Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: WildGoblin, 17:14 24-03-2017
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?

Вариантов тут немного, а именно один -- игнорировать их!

----------
http://eika.narod.ru

Всего записей: 2404 | Зарегистр. 08-01-2002 | Отправлено: 14:42 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
следить 254 интерфейсами в домовой сети -- эти геморрой, т.к. там постоянно все меняется.  
Ну это (и по вышесказаному) уже детали, у кого как.

Цитата:
причем маааленькое такое в % соотношении.
хватит и одного    
Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него.
Ну а вообще от конкретики отталкиватся надо, а так .... это всё частности и в др. условиях может быть не нужно или непременимо. Я не про домовые сети писал.
 
 
Добавлено
Karlsberg

Цитата:
что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу
А ничего он делать не будет. Ведь правило сработает если он в пакете найдёт так сказать "сигнальный флажок"-предопределённый MAC адрес. А они через модем не ходят. Где ходят см. выше.

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 14:47 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него.  

А причем тут персональные фаеры и воровство трафика? Персональный фаер напрямую никак не позволит избавиться от этого.

Цитата:
Я не про домовые сети писал.  

Ну если вы поставщик услуг или корпоративщик, то вам не в эту тему, т.к. тут сабж
Цитата:
Настройка персональных файерволов (firewall rules)


----------
http://eika.narod.ru

Всего записей: 2404 | Зарегистр. 08-01-2002 | Отправлено: 14:59 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Настройка персональных файерволов (firewall rules)  

Они не только в домовых сетях применяются и при диалапе;).

Цитата:
Персональный фаер напрямую никак не позволит избавиться от этого.  
Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.
 
 
Добавлено
и ребят, мож я чё не так понял, но если это для обычных юзеров, нафига им надо всё то что в шапке написано ? Обсуждать возможности перс. фаеров так по максимуму. Если что поправьте меня

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 15:18 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Они не только в домовых сетях применяются и при диалапе;).  

Ну вы то ведь понимате, что нет в dial-up'е никаких MAC. Тогда о чем разговор?

Цитата:
Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.  

Это смотря каким способом его воруют. Если говорить о транзитных пакетах через вашу машину, то на ней должен стоять прокси-сервер или поднят NAT или настроена соотв. маршрутизация пакетов и т.д., т.е. для персональных машин достаточно нетиповая ситуация. Но это не суть, т.к. я вообще не понимаю, причем тут транзитный трафик и правила на базе MAC? Ведь фаер безо всяких MAC прекрасно защитит от этого. Для этого просто не нужно знать MAC -- для этого достаточно IP!

----------
http://eika.narod.ru

Всего записей: 2404 | Зарегистр. 08-01-2002 | Отправлено: 15:38 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
нет в dial-up'е никаких MAC
Точно. Я про это разговора и не вёл.

Цитата:
Ведь фаер безо всяких MAC прекрасно защитит от этого.
А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка.
И в остальном ты почти прав, почему почти, потому что
Цитата:
Для этого просто не нужно знать MAC -- для этого достаточно IP!
для этого или того иногда предпочитают знать кто MAC, кто как я MAC+IP. IP почемуто считается (не будем выяснять почему) самым легко(часто)подделываемым элементом. Ну да это дело так сказать вкуса. Точка.
 

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 15:59 16-05-2004 | Исправлено: neva102502, 16:11 16-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Мак действует только в пределах твоей подсети, до первого же маршрутизатора  
- Да, верно, ща проверил - маки входящих извне пакетов одинаковы - то есть, отображается МАС маршрутизатора(гейта).
 

Цитата:
Attack detection, который может временно блокировать удаленный IP (или всю подсеть)  
Ага, отрубит твою машину от всей твоей же подсети,  
- Именно поэтому я и заинтересовался МАСами.

Цитата:
Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке.
- Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа на значения кого-нить, в данный момент сидящего в оффлайне. Так что, не поможет. Да и геморно, действительно (если без помощи спец прог)
 

Цитата:
. Хотя, это ИМХО уже излишество банить всю подсеть, т.е. даже если хацкер IP поменяет, то его опять автоматика забанит.  
- Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит и теоретически есть возможность пробиться. Для того и придумано банить всю подсеть.  
 

Цитата:
что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?
- А по какому МАС адресу?  
 Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный. Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС.  Так что, неоткуда даже брать адрес для правила. Кроме того, вроде даже пропадает закладка с МАС правилами. если адаптер не еthernet, а модем.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16045 | Зарегистр. 13-02-2003 | Отправлено: 18:18 16-05-2004 | Исправлено: bredonosec, 18:24 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа
Знаю, но ты, я , а не все. Сначала незнающие только Ip меняют, тут ты засекаешь злоумышленника и потом просто ему внимание больше уделяешь Ну а как боротся с одновременной сменой, это уже тОчно не этого топика разговор. Насчёт MAC+IP - то это для параноиков, хотя согласен что вариант не намного надёжнее чем просто по MAC и я вдобавок так просто узнаю кто начинал с со смены IP свою криминальную деятельность

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 18:48 16-05-2004 | Исправлено: neva102502, 19:03 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Именно поэтому я и заинтересовался МАСами.

Ну это явно не повод, чтобы ради этого ими интересоваться.

Цитата:
Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит

Да, тормозит. А еще более сложные правила, т.е. не только IP, но и IP + MAC тормозят еще больше

Цитата:
и теоретически есть возможность пробиться.

Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера). Если такой не имеется (что в общем то соблюдается), то пакеты просто буферизуются и тем самым сильнее грузят систему. Но на машинах уровня P4 x 512 RAM это не страшно.

Цитата:
Для того и придумано банить всю подсеть.

Чушь. Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше как ни в чем не бывало. А для того, чтобы уйти в другую подсеть, уже нужно быть либо изощренным хакером, либо админом.

Цитата:
Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный.

Нет никаких MAC'ов в dial-up'е.

Цитата:
Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС.  

Да, ё мое. Сколько раз можно говорить, что MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!
 
neva102502

Цитата:
А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка.  

Все верно. Только вот, некоторые персональные фаеры не пропускают корректно транзитные пакеты, попросту потому что они ПЕРСОНАЛЬНЫЕ и не предназначены для этого. В частности, я знаю, что такого рода "проблемы" (именно в ковычках, потому как это не баг, это фича) есть у OF 2 (по крайней мере это обсуждалось в топике по OF -- сам я не пробовал).
 
А вообще, в случае организации шлюза в интернет, нужно применять соотв. задаче решения, начиная от WinRoute и заканчивая MS ISA, которые в общем-то не являются персональными фаерами, а это уже

----------
http://eika.narod.ru

Всего записей: 2404 | Зарегистр. 08-01-2002 | Отправлено: 19:19 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера)
Скользкий вопрос, определённо не скажу.

Цитата:
Для того и придумано банить всю подсеть
А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается.
И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает.

Цитата:
 вообще, в случае организации шлюза в интернет
Да я тебе про подпольный интернет для 1го лица в организации с инетом, или там про отрезание всех от своей тачки кроме Пети, потому что у тебя там Гиг песен с матюками и т.п. В общем о персональных фаерах для локальной сети и том что по MAC кому то, кой какие правила (ну не говорил же я за все) больше нравится правила писать. Да видно не по адресу (несмотря на шапку ) .  
По остальному согласен.

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 19:55 16-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Ну это явно не повод, чтобы ради этого ими интересоваться.  
- Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк
Цитата:
2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol)
в секунду.
Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит)
Цитата:
А еще более сложные правила, т.е. не только IP, но и IP + MAC  
- Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета. Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные.  
 

Цитата:
только если фаер имеет такой баг  
- Или система.  
Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил.  

Цитата:
Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше  
- Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие? Где чушь?  

Цитата:
MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!  
- Тем более. Значит и закладки на эти правила не будет в стене.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16045 | Зарегистр. 13-02-2003 | Отправлено: 21:57 16-05-2004 | Исправлено: bredonosec, 22:08 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Скользкий вопрос, определённо не скажу.  

А чего тут говорить? Если бы фаер при очереди запросов пропускал пакеты которые он не должен пропускать, то кому он такой красивый был нужен? Т.е. если такой факт и есть (а он есть -- про OF 2 как раз недавно писали!), то это баг.

Цитата:
А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается.

Да что вы к этой опции привязались. Её ж не обязательно включать.

Цитата:
И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает.  

Отличная вещь.
 
Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах
 
А вообще, жалуются, конечно на OF 2, но вот только по скорости работы каки[-то серьезных нареканий не  припомню. Попробуйте последнюю версию 2.1.303.4009 (314) с нормальной сетевой картой (лучше на чипсете Intel) -- думаю, что не должо быть проблем.
 
Добавлено
bredonosec

Цитата:
Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк

Ну, не попадут и? Пакетов, которые не попадают под правила очень много. И никто не умер.

Цитата:
Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит)  

Теперь на пакеты от таких флудеров срабатывает автомат и блокируется его IP и/или локальный порт. А при желании потом могу по логам проверить, что конкретный чел мне слал.  

Цитата:
логить всё входящее - никаких хардов не хватит

В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога. Недавно приделали...

Цитата:
Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета.

А если этот пакет от dial-up'шика, чей вы увидите MAC? Ближайшего к вам маршритизатора? Если ДА, то какой от этого MAC'а толк?

Цитата:
Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные.

Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP.

Цитата:
Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил.

Ну это ваши проблемы. А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться.

Цитата:
Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие?  Где чушь?

Значит я потерял вашу мысль и подумал о другом. Разжевывать лень.

----------
http://eika.narod.ru

Всего записей: 2404 | Зарегистр. 08-01-2002 | Отправлено: 22:12 16-05-2004 | Исправлено: eika, 22:46 16-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К вопросу об MAC адресе при диал-апе:

Цитата:
A dialup modem is a point to point device. When you use Dialup networking to connect to your ISP Dialup Networking Connection (DUN) creates a dummy MAC address so the modem looks like a network device.

Значит, MAC все-таки есть, но не является идентификатором сетевого интерфейса

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 23:11 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ух, спор я вижу бесполезен. К слову про MAC + IP в нЕкоторых случаях я говорил,  
bredonosec такого не упоминал. Про диалап мы всё давно выяснили и про него речь не шла. Домовые сети у нас лично как раз все на 100Мб свитчах. Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры. НО и им надо к этому стремится. На сём умолкаю. Сенкс за диалог.
 
Добавлено
Karlsberg По "тому MAC" ты правило не настроешь

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 23:33 16-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
 По "тому MAC" ты правило не настроешь

Да я не спорю. Сам вижу, что не он.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 23:58 16-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP.  
- А зачем делать правило ИП+МАС? Смысл? МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял)

Цитата:
А если этот пакет от dial-up'шика, чей вы увидите MAC?  
- То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу. Только по диалу оччень многие дырки, существующие для локальщиков, недоступны. Да и зафлудить через диал тяжко тебе будет.  
 

Цитата:
Ну это ваши проблемы
- И я их решаю.

Цитата:
А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться.  
- Атлон 550. И хватает абсолютно.  

Цитата:
Пакетов, которые не попадают под правила очень много. И никто не умер.  
- Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто. А
Цитата:
2004/05/17, 03:20:24.830, GMT +0200, 2111, Device 1, Rule 28, Blocked incoming MAC packet, src=00-03-47-E9-70-57, dct=...

как-то поинформативнее, чем  

Цитата:
2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol)
будет. Можете считать это личным предпочтением.  

Цитата:
Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах  
- Именно такие и стоят тут. 10Мб -только самые маленькие - до 10 чел локалки.
Цитата:
срабатывает автомат и блокируется его IP и/или локальный порт
- И рубит тебе инет. Класс, правда? Даже ДоСить тебя не надо, твой автомат сам всё сделает!  

Цитата:
В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога

 - Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить.  
neva102502

Цитата:
НО и им надо к этому стремится.  
Согласен. файер должен быть незаметен для меня, а не жрать полпамяти и треть проца.  

Цитата:
По "тому MAC" ты правило не настроешь  
- Да и смысла нет.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16045 | Зарегистр. 13-02-2003 | Отправлено: 03:30 17-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кстати, господа хорошие, а вы не заметили что топик превратился во флейм? Куча страниц со спорами "а нафига"... Кому хочется поспорить, откройте соответствующую тему во флейме. Здесь изначально обсуждались вопросы "как", так и пусть она будет короткая, но информативная.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 09:09 17-05-2004
renreg



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Спасибо.  
 
 
bredonosec
Спасибо.
 

Цитата:
В общем, примитив. Учите нтмл!  

 
Но это не для меня - с ме хватит и DTP
 

Цитата:
А если в ёксель - просто выделяешь мышкой и копи-пасте.  

 
А вот эта технология - в самый раз! А теперь в любимый PDF

----------
Заграница нам поможет
_____________________
renreg

Всего записей: 5117 | Зарегистр. 24-09-2001 | Отправлено: 15:12 18-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Домовые сети у нас лично как раз все на 100Мб свитчах.

Да все то все, только работает это все по разному. Лично у меня < 40 Mbps. OF по боку.

Цитата:
 Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор  ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры.  

Ну а кто будет таким софтом пользоваться? Что он из себя представляет? Ну явно не нормальный фаер с приличными возможностями и GUI, а какую-то "поделку".
 
Да, и еще вы забываете, что обсуждаются персональные фаеры, а это значит, что они стоят на раб. станциях, а это значит, что на них периодически выполняются другие ресурсоемкие задачи, поэтому железная конфигурация должна подразумевать наличие соотв. количества свободных ресурсов.
 
А вообще, это бесполезный разговор -- из оперы разговоров про нехороших производителей софта и их пофигистичное отношение к системным ресурсам. Да они негодяи и т.п.
 
bredonosec

Цитата:
А зачем делать правило ИП+МАС? Смысл?  МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял)  

А я подумал, что вы как neva102502 рекламируете IP + MAC.

Цитата:
То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу.

Я двумя руками за, и не понимаю, нафиг нужны правила по MAC на рабочих странциях. Только для повышения надежности? Так все равно не очень надежно, т.к. любители менять IP быстро узнают, что есть еще и MAC, а потом, что его можно менять, да еще и средствами ОС (иногда).

Цитата:
Да и зафлудить через диал тяжко тебе будет.

Да флуд на рабочую станцию как явление очень редок.

Цитата:
Атлон 550. И хватает абсолютно.

Попробуйте, например, рипануть DVD в AVI или запаковать несколько сотен Мб в архив, лучше если с наивысшей степенью компрессии. Ваш фаер, при наличии потока запросов к нему, не обрадуется от вашей "железки" и начнет тупить, задерживая ответы на запросы на секунды, а может и на десятки секунд. Такие задержки сделают невозможной корректную работу многих сетевых сервисов. Это конкретный пример того, о чем я писал выше для neva102502.

Цитата:
Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто.

Да ну, мне кажется, что вот так гораздо информативнее.

Цитата:
17.05.2004 0:00:10servicename.exeUDPIN REFUSED 212.112.105.8527015*.*.*.834422Packet to closed port

Да, MAC'а нет, но, повторюсь, не был до сих пор нужен..

Цитата:
И рубит тебе инет. Класс, правда?  Даже ДоСить тебя не надо, твой автомат сам всё сделает!  

Каким это образом интересно?

Цитата:
Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить.

Не надо ее отключать, т.к. за активно прожитый день может 200 Мб лога накопиться, за неделю, соотв. 1 Гб -- легко. А это значит, что производительность фаера упадет, а так же то, что вы никогда в него не полезете, разве что в случае к.л. форсмажора (например, для того, чтобы найти обидчика который как-то пролез через фаер и нагадил). В обыденной жизни подавляющее большинство людей никогда не полезет смотреть старый лог. Поэтому я старые логи не храню.

----------
http://eika.narod.ru

Всего записей: 2404 | Зарегистр. 08-01-2002 | Отправлено: 23:23 18-05-2004 | Исправлено: eika, 23:26 18-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Кажется, идем по кругу..  
чтоб сильно не флеймить, плавно переместимся в пм, а если что полезное выползет из спора, сюда кинем. ОК?  
(ща напишу)  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16045 | Зарегистр. 13-02-2003 | Отправлено: 23:48 18-05-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru