Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена. Предыдущий вид шапки в отдельном файле.- общая информация, советы. Таблица настройки правил брандмауэров Application or Service what is it? TCP UDP _local_ remote dire-ction _зачем_? Specific rules, ICMP _ _______________________ _ ___________ ____________ _ _________________ _________________ DHCP Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров UDP 68 67 both settings request +answer DNS Сервис соответствия доменного имени IP-адресу (RU-Board.com -> 207.44.160.93) TCP, UDP 1024-5000 53 both IP request + response ntoskrnl .exe Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки TCP UDP 1024..5000 137. 138 139 137. 138 out both NetBIOS session service NetBios overTCP/IP comment: 137 - browsing request 138 - browsing responses ntoskrnl .exe оно же через CIFS (Common Internet File System) TCP, UDP 445 445 both win2k+ аналог NetBIOS/TCP поправьте меня, если я не прав browser IE, Opera, Mozilla TCP 1024..5000 80, 443, 8080, 8100 out http(s) web-servers   FTP-clients active mode TCP TCP 1024-65535 1024-65535 20 1-65535 21 in out data transmission ftp requests FTP-clients passive mode. Соединения для данных инициируются клиентом TCP 1024-65535 21, 2121, 1024-65535 out FTP requests+ transmission ICQ internet messenger TCP 1024-5000 443 or 5190 out 443 - с шифрованием можно обозначить IP login.icq.com = 64.12.161.153 IRC internet messenger TCP ? 113 6660-6670 ? out in IRC connection IRC AUTH connection E-mail почтовая программа-клиент (Outlook, The Bat и др.) TCP 1024-5000 25, 80, 110, 143, 443, 993, 995 out 25 - SMTP-сервер (отправка) 110 - POP3-сервер (прием) 143 - IMAP (замена POP3) 993 - secure IMAP 995 - secure POP3 comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM Emule & Co файлообменник TCP 4662,4711, 4712 any any 1025-65535 in out response (?) request (?) поправьте меня, если я не прав Emule & Co файлообменник UDP 4665,4672, 4673 any any 1025-65535 in out response (?) request (?) поправьте меня, если я не прав Bittorent качалка, hispeed Р2Р, с центральным сервером (трекер) TCP 80, 443, 1024-65535 6881-6889 any (?) any (?) out in (?) (?) Radmin Viewer Remote Administrator TCP any 4899 (or server-defined. RTFM) out connect to Radmin-server Radmin Server Remote server TCP 4899 (or serv-defined. RTFM) any both connect to client Languard & Co сканеры сетей TCP, UDP UDP any any any any out in скан - Allow ICMP out Novel client NetWare application (инфо) TCP, UDP 1024-65535 427 524 427 out both NCP Requests SLP Requests MSN Windows Messenger TCP 1024-65535 1863,6891-6901 out - Block Incoming Fragment, Block Incoming Conection Time Sync синхронизация времени UDP 123 123 both - Block incoming fragment LAST RULE Block any other connection TCP UDP any any any все остальные пусть не лазят в сеть ICMP block *относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено   ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534   Дополнительная информация по портам (Спасибо bredonosec) ports.txt   ports.html http://www.it.ru/reference/ports.html http://www.iss.net/security_center/advice/Exploits/Ports/ (eng) http://portforward.com/cports.htm (Port Forwarding Ports List, eng) http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr) http://www.iana.org/assignments/port-numbers (Спасибо Tim72) Special Application Port  List New   Немного теории по протоколам (Спасибо bredonosec) UDP: http://book.itep.ru/4/44/udp_442 TCP: http://book.itep.ru/4/44/tcp_443.htm  Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec   KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535   Или просто не ставить/удалить     Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание. Подобные и соответствующие топики на форуме: Microsoft Windows » Тонкая настройка брандмауэра Windows Microsoft Windows » Disable Telemetry Windows 7 and next Тестирование » Бесконтрольность Windows 10 . . . . Рабочая копия-архив шапки # Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Karlsberg Цитата: что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу? Вариантов тут немного, а именно один -- игнорировать их! ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 14:42 16-05-2004

neva102502 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: следить 254 интерфейсами в домовой сети -- эти геморрой, т.к. там постоянно все меняется.   Ну это (и по вышесказаному) уже детали, у кого как. Цитата: причем маааленькое такое в % соотношении. хватит и одного     Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него. Ну а вообще от конкретики отталкиватся надо, а так .... это всё частности и в др. условиях может быть не нужно или непременимо. Я не про домовые сети писал.     Добавлено Karlsberg Цитата: что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу А ничего он делать не будет. Ведь правило сработает если он в пакете найдёт так сказать "сигнальный флажок"-предопределённый MAC адрес. А они через модем не ходят. Где ходят см. выше. Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 14:47 16-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору neva102502 Цитата: Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него.   А причем тут персональные фаеры и воровство трафика? Персональный фаер напрямую никак не позволит избавиться от этого. Цитата: Я не про домовые сети писал.   Ну если вы поставщик услуг или корпоративщик, то вам не в эту тему, т.к. тут сабж Цитата: Настройка персональных файерволов (firewall rules) ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 14:59 16-05-2004

neva102502 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Настройка персональных файерволов (firewall rules)   Они не только в домовых сетях применяются и при диалапе;). Цитата: Персональный фаер напрямую никак не позволит избавиться от этого.   Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.     Добавлено и ребят, мож я чё не так понял, но если это для обычных юзеров, нафига им надо всё то что в шапке написано ? Обсуждать возможности перс. фаеров так по максимуму. Если что поправьте меня Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 15:18 16-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору neva102502 Цитата: Они не только в домовых сетях применяются и при диалапе;).   Ну вы то ведь понимате, что нет в dial-up'е никаких MAC. Тогда о чем разговор? Цитата: Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.   Это смотря каким способом его воруют. Если говорить о транзитных пакетах через вашу машину, то на ней должен стоять прокси-сервер или поднят NAT или настроена соотв. маршрутизация пакетов и т.д., т.е. для персональных машин достаточно нетиповая ситуация. Но это не суть, т.к. я вообще не понимаю, причем тут транзитный трафик и правила на базе MAC? Ведь фаер безо всяких MAC прекрасно защитит от этого. Для этого просто не нужно знать MAC -- для этого достаточно IP! ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 15:38 16-05-2004

neva102502 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: нет в dial-up'е никаких MAC Точно. Я про это разговора и не вёл. Цитата: Ведь фаер безо всяких MAC прекрасно защитит от этого. А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка. И в остальном ты почти прав, почему почти, потому что Цитата: Для этого просто не нужно знать MAC -- для этого достаточно IP! для этого или того иногда предпочитают знать кто MAC, кто как я MAC+IP. IP почемуто считается (не будем выяснять почему) самым легко(часто)подделываемым элементом. Ну да это дело так сказать вкуса. Точка.   Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 15:59 16-05-2004 | Исправлено: neva102502, 16:11 16-05-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Мак действует только в пределах твоей подсети, до первого же маршрутизатора   - Да, верно, ща проверил - маки входящих извне пакетов одинаковы - то есть, отображается МАС маршрутизатора(гейта).   Цитата: Attack detection, который может временно блокировать удаленный IP (или всю подсеть)   Ага, отрубит твою машину от всей твоей же подсети,   - Именно поэтому я и заинтересовался МАСами. Цитата: Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке. - Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа на значения кого-нить, в данный момент сидящего в оффлайне. Так что, не поможет. Да и геморно, действительно (если без помощи спец прог)   Цитата: . Хотя, это ИМХО уже излишество банить всю подсеть, т.е. даже если хацкер IP поменяет, то его опять автоматика забанит.   - Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит и теоретически есть возможность пробиться. Для того и придумано банить всю подсеть.     Цитата: что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу? - А по какому МАС адресу?    Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный. Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС.  Так что, неоткуда даже брать адрес для правила. Кроме того, вроде даже пропадает закладка с МАС правилами. если адаптер не еthernet, а модем. ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 18:18 16-05-2004 | Исправлено: bredonosec, 18:24 16-05-2004

neva102502 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа Знаю, но ты, я , а не все. Сначала незнающие только Ip меняют, тут ты засекаешь злоумышленника и потом просто ему внимание больше уделяешь Ну а как боротся с одновременной сменой, это уже тОчно не этого топика разговор. Насчёт MAC+IP - то это для параноиков, хотя согласен что вариант не намного надёжнее чем просто по MAC и я вдобавок так просто узнаю кто начинал с со смены IP свою криминальную деятельность Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 18:48 16-05-2004 | Исправлено: neva102502, 19:03 16-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Цитата: Именно поэтому я и заинтересовался МАСами. Ну это явно не повод, чтобы ради этого ими интересоваться. Цитата: Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит Да, тормозит. А еще более сложные правила, т.е. не только IP, но и IP + MAC тормозят еще больше Цитата: и теоретически есть возможность пробиться. Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера). Если такой не имеется (что в общем то соблюдается), то пакеты просто буферизуются и тем самым сильнее грузят систему. Но на машинах уровня P4 x 512 RAM это не страшно. Цитата: Для того и придумано банить всю подсеть. Чушь. Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше как ни в чем не бывало. А для того, чтобы уйти в другую подсеть, уже нужно быть либо изощренным хакером, либо админом. Цитата: Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный. Нет никаких MAC'ов в dial-up'е. Цитата: Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС.   Да, ё мое. Сколько раз можно говорить, что MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!   neva102502 Цитата: А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка.   Все верно. Только вот, некоторые персональные фаеры не пропускают корректно транзитные пакеты, попросту потому что они ПЕРСОНАЛЬНЫЕ и не предназначены для этого. В частности, я знаю, что такого рода "проблемы" (именно в ковычках, потому как это не баг, это фича) есть у OF 2 (по крайней мере это обсуждалось в топике по OF -- сам я не пробовал).   А вообще, в случае организации шлюза в интернет, нужно применять соотв. задаче решения, начиная от WinRoute и заканчивая MS ISA, которые в общем-то не являются персональными фаерами, а это уже ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 19:19 16-05-2004

neva102502 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера) Скользкий вопрос, определённо не скажу. Цитата: Для того и придумано банить всю подсеть А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается. И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает. Цитата:  вообще, в случае организации шлюза в интернет Да я тебе про подпольный интернет для 1го лица в организации с инетом, или там про отрезание всех от своей тачки кроме Пети, потому что у тебя там Гиг песен с матюками и т.п. В общем о персональных фаерах для локальной сети и том что по MAC кому то, кой какие правила (ну не говорил же я за все) больше нравится правила писать. Да видно не по адресу (несмотря на шапку ) .   По остальному согласен. Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 19:55 16-05-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eika Цитата: Ну это явно не повод, чтобы ради этого ими интересоваться.   - Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк Цитата: 2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol) в секунду. Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит) Цитата: А еще более сложные правила, т.е. не только IP, но и IP + MAC   - Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета. Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные.     Цитата: только если фаер имеет такой баг   - Или система.   Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил.   Цитата: Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше   - Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие? Где чушь?   Цитата: MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!   - Тем более. Значит и закладки на эти правила не будет в стене.   ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 21:57 16-05-2004 | Исправлено: bredonosec, 22:08 16-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору neva102502 Цитата: Скользкий вопрос, определённо не скажу.   А чего тут говорить? Если бы фаер при очереди запросов пропускал пакеты которые он не должен пропускать, то кому он такой красивый был нужен? Т.е. если такой факт и есть (а он есть -- про OF 2 как раз недавно писали!), то это баг. Цитата: А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается. Да что вы к этой опции привязались. Её ж не обязательно включать. Цитата: И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает.   Отличная вещь.   Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах   А вообще, жалуются, конечно на OF 2, но вот только по скорости работы каки[-то серьезных нареканий не  припомню. Попробуйте последнюю версию 2.1.303.4009 (314) с нормальной сетевой картой (лучше на чипсете Intel) -- думаю, что не должо быть проблем.   Добавлено bredonosec Цитата: Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк Ну, не попадут и? Пакетов, которые не попадают под правила очень много. И никто не умер. Цитата: Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит)   Теперь на пакеты от таких флудеров срабатывает автомат и блокируется его IP и/или локальный порт. А при желании потом могу по логам проверить, что конкретный чел мне слал.   Цитата: логить всё входящее - никаких хардов не хватит В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога. Недавно приделали... Цитата: Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета. А если этот пакет от dial-up'шика, чей вы увидите MAC? Ближайшего к вам маршритизатора? Если ДА, то какой от этого MAC'а толк? Цитата: Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные. Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP. Цитата: Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил. Ну это ваши проблемы. А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться. Цитата: Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие?  Где чушь? Значит я потерял вашу мысль и подумал о другом. Разжевывать лень. ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 22:12 16-05-2004 | Исправлено: eika, 22:46 16-05-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору К вопросу об MAC адресе при диал-апе: Цитата: A dialup modem is a point to point device. When you use Dialup networking to connect to your ISP Dialup Networking Connection (DUN) creates a dummy MAC address so the modem looks like a network device. Значит, MAC все-таки есть, но не является идентификатором сетевого интерфейса Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:11 16-05-2004

neva102502 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ух, спор я вижу бесполезен. К слову про MAC + IP в нЕкоторых случаях я говорил,   bredonosec такого не упоминал. Про диалап мы всё давно выяснили и про него речь не шла. Домовые сети у нас лично как раз все на 100Мб свитчах. Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры. НО и им надо к этому стремится. На сём умолкаю. Сенкс за диалог.   Добавлено Karlsberg По "тому MAC" ты правило не настроешь Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 23:33 16-05-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору neva102502 Цитата:  По "тому MAC" ты правило не настроешь Да я не спорю. Сам вижу, что не он. Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:58 16-05-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP.   - А зачем делать правило ИП+МАС? Смысл? МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял) Цитата: А если этот пакет от dial-up'шика, чей вы увидите MAC?   - То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу. Только по диалу оччень многие дырки, существующие для локальщиков, недоступны. Да и зафлудить через диал тяжко тебе будет.     Цитата: Ну это ваши проблемы - И я их решаю. Цитата: А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться.   - Атлон 550. И хватает абсолютно.   Цитата: Пакетов, которые не попадают под правила очень много. И никто не умер.   - Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто. А Цитата: 2004/05/17, 03:20:24.830, GMT +0200, 2111, Device 1, Rule 28, Blocked incoming MAC packet, src=00-03-47-E9-70-57, dct=... как-то поинформативнее, чем   Цитата: 2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol) будет. Можете считать это личным предпочтением.   Цитата: Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах   - Именно такие и стоят тут. 10Мб -только самые маленькие - до 10 чел локалки. Цитата: срабатывает автомат и блокируется его IP и/или локальный порт - И рубит тебе инет. Класс, правда? Даже ДоСить тебя не надо, твой автомат сам всё сделает!   Цитата: В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога  - Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить.   neva102502 Цитата: НО и им надо к этому стремится.   Согласен. файер должен быть незаметен для меня, а не жрать полпамяти и треть проца.   Цитата: По "тому MAC" ты правило не настроешь   - Да и смысла нет. ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 03:30 17-05-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кстати, господа хорошие, а вы не заметили что топик превратился во флейм? Куча страниц со спорами "а нафига"... Кому хочется поспорить, откройте соответствующую тему во флейме. Здесь изначально обсуждались вопросы "как", так и пусть она будет короткая, но информативная. Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:09 17-05-2004

renreg Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Karlsberg Спасибо.       bredonosec Спасибо.   Цитата: В общем, примитив. Учите нтмл!     Но это не для меня - с ме хватит и DTP   Цитата: А если в ёксель - просто выделяешь мышкой и копи-пасте.     А вот эта технология - в самый раз! А теперь в любимый PDF ---------- Заграница нам поможет _____________________ renreg Всего записей: 5117 | Зарегистр. 24-09-2001 | Отправлено: 15:12 18-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору neva102502 Цитата: Домовые сети у нас лично как раз все на 100Мб свитчах. Да все то все, только работает это все по разному. Лично у меня < 40 Mbps. OF по боку. Цитата:  Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор  ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры.   Ну а кто будет таким софтом пользоваться? Что он из себя представляет? Ну явно не нормальный фаер с приличными возможностями и GUI, а какую-то "поделку".   Да, и еще вы забываете, что обсуждаются персональные фаеры, а это значит, что они стоят на раб. станциях, а это значит, что на них периодически выполняются другие ресурсоемкие задачи, поэтому железная конфигурация должна подразумевать наличие соотв. количества свободных ресурсов.   А вообще, это бесполезный разговор -- из оперы разговоров про нехороших производителей софта и их пофигистичное отношение к системным ресурсам. Да они негодяи и т.п.   bredonosec Цитата: А зачем делать правило ИП+МАС? Смысл?  МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял)   А я подумал, что вы как neva102502 рекламируете IP + MAC. Цитата: То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу. Я двумя руками за, и не понимаю, нафиг нужны правила по MAC на рабочих странциях. Только для повышения надежности? Так все равно не очень надежно, т.к. любители менять IP быстро узнают, что есть еще и MAC, а потом, что его можно менять, да еще и средствами ОС (иногда). Цитата: Да и зафлудить через диал тяжко тебе будет. Да флуд на рабочую станцию как явление очень редок. Цитата: Атлон 550. И хватает абсолютно. Попробуйте, например, рипануть DVD в AVI или запаковать несколько сотен Мб в архив, лучше если с наивысшей степенью компрессии. Ваш фаер, при наличии потока запросов к нему, не обрадуется от вашей "железки" и начнет тупить, задерживая ответы на запросы на секунды, а может и на десятки секунд. Такие задержки сделают невозможной корректную работу многих сетевых сервисов. Это конкретный пример того, о чем я писал выше для neva102502. Цитата: Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто. Да ну, мне кажется, что вот так гораздо информативнее. Цитата: 17.05.2004 0:00:10servicename.exeUDPIN REFUSED 212.112.105.8527015*.*.*.834422Packet to closed port Да, MAC'а нет, но, повторюсь, не был до сих пор нужен.. Цитата: И рубит тебе инет. Класс, правда?  Даже ДоСить тебя не надо, твой автомат сам всё сделает!   Каким это образом интересно? Цитата: Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить. Не надо ее отключать, т.к. за активно прожитый день может 200 Мб лога накопиться, за неделю, соотв. 1 Гб -- легко. А это значит, что производительность фаера упадет, а так же то, что вы никогда в него не полезете, разве что в случае к.л. форсмажора (например, для того, чтобы найти обидчика который как-то пролез через фаер и нагадил). В обыденной жизни подавляющее большинство людей никогда не полезет смотреть старый лог. Поэтому я старые логи не храню. ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 23:23 18-05-2004 | Исправлено: eika, 23:26 18-05-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eika Кажется, идем по кругу..   чтоб сильно не флеймить, плавно переместимся в пм, а если что полезное выползет из спора, сюда кинем. ОК?   (ща напишу)   ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 23:48 18-05-2004

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование