* Di mana kernel pada komputer/router multi-homed (dual-direction) akan menentukan sama ada untuk meneruskan (forward) atau memansuhkan (reject) berdasarkan kepada set-set arahan yang telah ditetapkan.
* Sebuah router yang meneruskan paket-paket data di antara dua rangkaian. Sesebuah packet filtering router mempunyai kod-kod spesifik untuk mengendalikan mekanisme ini. Biasanya dilekapkan pada kernel untuk tujuan kecekapan dan keselesaan implementasi.
* Kod-kod ini digunakan untuk membuat perbandingan setiap paket data dengan set-set arahan sebelum ia membuat keputusan untuk meneruskan atau memansuhkan perjalanan paket tersebut.
* Kebanyakkan aplikasi-aplikasi moden firewall seperti pf (OpenBSD), ipfw/2 (FreeBSD dan NetBSD) dan iptables (Linux) mempunyai set arahan khas di dalamnya yang dipanggil filtering instructions atau arahan penapisan yang akan bertindak ke atas set arahan lalai (default) yang membenarkan perjalanan paket-paket data tanpa sebarang halangan ke destinasi.
*Untuk membenarkan kefungsian penapisan tersebut, anda akan membuat penakrifan set-set arahan penapis yang akan bertindak untuk menentukan sama ada untuk membenarkan atau memansuhkan perjalanan paket-paket data ke destinasi.
* Kebanyakkan aplikasi firewall melalaikan kepada Deny untuk tujuan keselamatan, ini bermakna set-set arahan penapisan akan menakrifkan paket-paket data yang dibenarkan untuk melepasi firewall. Arahan Deny akan memansuhkan semua paket-paket data untuk diteruskan ke destinasi. Kebanyakkan kes kesilapan kali pertama berpunca daripada konfigurasi firewall ini.
* Untuk menentukan sama ada sesuatu paket itu patut diteruskan, kod penapisan akan melihat set-set arahan untuk mendapatkan arahan yang bertepatan dan menepati kandungan header paket. Sekiranya arahan bersilang (ditepati), arahan tersebut akan dilaksanakan.
* Pelaksanaan termasuklah untuk pemansuhan (drop), meneruskan (forward) atau menghantar mesej ICMP kepada penghantar. Oleh sebab itu, set-set arahan ini biasanya dikenali dengan akronim "rule chain".
*Kriteria-kriteria persilangan paket (packet matching) bergantung kepada perisian yang digunakan tetapi pada kebiasaannya, anda boleh memperkenalkan set arahan yang bertindak ke atas alamat IP sumber paket, alamat IP destinasi paket, nombor port sumber, nombor port destinasi (untuk protokol yang membenarkan mekanisme protokol seperti TCP) sehinggakan ke jenis paket (ICMP, UDP atau TCP).
No comments:
Post a Comment