Firestarter - Rozhranie a základné používanie

Základnými prvkami rozhrania programu Firestarter sú:

Firestarter - Sprievodca nastavením firewallu

Sprievodca nastavením firewallu programu Firestarter sa automaticky spustí ak ste program spustili prvý krát. Ak sa chcete do sprievodcu vrátiť neskôr, dá sa vyvolať prostredníctvom ponuky Firewall v hlavnom rozhraní programu. Všetky voľby, ktoré nastavíte pomocou sprievodcu sa však dajú zmeniť pomocou predvolieb programu.

Nastavenie sieťového zariadenia

Configuring the network settings

Táto stránka sprievodcu slúži na nakonfigurovanie hlavného sieťového zariadenia; to je sieťové zariadenie, cez ktoré sa pripájate na Internet.

Sprievodca automaticky vyhľadá všetky zariadenia, ktoré sa nachádzajú v počítači. Vo všeobecnosti budete používať buď pppxx alebo ethxx zariadenie, ak nemáte nejaký špeciálny hardvér. ppp je priradené k zariadeniam, ktoré sa pripájajú k telefónnej linke, zatiaľ čo eth je normálna sieťová karta pre drôtové pripojenie.

Pri niektorých modemoch je potrebné zvoliť ppp0 ako ich zariadenie, aj keď je tiež k dispozícii voľba eth0. Je to preto, lebo poskytovateľ internetových služieb používa protokol PPPoE. Ak vidíte v zozname ppp zariadenie a vy nemáte modem, pravdepodobne ho musíte vybrať ako sieťové zariadenie.

Ďalej sú k dispozícii nasledujúce dve možnosti:

  • Spustiť firewall po nadviazaní vytáčaného spojenia
    Ak máte zariadenie pripojené cez telefónnu linku (PPP) alebo VPN rozhranie, ktoré sa po určitom čase preruší, odporúčame túto možnosť zaškrtnúť. Ak je možnosť povolená, Firestarter sa pokúsi nanovo načítať firewall hneď ako sa nadviaže nové spojenie.
  • IP adresa je priradená cez DHCP
    Ak sú vaše sieťové nastavenia ako IP adresa počítača distribuované cez DHCP, odporúčame túto možnosť zaškrtnúť. Ak ste pripojený na Internet cez káblovú televíziu, DSL alebo cez priame drôtové pripojenie, mali by ste túto možnosť zaškrtnúť. Toto nastavenie nebude prekážať ani vtedy ak vo vašej sieti nie je DHCP server. Ak je zaškrtnutá táto možnosť, Firestarter nanovo načíta firewall vždy, keď sa zmenia sieťové nastavenia.

Nastavenie zdieľania internetového pripojenia

Configuring Internet connection sharing

Zdieľanie internetového pripojenia umožňuje niektorým počítačom prístup do siete Internet cez bežné sieťové pripojenie. Toto pripojenie je vytvorené pomocou NAT (preklad sieťových adries). Pre počítače z vonkajšej siete sa celá vaša sieť javí ako jeden počítač s jednou IP adresou.

Aby NAT fungoval, musíte mať v počítači dve alebo viac sieťových zariadení. Ak máte iba jedno zariadenie, táto strana sprievodcu sa vám nezobrazí. NAT zapnete tak, že zo zoznamu zariadení vyberiete to, ku ktorému je pripojená lokálna sieť. Musíte vybrať iné zariadenie ako ste vybrali na predchádzajúcej stránke.

Ak chete získať viac informácií a dozvedieť sa aj o tom ako sa konfiguruje služba DHCP, môžete si prečítať časť Nastavenie DHCP servera. Vo všeobecnosti však NAT aj DHCP začnú fungovať, keď ich povolíte v sprievodcovi a nie je potrebná žiadna ďalšia konfigurácia.

Príprava na štart firewallu

Na poslednej strane sprievodcu máte možnosť buď zahodiť zmeny alebo ich prijať a uložiť. Ak zvolíte uloženie zmien, firewall sa automaticky naštartuje.

Po vykonaní tohto kroku Firestarter bude pracovať predvolenom bezpečnostnom režime a v budúcnosti zvyčajne nie je potrebné nič meniť. Predvolený režim implementuje prísnu politiku pre prichádzajúcu komunikáciu a zhovievavý postoj k odchádzajúcej komunikácii. Viac informácií o predvolenom režime a o tom ako ho zmeniť sa dozviete v časti Práca s politikou.

Firestarter - Stránka Stav

The status page

Stránka Stav je prvá stránka, ktorá sa zobrazí po spustení programu Firestarter. Táto stránka poskytuje prehľad o firewalle, a tiež umožňuje zmeniť stav firewallu.

Stav sa mení prostredníctvom tlačidiel na nástrojovej lište vo vrchnej časti stránky. Existujú tri stavy, v ktorých sa firewall môže nachádzať:

  • Aktívny
    Firewall je zapnutý a pracuje.
  • Vypnutý
    Firewall je zastavený. V tomto stave sa neuplatňuje bezpečnostná politika a je povolená všetka komunikácia.
  • Uzamknutý
    Firewall je uzamknutý. Nie je povolená žiadna komunikácia dnu ani von.

Ďalšie tlačidlo na nástrojovej lište otvorí Predvoľby programu.

Stránka Stav je ďalej rozdelená do troch oddelených častí.

Stav firewallu

The states of the firewall

Časť Stav firewallu zobrazuje stav v akom sa firewall nachádza. Deje sa to prostredníctvom ikon (obrázok vpravo).

V tejto časti sa tiež zobrazuje počet udalostí firewallu, ktoré predstavujú počet zablokovaných pokusov o pripojenie od spustenia programu. Udalosti sú rozdelené podľa smeru pokusu o pripojenie. Ak pripojenie pochádza z počítača, na ktorom je spustený firewall alebo zo stanice v lokálnej sieti, je klasifikované ako odchádzajúce, inak je klasifikované ako prichádzajúce. Udalosť je potom označená ako kritická ak si Firestarter myslí, že je to pravá hrozba a mali by ste si na ňu dať pozor.

Viac informácií o rôznych druhoch udalostí sa dozviete v časti Stránka Udalosti.

Stav siete

Časť stránky o stave siete poskytuje prehľad o využití sieťových zdrojov. Obsahuje zoznam sieťových zariadení počítača s firewallom a niektoré údaje o prenesených dátach pre každá zariadenie.

Zobrazené sú nasledujúce údaje:

  • Zariadenie
    Názov zariadenia pod akým zariadenie pozná operačný systém.
  • Typ
    Úloha zariadenia vo firewalle, alebo všeobecný typ zariadenia ak Firestarter nerozlišuje medzi zariadeniami.
  • Prijaté
    Množstvo prichádzajúcej komunikácie cez dané zariadenie v megabajtoch.
  • Odoslané
    Množstvo odchádzajúcej komunikácie cez dané zariadenie v megabajtoch.
  • Aktivita
    Aktuálna využívaná šírka pásma zariadenia.

Aktívne pripojenia

Aktívne pripojenia predstavujú priamy pohľad do samotného firewallu. Je to zoznam všetkých nadviazaných spojení, ktoré firewall sleduje v danom okamihu. Tieto spojenia zahŕňajú nie len vstupnú komunikáciu prichádzajúcu na firewall, ale aj vychádzajúce spojenia a programy, ktoré sú s nimi previazané. Naviac sa tu zobrazuje aj všetka komunikácia, ktorá cez firewall prechádza na iné počítače, s ktorými je zdieľané internetové pripojenie.

Pre každé sledované spojenie sú zaznamenávané tieto dáta:

  • Zdroj
    Adresa stanice, ktorá nadviazala spojenie.
  • Cieľ
    Cieľová stanica, s ktorou bolo nadviazané spojenie.
  • Port
    Sieťový port na cieľovej stanici, na ktorý smeruje komunikácia.
  • Služba
    Názov sieťovej služby, ktorá je previazaná s vyžiadaným portom.
  • Program
    Názov programu, ktorý vytvoril pripojenie. Táto informácia je dostupná iba ak pripojenie na firewall prichádza z lokálnej siete.

Položky v aktívnych pripojeniach sú rozlíšené nasledujúcimi farbami:

  • Čierna
    Práve aktívne spojenie
  • Sivá
    Ukončené spojenie. Ukončené spojenie sa zo zozanamu odstráni za 10 sekúnd.

Ak použijete kontextovú ponuku asociovanú s položkami, ktorá sa vyvolá pravým tlačidlom myši, máte možnosť poslať dotaz na mennú adresu zdroja a cieľa spojenia.

Firestarter - Stránka Udalosti

The events page

Stránka Udalosti zobrazuje históriu pripojení, ktoré boli zablokované firewallom. S položkami ako takými nie je potrebné nič robiť. Na tejto stránke však môžeme vykonať mnoho akcií, ktoré sa vzťahujú na položky, ktoré spôsobili zablokovanie spojenia. Tieto akcie majú vplyv na to, ako sa firewall bude k podobnej komunikácii správať v budúcnosti.

Firestarter označuje jednotlivé položky farebne podľa toho aký veľký pozor by ste si mali na ne dať:

  • Čierna
    Bežné pokus o pripojenie na náhodný port, ktoré bolo zablokované firewalom. Zvyčajne sa týchto položiek nemusíte obávať.
  • Červená
    Možný pokus o prístup k neverejnej službe. Firestarter odporúča aby ste týmto položkám venovali zvýšenú pozornosť. Nemusí to znamenať, že sa niekto snaží nabúrať do vášho počítača, to musíte zvážiť vy.
  • Sivá
    Pripojenia klasifikované ako neškodné. Tento typ pripojení predstavuje bežný typ komunikácie.

Zoznam udalostí

O zablokovanom pripojení sa zozbiera množstvo dát. V predvolenom stave sa zobrazuje iba niekoľko z nich, ďalšie však môžete zobraziť prostredníctvom ponuky Udalosti->Zobraziť stĺpec.

Stĺpce, ktoré môžeme zobraziť sú tieto:

  • Čas
    Presný čas kedy udalosť nastala.
  • Smer
    Firewall každé pripojenie klasifikuje buď ako prichádzajúce alebo odchádzajúce a tento stĺpec to zobrazuje. Detailnejšie vysvetlenie smeru sa nachádza v časti Práca s politikou.
  • Vstup
    Sieťové zariadenie, cez ktoré komunikácia prišla.
  • Výstup
    Sieťové zariadenie, cez ktoré sa snažila odísť.
  • Port
    Cieľový port pripojenia.
  • Zdroj
    IP alebo menná adresa počítača, z ktorý sa snažil pripojiť.
  • Cieľ
    IP alebo menná adresa počítača, na ktorý smerovalo spojenie.
  • Dĺžka
    Dĺžka zablokovaného paketu.
  • ToS
    Parametre typu služby, ktoré boli nastavené na pakete.
  • Protokol
    Sieťový protokol, ktorý spojenie použilo.
  • Služba
    Názov služby, ku ktorej sa spojenie pokúšalo dostať.

Ak kliknete pravým tlačidlom myši na položku udalosti a z kontextovej ponuky vyberiete Hľadať menné adresy, zdrojová alebo cieľová IP adresa sa zmení na mennú adresu, čitateľnú pre ľudí.

Aktuálne zobrazený zoznam sa dá uložiť na disk vo formáte čitateľnom pre ľudí pomocou tlačidla Uložiť, ktoré sa nachádza na nástrojovej lište.

Tlačidlo Zmazať vymaže všetky zobrazené udalosti, zatiaľ čo tlačidlo Obnoviť načíta históriu firewallu z disku. Väčšina Linuxových distribúcií prepisuje tieto záznamy aby donekonečna nerástli, preto nie je potrebné tento súbor so záznamami vymazávať ručne. Ak obnovíte históriu, môže to trvať dosť dlhú dobu, preto je možné túto operáciu prerušiť pomocou tlačidla na nástrojovej lište.

Reagovanie na položky udalostí

Každá položka v zozname blokovaných spojení je prepojená s kontextovou ponuku, ktorú vyvoláme pomocou pravého tlačidla myši. Tieto akcie menia spôsob reakcie firewallu na podobné spojenie, keď znova taký prípad nastane. Akcie pracujú ako skratky pre narábanie s politikou systému, to čo v skutočnosti robia, je vytvorenie nových pravidiel na stránke Politika. V závislosti od typu udalosti sa prispôsobuje aj kontextová ponuka a sú zobrazované rozdielne akcie.

Akcie pre vstupné záznamy sú:

  • Povoliť spojenia zo zdroja
    Táto akcia udelí zdroju právo pripojiť sa a vytvoriť pripojenie aké chce. Toto sa dá prirovnať k slepému dôverovaniu zdroju, preto by sa mala táto možnosť používať veľmi opatrne.
  • Povoliť vstupnú službu pre každého
    Táto akcia umožní každému prístup ku službe, ku ktorej boli pripojenia doteraz blokované.
  • Povoliť vstupnú službu pre zdroj
    Táto akcia umožní prístup k službe na požiadanie iba určitému zdroju. Toto je tiež známe ako skrývanie, ostatné stanice okrem zdroja nebudú ani tušiť, že služba existuje.

Akcie pre výstupné záznamy sú:

  • Povoliť spojenia k cieľu
    Vybraním tejto akcie, udelíte každému právo pristupovať k vybranému zdroju. Toto je to isté ako keď na stránke politiky pridáte cieľ do zoznamu dôveryhodných staníc.
  • Povoliť výstupnú službu pre každého
    Táto akcia umožní každému vytvoriť odchádzajúce spojenie k požadovanej službe, zaradí službu do zoznamu dôveryhodných služieb.
  • Povoliť výstupnú službu pre zdroj
    Táto akcia povolí určitému zdroju vytvoriť na požiadanie odchádzajúce spojenie k službe. Ostatný klienti lokálnej siete túto službu nebudú môcť využiť.

Odcádzajúce položky sa iba zobrazia, ak máte prísnu výstupnú politiku.

Filtrovanie udalostí

Okrem akcií týkajúcich sa politiky sa v kontextovej ponuke pre položky udalostí nachádzajú ešte ďalšie dve položky, ktoré riadia samotný zoznam udalostí. Týmito položkami sú Zakázať udalosti zo zdroja a Zakázať udalosti na porte.

Ako názvy položiek napovedajú, tieto možnosti zrušia zobrazovanie udalostí pochádzajúcich od určitého zdroja alebo na určitom porte. Vybraním jednej z týchto možností dosiahnete, že sa udalosti spĺňajúce dané kritéria nebudú zobrazovať v zozname. Nemá to žiaden vplyv na to, či budú takéto udalosti blokované alebo nie.

Zoznam aktuálne filtrovaných zdrojov a portov sa dá nájsť v predvoľbách.

Firestarter - Stránka Politika

The policy page

Podrobnejšie vysvetlenie politiky systému sa nachádza v časti Práca s politikou. Táto časť obsahuje návod ako používať stránku Politika rozhrania programu Firestarter v praxi.

Stránka Politika je rozdelená na dve časti - politiku vstupnej komunikácie a politiku výstupnej komunikácie. Prepínať sa medzi nimi môžete pomocou rozbaľovacieho zoznamu vo vrchnej časti stránky.

Každý z pohľadov obsahuje tri zoznamy skupín pravidiel. Pravidlo politiky predstavuje jeden záznam v jednom zo zoznamov. Nové pravidlo pridáme tak, že označíme skupinu, do ktorej budeme chcieť pravidlo pridať, kliknutím na príslušný zoznam. Potom klikneme na tlačidlo Pridať pravidlo na nástrojovej lište alebo použijeme kontextovú ponuku, ktorú vyvoláme pravým tlačidlom myši na príslušnom zozname. Pravidlo odstránime tak, že ho označíme kliknutím, a potom klikneme na tlačidlo Odstrániť pravidlo na nástrojovej lište alebo v kontextovej ponuke. Ak chceme existujúce pravidlo upraviť, stačí nad ním urobiť dvojklik alebo ho označiť a kliknúť na tlačidlo Upraviť pravidlo na nástrojovej lište alebo v kontextovej ponuke.

Všetky zmeny, ktoré urobíte na stránke Politiky je potrebné potvrdiť. Je to kvôli tomu aby ste nikdy nepridelili viac privilégií ako ste chceli, obzvlášť ak vytvárate viacero politických rozhodnutí, ktoré navzájom súvisia. Ak chcete aplikovať zmeny, stačí kliknúť na tlačidlo Aplikovať politiku na nástrojovej lište. Prostredníctvom predvolieb je tiež možné nastaviť, aby sa zmeny vykonané v politike aplikovali okamžite.

Skupina politiky vstupnej komunikácie

Vstupná politika riadi komunikáciu prichádzajúcu na firewall zo siete Internet a z lokálnej siete. Predvolená vstupná politika je kompletne vykrývajúca, to znamená, že nič neprejde ak to nie je explicitne povolené. Pravidlá, ktoré pridáte do skupín vstupnej politiky teda vytvárajú výnimky v tejto politike, ktoré vytvárajú priechody cez firewall, cez ktoré môže prejsť legitímna komunikácia.

Tri skupiny politiky sú rozmiestnené zhora nadol: Povoliť pripojenia zo stanice, Povoliť službu a Presmerovať službu.

Povoliť pripojenia zo stanice

Keď vytvárate nové pravidlo v skupine Povoliť pripojenia zo stanice, jediným parametrom, ktorý je potrebné zadať, je IP alebo menná adresa zdrojovej stanice. Ako názov napovedá, pridaním stanice do tejto skupiny ju označíte ako dôveryhodný zdroj a všetka komunikácia pochádzajúca od tohto zdroja bude v budúcnosti prepustená cez firewall.

Povoliť službu

Skupina Povoliť službu umožňuje oveľa jemnejšie riadenie prístupu. Pravidlá v tejto skupine majú dva parametre - službu a cieľ. Službu môžete vybrať dvoma spôsobmi - buď cez rozbaľovací zoznam preddefinovaných služieb alebo explicitným zadaním sieťového portu, ktorý služba používa. Následne sa program Firestarter pokúsi zistiť názov služby, ale používateľ môže názov zadať aj ručne.

Cieľom môže byť jedna z troch možností -  Ktokoľvek, klienti siete LAN alebo používateľom určená IP adresa, menná adresa alebo sieť. Možnosť ktokoľvek znamená presne to, že ktokoľvek resp. všetci môžu pristupovať k službe na požiadanie. Možnosť klienti LAN znamená, že službu môžu používať iba klienti pripojení do lokálnej siete. Používateľom definovaný cieľ, môže byť buď IP adresa, ktorá pozostáva zo štyroch čísel oddelených bodkami, menná adresa zrozumiteľná pre človeka, alebo celá sieť. Sieť je určená buď ako sieť/sieťova_masko v číselnom tvare oddelenom bodkami, alebo použitím zápisu CIDR Notation. V prípade, že zadáte iba samostatnú IP adresu, služba bude efektívne skrývaná a iba jeden cieľový počítač bude túto službu vidieť.

Presmerovať službu

Creating a forward rule

Poslednou skupinou vstupnej politiky je skupina Presmerovať službu. Táto skupina je aktívna iba ak je zapnuté zdieľanie internetového pripojenia. Ak je zdieľanie povolené, celá skupina počítačov je z pohľadu vonkajšej siete viditeľná ako jeden záznam. Ak všetky počítače zdieľajú jednu verejnú IP adresu, za účelom poskytnutia verejných služieb staniciam v lokálnej sieti, firewall môže tiež fungovať ako prostredník medzi verejnými a súkromnými sieťami.

Rovnako ako pri predchádzajúcej skupine politiky, aj pravidlá tejto skupiny obsahujú dva parametre - službu a cieľ. Služba sa dá vybrať dvoma spôsobmi - buď pomocou rozbaľovacieho zoznamu s preddefinovanými službami alebo priamym zadaním čísla portu. Toto číslo predstavuje port, na ktorom bude firewall načúvať, ak dostane požiadavku, potom komunikáciu presmeruje priamo na cieľ. Cieľ je určený ako IP adresa počítača vo vnútornej sieti. Je to počítač, ktorý poskytuje aktuálnu službu. Pre tento počítač je možné zadať iný port ako ten, na ktorom načúva firewall, aj keď vo väčšine prípadov budú rovnaké. Ďalší spôsob použitia rôznych portov na firewalle je ten, že porty nie sú symetrické. To znamená že firewall načúva na celom rozsahu portov a potom komunikáciu presmeruje na jeden port počítača.

Skupina politiky výstupnej komunikácie

The outbound policy groups

Výstupná politika riadi komunikáciu odchádzajúcu z firewallu do siete Internet alebo k staniciam v sieti LAN. Predvolená výstupná politika je zhovievavá. To znamená, že vy a ďalší klienti pripojení do lokálnej siete môžu bez obmedzení prehliadať webové stránky, čítať emaily, atď. Je tiež možné zmeniť politiku do prísneho režimu podobnému tomu vo vstupnej politike. Režimy sa dajú prepínať pomocou prepínacích tlačidiel vo vrchnej časti pohľadu výstupnej politiky.

Zhovievavý režim

Režim označený ako Všetko povoliť, vytvárať zoznam zakázaných pripojení predstavuje spôsob chovania programu Firestarter, v ktorom sa spustí. Ako je vysvetlené vyššie, odchádzajúca komunikácia nie je v tomto režime obmedzovaná a vaše sieťové aplikácie budú fungovať normálne. Skupiny politiky vo výstupnej politike budú v tomto režime slúžiť na vytváranie zoznamu zakázaných pripojení. To znamená, že stanovujú obmedzenia, pre inak zhovievavú politiku.

Prvá skupina politiky, Odmietnuť pripojenia ku stanici, je efektívny tzv. čierny zoznam. Pravidlá v tejto skupine majú len jeden parameter obsahujúci IP adresu alebo platnú mennú adresu. Stanice zobrazené v tejto skupine sú označené ako obmedzené. Jeden z možných spôsobov použitia tejto skupiny politiky je zadávanie zoznamu zakázaných webových stránok, nikto z lokálnej siete ale ani zo samotnej stanice, na ktorej je spustený firewall, nebude môcť zobraziť tieto stránky v prehliadači.

Skupina Odmietnuť pripojenia z LAN stanice pracuje ako čierna listina pre lokálne sieťové stanice. Žiadna stanica, ktorá sa bude v tomto zozname nachádzať, nebude mať možnosť pripojiť sa do siete Internet. To môže byť užitočné napríklad vtedy, ak chcete niekomu znemožniť prístup na server, ale nechcete zaviesť prísnu politiku pre ostatných klientov.

Posledná skupina Odmietnuť službu umožňuje oveľa jemnejšiu kontrolu výstupnej komunikácie. Pravidlá v tejto skupine obsahujú dva parametre - službu a cieľ. Služba sa vyberá rovnako ako pri vstupných pravidlách a cieľ môže byť jeden zo štyroch možností: ktokoľvek, stanica firewallu, klienti LAN a používateľom zadaná IP adresa, menná adresa alebo sieť. Pridaním pravidla do tejto skupiny zablokujete počítaču prístup k službe na požiadanie. Cieľ sa vyberá rovnako ako v skupine Povoliť službu vo vstupnej politike.

Prísny režim

Druhý režim výstupnej politiky je označený nápisom Všetko zakázať, vytvárať zoznam dovolených pripojení. Je to ekvivalent správania sa pri vstupnej politike. Nič nie je povolené, iba to čo explicitne povolíte vytvorením pravidla v jednej zo skupín. Tento režim poskytuje maximálnu ochranu, ale je tiež veľmi otravný, žiadna sieťová aplikácia nebude fungovať pokým pre ňu nevytvoríte pravidlo.

Ak prvýkrát Firestarter prepnete do tohto režimu, zbadáte, že sa nejaké pravidlá už nachádzajú v skupine Povoliť službu. Tieto pravidlá umožňujú získať k menným adresám IP adresy a prehliadať webové stránky. Pravidlá sú tu zahrnuté preto, aby ste si mohli zobraziť aspoň online pomocníka k programu. Ak ste si istý, že ich nechcete, môžete ich odstrániť.

Skupina Povoliť pripojenia ku stanici predstavuje tzv. biely zoznam cieľových staníc, s ktorými sa môžu všetci spojiť. Použitím tejto skupiny môžete napríklad zablokovať prístup na Internet okrem vypísaných stránok, toto môže byť užitočné napríklad ak počítač slúži ako infostánok alebo ho používame na nejaký špeciálny účel.

Skupina Povoliť pripojenia z LAN stanice povolí konkrétnym staniciam z lokálnej siete neobmedzený prístup na Internet.

Skupina Povoliť službu poskytuje jemnejšiu kontrolu výstupnej komunikácie. Je logickým opakom skupiny Odmietnuť službu v zhovievavom režime, a má tiež rovnaké parametre. Vytvorením pravidla v tejto skupine povolíte napríklad udeliť jednému počítaču výnimku pri použití inak zakázanej služby.

Firestarter - Predvoľby programu

The network preferences

Dialóg s predvoľbami programu Firestarter obsahu veľa nastavení, ktoré ovplyvňujú správanie grafického rozhrania programu a firewallu. Ak chcete vstúpiť do predvolieb, buď kliknite na tlačidlo na nástrojovej lište na stránke stav alebo z ponuky vyberte položku Upraviť->Predvoľby.

Predvoľby sú rozdelené do dvoch kategórií: nastavenia, ktoré menia správanie rozhrania a nastavenia, ktoré ovplyvňujú firewall.

Nastavenia rozhrania

Nastavenia rozhrania sú ďalej rozdelené do troch častí, všeobecné nastavenia, nastavenia pre stránku udalostí a nastavenia pre stránku politiky.

Všeobecné nastavenia rozhrania

Povoliť zobrazenie ikony v oblasti upozornení. Ak je táto možnosť povolená, Firestarter zobrazí svoju ikonu v oblasti upozornení. Ikona sa zobrazuje podľa toho, aký je stav firewallu podobne ako na stránke Stav. Keď nastane nová udalosť, ikona začne blikať. Po kliknutí na ikonu sa hlavné okno programu Firestarter skryje alebo znova objaví.

Po zatvorení okna minimalizovať do oblasti upozornení. Táto možnosť sa dá použiť iba spolu s predchádzajúcou možnosťou. Ak je povolená, tak po zatvorení hlavného okna programu sa program neukončí, len sa skryje a zostane spustený na pozadí. Toto správanie je podobné ako pri programoch na odosielanie rýchlych správ. Podstatou je aby ste nemuseli mať na ploche stále otvorené okno programu Firestarter, ale aby ste boli upozornený iba keď sa niečo stane.

Nastavenia stránky udalostí

Tieto nastavenie riadia správanie stránky Udalosti.

Vynechať nadpočetné záznamy. Ak je táto možnosť povolená, zo zoznamu blokovaných spojení na stránke Udalosti sa odfiltrujú rovnaké po sebe nasledujúce záznamy.

Vynechať záznamy ak cieľom nie je firewall. Ak je možnosť povolená, spôsobí to, že program porovná IP adresu a cieľ blokovaného spojenia. Ak sa nezhodujú, položka sa nezobrazí v zozname. Toto je v niektorých prípadoch užitočné. Napríklad ak ste zakázali broadcasty (odoslanie paketu všetkým), ale nechcete o tom dostávať správy.

Táto stránka tiež obsahuje dva zoznamy - stanice a porty, ktorých udalosti sú odfiltrované zo zoznamu blokovaných spojení. Keď pravým tlačítkom myši kliknete na položku na stránke udalostí a vyberiete Zakázať udalosti zo zdroja alebo na porte, položka s adresou stanice alebo portom sa pridá sem. Udalosti na portoch a adresách, ktoré sa tu nachádzajú sa nezaznamenávajú ani do súboru so záznamami, narozdiel od predchádzajúcich dvoch možností, ktoré udalosti skrývajú iba pri zobrazení.

Nastavenia firewallu

Nastavenia firewallu riadia niektoré pokročilejšie funkcie firewallu, umožňujú však zmeniť aj nastavenia, ktoré ste nastavili pomocou sprievodcu firewallom.

Všeobecné nastavenia firewallu

Spustiť/reštartovať firewall pri štarte programu. Ak zaškrtnete túto možnosť, Firestarter nanovo načíta nastavenie firewallu, pri štarte grafického rozhrania programu.

Spustiť/reštartovať firewall po nadviazaní vytáčaného spojenia. Táto možnosť pridá službu firewallu do zoznamu programov, ktoré sa spusti po nadviazaní vytáčaného spojenia. To zaistí, že firewall sa správne reštartuje keď je počítaču pridelená nová IP adresa.

Spustiť/reštartovať firewall po obnovení zapožičania adresy cez DHCP. Táto možnosť spôsobí, že sa firewall reštartuje, keď vám DHCP server poskytovateľa pridelí novú IP adresu.

Nastavenia siete

Nastavenia závisia od nastavenia siete. Umožňujú nastaviť sieťové zariadenie pripojené k Internetu a k vnútornej sieti, ak ste do nej pripojený. Všetky sieťové zariadenia v počítači sa automaticky vyhľadajú, vám stačí iba vybrať jedno z rozbaľovacieho zoznamu.

Povoliť zdieľanie internetového pripojenia. Táto voľba umožňuje pripojenie do siete Internet s ostatnými stanicami lokálnej siete. Viac informácií sa dozviete v časti Zdieľanie internetového pripojenia.

Povoliť DHCP pre lokálnu sieť. DHCP je sieťová služba, ktorá umožňuje automatickú distribúciu sieťových nastavení do počítačov v lokálnej sieti. Detailnejšie informácie o konfigurovaní DHCP služby sa nachádza v časti Nastavenie DHCP servera.

Nastavenia ICMP filtrovania

ICMP pakety predstavujú špeciálny druh komunikácie, ktorú často využívajú sieťové nástroje ako napríklad ping (požiadavka na echo) a traceroute (tasovanie).

V predvolenom stave Firestarter povoľuje ICMP komunikáciu, aj keď je trochu brzdí aby predišiel nadmernej záplave požiadaviek alebo útokom spôsobujúcich nedostupnosť služby - tzv. Denial of Service. Povolením ICMP filtrovanie môžete zablokovať tieto služby úplne. Všimnite si, že keď zablokujete určité ICMP typy, nebudete ich môcť používať ani vy.

Firestarter umožňuje riadiť nasledujúce ICMP typy:

  • Požiadavka na echo a odpoveď na požiadavku echo
    Používa sa pri sieťovom nástroji ping, ale tiež ich používajú sieťové hry a ostatné programy. Ping môže byť súčasťou rôznych sieťových útokov a môže slúžiť na zhromažďovaní informácií.
  • Časové pečiatky
    Časové pečiatky používajú internetové brány aby mohli posúdiť, ako dlho majú paket určený pre danú stanicu držať aktívny, kým ho zahodia. Používatelia domácej lokálnej siete by nemali filtrovať požiadavky na časové razítka, pretože sa bežne používajú na spravovanie štatistík sledujúcich a udržiavajúcich priepustnosť siete.
  • Trasovanie a MS trasovanie
    Tento ICMP typ sa používa na nájdenie cesty z jednej siete do druhej. Je to užitočné pre konfiguráciu sietí pre tzv. Quality of Service (využíva sa napríklad pri hlasovom prenose) ale tiež na detekciu sieťových odpadlíkov. Microsoft trasovanie sa dá bezpečne filtrovať ak vy (alebo poskytovateľ pripojenia) nepoužíva Microsoft DNS servery.
  • Nedostupný
    Niekedy sa používa pri tzv. Fingerprinting útoku, správy "nedostupný" sú odosielané ak cieľová stanica neodpovedá na požiadavku odoslanú z vášho počítača. Požiadavky "nedostupné" by ste nemali filtrovať ak na počítači nepoužívate DMZ služby.
  • Maskovanie adresy
    Nepoužíva sa od verzie Linux 2.2, tieto požiadavky môžete filtrovať ak vo vnútornej sieti nie sú veľmi staré počítače.
  • Presmerovanie
    Používa sa pri komunikácii medzi sieťami, presmerovanie je užitočné ak sú siete pripojené na rôznych miestach (napríklad v iných krajinách) a sú prepojené cez VPN alebo iné sieťové služby. V takom prípade brány môžu presmerovať prichádzajúce pakety, ktoré ich informujú, že cieľová stanica je v rovnakej logickej sieti, a preto by mali byť presmerované. Ak nie ste v takejto situácii, môžete takéto pakety filtrovať.
  • Tlmenie zdroja
    Nepoužíva sa od verzie Linux 2.2, tieto požiadavky môžete filtrovať ak vo vnútornej sieti nemáte počítače s komerčným systémom UNIX, ktorý je na ne schopný reagovať.

Nastavenia ToS filtrovania

Filtrovanie podľa typu služby - Type of Service umožňuje firewallu v niektorých prípadoch zvýšiť priepustnosť a rýchlosť reagovania pre vybrané aplikácie. Funguje to na základe zmeny priority komunikácie. Zmena priorít typu služby vyžaduje podporu zo strany siete ku ktorej sa pripájate, v praxi je to oblasť, na ktorej to funguje, obmedzená na lokálne siete.

Firestarter môže uprednostniť komunikáciu typickú pre úlohy na pracovných staniciach alebo serveroch. Tiež môže uprednostniť komunikáciu z aplikácií bežiacich na vzdialenom X Window systéme. Pre vybraný typ úloh môže byť maximalizovaná buď priestupnosť, spoľahlivosť alebo interaktivita.

Pokročilé nastavenia

Pokročilé nastavenia sú určené hlavne pre skúsenejších používateľov.

Preferovaná metóda odmietnutia paketov. Firestarter môže buď odmietnuť alebo zahadzovať spojenia, ktoré nie sú povolené bezpečnostnou politikou. Ak firewall odmietne spojenie, odošle chybový paket zdroju, ktorý hovorí, že pripojenie bolo zakázané. Pri zahodení spojenia sa neodošle nič. V takom prípade zdroj zakázaného spojenia nebude nič vedieť, v niektorých prípadoch dokonca nebude môcť ani posúdiť, či na IP adrese firewallu je vôbec počítač. Vzhľadom k tomu, žr odmietanie pripojenia umožňuje vzdialeným stranám mapovať sieťové služby, a tiež znižovať  šírku pásma, odporúčame ponechať predvolené správanie, ktoré spojenia potichu zahadzuje.

Blokovať vyslania všetkým. Táto možnosť blokuje komunikáciu s cieľovou alebo zdrojovou adresou, ktorá je označená buď ako tzv. globálny alebo lokálny broadcast (takýto paket je určený všetkým staniciam v sieti).