A tűzfal és a NAT finomhangolása

A probléma kiküszöbölése az útválasztók által rendelkezésre bocsátott szolgáltatások segítségével lehetséges.

A virtuális kiszolgáló a kisirodai és az otthoni routerek, így a cikksorozatban használt D-Link DIR-655 olyan szolgáltatása, amelynek segítségével meghatározható, hogy a nyilvános IP-címre (amit a szolgáltatótól kaptunk a kapcsolódáskor) érkező kérések melyik belső számítógépre továbbítódjanak, azaz a külső IP-cím különböző portjait, kapuit irányíthatjuk át a belső hálózat meghatározott gépeinek meghatározott kapuira. A szaknyelvben ezt kaputovábbításnak (port forwarding) hívják. Az eszköz webfelületének ADVANCED lapján található VIRTUAL SERVER menüpontra kattintva érhetjük el a beállításokat. Itt adható meg a külső kapu száma, a használni kívánt protokoll, az időzítés, esetleg, hogy melyik külső gépekről fogadjon csak el csomagokat, illetve, hogy mely belső gép melyik kapujára továbbítsa azokat az útválasztó.

A leggyakrabban használt kiszolgálók, alkalmazások (HTTP, FTP, DNS, SMTP) szerepelnek a listában, kiválasztás esetén a program automatikusan kitölti az adatmezőket, ami után nincs más teendő, mint a belső gép IP-címének megadása. Sajnálatos kivétel, hogy a gyakran használt SSH nincs benne ebben a listában, ezért azt külön létre kell hozni (lásd táblázat) a ritkábban használatos szolgáltatásokhoz hasonlóan.

A belső hálózat gépeit nemcsak a címfordítás, a NAT, de egy tűzfal is védi, amely megakadályozza a kívülről jövő kapcsolatok felépítését. Tudni kell, hogy a kaputovábbítással a tűzfalat “kilyuggatjuk”, ugyanis az erre a kapura érkező kérések automatikusan a belső hálózat gépére továbbítódnak, függetlenül a tartalomtól. Minden más esetben a befelé jövő válaszok az eszköz tűzfalán mennek keresztül, amely megvizsgálja, hogy valós, belső gép által kezdeményezett adatkapcsolathoz tartozik-e, s ha igen átengedi, ha nem, akkor visszautasítja. Csakhogy néhány alkalmazást úgy írtak meg, hogy a logikailag belülről kezdeményezett kapcsolat felépítése során fizikailag kívülről kezdeményezett kapcsolattal válaszol, s ilyenkor a tűzfal elutasítja a továbbításukat. Ilyenkor a tűzfal meghatározott kapuit meg kell nyitni. Az alkalmazásszabályok lényege pontosan ez: a megnevezett alkalmazás számára kinyithatók a szükséges kapuk. A folyamatosan nyitott kapuk azonban biztonsági rést jelentenek, ezért a kapuk csak a kifelé történő kapcsolatkezdeményezés esetén nyílnak meg. Meghatározható úgynevezett trigger (eseményt kiváltó) kapu vagy tartomány is, amelyen ha kimenő adatot érzékel az eszköz, kinyitja a megadott portot, portokat.

A beállítások az eszköz webfelületének ADVANCED lapján található APPLICATION RULES menüpont alatt érhetők el. Megadható, hogy mely protokollokra – TCP, UDP vagy mindkettő – legyen érvényes a szabály. Nem adható meg azonban, hogy melyik gépre érvényes a szabály, az ugyanis automatikusan a teljes belső hálózatra vonatkozik. Az “Application name” legördőlű menüben is található néhány előre megadott alkalmazás, amelyet kiválasztva kitöltődnek a szükséges adatok. Innen puskázhatók ki, hogy hogyan lehet beállítani egy szabályt olyan alkalmazásra, amelyik nem szerepel a listában.

A fenti szabályok megadása gyengíti az otthoni hálózatunk biztonságát, ezért a D-Link szerkezete lehetőséget nyújt a befelé kommunikáló gépek körének leszűkítésére. Ehhez hozzáférési (engedélyező és tiltó) listák határozhatók meg a befutó adatok szűrése szolgáltatás segítségével, a cikksorozatban már korábban említett weboldalszűrőhöz hasonlóan. Különböző tartományokat tartalmazó tiltó és megengedő szabályok hozhatók létre, így az adott kaputovábbítás vagy tűzfalnyitás csak azon gépek esetében lesz (vagy épp nem lesz) érvényes, amelyeket az itt megadott szabályban rögzítettünk.

A kaputovábbításA virtuális kiszolgáló szolgáltatás esetében egyetlen kaput lehet egy belső IP-cím valamelyik kapujára továbbítani, ahol a külső és belső kapuk száma eltérhet egymástól. Például a nyilvános, vagy más néven a külső IP-cím 8080-as kapuja átirányítható egy belső gép 80-as vagy bármelyik kapujára. A kaputovábbítás funkció az eszközben ezzel szemben több TCP-, UDP-kaput vagy kaputartományt tud a megadott belső gép ugyanazon kapujára, kaputartományára továbbítani. A beállítások az eszköz webfelületének ADVANCED lapján található PORT FORWARDING menüpontra kattintva érhetők el. Az előbbihez képest annyi a különbség, hogy itt TCP- és UDP-kapukat kell megadni. Az „Application name” lehulló menüben számtalan játék, alkalmazás beállításai megtalálhatók, kiválasztás után csak a belső gép IP-címét kell megadni. Ezek a szabályok arra használhatók, hogy a kétirányú online kapcsolatot igénylő játékok, alkalmazások számára lehetőséget biztosítsanak az adatátvitelre. Tipikusan ilyenek az online játékok és néhány alkalmazás, például a fájlcserélő BitTorrent.

SSH beállításaName SSH.

Public port 22.

Traffic Type TCP.

IP Address az sshd-t futtató belső gép IP-címe.

Private Port 22.

A beállítások mentése után a kaputovábbítás aktív.

Megjegyzés: Ha az általunk használni kívánt protokoll nem szerepel a listában, válasszuk az „Other” menüpontot, és az alatta lévő beviteli mezőben adjuk meg a protokoll számát, amelyet az http://www.iana.org/assignments/protocol-numbers weblapról olvashatunk le.