BlockOutTraffic (BOT)

Kolejnym dodatkiem do IPCopa, który warto moim zdaniem polecić jest BlockOutTraffic, pozwalający na kontrolę ruchu poprzez IPCop’a. Po uruchomieniu dodatku blokuje on cały ruch odbywający się poprzez IPCopa, z wyjątkiem zdefiniowanych przez nas reguł, które mogą opierać się o usługi (porty) oraz adresy (zarówno IP jak i MAC). Autorzy plug-inu załączyli pokaźną listę popularnych usług, jednakże możemy dodać także własne, dodatkowo możemy je grupować (np. możemy stworzyć grupę „Poczta”, na którą będą się składać usługi takie jak, pop3, smtp, imap itp.). Podobna sytuacja ma się do adresów, możemy wskazać, które komputery mają mieć dostęp do określonych usług. W tym wypadku jedną z głównych zalet tego rozwiązania jest możliwość używania adresów MAC, co znacznie poprawia skuteczność tego rozwiązania (adres IP łatwo zmienić). Początkujących użytkowników tego dodatku zachęcam do zapoznania się z artykułem na temat wstępnej konfiguracji BOT’a, którego tutaj nie będę powielał. Przedstawię za to sposób na zabezpieczenie dostępu do internetu na podstawie adresów MAC:

1. Definiujemy grupę Internet, na którą będą się składały usługi takie jak http, https, pop3, pop3s, imps i inne, które chcemy odblokować. Aby to zrobić wybieramy kolejno zakładkę Firewall->Advanced BOT Config, po czym z prawej strony w sekcji BlockOutTraffic wybieramy Service Grouping i klikamy w Show Firewall Config. W sekcji sekcji Add service to Group zaznaczamy Service Group Name z polem do wpisywania i wpisujemy nazwę grupy np. Internet, po czym wybieramy pierwszą usługę z pola Domyślne usługi i klikamy przycisk Dodaj. W kolejnych krokach dodajemy kolejne usługi, z tym że grupę wybieramy już z listy.

2. Jeżeli chcielibyśmy udostępnić jakąś niestandardową usługę typu Gadu-Gadu, to musimy ją wcześniej zdefiniować. W tym celu przechodzimy do Services Settings, w sekcji Dodaj usługę wpisujemy w nazwie GaduGadu a w polu Porty 8074 i klikamy Dodaj. Teraz możemy już dodać tą usługę do naszej grupy Internet.

3. Po zdefiniowaniu usług przyszedł czas na komputery. Wchodzimy do Address Settings, gdzie dodamy wszystkie adresy MAC komputerów z naszej sieci. W sekcji Add address, wpisujemy nazwę komputera (może być dowolna, niekoniecznie zgodna z tym co widzimy w otoczeniu sieciowym), z listy Addressformat wybieramy MAC i w polu Address wpisujemy właściwy adres komputera (XX-XX-XX-XX-XX-XX). W systemie Windows 9x możemy go uzyskać wpisując w Uruchom winipcfg, natomiast w Windows 2000, XP i Vista w wierszu poleceń (Uruchom->cmd) wpisujemy ipconfig /all.

4. Kolejny krok to pogrupowanie zdefiniowanych adresów. Możemy stworzyć jedną grupę dla wszystkich lub kilka grup, które będą mogły mieć różne uprawnienia. Grupowanie odbywa się bardzo podobnie jak usług, wchodzimy do Address Grouping, za pierwszym razem wpisujemy nazwę grupy (później ją tylko wybieramy z listy) i wskazujemy komputery, które mają być do niej przyporządkowane.

5. Ostatni etap to stworzenie odpowiedniej reguły. Wybieramy zakładkę Firewall->Block Outgoing Traffic, w sekcji Dodaj nową regułę wybieramy Rule Action Accept i klikamy New Rule. W sekcji Źródło, w polu Default interfaces wybieramy Green, a w Address Groups wskazujemy zdefiniowaną grupę. W sekcji Miejsce docelowe zaznaczamy Other Network/Outside oraz Domyślne sieci: Any, zaznaczamy, także pole Use service oraz Service Groups i wybieramy grupę Internet. W sekcji Additional zaznaczamy pole Rule enabled. Na koniec zatwierdzamy przyciskiem Zapisz.

To powinno wystarczyć by skutecznie blokować nieautoryzowane komputery, aby jednak sposób zadziałał należy się upewnić, że wcześniej nie zdefiniowaliśmy jakieś innej reguły, która pozwalała by na większy dostęp.

Rozwiązanie to jest skuteczniejsze niż w przypadku sposobu przedstawionego przy okazji recenzji dodatku Advanced Proxy.

Więcej informacji na temat samego dodatku znajdziecie na stronie producenta.