Подсјетим вас да је у ЕСКСи 5.0 систем ватрозида претрпио значајне промјене, а његова функционалност готово одговара функционалности тима ескцфг-фиревалл на ЕСКС сервисној конзоли. Да бисте приступили подешавањима заштитног зида, можете да користите команду: ескцли мрежа фиревалл. Подразумевано, ЕСКСи 5 сервер већ има низ унапред дефинисаних правила заштитног зида за услуге које можете да омогућите или онемогућите..
Комплетна листа стандардних правила заштитног зида може се приказати помоћу команде:
листа правила мреже заштитног зида ескцли
Поред тога, у ЕСКСи 5 можете да креирате сопствено правило ватрозида за мрежни сервис. Нажалост, коришћењем ескцли услужног програма то се не може учинити и мораћемо да изменимо конфигурациону датотеку са правилима заштитног зида. Конфигурацијске датотеке које описују правила заштитног зида чувају се у директорију /итд /вмваре /фиревалл / . На пример, ако је омогућена услуга ФДМ, у овом директорију ћете пронаћи датотеку фдм.кмл, која садржи отприлике следећу КСМЛ структуру.
|
Ова КСМЛ датотека описује назив правила за фиревалл, такође приказује портове и типове прикључака, протоколе и правац саобраћаја за ову услугу.
Затим ћемо покушати да створимо сопствено правило за заштитни зид ЕСКСи, назовимо то „буквално". Ово правило би требало да отвори ТЦП порт 1337 и УДП порт 20120 за улазни и одлазни саобраћај. Да бисте то учинили, направите нову КСМЛ датотеку са именом /итд /вмваре /фиревалл /буквално.кмл. КСМЛ датотека ће имати следећу структуру:
|
Затим поново покрените фиревалл да бисте ажурирали листу правила и још једном приказали листу доступних правила:
Освежавање заштитног зида мрежне мреже ескцли
листа правила мреже заштитног зида ескцли
Као што видите, на списку правила се појавио нови буквално. Тренутне поставке правила могу се прегледати помоћу наредбе:
листа правила правила заштитног зида ескцли | греп виртуално
Нови ЕСКСи фиревалл такође има могућност спецификације одређене ИП адресе или распона ИП адреса којима је дозвољено повезивање са одређеном услугом. У следећем примеру забрањујемо повезивање са практично сервисом описаним у нашем правилу свуда, осим на мрежу 172.80.0.0/24:
постављен сет правила заштитног зида ескцли мреже - дозвољено-све лажно --рулесет-ид = виртуелно
ескцли мрежни сет заштитног зида дозвољен је додавање --ип-адресе = 172.80.0.0 / 24 --рулесет-ид = виртуелно
Нова правила заштитног зида биће доступна и у вСпхере корисничком интерфејсу (одељак Конфигурација, одељак Сигурност Профил ).
