Routerofiltry

W pierwszym odruchu możesz uznać, że zarówno przekierowanie portów, jak i VPN czy - o zgrozo! - kontrola rodzicielska nie są przydatnymi funkcjami routera. Bardzo szybko się jednak przekonasz, że ułatwiają życie.


W pierwszym odruchu możesz uznać, że zarówno przekierowanie portów, jak i VPN czy - o zgrozo! - kontrola rodzicielska nie są przydatnymi funkcjami routera. Bardzo szybko się jednak przekonasz, że ułatwiają życie.

Trzy opisane poniżej metody kształtowania ruchu powinny przydać się w niewielkiej firmie oraz w domu, w którym nie wszyscy członkowie rodziny są pełnoletni. Jeśli masz zamiar z nich korzystać, zalecamy wybór jednego z rekomendowanych routerów (patrz testy przepustowości w zależności od wykorzysty- wanych zabezpieczeń) - urządzenia z niższej półki, owszem, też będą działać (choć nie wszystkie obsługują VPN), ale może się okazać, że każdej doby trzeba je restartować. W firmie to absolutnie nie do pomyślenia.

Przekierowanie portów

Masz własne przedsiębiorstwo. Masz też komputer, który służy jako serwer WWW. Chcesz, żeby potencjalni klienci mogli znaleźć twoją witrynę w Sieci, ale obawiasz się, że konfiguracja firewalla i właściwe zabezpieczenie publicznie dostępnej maszyny cię przerasta. W dodatku znajomy informatyk nieustannie powtarza "Zainstaluj Linuksa, tam jest prościej", a ciebie Linux odstrasza tekstowym trybem pracy czy odmiennym niż w Windows wyglądem okien.

W tej sytuacji, z pozoru bez wyjścia, pomoże ci przekierowanie portów, dzięki któremu kilkoma kliknięciami przepędzisz widmo dodatkowych kosztów związanych z wykupywaniem miejsca na serwerze firmy hostingowej.

Jak działa przekierowanie portów, wspominaliśmy już w poprzednim numerze PC Worlda. Tutaj krótkie przypomnienie (brzmi zawile, choć w rzeczywistości sprawa jest prosta): załóżmy, że podłączasz się do dostawcy usług internetowych przez modem DSL. Dostawca przyznał ci zewnętrzny adres IP (np. 83.52.32.77). Zarejestrowa łeś domenę ( np. www.firma.com ) i wiesz już, że po wpisaniu wspomnianego URL w przeglądarce ludzie zostaną przekierowani do 83.52.32.77, a konkretnie do 83.52.32.77:80, czyli do portu 80 pod twoim adresem IP.

W standardowych warunkach biegnące od nich pakiety trafią w próżnię - czyli odbiją się od zapory. W porcie 80 bowiem, tak samo jak w każdym innym porcie routera, nie powinna nasłuchiwać żadna usługa. Ty jednak chcesz i żądasz, żeby w twojej sieci działał serwer WWW dostępny od strony Internetu. Przejdź na kartę Port Forwarding w swoim routerze i zadysponuj tam, aby usługa HTTP wykorzystująca port 80 miała nieograniczony dostęp do Sieci oraz żeby internauci mieli również dostęp do niej.

Kiedy teraz pod twój adres IP przyjdzie pakiet, w którym zostanie umieszczone żądanie wyświetlenia strony WWW, router przekaże go do maszyny znajdującej się w sieci lokalnej i wykorzystującej adres 192.168.1.123 (patrz rysunek powyżej). Teraz wystarczy się upewnić, że ten IP przypisany jest do serwera WWW, a nie komputera pani Krysi z działu księgowości.

Przekierowanie portów przydaje się w jeszcze jednym wypadku. Gdy twój router ma domyślnie otwarty jeden z portów - np. port 21, jak opisywany tu Pentagram - i co gorsza, udostępnia go również od strony Internetu, a reguły zapory nie pozwalają na jego zamknięcie, możesz wymyślić dodatkową formułkę, która powinna zniechęcić potencjalnych włamywaczy.

Routerofiltry

Przekierowanie portów w Netgearze

Otwórz jeszcze raz panel pozwalający na przekierowanie portów i skonfiguruj regułę, że każdy pakiet próbujący wykorzystać szczelinę pozostawioną przez producenta urządzenia (zwykle są to porty 21, 22, 80, 8080) ma być odbijany do nieistniejącego komputera w sieci lokalnej. Dla przykładu: gdy po skorzystaniu z adresu scan.sygate.com widzisz, że port 21 (FTP) odpowiedział na wezwania, zmuś router, żeby pakiety wysyłane do usługi FTP były przekierowane pod adres 192.168.1.250. Szanse, że masz taką maszynę w sieci, są nikłe, wywołania będą zatem wpadały w próżnię.

Pamiętaj! Przekierowanie portów to wyłom w zaporze sieciowej. Stosuj tę technikę tylko wtedy, gdy w twojej sieci znajduje się usługa, którą ty chcesz udostępnić innym. Nie musisz niczego przekierować, aby korzystać z przeglądarki i oglądać zasoby zgromadzone na serwerach w Sieci.

Kontrola rodzicielska

Routerofiltry

Okno konfiguracji kontroli rodzicielskiej.

Kontrola rodzicielska, wbrew pozorom, może przydać się każdemu użytkownikowi. Nie zastąpi poważniejszego, uruchomionego na specjalnej maszynie filtru zawartości (np. Squida), ale pozwoli przynajmniej na ograniczenie dostępu do witryn, których żaden z naszych domowników oglądać nie powinien. W konfiguracji przedstawionej na rysunku użytkownicy lokalnej sieci nie będą mogli skorzystać z adresów zawierających słowo "sex" i "google". Będą to zarównohttp://www.google.com , jak ihttp://www.kultury.org/sex .

Mechanizmów kontroli rodzicielskiej można użyć jeszcze w jednym celu - do blokowania reklam na Gadu-Gadu czy stronach WWW. Ogłoszenia są zwykle pobierane z serwera o określonej nazwie (mogącego mieć np. adres adv.gadu-gadu.pl), jeśli wybierzemy (Enabled) wycinanie ruchu, w którym zawarte jest słowo "adv.gadu-gadu.pl", router postara się, by te adresy nie zostały nam udostępnione.

VPN

Opcje związane z VPN przydają się, gdy potrzebujesz czasem dostępu do prywatnej sieci od strony Internetu - choćby po to, żeby z drugiego końca świata skopiować ulubione pliki MP3 do słuchania w samolocie. Domyślnie routery skonfigurowane są tak, aby dane wykorzystujące IPSec i PPTP oraz skierowane na odpowiednie porty przechodziły przez nie bez żadnych ograniczeń - zwykle opcje odpowiedzialne za regulowanie ruchu VPN noszą nazwę IPSec Pass-Through i PPTP Pass-Through.

W niektórych routerach pojawia się jeszcze jeden przełącznik, noszący nazwę L2TP Pass-Through. To nowsza, udoskonalona odmiana PPTP. L2TP uzupełnia się z IPSec, dlatego bardzo często obie techniki wykorzystywane są jednocześnie i noszą wtedy nazwę L2TP/IPSec. Próba połączenia z siecią domową przez VPN z użyciem L2TP/IPSec będzie przebiegała najpierw przez port UDP 500 (mechanizm wymiany kluczy i organizacja bezpiecznego kanału transmisji), później przez UDP 1701 (ustalanie parametrów tunelu).

Konfiguracja serwera VPN to jednak dość poważne wyzwanie, dlatego nie warto zaprzątać sobie nią głowy w mniejszych LAN. W małej skali dużo wygodniejsze wydaje się uruchomienie niewielkiej stacji roboczej pracującej pod kontrolą Linuksa, podłączenie do niej wszystkich ważnych zasobów, przekierowanie portu 22 na routerze do tej konkretnej maszyny oraz skorzystanie z aplikacji WinSCP (dostęp do plików) lub PuTTY, pozwalających na pracę z użyciem protokołu SSL. Rozwiązanie powinno się sprawdzić w 80 procentach sieci, w których VPN wykorzystywany jest wyłącznie w celu uzyskania dostępu do ważnych firmowych plików.