Köznet végponti routereken előre beállított szűrési szabályok
Az alábbi szabályok 2013. május elejétől kezdve implementálásra kerülnek a végponti routerekben.
Tűzfal szabályokat által érintett szegmensek
A végpontokon a számítógépek 3 szegmens valamelyikébe tartozhatnak: Publikus, Privát, Védett.
A szegmensek leírása:
-
Publikus szegmens: ide javasolt elhelyezni a közvetlen nyilvános szolgáltatásokat nyújtó szervereket, pl. az intézményi web, levelező és e-napló szervert.
-
Privát szegmens: ide javasolt elhelyezni a felhasználói munkaállomásokat, nyomtatókat, olyan belső intézményi szervereket (pl. file szerver) amelyek nem igényelnek külső elérést
-
Védett szegmens: ide olyan olyan kiemelt munkaállomásokat célszerű helyezni, melyek a másik két szegmens felől is védelmet igényelnek
Általános tűzfal szabályok és elvek
A különböző szegmensekbe helyezett berendezésekre különböző tűzfal szabályok érvényesek. Általános szabály, hogy minden szegmensből csak olyan forrás IP című csomag engedélyezett, ami az adott szegmenshez tartozó IP tartományba tartozik.
A Privát és Védett szegmenseken privát IP címek vannak használatban, ez a tény önmagában megakadályozza, hogy az Internetről ezen szegmensek felé kapcsolatot lehessen kezdeményezni.
A felhasználó saját maga további szűréseket végezhet a saját eszközeivel.
Publikus szegmensre érvényes tűzfal szabályok
A Publikus szegmensben publikus IP címek vannak, az Internetről a Publikus szegmens felé a következő típusú adatkapcsolatokat lehet kezdeményezni:
|
protokoll |
cél port |
szolgáltatás |
|
TCP |
80 |
HTTP, WEB |
|
TCP |
443 |
HTTPS |
|
TCP |
25 |
SMTP |
Továbbá engedélyezettek az Internet felől a Publikus szegmens felé a következő típusú ICMP üzenetek: echo, echo-reply, time-exceeded, packet-too-big, unreachable. A Publikus szegmensből az Internet felé engedélyezettek a felsorolt ICMP üzenetekre válaszként küldött ICMP csomagok.
Minden szegmensre érvényes tűzfal szabályok és tiltások
A Publikus, Privát és Védett szegmensekből kifele (az Internet és a többi helyi szegmens felé) a következő szabályok a következő táblázatban vannak összefoglalva. Az engedélyezett forgalomra válaszul (az Internetről, vagy másik helyi szegmensből) kapott csomagok is engedélyezettek.
|
protokoll |
cél port |
cél IP cím |
Szolgáltatás |
státusz |
|
UDP |
53 |
* |
DNS |
ENGEDÉLYEZVE |
|
TCP |
53 |
* |
DNS |
ENGEDÉLYEZVE |
|
* |
* |
193.224.163.0/24 |
NIIF szerverek |
ENGEDÉLYEZVE |
|
* |
* |
195.199.255.33 |
NIIF szerverek |
ENGEDÉLYEZVE |
|
TCP |
7 |
* |
ECHO |
TILTVA |
|
UDP |
7 |
* |
ECHO |
TILTVA |
|
TCP |
9 |
* |
ECHO |
TILTVA |
|
UDP |
9 |
* |
ECHO |
TILTVA |
|
TCP |
12 |
* |
|
TILTVA |
|
UDP |
12 |
* |
|
TILTVA |
|
TCP |
19 |
* |
CHARGEN |
TILTVA |
|
UDP |
19 |
* |
CHARGEN |
TILTVA |
|
UDP |
69 |
* |
TFTP |
TILTVA |
|
TCP |
111 |
* |
SUNRPC |
TILTVA |
|
UDP |
111 |
* |
SUNRPC |
TILTVA |
|
UDP |
161 |
* |
SNMP |
TILTVA |
|
TCP |
135 |
* |
MS EPMAP |
TILTVA |
|
UDP |
137 |
* |
NetBIOS Name Service |
TILTVA |
|
UDP |
138 |
* |
NetBIOS Datagram Service |
TILTVA |
|
TCP |
138 |
* |
NetBIOS Datagram Service |
TILTVA |
|
TCP |
139 |
* |
NetBIOS Session Service |
TILTVA |
|
TCP |
369 |
* |
Rpc2portmap |
TILTVA |
|
UDP |
369 |
* |
Rpc2portmap |
TILTVA |
|
TCP |
445 |
* |
Microsoft-DS Active Directory, Windows shares |
TILTVA |
|
TCP |
512 |
* |
Remote Process Execution |
TILTVA |
|
TCP |
513 |
* |
rlogin |
TILTVA |
|
TCP |
515 |
* |
Line Printer Daemon |
TILTVA |
|
UDP |
515 |
* |
|
TILTVA |
|
TCP |
593 |
* |
HTTP RPC Ep Map |
TILTVA |
|
TCP |
631 |
* |
IPP |
TILTVA |
|
UDP |
631 |
* |
IPP |
TILTVA |
|
TCP |
901 |
* |
Samba Web Administration Tool |
TILTVA |
|
TCP |
1025 |
* |
NFS/IIS/Terradata |
TILTVA |
|
TCP |
1080 |
* |
SOCKS |
TILTVA |
|
TCP |
1433-1434 |
* |
MSSQL |
TILTVA |
|
TCP |
2745 |
* |
|
TILTVA |
|
TCP |
3127-3128 |
* |
|
TILTVA |
|
TCP |
4444 |
* |
I2P HTTP/S proxy |
TILTVA |
|
TCP |
4899 |
* |
Radmin remote administration tool |
TILTVA |
|
TCP |
5000 |
* |
|
TILTVA |
|
TCP |
6129 |
* |
DameWare Remote Control |
TILTVA |
|
TCP |
6588 |
* |
|
TILTVA |
|
TCP |
6777 |
* |
|
TILTVA |
|
TCP |
10080 |
* |
|
TILTVA |
|
TCP |
12345 |
* |
NetBus |
TILTVA |
|
TCP |
17300 |
* |
|
TILTVA |
|
TCP |
20168 |
* |
|
TILTVA |
|
TCP |
27374 |
* |
Sub7 |
TILTVA |
|
TCP |
25 |
* |
SMTP |
ENGEDÉLYEZVE |
|
Minden egyéb |
* |
|
ENGEDÉLYEZVE |
|
Privát és védett szegmens közötti szabályok
Engedélyezett továbbá a Védett szegmensből a Privát szegmens felé kezdeményezett minden adatkapcsolat.
Hogyan lehetséges ettől eltérő tűzfal szabályokat kérni?
Akkor kell a router tűzfalán portnyitást kérni, ha azt akarjuk, hogy a publikus szegmensen elhelyezett fix IP címmel rendelkező szerverünket elérjék kívülről, azaz az Internet felől. Webserver esetén a TCP/80-as (www), és TCP/443-as (https) portokon felül további portok nyitását lehet kérni. Levelező server üzemeltetéséhez a TCP/25-ös (SMTP)-on felül szükséges lehet egyéb portokra a TCP/587 (Submission), a TCP/110-es (POP3), TCP/995 (POP3S) , TCP/993-as (IMAPS) és a TCP/143-as (IMAP) port. FTP server üzemeltetéséhez szükséges portok a TCP/20-as és TCP/21-es. SSH szerver üzemeltetéséhez szükséges port a TCP/22-es. A fent szereplő tiltott portokat nyitását a felhasználó érdekében jelenleg nem engedéyezzük. Az eltérő szabályokat az ügyfélszolgálaton kell kérni.