ОТВЕТЫ НА ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
[
Главная страница сайта проекта "Ботик"] [Полный список вопросов

Как правильно настроить firewall? (В том числе, чтобы проходило ping-тестирование)

Сетевой экран — это программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа к компьютеру. Другое распространенное название сетевого экрана — файрвол или файервол образованo транслитерацией английского термина firewall. Иногда сетевой экран называют еще брандмауэром (нем. brandmauer) — это немецкий эквивалент слова firewall. Основная задача  сетевого экрана — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации сетевого экрана.

В соответствии с Регламентом предоставления услуг Абонентам СТ "Ботик" сетевой экран, установленный на компьютере Абонента, должен быть настроен таким образом, чтобы разрешать использование программы ping для проверки связи с компьютером Абонента. Кроме того, необходимо выполнить настройки, обеспечивающие корректную работу программ, входящих в состав пакета BotikTools.

Здесь мы опишем, как выполнить требуемые настройки для сетевых экранов:

Настройка сетового экрана Microsoft Firewall

Если вы хотите использовать на своем компьютере сетевой экран Microsoft Firewall, его надо включить. Сетевой экран Microsoft Firewall включается следующим образом. В главном меню Windows выбрать Settings ==> Control Panel (см. Рис. 1), затем в открывшемся окне <Control Panel> найти и открыть окно сетевого экрана двойным щелчком по значку Windows Firewall (см. Рис. 2).

Рис. 1

Рис. 2

Во вкладке General  окна  <Windows Firewall> включить опцию On (recommended) и, таким образом, включить работу сетевого экрана Microsoft Firewall (см. Рис. 3). Далее выполняется настройка сетевого экрана. Чтобы настройки соответствовали требованиям Регламента, надо разрешить следующее сетевые взаимодействия:

  • разрешить ping-тестирование вашего компьютера;
  • разрешить  доступ к вашему компьютеру по протоколу HTTP для программ пакета BotikTools.

Рис. 3

Рис. 4

Настройка разрешения ping-тестирования

Во вкладке Advanced окна <Windows Firewall> (см. Рис. 4) щелкнуть Settings в разделе ICMP (отмечено красным на Рис. 4).  В открывшемся окене <ICMP Settings> установить флаг Allow incoming echo request (см. Рис. 5) и щелкнуть OK. Теперь ваш компьютер доступен для ping-тестирования.

Рис. 5

Рис. 6

Настройка разрешения доступа по протоколу HTTP для программ пакета BotikTools

Сетевой экран блокирует входящие сетевые соединения с программами, которые установлены на вашем компьютере. Тем самым обеспечивается защита от несанкционированного доступа. Для корректной работы некоторых программ (в том числе программ пакета BotikTools) необходимо сделать исключение и разрешить возможность таких соединений. Эти программы перечислены во вкладке Exceptions (Исключения).

В окне <Windows Firewall> выберите вкладку Exceptions (см. Рис. 6). Здесь перечислены программы и сервисы, которым разрешены входящие соединения по протоколу HTTP.  В число этих программ надо включить программу wish.exe, которая обеспечивает сетевые соединения для программ пакета BotikTools. Для этого щелкните Add Program... (на Рис. 6 отмечено красным). В открывшемся окне <Add a Program> (см. Рис. 7)   щелкните Browse, чтобы указать путь к программе wish.exe. Если вы установили программы пакета BotikTools в папку Program Files, то путь к программе wish.exe будет таким, какой показан на  Рис. 7.

Рис. 7

Рис. 8

На Рис. 8 показано стандартное окно <Browse> папки C:\Program Files\BotikTools\bin, в которой хранится программа wish.exe. Отметив программу wish.exe, щелкните Open в окне <Browse> и, таким образом, введите путь к программе wish.exe  в поле Path окна <Add a Program>. В окне <Add a Program> щелкните OK, чтобы добавить программу wish.exe в список Exceptions. Теперь сетевой экран разрешит доступ по протоколу HTTP программам пакета BotikTools.

Сетевой экран Microsoft Firewall настроен в соответствии с требованиями Регламента предоставления услуг Абонентам СТ "Ботик"

Настройка сетевого экрана Outpost Firewall

Персональный сетевой экран Outpost Firewall позволят создавать более подробные настройки для ограничения сетевого доступа на уровне приложений. В Outpost Firewall пользователь может создавать списки приложений, имеющих сетевой доступ и указывать действующие протоколы, порты, адреса хостов и направления сетевого трафика для каждого из приложений, то есть создавать для приложений  правила, разрешающие или запрещающие приложениям те или иные сетевые взаимодействия. Далее опишем, как провести настройку этого брандмауэра для версии OutpostPro Firewall 7.1

Что настроить?

Чтобы разрешать использование программы ping.exe для проверки связи с компьютером Абонента, а также обеспечить корректную работу программ, входящих в состав пакета BotikTools (например, программы wish.exe) сетевой эран Outpost Firewall должен быть настроен так, чтобы:

  1. Разрешать исходящие TCP-соединения для приложения wish.exe на следующие адреса:
    • Адрес для порта 25: mail.botik.ru.
    • Адреса для порта 53: dns1.botik.ru, dns2.botik.ru.
    • Адрес для порта 80: www.botik.ru.
    • Адреса для порта 443: nadmin.botik.ru, informer.botik.ru, map.botik.ru.
    • Для порта 12040 нужно разрешить адрес шлюза (адрес Вашего шлюза см. в Nadmin::Абоненту  меню Мои услуги => Подключения => далее щелчком по имени Вашего подключения открываете страницу с данными подключения, среди которых указан адрес шлюза).
    • Адреса для порта 21564: speedtest.botik.ru, speedtest2.botik.ru.
  2. Разрешать все исходящие и входящие ICMP Эхо-запросы и все исходящие и входящие ICMP Эхо-ответы.
  3. Разрешать входящие TCP-соединения с адреса localhost на порт 12040. Это нужно программе BotikKey для проверки единственности запущенного приложения, и связано с тем, что на одном компьютере должна работать только одна копия программы.
  4. Разрешать исходящие TCP-соединения с адреса localhost к домашнему роутеру через порт 7737 в том случае, если у абонента есть домашний роутер и на нём установлен gBotikKeyd.  Программа BotikKey позволяет управлять работой gBotikKeyd на роутере (переключать режимы доступа, задавать пароль и т.д.).

Примечание: обращаем Ваше внимание на то, что в сети регулярно происходит перенумерация IP-адресов, поэтому при настройке сетевого экрана лучше указывать доменные имена хостов, а не их IP-адреса.

Как настроить?

1. Настройка исходящих TCP-соединений для приложения wish.exe

Опишем для примера, как создать правило для приложения wish.exe, разрешающее передачу исходящих TCP-пакетов через порт 443 на хост с адресом nadmin.botik.ru. Остальные правила, описанные в разделе "Что настроить?",  могут быть созданы аналогично.

1.1. Сначала надо добавить приложение wish.exe в список пользовательских приложений, для которых в Outpost Firewall можно создавать правила. Для этого в меню "Настройки" программы Outpost Firewall надо выбрать подменю "Правила для приложений"  и щелкнуть по кнопке Добавить (см. Рис. 9).

Рис. 9

1.2. Откроется стандартное окно <Open> (см. Рис. 10), в котором надо открыть папку  C:\Program Files\Botik Tools\bin,  выбрать в ней файл приложения wish.exe и щелкнуть  Оpen.

Рис. 10

В результате в список приложений в окне <Настройки> брандмауэра Outpost Firewall будет добавлено приложение wish.exe (см. Рис. 11) . Чтобы начать создавать правила для этого приложения, выберите его в списке и щелкните по кнопке Редактировать.

Рис. 11

1.3. Откроется окно <Редактор правил> для приложения wish.exe (см. Рис. 12). В этом окне пока не сформулировано ни одного правила для приложения wish.exe. Для создания правила щелкните кнопку Новое.

Рис. 12

1.4. Откроется окно <Правило>, в котором можно выбрать событие для правила и выполнить описание правила. (см. Рис. 13)

Напомним здесь, что мы далее опишем процедуру создания такого правила для приложения wish.exe, которое будет разрешать передачу исходящих TCP-пакетов через порт 443 на хост с адресом nadmin.botik.ru.

1.4.1. Для начала необходимо установить направление передачи TCP-пакетов. Для этого надо в первом поле ввода "1. Выберите событие для правила"  установить флаг  "Где направление" (см. Рис. 13). В поле ввода "3. Расшифровка правила" появится строка "направление Не определено". Щелчком по ссылке Не определено откроем окно <Выбор направления>, в котором выберем параметр "Исходящее" и щелкнем по кнопке OK.

Рис. 13

1.4.2. Далее необходимо указать адрес хоста, на который будем разрешать передачу исходящих TCP-пакетов.  Для этого в поле ввода "1. Выберите событие для правила" устанавливаем флаг "Где удаленный адрес" (см. Рис. 14). В поле "3. Расшифровка правила" появится сторока "удаленный адрес Не определено". Щелчком по ссылке Не определено откроем окно <Выбор адреса> .  Из списка предлагаемых вариантов ввода адреса выберите вариант "Имя домена" и в поле ввода (отмечено на Рис. 14 красной точкой) введите адрес хоста: nadmin. botik.ru  и щелкните  по кнопке Добавить.

Рис. 14

1.4.3. И, наконец, завершает создание правила для хоста с адресом nadmin.botik.ru выбор порта, через который приложению wish.exe будет разрешена передача исходящих TCP-пакетов.   Для этого в поле ввода "1. Выберите событие для правила" устанавливаем флаг "Где удаленный порт" (см. Рис. 15). В поле "3. Расшифровка правила" появится сторока "удаленный порт Не определено". Щелчком по ссылке Не определено откроем окно <Выбор порта>. Здесь можно либо ввести в поле ввода, отмеченное на рисунке красной точкой, номер порта 443; либо выбрать порт из списка имен портов (имя порта 443 — HTTPS) и щелкнуть по кнопке ОК.

Рис. 15

Щелчком по кнопке ОК создаем правило с именем "Разрешать Исходящее TCP на HTTPS для WISH.EXE" (см. Рис. 16).

Рис. 16

Правила для остальных адресов (informer.botik.ru и map.botik.ru) для порта 443, а также все остальные правила для приложения wish.exe, перечисленные в пункте 1  "Что настроить?", создаются аналогично.

2. Настройка параметров протокола ICMP

Далее необходимо установить параметры протокола ICMP, что позволит проводить ping-тестирование вашего компьютера. В соответсвии с  пунктом 2 в перечне "Что настроить", надо сделать следующее:
Разрешать все исходящие и входящие ICMP Эхо-запросы и все исходящие и входящие ICMP Эхо-ответы.

Для этого в меню "Настройки" программы Outpost Firewall выбрать подменю  "Сетевые правила" (см. Рис. 17), и щелкнуть по кнопке Настройки ICMP (отмечена на рисунке красной точкой).

Рис. 17

Откроется окно <Настройки ICMP> (см. Рис. 18), в котором нужно для ICMP-сообщений  Эхо-ответ и Эхо-запрос установить  флажки Вх и Исх так, как это показано на Рис. 18 и щелкнуть OK.

Рис. 18

3. Настройка входящих TCP-соединений с адреса localhost на порт 12040

Настройка для приложения wish.exe  входящих TCP-соединений с адреса localhost на порт 12040 (пункт 3 в "Что настроить?")  необходима программе BotikKey для проверки единственности запущенного приложения, поскольку на одном компьютере должна работать только одна копия программы.

Для настройки этого правила необходимо выполнить действия, описанные в пп. 1.4.1 — 1.4.3, указывая соответствующие направление (Входящее), адрес (localhost) и порт (12040).

Дополнительно для этого правила в окне <Правило>  надо установить флаг Где локальный порт совпадает с удаленным (см. Рис. 19) и щелчком по кнопке ОК завершить создание правила с именем "Разрешать Входящее TCP на 12040 для WISH.EXE".

Рис. 19

4. Дополнительная настройка исходящих TCP-соединений для абонентов, имеющих домашний роутер

Если у абонента есть домашний роутер и на нём установлен gBotikKeyd, то, дополнительно ко всему вышесказаному, нужно разрешить для приложения wish.exe исходящие TCP-соединения с адреса localhost к этому роутеру через порт 7737. Программа BotikKey позволяет управлять работой gBotikKeyd на роутере (переключать режимы доступа, задавать пароль и т.д.).

Для этой настройки необходимо  выполнить пп. 1.4.1 — 1.4.3, указывая соответствующие направление (Исходящее), адрес (localhost) и порт (7737) - см. Рис. 20. Далее щелчком по кнопке ОК завершить создание правилас именем "Разрешать Исходящее TCP на 7737 для WISH.EXE".

Рис. 20

На этом настройку сетевого экрана Outpost Firewall в соответствии с требованиями Регламента предоставления услуг Абонентам СТ "Ботик" можно считать завершенной.

Настройка сетевого экрана в Windows 7

Открыть окно Мой компьютер -> Администрирование и для настройки брандмауэра выбрать режим "Брандмауэр Windows в режиме повышенной безопасности" (см. Рис. 21)

Рис. 21

В левой части открывшегося окна <Брандмауэр  Windows в режиме повышенной безопасности> выбрать "Правила для входящих поключений" и затем в правой части окна выбрать действие "Создать правило" (см. Рис. 22).

Рис. 22

Откроется окно <Мастера создания правил для нового входящего подключения> (см. Рис. 23). На первом шаге мастера "Тип правила"  надо выбрать тип создаваемого правила, в нашем случае это настраиваемое правило, поэтому следует выбрать вариант Настраиваемые и щелкнуть по кнопке Далее.

Рис. 23

На втором шаге мастера создания правил "Программа" следует выбрать имя исполняемого файла программы, для которой создается правило. В нашем случае следует выбрать вариант Все программы и щелкнуть по кнопке Далее (см. Рис. 24).

Рис. 24

На третьем шаге мастера создания правил "Протокол и порты" выбираются протоколы, к которым применяется создаваемое правило. Здесь надо в раскрывающемся списке Тип протокола выбрать протокол ICMPv4 и щелкнуть по кнопке Настроить (см. Рис. 25)

Рис. 25

В открывшемся окне <Настройка параметров ICMP> надо выбрать вариант Определенные типы ICMP, установить флаг  Эхо-запрос и щелкнуть по кнопке ОК  (см. Рис. 26).

Рис. 26

Далее для перехода к следующему шагу мастера создания правила щелкнуть по кнопке Далее (см. Рис. 27)

Рис. 27

На четвертом шаге "Область" указывают IP-адреса, к которым применяется создаваемое правило. Здесь надо выбрать варианты  Любой IP-адрес и щелкнуть по кнопке Далее (см. Рис. 28).

Рис. 28

На пятом шаге "Действие" указывают действие, выполняемое при соответствии подключения условиям, заданным в данном правиле. Здесь надо выбрать вариант Разрешить подключение и щелкнуть по кнопке Далее (см. Рис. 29).

Рис. 29

На шестом шаге "Профиль" указываются профили, к которым применяется создаваемое правило. Здесь надо оставить установленные по умолчанию флаги Доменный, Частный и Публичный и щелкнуть по кнопке Далее (см. Рис. 30)

Рис. 30

На седьмом шаге "Имя" указывают имя создаваемого правила и щелчком по кнопке Готово завершают создание правила для эхо-запросов (см. Рис. 31).

Рис. 31

На этом настройку сетевого экрана Windows 7 в соответствии с требованиями Регламента предоставления услуг Абонентам СТ "Ботик" можно считать завершенной.

 

Последняя редакция 16.04.2012

span
span