图7-9 添加规则控制块示例-a
b.添加由192.168.1.2发送的数据包穿过防火墙的规则。
在如图7-9窗口中单击其中的‘添加’按钮,则弹出如图7-3所示的窗口用来添加规则中各项详细的属性,填写其中的项:
图7-3 添加规则中的详细属性
- 名称,定义此条规则的名称,可以为inbound,表示数据包进入防火墙。
- 描述,对规则更详细的名称描述,可以定义为ip packet inbound firewall。
- 源地址、源地址掩码:数据包是由192.168.1.2地址发送的,所以此处192.168.1.2的地址作为源地址,因为是标识一台主机,所以其地址掩码为255.255.255.255。
- 源端口:源端主机可以使用任何端口访问目的主机的21端口,所以这里填写任意端口,用0表示。
- 源端口操作:选择!=(不等于),与源端口配合,表示任意不等于0的端口。
- 目的地址与目的地址掩码:尽管此条规则表明数据包是到达防火墙的过程,但其最终的目的地址为192.168.112.8,所以目的地址应该填写192.168.112.8,地址掩码仍然用255.255.255.255用来表示是一台主机。
- 目的端口:规则中已详细说明,此规则描述了访问目的地址192.168.112.8的ftp端口,所以应该填写21。
- 目的端口操作:它与目的端口共同限制端口,因为这里使用的端口明确,ftp端口是确定的,为‘=21’,所以这里源端口操作的运算符是‘=’。
- 接口名:如图7-8的箭头所示,此规则定义的步骤数据包是通过网络接口卡eth1的,所以这里填写eth1。
- 网卡安全标志:此项参数和接口名相匹配,指明网卡的安全标识,因为eth1处于安全网卡中的lan区域,所以这里填写lan。
- 路由设定:数据包是穿过防火墙,而不是只发送到防火墙,防火墙这时起到路由的作用,所以选择route。
- 方向:数据包传送到防火墙,其方向是进入防火墙,所以为inbound。
- 隧道标识:可以不填。
- 记录日志:选择记录日志,这里从下拉菜单中选中yes即可。
- 源路由:选择reject,拒绝数据包选择源路由。这是系统默认的参数,建议使用。
- 允许片报:选择frag_no,同样是系统默认值。
- 操作:选择接受(accept),即允许符合上述个条件的数据包通过。
