图7-10 配置包过滤规则的各项参数示例-b
单击‘确定’按钮,则一条规则添加成功。将会弹出如图7-11所示窗口,可以发现此窗口同7-9相似,只是在规则中添加了一条新的规则,其名称为inbound。
图7-11 规则控制块中添加一条新规则
通过此规则详细说明了数据包的传送过程和限制:允许来自192.168.1.2主机的数据包通过lan区域的安全网卡eth1穿过防火墙访问192.168.112.8主机21端口。
c. 添加穿过防火墙的数据包发送到192.168.112.8主机21端口的规则。添加了从192.168.1.2穿过防火墙的规则后,会回到图7-11的窗口界面,继续单击窗口中的‘添加’按钮,则弹出如图7-3的窗口添加穿过防火墙的数据包继续发送至主机192.168.112.821端口的规则。在窗口界面中填写下面的项:
- 名称,定义此条规则的名称,可以为outbound,表示数据包从防火墙发送出来。
- 描述,对规则更详细的名称描述,可以定义为ip packet outbound firewall。
- 源地址、源地址掩码:这里请注意,尽管数据包是穿过防火墙,从防火墙发送出来,但数据包是由192.168.1.2地址最初发送的,所以此处192.168.1.2的地址仍作为源地址,所以其地址掩码仍为255.255.255.255。
- 源端口:仍然为任意端口,用0表示。
- 源端口操作:仍然选择!=(不等于),与源端口配合,表示任意不等于0的端口。
- 目的地址与目的地址掩码:最终的目的地址为192.168.112.8,所以应该目的地址应该填写192.168.112.8,地址掩码仍然用255.255.255.255用来表示是一台主机。
- 目的端口:端口不变,应该填写21。
- 目的端口操作:同样为‘=21’,所以这里目的端口操作的运算符是‘=’。
- 接口名:如图7-8的箭头所示,此条规则定义的步骤是数据包穿过防火墙后,由防火墙将数据包发送到目的地,其经过的网络接口卡为eth0,所以这里填写eth0。
- 网卡安全标志:同样此项参数和接口名相匹配,指明网卡的安全标识,因为eth0属于非安全网卡,所以这里填写unsec。
- 路由设定:数据包是由防火墙发出,通过防火墙主机传送数据包,并且要传送到其他主机,其目的地为远端,所以选择route。
- 方向:数据包从防火墙传送到外部网络,其方向是由防火墙流出,所以为outbound。
- 隧道标识:仍然可以不填,留做vpn使用。
