Para configurar filtros de reencaminhamento de pacotes no servidor BorderManager através da filtragem dinâmica de pacotes, defina apenas os filtros necessários para permitir que tipos específicos de tráfego externo para destinos específicos passem pelo servidor BorderManager.

A filtragem dinâmica de pacotes acompanha os pacotes que saem cuja passagem foi autorizada e permitem apenas o retorno dos pacotes de resposta correspondentes. Quando o primeiro pacote é transmitido para a rede pública (Internet), um filtro invertido é criado de forma dinâmica. Para ser considerado uma resposta, o pacote que chega deve partir do mesmo host e da mesma porta a que o pacote externo foi enviado originalmente.

A filtragem dinâmica de pacotes monitora cada conexão e cria uma exceção de filtro temporário (com tempo limitado) para a conexão interna. Isso permite bloquear o tráfego que chega de determinado endereço e número de porta, permitindo ainda o tráfego de retorno desses mesmos endereço e número de porta.

Se você deseja configurar filtros dinâmicos de reencaminhamento de pacotes para rotear o tráfego externo que passa pelo servidor BorderManager, siga estes passos:

1. No prompt do console do servidor, digite

   LOAD FILTCFG

   É apresentado o menu Filter Configuration Available Options (Opções Disponíveis de Configuração de Filtro).

2. Selecione Configure Interface Options (Configurar Opções Interface) e pressione Enter.

3. Selecione uma interface na lista e pressione Tab para alternar entre Public (Pública) e Private (Privada).

   Qualquer interface da lista pode ser designada como pública (externa) ou privada (interna).

4. Pressione Esc e, em seguida, selecione o seguinte caminho de menu:

   Configure TCP/IP Filters (Configurar Filtros TCP/IP) > Packet Forwarding Filters (Filtros de Reencaminhamento de Pacotes)

   A janela apresentada deve ser semelhante à seguinte:

   Figura 2-1. Janela Packet Forwarding Filters (Filtros de Reencaminhamento de Pacotes)
   

5. Se o status for Desabilitado, pressione Enter, selecione Habilitado e pressione Enter novamente.

   Todos os filtros TCP/IP configurados são ativados imediatamente.

6. Se a ação selecionada for Permit Packets in Filter List (Permitir Pacotes na Lista de Filtros), pressione Enter, selecione Deny Packets in Filter List (Negar Pacotes na Lista de Filtros) e pressione Enter novamente.

   Os pacotes que corresponderem aos tipos indicados na lista de filtros não serão reencaminhados pelo servidor BorderManager.

7. Selecione Filtros e pressione Enter para apresentar a lista de filtros.

   Um configuração de filtro padrão durante a instalação bloqueia todos os pacotes IP que chegam da interface pública.

8. Selecione Exceptions (Exceções) e pressione Enter para apresentar a lista de exceções.

   Uma configuração de filtro de exceção padrão durante a instalação permite a transmissão de todos os pacotes IP externos para a interface pública.

   Outros filtros de exceção permitem a entrada, através da interface pública, dos seguintes tipos de pacote:

   • Dynamic TCP (TCP Dinâmico) --- portas TCP de 1024 a 65535.
   • Dynamic UDP (UDP Dinâmico) --- portas UDP de 1024 a 65535.
   • VPN Master/Slave (Master/Slave da VPN) (IPX/TCP) --- porta TCP 213.
   • VPN Client Authentication (Autenticação do Cliente VPN) --- porta TCP 353.
   • VPN Keep-Alive --- porta UDP 353.
   • VPN SKIP (Simple Key Management for Internet Protocol) (SKIP (Simple Key Management for Internet Protocol) da VPN)
     Protocol 57 (Protocolo 57).
   • Cache Proxy da Web (WWW-HTTP) --- porta TCP 80.

9. Pressione Ins para definir um novo filtro de exceção para reencaminhamento de pacotes externos.

   É apresentada a janela Define Exception (Definir Exceção), que se assemelha à seguinte:

   Figura 2-2. Janela Define Exception (Definir Exceção)
   

10. Selecione Source Interface Type (Tipo da Interface de Origem) e, em seguida, pressione Enter.

11. Em Source Interface Type (Tipo da Interface de Origem), selecione Interface e pressione Enter.

12. Selecione Interface de Origem e, em seguida, pressione Enter.

13. Em Interface de Origem, selecione All Interfaces (Todas as Interfaces) e pressione Enter.

14. Selecione Destination Interface Type (Tipo da Interface de Destino) e, em seguida, pressione Enter.

15. Em Destination Interface Type (Tipo da Interface de Destino), selecione Interface e pressione Enter.

16. Selecione Interface de Destino e, em seguida, pressione Enter.

17. Em Interface de Destino, selecione a interface pública do servidor BorderManager e pressione Enter.

18. Selecione Tipo de Pacote e, em seguida, pressione Enter.

    É apresentada a janela Defined TCP/IP Packet Types (Tipos de Pacote TCP/IP Definidos). Selecione qualquer um dos seguintes filtros dinâmicos de reencaminhamento de pacotes predefinidos:

    Nome	Tipo de Pacote	Tipo de Transporte	Destination Port (Porta de Destino)	Stateful Filtering (Filtragem Dinâmica)
    dns/tcp-st	DNS	TCP	53	Habilitado
    dns/udp-st	DNS	UDP	53	Habilitado
    ftp-pasv-st	FTP	TCP	21	FTP_PASV
    ftp-port-st	FTP	TCP	21	FTP_PORT
    ftp-port-pasv-st	FTP	TCP	21	Habilitado
    ping-st	PING	ICMP	N/D	Habilitado
    smtp-st	SMTP	TCP	25	Habilitado
    telnet-st	Telnet	TCP	23	Habilitado
    www-http-st	HTTP	TCP	80	Habilitado
    www-https-st	HTTPS	TCP	443	Habilitado

19. (Opcional) Pressione Ins se quiser definir um novo tipo de pacote para o filtro.

    É apresentada a janela Define TCP/IP Packet Type (Definir Tipo de Pacote TCP/IP), que se assemelha à seguinte:

    Figura 2-3. Janela Define TCP/IP Packet Type (Definir Tipo de Pacote TCP/IP)
    

    Se você deseja definir um novo tipo de pacote TCP/IP para utilizar a filtragem dinâmica, siga estes subpassos:

    1. Digite um nome para o novo tipo de pacote e pressione Enter.

    2. Digite o ID do protocolo (de 0 a 255) ou pressione Ins para selecioná-lo em uma lista de protocolos (IP, ICMP, TCP ou UDP).

    3. Digite uma Source Port (Porta de Origem) (ou uma faixa de Source Ports (Portas de Origem)) e, em seguida, pressione Enter.

    4. Digite uma Destination Port (Porta de Destino) (ou uma faixa de Destination Ports (Portas de Destino)) e, em seguida, pressione Enter.

    5. Selecione ACK Bit Filtering (Filtragem de Bits ACK) e, em seguida, pressione Enter.

    6. Selecione Desabilitado e, em seguida, pressione Enter.

       NOTA: A filtragem dinâmica de pacotes é um superconjunto da filtragem de bits ACK. No entanto, não podem ser configuradas no mesmo filtro.

    7. Selecione Stateful Filtering (Filtragem Dinâmica) e, em seguida, pressione Enter.

    8. Selecione Habilitado e, em seguida, pressione Enter.

    9. Selecione Comentários e digite uma breve descrição do filtro que está configurando para referência futura.

    10. Pressione Esc para gravar o novo tipo de pacote TCP/IP.

20. Pressione Enter para selecionar o tipo de pacote configurado e retornar à janela Define Exception (Definir Exceção).

21. Selecione Src Addr Type (Tipo de End de Origem) e, em seguida, pressione Enter.

22. Selecione o tipo de endereço de origem (Any Address, Host, or Network (Qualquer Endereço, Host ou Rede) e, em seguida, pressione Enter.

23. Se necessário, digite o endereço IP adequado no formato decimal pontilhado e, em seguida, pressione Enter.

24. Selecione Dest Addr Type (Tipo End Dest) e, em seguida, pressione Enter.

25. Selecione o tipo de endereço de destino (Any Address, Host, Multicast ou Network (Qualquer Endereço, Host, Multicast ou Rede)) e, em seguida, pressione Enter.

26. Se necessário, digite o endereço IP adequado no formato decimal pontilhado e, em seguida, pressione Enter.

27. Selecione Registrando e, em seguida, pressione Enter.

28. Selecione Habilitado se quiser registrar a ação desse filtro. Caso contrário, selecione Desabilitado e, em seguida, pressione Enter.

29. Selecione Comentários e pressione Enter.

30. Digite uma breve descrição do filtro e pressione Esc.

31. Quando solicitado, selecione Sim para gravar o filtro configurado e, em seguida, pressione Enter.

    A lista de exceções é apresentada com o novo filtro listado como um dos tipos de pacote sempre permitidos. A origem deverá ser listada como aquela selecionada e o destino deverá ser a interface pública do servidor BorderManager.

    Esse tipo de filtro de exceção, com a filtragem dinâmica de pacotes habilitada, cria automaticamente um filtro invertido de tempo limitado correspondente para permitir o recebimento de respostas ao tráfego externo, impedindo o acesso de intrusos à rede interna.