Configurar exceções de filtros de pacotes externos

Como os filtros padrão não permitem automaticamente que alguns tipos de pacotes atravessem o firewall, talvez também seja necessário habilitar exceções de filtros para serviços como o DNS (Domain Name System), o e-mail ou o FTP.

Os tipos de pacotes definidos pelo sistema permitem que você configure as exceções de filtro de pacote dinâmico para os seguintes serviços:

Com a filtragem dinâmica de pacotes, você só precisa definir as exceções que permitem que tipos de tráfego externo específicos seguindo para destinos específicos sejam reencaminhados pelo servidor Novell® BorderManagerTM. A filtragem dinâmica de pacotes monitora cada conexão e cria uma exceção de filtro temporário (com tempo limitado) para a conexão interna. Isso permite que você bloqueie o tráfego que chega de um endereço e número de porta específico e, ao mesmo tempo, permite o tráfego de retorno do mesmo endereço e número de porta.

Os filtros de pacotes dinâmicos acompanham os pacotes que saem, cuja passagem foi autorizada, e permitem apenas o retorno dos pacotes de resposta correspondentes. Quando o primeiro pacote é transmitido para a rede pública (Internet), um filtro invertido é criado de forma dinâmica. Para ser considerado uma resposta, o pacote que chega precisa partir do mesmo host e da mesma porta a que o pacote externo foi enviado originalmente.

Para configurar exceções de reencaminhamento de pacotes dinâmicos para reencaminhar o tráfego externo que passa pelo servidor BorderManager, execute os seguintes passos:

  1. No prompt do console do servidor, digite:

    LOAD FILTCFG

  2. No menu Opções disponíveis de configuração de filtros, selecione Configurar opções de interface e pressione Enter.

  3. Na lista, selecione uma interface e pressione Tab para alternar entre Pública e Privada.

    Qualquer interface da lista pode ser designada como pública (externa) ou privada (interna).

  4. Pressione Esc e selecione Configurar filtros TCP/IP > Filtros de reencaminhamento de pacotes.

    A janela apresentada precisa ser semelhante à seguinte:

    Figura 1
    Janela Filtros de Reencaminhamento de Pacotes

  5. Faça o seguinte:

    • Se o status for Desabilitado, pressione Enter, selecione Habilitado e pressione Enter novamente. Todos os filtros TCP/IP configurados são ativados imediatamente.
    • Se a ação for Permitir pacotes na lista de filtros, pressione Enter, selecione Negar pacotes na lista de filtros e pressione Enter novamente. Os pacotes que corresponderem aos tipos indicados na lista de filtros não serão reencaminhados pelo servidor BorderManager.

  6. Selecione Filtros e pressione Enter para exibir a lista de filtros.

    Um configuração de filtro padrão durante a instalação bloqueia todos os pacotes IP que chegam da interface pública.

  7. Pressione Esc.

  8. Selecione Exceções e pressione Enter para exibir a lista de exceções.

    Uma exceção de filtro padrão configurada durante a instalação permite que todos os pacotes IP externos sejam roteados pela interface pública.

    Outras exceções de filtro permitem a passagem dos seguintes tipos de pacotes internos pela interface pública:

    • Autenticação SSL (Secure Sockets Layer) --- porta TCP 443.
    • TCP Dinâmico --- portas TCP de 1024 a 65535.
    • UDP Dinâmico --- portas UDP de 1024 a 65535.
    • Master/Slave da VPN (IPX/TCP) --- porta TCP 213.
    • Autenticação do Cliente VPN --- porta TCP 353.
    • Atividade da VPN --- porta UDP 353.
    • SKIP (Simple Key Management for Internet Protocol) da VPN
      Protocolo 57.
    • Cache proxy da Web (WWW-HTTP) --- porta TCP 80.

    NOTA:  Embora as exceções de filtros padrão permitam o reencaminhamento de alguns pacotes relativos à VPN, as exceções da VPN padrão não permitem o roteamento de pacotes criptografados de um membro da VPN para outro. Os filtros para os túneis da VPN precisam ser atualizados sempre que você configurar um servidor VPN. Para obter maiores informações, consulte Completar a configuração avançada, a configuração e o gerenciamento de tarefas e o Capítulo 6, Configurar VPNs (Virtual Private Networks) na página 87.

  9. Pressione Ins para definir uma nova exceção de filtro de reencaminhamento de pacotes externos.

    É apresentada a janela Definir Exceção, que se assemelha à seguinte:

    Figura 2
    Janela Definir Exceção

  10. Selecione Tipo de interface de origem e pressione Enter.

  11. Selecione Interface ou Grupo da Interface e pressione Enter.

  12. Selecione Interface de Origem e pressione Enter.

  13. Selecione o grupo da interface ou a interface privada do servidor BorderManager e pressione Enter.

  14. Se você selecionou uma interface WAN no Passo 13, selecione Circuito de Origem e pressione Enter para definir as seguintes informações de circuito que se aplicam à interface:

  15. Selecione Tipo de interface de destino e pressione Enter.

  16. Selecione Interface ou Grupo da Interface e pressione Enter.

  17. Selecione Interface de Destino e pressione Enter.

  18. Selecione o grupo da interface ou a interface pública do servidor BorderManager e pressione Enter.

  19. Se você selecionou uma interface WAN no Passo 18, selecione Circuito de Destino e pressione Enter para definir as seguintes informações de circuito que se aplicam à interface:

  20. Selecione Tipo do pacote e pressione Enter.

    É apresentada a janela Tipos de Pacote TCP/IP Definidos. Selecione qualquer um dos seguintes filtros dinâmicos de reencaminhamento de pacotes predefinidos:

    Nome Tipo do Pacote Tipo de Transporte Porta de destino Filtragem Dinâmica

    dns/tcp-st

    DNS

    TCP

    53

    Habilitada

    dns/udp-st

    DNS

    UDP

    53

    Habilitada

    ftp-pasv-st

    FTP

    TCP

    21

    FTP_PASV

    ftp-port-st

    FTP

    TCP

    21

    FTP_PORT

    ftp-port-pasv-st

    FTP

    TCP

    21

    Habilitada

    ping-st

    PING

    ICMP

    N/D

    Habilitada

    pop3-st

    Correio POP3

    TCP

    110

    Desabilitado

    smtp-st

    SMTP

    TCP

    25

    Habilitada

    telnet-st

    Telnet

    TCP

    23

    Habilitada

    www-http-st

    HTTP

    TCP

    80

    Habilitada

    www-https-st

    HTTPS

    TCP

    443

    Habilitada

  21. Em Tipo de end. de origem, selecione Qualquer endereço, Host ou Rede.

    Você precisa selecionar Qualquer endereço, a menos que queira que a exceção seja válida somente para uma rede ou um host específico na rede privada.

  22. Se você selecionou Host ou Rede no Passo 21, selecione Endereço IP de Origem e digite o endereço do host ou da rede. Caso contrário, pule para o Passo 23.

  23. Em Tipo de end. de destino, selecione Qualquer endereço, Host ou Rede.

    Você precisa selecionar Qualquer endereço, a menos que queira que a exceção seja válida somente para pacotes endereçados a uma rede ou host específico fora da rede privada.

  24. Se você selecionou Host ou Rede no Passo 23, selecione Endereço IP de Destino e digite o endereço do host ou da rede. Caso contrário, pule para o Passo 25.

  25. (Opcional) Em Registro, pressione Enter e mude o status de Desabilitado para Habilitado.

  26. (Opcional) Digite um comentário no campo Comentário descrevendo o objetivo do filtro. Pressione Esc e selecione Yes (Sim) para gravar o filtro. Pressione Esc até ser solicitado a sair do FILTCFG.

IMPORTANTE:  Se você habilitou o registro de uma exceção de filtro no Passo 25, deverá habilitar também o registro global para TCP/IP. O registro global e o registro para a exceção de filtro específica precisam estar habilitados para que o registro ocorra.