакеты RIP-сообщений с маршрутной информацией от маршрутизатора Under-Server, т.е. нужно ввести на узле Over-Server дополнительно следующую команду:
C:\>netsh routing ip add filter “Сеть 2” input 192.168.0.3 255.255.255.255 192.168.0.255 255.255.255.255 udp 520 520
Созданные на интерфейсе “Сеть 2” маршрутизатора Over-Server фильтры можно просмотреть, введя на этом маршрутизаторе следующую команду:
C:\>netsh routing ip show filter “Сеть 2”
Сведения об интерфейсе для интерфейса Сеть 2
-------------------------------------------------------
Тип фильтра: INPUT
Действие по умолчанию: DROP
Адрес Маска Адрес Маска Протокол Исх. Порт
источника источника назначения назначения порт назн.
----------------------------------------------------------------------------------
192.168.10.4 255.255.255.255 192.168.0.1 255.255.255.255 UDP 0 53
192.168.0.3 255.255.255.255 192.168.0.255 255.255.255.255 UDP 520 520
Следует иметь в виду, что после создания этих фильтров узел Over-Server не будет пропускать в сеть 192.168.15.0 никаких IP-пакетов от узлов Under-Server и Notebook. Чтобы в условиях примера 4 узел Over-Server предоставлял доступ в сеть 192.168.15.0 узлам Under-Server и Notebook, нужно создать на интерфейсе “Сеть 2” узла Over-Server соответствующие фильтры. В частности, чтобы разрешить доступ к сети 192.168.15.0 узлу Under-Server, нужно дополнительно ввести на узле Over-Server следующую команду:
C:\>netsh routing ip add filter “Сеть 2” input 192.168.0.3 255.255.255.255 192.168.15.0 255.255.255.0 any
Чтобы разрешить доступ к сети 192.168.15.0 узлу Notebook, нужно дополнительно ввести на узле Over-Server следующую команду:
C:\>netsh routing ip add filter “Сеть 2” input 192.168.10.4 255.255.255.255 192.168.15.0 255.255.255.0 any
В заключение отметим, что для того, чтобы создаваемые фильтры работали, в операционной системе Windows должна быть запущена служба “Маршрутизация и удаленный доступ”. В системе Windows 2000 Server эта служба по умолчанию запускается автоматически, а в системе Windows XP по умолчанию ее нужно запустить вручную.
Дата добавления: 2015-07-25; просмотров: 44 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Dstport | | | Данные объективного обследования больного |