ОТВЕТЫ НА ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
[Главная страница сайта проекта "Ботик"] [Полный список вопросов]
По категориям: Как общаться с персоналом СТ "Ботик" ] Права и обязанности ] Оплата и расчеты ] Тонкие вопросы, источники недоразумений ] Проблемы при работе с сетью ] Услуги СТ "Ботик" и локальные ресурсы ] Развитие СТ "Ботик" и ее услуг ] IP-телефония ] Пакет Botik Tools ]

Как правильно настроить firewall? (В том числе, чтобы проходило ping-тестирование)

Сетевой экран — это программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа к компьютеру. Другое распространенное название сетевого экрана — файрвол или файервол образованo транслитерацией английского термина firewall. Иногда сетевой экран называют еще брандмауэром (нем. brandmauer) — это немецкий эквивалент слова firewall. Основная задача  сетевого экрана — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации сетевого экрана.

В соответствии с Регламентом предоставления услуг Абонентам СТ "Ботик" сетевой экран, установленный на компьютере Абонента, должен быть настроен таким образом, чтобы разрешать использование программы ping для проверки связи с компьютером Абонента. Кроме того, необходимо выполнить настройки, обеспечивающие корректную работу программ, входящих в состав пакета BotikTools.

Здесь мы опишем, как выполнить требуемые настройки для сетевых экранов:

Настройка сетового экрана Microsoft Firewall

Если вы хотите использовать на своем компьютере сетевой экран Microsoft Firewall, его надо включить. Сетевой экран Microsoft Firewall включается следующим образом. В главном меню Windows выбрать Settings ==> Control Panel (см. Рис. 1), затем в открывшемся окне <Control Panel> найти и открыть окно сетевого экрана двойным щелчком по значку Windows Firewall (см. Рис. 2).

Рис. 1

Рис. 2

Во вкладке General  окна  <Windows Firewall> включить опцию On (recommended) и, таким образом, включить работу сетевого экрана Microsoft Firewall (см. Рис. 3). Далее выполняется настройка сетевого экрана. Чтобы настройки соответствовали требованиям Регламента, надо разрешить следующее сетевые взаимодействия:

  • разрешить ping-тестирование вашего компьютера;
  • разрешить  доступ к вашему компьютеру по протоколу HTTP для программ пакета BotikTools.

Рис. 3

Рис. 4

Настройка разрешения ping-тестирования

Во вкладке Advanced окна <Windows Firewall> (см. Рис. 4) щелкнуть Settings в разделе ICMP (отмечено красным на Рис. 4).  В открывшемся окене <ICMP Settings> установить флаг Allow incoming echo request (см. Рис. 5) и щелкнуть OK. Теперь ваш компьютер доступен для ping-тестирования.

Рис. 5

Рис. 6

Настройка разрешения доступа по протоколу HTTP для программ пакета BotikTools

Сетевой экран блокирует входящие сетевые соединения с программами, которые установлены на вашем компьютере. Тем самым обеспечивается защита от несанкционированного доступа. Для корректной работы некоторых программ (в том числе программ пакета BotikTools) необходимо сделать исключение и разрешить возможность таких соединений. Эти программы перечислены во вкладке Exceptions (Исключения).

В окне <Windows Firewall> выберите вкладку Exceptions (см. Рис. 6). Здесь перечислены программы и сервисы, которым разрешены входящие соединения по протоколу HTTP.  В число этих программ надо включить программу wish.exe, которая обеспечивает сетевые соединения для программ пакета BotikTools. Для этого щелкните Add Program... (на Рис. 6 отмечено красным). В открывшемся окне <Add a Program> (см. Рис. 7)   щелкните Browse, чтобы указать путь к программе wish.exe. Если вы установили программы пакета BotikTools в папку Program Files, то путь к программе wish.exe будет таким, какой показан на  Рис. 7.

Рис. 7

Рис. 8

На Рис. 8 показано стандартное окно <Browse> папки C:\Program Files\BotikTools\bin, в которой хранится программа wish.exe. Отметив программу wish.exe, щелкните Open в окне <Browse> и, таким образом, введите путь к программе wish.exe  в поле Path окна <Add a Program>. В окне <Add a Program> щелкните OK, чтобы добавить программу wish.exe в список Exceptions. Теперь сетевой экран разрешит доступ по протоколу HTTP программам пакета BotikTools.

Сетевой экран Microsoft Firewall настроен в соответствии с требованиями Регламента предоставления услуг Абонентам СТ "Ботик"

Настройка сетевого экрана Outpost Firewall

Персональный сетевой экран Outpost Firewall позволят создавать более подробные настройки для ограничения сетевого доступа на уровне приложений. В Outpost Firewall пользователь может создавать списки приложений, имеющих сетевой доступ и указывать действующие протоколы, порты и направления сетевого трафика для каждого из приложений, то есть создавать для приложений  правила, разрешающие или запрещающие приложениям те или иные сетевые взаимодействия.

Что настроить?

Чтобы разрешать использование программы ping.exe для проверки связи с компьютером Абонента, а также обеспечить корректную работу программ, входящих в состав пакета BotikTools, сетевой эран Outpost Firewall должен быть настроен так, чтобы:

  1. разрешать входящие и исходящие TCP-пакеты для приложения wish.exe
    (C:\Program Files\Botik Tools\bin    \wish.exe) через порты 9,  25, 53, 80, 443, 12040;
  2. разрешать входящие и исходящие UDP-пакеты для приложения wish.exe через порт 53;
  3. разрешить ICMP Эхо-запрос  и ICMP Эхо-ответ  для приложения tping.exe, входящего в состав BotikTools 
     (C:\Program Files\Botik Tools\bin\tping.exe)    ;
  4. разрешить ICMP Эхо-запрос  и ICMP Эхо-ответ  для встроенных в Windows приложений ping.exe и tracert.exe
    (C:\Wondows\system32\ping.exe      и C:\Wondows\system32\tracert.exe).  

Как настроить?

Далее опишем для примера, как создать правило для приложения wish.exe, разрешающее передачу исходящих TCP-пакетов  через порты 9,  25, 53, 80, 443, 12040. Остальные правила для приложения wish.exe, описанные в разделе "Что настроить?",  могут быть созданы аналогично.

  1. Сначала надо добавить приложение wish.exe в список пользовательских приложений, для которых будут создаваться правила. Для этого в меню Параметры программы Outpost Firewall надо выбрать Приложения (см. Рис. 9), чтобы открыть в окне <Параметры> вкладку Приложения (см. Рис. 10). Выбрав Пользовательский уровень во вкладке Приложения, щелкнуть  Добавить.

Рис. 9

Рис. 10
  1. Откроется стандартное окно <Open> (см. Рис. 11), в котором надо открыть папку  C:\Program Files\Botik Tools\bin,  выбрать в ней файл приложения wish.exe и щелкнуть ОК. В результате откроется окно <Правила Wish Application>, в котором пока еще нет ни одного правила для  приложения wish.exe (см. Рис. 12). В этом окне есть инструменты, которые позволяют создавать правила, редактировать их, копировать или удалять. Начнем создавать первое правило для приложения wish.exe, щелкнув Создать.

Рис. 11

Рис. 12
  1. Откроется окно <Правило>, в котором можно выбирать событие, действие и описание правила (см. Рис. 13) в трех полях ввода этого окна: "1. Выберите событие для правила", "2. Выберите действие для правила" и "3. Описание правила".
    Создадим правило для разрешения исходящих пакетов по протоколу TCP через порты 9,  25, 53, 80, 443, 12040.
    Сначала выберем событие. В поле ввода "1. Выберите событие для правила" (см. Рис. 14) установим флаг Где протокол. В поле "3. Описание правила" появится сторока "Где протокол Не определено". Щелчком по ссылке Не определено откроем окно <Выбор протокола>, в котором выберем параметр TCP и щелкнем OK. Таким образом, дальше будем описывать такое событие, как передача пакетов по протоколу TCP для программы wish.exe.

Рис. 13

Рис. 14

Рис. 15

Выполним описание этого события. Поскольку при создании нового правила по умолчанию установлено направление Исходящее (см. Рис. 13 раздел Описание правила), оставим это описание без изменения.

Однако, если бы нужно было выбрать направление Входящее, то следовало бы щелчком по ссылке  Исходящее открыть окно <Выбор типа соединения> и установить соответствующий параметр Входящее (см. Рис. 15).

Далее необходимо выбрать порты, через которые будем разрешать передачу исходящих TCP-пакетов. Для этого в поле ввода "1. Выберите событие для правила" устанавливаем флаг Где удаленный порт. В поле "3. Описание правила" появится сторока "Где удаленный порт Не определено". Щелчком по ссылке Не определено откроем окно <Выберите удаленный порт> (см. Рис. 16). Нам нужно установить следующие номера портов: 9,  25, 53, 80, 443, 12040. Можно выбрать номера из списка или ввести их в поле ввода так, как показано на Рис. 16.

Наконец, завершает создание правила выбор действия для этого правила -- в поле "2. Выберите действие для правила" устанавливаем флаг Разрешить эти данные (см. Рис. 17) и щелчком по кнопке ОК завершаем создание первого правила.

Рис. 16

Рис. 17

Остальные три правила для приложения wish.exe, перечисленные в пунктах 1 и 2 раздела "Что настроить?", создаются аналогично. Еще раз напомним здесь эти правила:

  • правило, разрешающее прием входящих пакетов по протоколу TCP через порты 9,  25, 53, 80, 443, 12040;
  • правило, разрешающее передачу исходящих UDP-пакетов через порт 53;
  • правило, разрешающее прием входящих UDP-пакетов через порт 53.

В результате список правил, созданных для приложения wish.exe, будет выглядеть так, как показано на Рис. 18

Рис. 18

Далее необходимо установить параметры протокола ICMP, что позволит проводить ping-тестирование вашего компьютера. А именно, как это перечислено в п.п. 3 и 4 раздела "Что настроить", надо сделать следующее:

  1. разрешить ICMP Эхо-запрос и ICMP Эхо-ответ  для приложения tping.exe, входящего в состав Botik Tools 
     (C:\Program Files\Botik Tools\bin\tping.exe);
  2. разрешить ICMP Эхо-запрос  и ICMP Эхо-ответ  для встроенных в Windows приложений ping.exe и tracert.exe
    (C:\Wondows\system32\ping.exe  и C:\Wondows\system32\tracert.exe). 

В меню Параметры программы Outpost Firewall выбрать  Системные (см. Рис. 19), чтобы открыть в окне <Параметры> вкладку Системные (см. Рис. 20).  Во вкладке Системные для установки параметров ICMP-протокола щелкнуть Параметры  (кнопка отмечена на Рис. 20 красным).

Рис. 19

Рис. 20

Откроется окно <Параметры ICMP> (см. Рис. 21), в котором нужно для ICMP-сообщений типа Эхо-ответ и Эхо-запрос установить такие флажки В и Из, которые показаны на Рис. 21 и щелкнуть OK.

 

Рис. 21

 

На этом настройку сетевого экрана Outpost Firewall в соответствии с требованиями Регламента предоставления услуг Абонентам СТ "Ботик" можно считать завершенной.

Настройка сетевого экрана в Windows 7

Открыть окно Мой компьютер -> Администрирование и для настройки брандмауэра выбрать режим "Брандмауэр Windows в режиме повышенной безопасности" (см. Рис. 22)

Рис. 22

В левой части открывшегося окна <Брандмауэр  Windows в режиме повышенной безопасности> выбрать "Правила для входящих поключений" и затем в правой части окна выбрать действие "Создать правило" (см. Рис. 23).

Рис. 23

Откроется окно <Мастера создания правил для нового входящего подключения> (см. Рис. 24). На первом шаге мастера "Тип правила"  надо выбрать тип создаваемого правила, в нашем случае это настраиваемое правило, поэтому следует выбрать вариант Настраиваемые и щелкнуть по кнопке Далее.

Рис. 24

На втором шаге мастера создания правил "Программа" следует выбрать имя исполняемого файла программы, для которой создается правило. В нашем случае следует выбрать вариант Все программы и щелкнуть по кнопке Далее (см. Рис. 25).

Рис. 25

На третьем шаге мастера создания правил "Протокол и порты" выбираются протоколы, к которым применяется создаваемое правило. Здесь надо в раскрывающемся списке Тип протокола выбрать протокол ICMPv4 и щелкнуть по кнопке Настроить (см. Рис. 26)

Рис. 26

В открывшемся окне <Настройка параметров ICMP> надо выбрать вариант Определенные типы ICMP, установить флаг  Эхо-запрос и щелкнуть по кнопке ОК  (см. Рис. 27).

Рис. 27

Далее для перехода к следующему шагу мастера создания правила щелкнуть по кнопке Далее (см. Рис. 28)

Рис. 28

На четвертом шаге "Область" указывают IP-адреса, к которым применяется создаваемое правило. Здесь надо выбрать варианты  Любой IP-адрес и щелкнуть по кнопке Далее (см. Рис. 29).

Рис. 29

На пятом шаге "Действие" указывают действие, выполняемое при соответствии подключения условиям, заданным в данном правиле. Здесь надо выбрать вариант Разрешить подключение и щелкнуть по кнопке Далее (см. Рис. 30).

Рис. 30

На шестом шаге "Профиль" указываются профили, к которым применяется создаваемое правило. Здесь надо оставить установленные по умолчанию флаги Доменный, Частный и Публичный и щелкнуть по кнопке Далее (см. Рис. 31)

Рис. 31

На седьмом шаге "Имя" указывают имя создаваемого правила и щелчком по кнопке Готово завершают создание правила для эхо-запросов.

Рис. 32

На этом настройку сетевого экрана Windows 7 в соответствии с требованиями Регламента предоставления услуг Абонентам СТ "Ботик" можно считать завершенной.

Последняя редакция 13.04.2011