Rodzaje (łańcuchy) i stany połączeń

Jednym z podstawowych pojęć przy konfiguracji urządzeń sieciowych jest poprawna obsługa określonych typów połączeń. Połączeń które do routera wchodzą, wychodzą lub przez niego przechodzą. Najczęściej mamy z nimi do czynienia konfigurując firewall.


Rodzaje (łańcuchy) połączeń

Otóż dodając nową regułę musimy wybrać jeden z trzech łańcuchów czyli rodzajów ruchu którego będzie się ona dotyczyć.

Jak widać mamy do wyboru:

  • Forward – jest to ruch który przechodzi przez nasz router czyli np. ruch z naszej sieci LAN do Internetu lub gdy urządzenie działa jaki router klas publicznych jest to ruch z jednej sieci do drugiej,
  • Input – to ruch który jest adresowany wprost do naszego routera np. zapytania DNS (jeżeli mamy włączony lokalny serwer DNS), ale i połączenia np. winbox, ssh, www czy samba. W skrócie to wszystkie połączenia gdzie adresem docelowym jest IP podniesione na routerze,
  • Output – chyba najmniej poświęca się mu czasu, niemniej trzeba o nim wiedzieć. Jest to ruch generowany przez router. Przykładem takiego ruchu jest np. gdy zalogujemy się do konsoli routera i zrobimy ping do jakieś adresu. Wtedy to nie nasz komputer a router wysyłana ten pakiet (na bo w końcu na nim jesteśmy).

Ważne jest aby wiedzieć że nasz komputer pomimo że ma wpisaną bramę domyślą na IP routera to dla routera jest to ruch Forward. Dlatego że komputer wysyła pakiety z docelowym IP nie routera a jakiegoś hosta w Internecie (np. serwera WWW).


Stany połączeń

Kolejnym ważnym aspektem przy konfiguracji m.in firewalla jest Connection State czyli stan połączenia. Zaznacza się go na dole zakładki General przy tworzeniu reguły firewall.

Opisując od lewej:

  • invalid – w skrócie są to pakiety uszkodzone, niepasujące do żadnego innego stanu lub przychodzące w złej kolejności. Ten rodzaj ruchu najlepiej i najbezpieczniej od po prostu odrzucić (action=drop) niezależnie od łańcucha,
  • established – pakiet który zawiera się w istniejącym połączeniu,
  • related – jest to „bliźniak” pakietu established. Czyli pakiet który jest powiązany z istniejącym połączeniem „Established” ale nie należący do niego. Przykładem jest transfer FTP gdzie sygnalizacja połączenia odbywa się na porcie 21 a sam transfer pliku na porcie 20,
  • new – jest to pierwszy pakiet w połączeniu. Gdy wpisujemy adres strony w przeglądarce (pomijając dały temat DNS) to pierwszy pakiet który poleci w stronę serwera będzie jako new natomiast reszta już jako established (i jeśli trzeba to related) do czasu zakończenia połączenia,
  • untracked – dosłownie są to pakiety połączeń ujętych w tablicach RAW które służą omijaniu sprawdzania stanu połączenia.