Перед тем как рассказать, как настраивать пакетный фильтр межсетевого экрана Aker, полезно пояснить, как описывать правила в обычном пакетном фильтре.
Существуют несколько возможных параметров при фильтрации пакетов. Наиболее простой является адресная фильтрация; она состоит в сравнении адресов в пакете с адресами, прописанными в правилах. Если адреса совпадают, пакет пропускается. Это сравнение производится следующим образом:
Рассмотрим следующее правило: все хосты сети 10.1.x.x могут взаимодействовать с хостами сети 10.2.x.x. Запишем это правило, используя нотацию, приведенную в главе 5 Регистрация объектов Мы имееем:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ------- Источник ------ -----Назначение -----
Теперь применим правило к пакету, который отправлен от хоста 10.1.1.2 к хосту 10.3.7.7. Наложим маску к обоим адресам - адресу в правиле и адресу в пакете. Затем проверим, одинаковы ли адреса источника и назначения. В результате будем иметь:
Для адреса источника:
10.1.0.0 И 255.255.0.0 = 10.1.0.0 (для правила) 10.1.1.2 И 255.255.0.0 = 10.1.0.0 (для пакета)
После применения маски оба адреса совпадают. Проверим теперь адрес назначения:
10.2.0.0 И 255.255.0.0 = 10.2.0.0 (для правила) 10.3.7.7 И 255.255.0.0 = 10.3.0.0 (для пакета)
Так как адреса назначения пакета и правила после применения маски не совпадают, то это правило не должно применяться к данному пакету.
Эта операция выполняется по всему списку адресов и масок источника и назначения до достижения конца списка или до тех пор, пока пакет не будет удовлетворять одному из правил. Список правил имеет следующий формат:
10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0
Кроме адресов источника и назначения, каждый IP пакет заключает в себе информацию об используемых протоколе и сервисе.