Trước khi BlockOutTraffic(BOT) được kích hoạt ta phải cấu hình máy tính được phép quản trị BOT. Trong giao diện quản trị IPCop chọn Firewall => Block outgoing traffic:
o Admin MAC: Địa chỉ MAC máy trạm được phép quản trị BOT.
o HTTPS port: Khai báo cổng HTTPS truy cập tới giao diện quản trị. BOT tạo ra một quy tắc quản trị mặc định với MAC và cổng HTTPS điều này tránh được các truy cập trái phép.
o Connection state: BOT sẽ cho phép lưu lượng thuộc về một kết nối liên quan hoặc kết nối được thiết lập khi bạn kích hoạt tùy chọn này. Nếu sử dụng Port-Forwardings (ví dụ một máy chủ web nội bộ) bạn nên kích hoạt tùy chọn này.
o Logging: BOT sẽ tạo ra những luật nếu một máy tính nào không phù hợp với luật khi tính năng này được bật.
o Default Deny action: Ta có thể chọn hành động DROP (xóa bỏ) hoặc REJECT(từ chối) gói tin nếu không phù hợp với luật đề ra.
o Advanced Mode: Nếu tính năng này được kích hoạt ta sẽ có nhiều lựa chọn để tùy biến các quy tắc BOT. Nhưng được cảnh báo bạn có thể mở tường lửa trong chế độ nâng cao. Chỉ nên chọn tùy chọn này nếu người quản trị có kiến thức sâu về tường lửa.
Khi bạn nhấn nút “Save” thì các thiết lập được lưu lại và ta có thể bắt đầu xác định các quy tắc BOT và các tính năng hữu ích khác. Những tính năng bổ sung (nâng cao) có thể được cấu hình khi bạn vào Firewall => Advanced BOT trong giao diện web quản trị.
Trước tiên, ta nên định nghĩa một vài dịch vụ cho truy cập tường lửa IPCop. Ta có thể định nghĩa nó sau khi tạo nhóm dịch vụ hoặc tạo các luật BOT. Có 3 dịch vụ ta cần định nghĩa sau:
1. IPCop ssh là dịch vụ cần thiết để quản trị tường lửa thông qua ssh.
2. IPCop https để quản trị tường lửa qua giao diện web. Với máy tính đã khai báo địa chỉ MAC tại “Admin MAC” sẽ có thể truy cập tới được tường lửa qua giao diện web và những máy tính khác áp dụng luật này cũng có thể truy cập được.
3. IPCop proxy dịch vụ cho phép truy cập tới web proxy để truy cập tới Internet.
Tiếp theo, ta có thể định nghĩa nhóm dịch vụ, tùy chọn địa chỉ, nhóm địa chỉ hoặc một giao diện mới. Ví dụ :
• Nhóm quản lý tường lửa IPCop gồm có IPCop ssh, IPCop https. ….
Hình 4.44: Định nghĩa nhóm dịch vụ
Sau khi định nghĩa những dịch vụ tùy chọn và các nhóm dịch vụ ta cần định nghĩa các tập luật. Ví dụ ta muốn mạng nội bộ được phép:
• Gửi và nhập email.
• Truy nhập Internet thông qua dịch vụ proxy.
• Truy vấn được dịch vụ DNS, DHCP và NTP trên IPCop.
• Cho phép 2 máy quản trị để quản trị IPCop qua giao diện web và ssh. Trở lại mục BlockOutTraffic (Webgui => Firewall => BlockOutTraffic) và tại mục “Add a new rule”. Ta có thể tùy chọn luật cho tường lửa như ACCEPT(cho phép), DROP(xóa bỏ), REJECT(từ chối), LOG only(chỉ ghi nhật kí). Trong tùy chọn này ta phải khai báo: nguồn, đích, bổ sung các thiết lập và khung thời gian.