Редактор правила
Правило определяет условия при котором пакет может попасть в фильтр. Для того, чтобы правило сработало, необходимо чтобы выполнились все условия, перечисленные в правиле.
Описание правила
Здесь можно задать произвольное описание правила длиной до 100 символов. Это поле можно оставить пустым.
IP протокол
Задает имя или номер IP протокола. См. статью "Номер протокола IP" в Базе Знаний TMeter.
Источник и Назначение
Эта группа полей задает способ проверки IP адресов. В случае создания правила для протоколов TCP или UDP - возможность указания номеров портов, которые также будут приниматься во внимание при проверки пакета правилом.
Группа свойств "Направление"
Свойство "Это также распространяется на пакеты с полностью противоположными адресами..." (Mirrored) определяет так называемое условие направления попадания:
Внимание! Свойство "Mirrored" включено по-умолчанию. Отключайте свойство "Направление" только тогда, когда Вы в точности понимаете что делаете.
Свойство "Контроль состояния пакета" (Stateful Inspection) включает так называемый динамический режим для свойства "Mirrored".
Свойство "Stateful Inspection" полезно для построения файрволльных правил.
Свойство "TCP опции" (только для протокола TCP)
Определяет реакцию данного правила на первый пакет TCP-соединения (т.е. пакет с флагом SYN и без флага ACK). Эта опция особенно полезна при построении файрволльных правил, запрещающие, например, входящие TCP-соединения. Данная опция доступна только в одном направлении, т.е. проверка срабатывания на "отраженных" пакетов производиться не будет.
Свойство "ICMP опции" (только для протокола ICMP)
Включает проверку типа каждого ICMP-пакета. Если тип - ICMP echo request, происходит срабатывание правила (при выполнении прочих условий). Это свойство также полезно при построении файрволльных правил.
Свойство "Действие"
Свойство "Действие" определяет что делать с пакетом, если выполнились все условия правила:
Действия правила можно также выразить таблицей:
Действие | Изменение счетчиков фильтра | Пакет будет передан на обработку в следующий фильтр? | Пакет будет заблокирован файрволлом? |
Подсчитать | Да | Да | Нет |
Не обрабатывать вообще | Нет | Нет | Нет |
Подсчитать и не обрабатывать далее | Да | Нет | Нет |
Блокировать | Нет | Нет | Да |
Ни одно правило не сработало | Нет | Да | Нет |
Свойство "Пакет должен быть"
Определяет, должен ли пакет быть уже подсчитанным ранее в предыдущих фильтрах, не подсчитанным в предыдущих фильтрах или вообще игнорировать эту опцию.
Свойство "Через сетевой адаптер"
Определяет, что пакет должен пройти через определенный сетевой адаптер чтобы он попал в правило. Это свойство может принимать следующие значения: "Любой адаптер", "Внешний адаптер" или "Внутренний адаптер". Определить внешний и внутренний сетевой адаптер можно в диалоге выбора сетевых адаптеров.
Условие на значение счетчиков фильтров
Позволяет задать лимиты на трафик, однако способ задания лимитов по трафику через правило не является предпочтительным и вскоре будет удален из TMeter. Предпочтительный способ задания лимитов по трафику - на уровне фильтра.
Попасть в редактор правила можно из редактора фильтра.