» Deerfield VisNetic Firewall 2.0

Интересное обсуждение. Люди, а разве документации на русском по всем этим мелочам нигде нет?
Так же, спрашивай/не спрашивай, многое можно упустить из виду.

К примеру, как здесь: http://www.opennet.ru/docs/RUS/iptables/

PS: Смешные вы

Не в обиду.

Цитата:

в чем основная функция Tarpit

- на первых страницах было.
Если по данному правилу кто-то запрашивает, обратно идет не отлуп "низзя!" (функция блокирования на обычных стенках) или просто молчание (функция stealthed на обычных), а пакет типа "соединение есть, готов принять данные". После чего все принятые данные от него просто дропятся, обратно никаких подтверждений не идет. В результате у атакующего открытое соединение повисает на минуту или сколко у него настроено, пока не отвалится по таймауту.

//на пальцах. в точных терминах не помню, если интересно - первые страницы темы + хелп проги к вашим услугам///

dariusii


Цитата:

Люди, а разве документации на русском по всем этим мелочам нигде нет?

- сделай - будет.

Цитата:

Tarpits <
Trap hackers, slow down the spread of worms and stall spammers by creating tarpits. A tarpit is a trap for harmful intruders. VisNetic Firewall accepts TCP connections but never replies and ignores disconnect requests. This leaves ports scanners and hackers stuck for hours, even days.

При установке на сервере у меня ни разу не получилось что-то записать или создать в Tarpits. Скорее всего это функция которая работает постоянно по след алогоритму.
Виснетик просто никогда не отзывается на принимаемые TCP соединения и игнорирует запросы на дисконет. (Имеется в виду, когда существуют обычные правила для неразрешенных портов) Т. е. А --SYN--> B /80 на закрытый порт. B --RST--> A /80 - Deny? те флаг RST не отсылается?

Цитата:

После чего все принятые данные от него просто дропятся, обратно никаких подтверждений не идет.

Что такое дропятся? Зачем что-то отсылать, если Tarpits по умолчанию работает? Тогда получается, что разработчики игнорировали RFC 973?
Со второй частью понятно, в случае FIN скана А --FIN--> B команда B --RST--> A не отсылается.

Цитата:

VisNetic Firewall accepts TCP connections

- acception means some reply "accept" вообще-то говоря "Open connection" или что-то вроде...

Цитата:

у меня ни разу не получилось что-то записать или создать в Tarpits.

В смысле записать в тарпитс? Создать правило с ним?

Цитата:

те флаг RST не отсылается?

вероятно (попросту не помню точную схему)

bredonosec

Цитата:

В смысле записать в тарпитс? Создать правило с ним?

Да, вообще что-либо поменять в поле Tarpits.

Цитата:

в поле Tarpits.

Возможно, моя версия слишком стара..
Но о каком поле идет речь? У меня тарпит только как галка в чекбоксе - есть или нет.

Или вы о вызове функции при срабатывании правила? Так это вообще другое (да и тут - ни разу не видел какого-бы-то-ни-было плуга или схемы, что/как можно использовать эту возможность)

bredonosec

Цитата:

Возможно, моя версия слишком стара..

Я про версию 2.3 Слушай, а ты что не обновляешь с выходом новой версии?

Цитата:

Слушай, а ты что не обновляешь с выходом новой версии?

Во-первых, с осени по неделю назад у меня компа не было, только винты валялись в столе (обратно взял на время зверька)
Во-вторых - просто времени нет, чтоб глобально обновить всё(а это надо с нуля - бо почти всё сменилось!), а по мелочам и дергаться лень. ))
Да, стоит 2,2.

Один чел посоветовал юзать этот файрволл. Пока что просто пробую.

вот сделал одну вещь. Не знаю, правильно или нет.

Соединение с dc++ хабом.

Я создал три правила на эзернет фейсе
dc++ in и dc++ out
создал две группы
в первую внес сети, откуда ко мне можно ходить по udp и tcp на порты, прописанные в strongdc.
во вторую группу внес адреса хостов серверов dc++
StrongDC++ у меня решил быть открытым на входящие
udp - 28911 порт
tcp - 21764 порт
Сервер открыт по 411му порту, соответственно

Получается, что мы должны создать три правила. Два входящих, tcp и udp и одно исходящее, tcp.
Последнее правило гласит разрешить ходить на группу dc++ серверов на 411й порт с юзер-диапазона (1024-5000 порты) и с моего адреса ip. Это одно единственное правило на исходящие соединения.
Два первых правила. Везде подразумевается, что хождение идет только с конкретных адресов. маски или диапазон имеются толко для группы пользователей, ожидающих соединение с моей машиной. Либо мой адрес ip. Никак не any.
UDP - разрешить ходить с группы юзер-сети ко мне на порт udp , обозначенный в моем Strongdc, dc_tc, linuxdcpp или как хотите. кто чем пользует. В моем случае - 28911 порт. С портов 1024-65535.
И последнее правило. Разрешить ходить с группы юзер-сети на порт tcp, обозначенный в моем dc++ клиенте. В моем случае, 21764 порт. С портов 1024-65535.
Не забываем про опцию "filtering data" в настройках udp правила. остальные правила автоматом заимеют нужное направление. Это будет видно по стрелочкам )))) )

Я только вчера поставил эту стенку первый раз в жизни и поентму могу сильно ошибаться. Например, я не знаю. ставить ли опцию block incoming fragments или не ставить. Для kazaa, visnetic ее не ставил. Но это на ощупь.

Но эта стенка, видимо, куда круче, чем просто ip адреса и порты.
в ней можно очень тонко все сделать. фильтрация по mac-адресам и тд.

Вот, с этим бы разобраться.

Цитата:

ставить ли опцию block incoming fragments или не ставить.

обычно ставлю. Просто потому, что где-то читал о способах переполнения буфера и последующих глюках специально сформированными пакетами, изображающими фрагменты. Каких-либо потерь или тормозов в связи с установкой не замечал.

Цитата:

фильтрация по mac-адресам и тд.

- имеет смысл, если возможный злоумышленник находится с вами в одной локальной сети. Не разделенной серверами. В остальных случаях вы общаетесь исключительно с МАСами шлюзов, а далее общение идет через ИП.

Цитата:

Я создал три правила на эзернет фейсе

- Потестируй. Если вариант окажется точным, добавим в таблицу шапки темы "настройки персональных файерволов".
Там вроде пока нет дс++...

bredonosec
Нет. dc++ работает. Но только у меня. Я могу видеть сеть/качать. Все, что мне нужно.

да. эти правила у меня работают полностью, как я вижу. Но еще раз. Для меня эта прога существует всего один день. настраивал ее вообще минут 20. vpn и dc++.

Так что, могу ошибаться.

Добавлено:

bredonosec

Цитата:

- имеет смысл, если возможный злоумышленник находится с вами в одной локальной сети. Не разделенной серверами. В остальных случаях вы общаетесь исключительно с МАСами шлюзов, а далее общение идет через ИП.

Я не знаю, на сколько шлюз 10.63.1.1 настоящий.
наша сеть:
10.0.0.0
10.60.0.0-10.63.00
я нахожусь в подсети 10.63.0.0
да что я..
route PRINT:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.63.1.1 10.63.5.223 20
10.60.0.0 255.255.0.0 10.63.1.1 10.63.5.223 1
10.61.0.0 255.255.0.0 10.63.1.1 10.63.5.223 1
10.62.0.0 255.255.0.0 10.63.1.1 10.63.5.223 1
10.63.0.0 255.255.0.0 10.63.5.223 10.63.5.223 20
10.63.5.223 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.63.5.223 10.63.5.223 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.0.0 10.63.1.1 10.63.5.223 1 > соседняя локалка.
224.0.0.0 240.0.0.0 10.63.5.223 10.63.5.223 20
255.255.255.255 255.255.255.255 10.63.5.223 10.63.5.223 1
Default Gateway: 10.63.1.1
Если ставить опцию "must be to/from a trusted MAC adess", то соединения с dc++ хабом рвутся. Соединиться уже нельзя.

при block incoming (все 3 правила dc++) все продолжает работать.

Цитата:

Если ставить опцию "must be to/from a trusted MAC adess",

- никогда такой не пользовался, вероятно, применительно к случаю специфической работы с одной из локальных машин, блокируя остальные. Подразумевает как минимум, внесение нужного маса в доверенные. Если этого не сделать, список оных пуст, правило работает только на блок.
//чисто теоретически, умозрительно//

bredonosec

а какие правила по MAC Ты имел ввиду до моего последнего поста?

Цитата:

а какие правила по MAC Ты имел ввиду до моего последнего поста?

- у себя блокирую по МАСу наиболее надоевших соседей. Отдельными правилами. Rules - Mac adress.

Цитата:

Я не знаю, на сколько шлюз 10.63.1.1 настоящий.

возможно, это не наиболее рациональный метод, но определить, видятся ли МАСи за неким разделителем, можно так (я так делаю):
Влез в логи, клик правым на пакет от шлюза, который интересует, Display - читаешь сорс МАС. Копируешь или записываешь его на бумажку. (если есть возможность в другом месте глядеть пакеты - 07-13 байты пакета=МАС отправителя). Потом находишь любой паке от машины за шлюзом, открываешь его, смотришь МАС. Если совпадают - всё, приехали. Другой сегмент. Если нет - значит виден.

bredonosec

Спасибо за помощь.

А что такое tarpit? Тут говорили про это, но частично. Я, так, и не понял до конца.

Добавлено:
еще
чел не смог ко мне зайти. без файрволла, с моей стороны, смог

лог:
2006/06/24, 02:57:57.609, GMT +0400, 2007, Device 3, Blocked outgoing TCP packet (no matching rule), src=10.63.5.223, dst=10.63.3.203, sport=3249, dport=1412
2006/06/24, 02:58:00.640, GMT +0400, 2007, Device 3, Blocked outgoing TCP packet (no matching rule), src=10.63.5.223, dst=10.63.3.203, sport=3249, dport=1412
2006/06/24, 02:58:06.656, GMT +0400, 2007, Device 3, Blocked outgoing TCP packet (no matching rule), src=10.63.5.223, dst=10.63.3.203, sport=3249, dport=1412
2006/06/24, 02:58:57.937, GMT +0400, 2007, Device 3, Blocked outgoing TCP packet (no matching rule), src=10.63.5.223, dst=10.63.3.203, sport=3250, dport=1412

10.63.5.223 - мой ip

получается, что нужно открывать не только 411й порт исходящих, но и все, которые выше 1025го и адреса всей подсети скармливать под такое правило ?

Есть вот такие правила, но на липу какую-то похоже:
http://www.pcflank.com/fw_rules_for_app.htm?appid=114
Либо под dc++ нужен файрволл, который будет привязан именно к приложению dc++

Да и толку. Никто все равно не может присоединиться ко мне. пробовал эти правила.

Странно. На Linux SuSE мне было достаточно открыть только входящие порты, что были прописаны в linuxdcpp.
Порты за 1025м портом. 2 порта. один tcp и один udp. выше 1025го.

ничего не пониаю..

нынешние мои правила:
http://rapidshare.de/files/24080953/my.rls.html
или
http://cholochost.narod.ru/my.rls

dariusii

Цитата:

чел не смог ко мне зайти. без файрволла, с моей стороны, смог

Так это хорошо.
Цитата:

ничего не пониаю..

Попробуем вместе. Создаешь правила - для Device 3 источник-исходящие-TCP Out 3245:3255-My Adress
приемник TCP-порт RANGE-1412 пока ANY ADRESS. Пототм, если заработает, исправим на IP c маской.

Если совсем не получается, запомни одно важное прваило, заходишь в логи, выбираешь строку с заблокированным соединением, потом правой клавишой мыши по строке и делаешь Match RULE, те с твоим указанием VisNetic создает правила сам.

Добавлено.
1.По идее ты можно не создавать правила руками, а использовать опцию Match RULE, для заблокированных соедений.
2. Смутила меня эта надпись Device 3. По идее, даже при работе с PPPoE протоколом, который VisNetic не понимет, Device будет только 2. А откуда Device 3?

KUSA

файрварь вторым идет. под ieee1394 все открыто.

////


там вопрос, стоит ли открывать исходящие выше 1025го порта на удаленные порты по tcp и udp.
aka 1025-5000>1025-65535
Нормально ли это? Если да, то зачем match rule...
потому что, если разрешать такие вещи через match rule, то их можно создавать до бесконечности. даже с одного удаленного ip могут быть запросы по разным портам, то есть, что бы я разрешал порты по исходящим соединениям до бесконечности.

пример.
делаем match rule на строку лога:
2006/06/24, 02:58:57.937, GMT +0400, 2007, Device 3, Blocked outgoing TCP packet (no matching rule), src=10.63.5.223, dst=10.63.3.203, sport=3250, dport=1412

тогда через некоторое время в логах может появиться следущая надпись:
2006/06/24, 02:58:57.937, GMT +0400, 2007, Device 3, Blocked outgoing TCP packet (no matching rule), src=10.63.5.223, dst=10.63.3.203, sport=16003, dport=3638. То есть, я полагаю, что такое может произойти.

Добавлено:
о. пока это писАл здесь, лог:
2006/06/25, 17:27:30.046, GMT +0400, 2011, Device 3, Blocked outgoing UDP packet (no matching rule), src=10.63.5.223, dst=10.63.3.203, sport=1043, dport=1412

уже по udp.

Нужно понять, какие нужно создавать правила под клиента dc++, когда файоволл не привязан к приложению. В рунете советуют, либо привязать к приложению фильтр (не visnetic). Либо разрешить все и вся ( я так понимаю 1025-5000>1025-65535 tcp/udp). точного ничего не нашел. С другой стороны, в других местах, советуют открыть входящий tcp 412й и удаленные 411й + http порты 80, 8080, 8088 итд. Последний вариант, естесственно, не проходит. Но что интересно, с ним я могу качать контент и все видеть, как если бы использовал свой первый вариант настроек. Хотя, входящие порты, что автоматом были сгенерены в strongdc, закрыты в этом варианте.

dariusii
Ты можешь открыть порты TCP c 1500 до 18 000 для доступа к именно к диапазону IP 10.63.......

Добавлено.

Цитата:

Либо разрешить все и вся

Для определенных адресов.

KUSA
1500-5000>1500>18000?

для tcp и udp?


Цитата:

Цитата: Либо разрешить все и вся

Для определенных адресов.

dariusii
Попробовать разрешить исходящие и входящие TCP локальный порт 1025-5000 удаленный порт 1024-24000(попробуем увеличить диапазон) адреса 10.63.0.0-10.63.32.255 (верхний диапазон узнай точно у провайдера). Насчет UDP если будет блокирование - создавай анологичное правило.

Добавлено.
Теперь немного оффтопа.
Если ставить фаер для приложений (в твоем случае он вроде предпочтительней) то реально никакой выгоды не получается. При загрузке твоей программы порты все равно открыты, в том числе и троянские (на крутые антивирусы надеятся не надо), т е полный доступ к своему компу ты предаставляешь
Цитата:

свыше 1000 клиентов

Сорри за офф.

Цитата:

Если ставить фаер для приложений (в твоем случае он вроде предпочтительней) то реально никакой выгоды не получается.

- когда-то старички (антибиотик, прочие)советовали ставить в паре, напр, зону+виснетик, или кто-то еще, заточенный под приложения + виснетик. В случае с зоной вроде бы требовалось отключить ей драйвер, дабы создать разделение труда: на нижнем уровне - виснетик, на верхних - зона.
Насколько сейчас такое реально - не имею понятия, надо выяснять у пользующихся..


Цитата:

При загрузке твоей программы порты все равно открыты, в том числе и троянские (на крутые антивирусы надеятся не надо), т е полный доступ к своему компу ты предаставляешь

- если на разрешающем правиле не стоит галочка "блокировать входящие соединения"

Цитата:

Нужно понять, какие нужно создавать правила под клиента dc++,

- А в хелпе по самому дс++ не имеется инфы, по каким портам он лезет? На многих прогах в помощи ща пишут пункт типа "взаимодействие с файерволами"(или вроде того), где пишут, чего ему надо открыть.
Почему спросил - встречался со случаями, когда прога подстраивается по стенку: напр, скайп по умолчанию лезет на 1024-5000лок - 33033удал(тср) для идентификации, потом 22402локал - все удал(удп), а при звонках - еще и 1024-5000локал - 1001-64000удал(тср). Но если не получается установить связь - сам переходит на более безопасный режим(не помню точно, какие ищет), если и те закрыты - на порты, разрешенные для напр, броузера - по 80 порту то есть. //по опыту юзания в прошлом году//
Возможно, с дс++ что-то подобное тож имеет место?

bredonosec

Цитата:

когда-то старички (антибиотик, прочие)

здеся я да ты и сам не молод
Цитата:

Всего записей: 6814 | Зарегистр. 13-02-2003 |

Цитата:

зону+виснетик, или кто-то еще, заточенный под приложения + виснетик. В случае с зоной вроде бы требовалось отключить ей драйвер, дабы создать разделение труда: на нижнем уровне - виснетик, на верхних - зона.
Насколько сейчас такое реально - не имею понятия, надо выяснять у пользующихся..

пара работает по прежнему, именно как ты и описал

bredonosec

Цитата:

советовали ставить в паре, напр, зону+виснетик, или кто-то еще, заточенный под приложения + виснетик. В случае с зоной вроде бы требовалось отключить ей драйвер, дабы создать разделение труда: на нижнем уровне - виснетик,

Дрова по любому будут на сетевом уровне у обоих фаеров. Плюс ТЫ сам можешь гарантировать, кто из двух фаеров первый сработает? Кто из фаеров первым отошлет SYN-сегмент? Я нет.
Гораздо эффективние ввести модуль контроля запуска приложений и их целостности.

Цитата:

если на разрешающем правиле не стоит галочка "блокировать входящие соединения"

посмотри его логи - входящие и исходящие=both, второе не факт, что заблокировав входящие до dariusii кто-то из 1000 клиентов достучится и сможет от него что-то забрать+будет нормальный обмен данными между двумя программами.
Это ты сильно сказал на разрешающем правиле для входящих поставить опцию заблокироваь входящие или я не правильно понял?

Цитата:

Возможно, с дс++ что-то подобное тож имеет место?

Посмотри логи, изименение идут исходящие порт 1043-16000 удаленный порт 1412(!-очень часто)-3638. Берем MAX порт + запас - не помешает.

Цитата:

А в хелпе по самому дс++ не имеется инфы, по каким портам он лезет?

HELP+логи = должно получится.

Добавлено

dariusii
Поробуй мой вариант,за неделю по логам определишься с дипазоном портов и адресов.
Или как вариант посмотри - там уже есть готовые правила для DC++

KUSA

Цитата:

Дрова по любому будут на сетевом уровне у обоих фаеров.

прикол в том, что имелся 1. драйвер (который отрубить) 2. приложение (фильтрация контента - аки какой-нить ад-мунчер или что еще) Подробнее - таки к антибиотику
AntiBIOtic

Цитата:

да ты и сам не молод

И мне тоже пора жениться

Цитата:

Это ты сильно сказал на разрешающем правиле для входящих поставить опцию заблокироваь входящие или я не правильно понял?

- открой правило для броузера (напр, как самое распространенное и обычно созданное автоматически) и погляди этот момент.

Цитата:

второе не факт, что заблокировав входящие до dariusii кто-то из 1000 клиентов достучится и сможет от него что-то забрать

Да, это верно.

Цитата:

+ запас - не помешает.

Я бы таки для начала прошерстил хелп по проге.. запас-запасом, но дырка с запасом на безопасность плохо влияет

bredonosec

Цитата:

- открой правило для броузера (напр, как самое распространенное и обычно созданное автоматически) и погляди этот момент.

Там исходящие, с режимом блокировки входящих.
Глянь мой пост, вечером посмотрю, что французы рекомендуют для DC++ и завтра постараюсь перенести RULE на VisNetic.

Из всего сделал вывод.

1. Пользоваться надстройками (кастрированными файрволлами, с отрубленным драйвером фильтра)
2. Посмотреть хелп самой проги наналичие момента, когда программа работает через файрволл.
3. посмотреть правила, советуемые некоторыми разработчиками файрволлов.

По первому пункту. Я открываю полностью visnetic на выход в диапазоне 1025-65535 портов на удаленной стороне и у себя на выход 1025-5000 порты. Входящие udp и tcp остаются те, что указаны в клиенте dc++. +исходящие с 1025-5000 на 411й порт. Можно много кусать логти на счет того, что "вот дожил. типа, костыль ставлю в виде второго файера кастрированного итд". Однако, вспоминаю тот момент, как настраивалась защита на моем Linux SuSE. Защита дерьмовая или нет - судите сами. В этой ос через YaST перестраиваются цепочки iptables. Что я делал там, повторю. Мне было достаточно открыть входящие порты, что были забиты в клиенте dc++. Получается, что все исходящие, там, открыты по умолчанию
и это там считается нормально. Спрашивается, стоит ли ставить второй файрволл или может просто открыть исходящие 1025-5000>1025-65535.

Что касаемо хелпа. Нет хелпа по StrongDC в природе, вообще. Походил и поискал хелпы по похожим программам. пока что не нашел. может быть, плохо искал..

KUSA

В той ссылке http://www.looknstop.com/En/rules/rules.htm#directconnect нет ничего особенного. вот файл DirectConnect.rie:

[more][Rule0]
Statut=1
Valide=0
Direction=3
Filtrage=1
Avertir=0
Continuer=0
AlerteDlg=2
Name=DC++
Description=Allow DC++ client
EthernetType=1
IPProtocol=8
EthernetAdd_PC_Criteria=0
EthernetAdd_PC0=0
EthernetAdd_PC1=0
EthernetAdd_PC2=0
EthernetAdd_PC3=0
EthernetAdd_PC4=0
EthernetAdd_PC5=0
EthernetAdd_Net_Criteria=0
EthernetAdd_Net0=0
EthernetAdd_Net1=0
EthernetAdd_Net2=0
EthernetAdd_Net3=0
EthernetAdd_Net4=0
EthernetAdd_Net5=0
IPAdd_PC_Criteria=7
IPAdd_PC_Bas0=192
IPAdd_PC_Bas1=168
IPAdd_PC_Bas2=0
IPAdd_PC_Bas3=1
IPAdd_PC_Haut0=192
IPAdd_PC_Haut1=168
IPAdd_PC_Haut2=0
IPAdd_PC_Haut3=1
IPAdd_Net_Criteria=0
IPAdd_Net_Bas0=0
IPAdd_Net_Bas1=0
IPAdd_Net_Bas2=0
IPAdd_Net_Bas3=0
IPAdd_Net_Haut0=0
IPAdd_Net_Haut1=0
IPAdd_Net_Haut2=0
IPAdd_Net_Haut3=0
IPFragmentOffset=0
IPFragmentFlags=0
TcpUdpPort_PC_Criteria=1
TcpUdpPort_PC_Bas=1412
TcpUdpPort_PC_Haut=0
TcpUdpPort_Net_Criteria=0
TcpUdpPort_Net_Bas=0
TcpUdpPort_Net_Haut=0
IcmpCode_PC_Criteria=0
IcmpCode_PC=0
IcmpType_PC_Criteria=0
IcmpType_PC=0
BlockTCPServer=0
TCPFlagsVal=0
TCPFlagsMask=0
PluginForEdition=

[Nb rules]
Nb=1[/more]

совершенного ничего, что бы сказало, какие порты открывать, за исключением 1412го порта


пойду искать дальше, что делать с visnetic и strongdc..

Все равно, люди, спасибо за ответы.

dariusii

Цитата:

завтра постараюсь перенести RULE на VisNetic.

Добавлено.

Посмотрел вчера по форумам + рекомеции французов. Итого имеем два правила для VisNetic.
1. Разрешить исходящие TCP&UDP на все удаленные порты (видимо режим поиска файлов и хабов) Галку блокировать входящие пока не ставь, если будет работать - тогда поставишь. В целях безопасности можно задать диапазон адресов - я писал об этом выше.
2. Со входящими хуже, кто-то рекомендует только порт 1412 TCP, но мне папалось и такое мнение.
Разрешить входящие TCP&UDP на диапазон 1215-8192 (связано с тем, что ты отдаешь от себя что-то) Опять-же можно задать диапазон адресов.

3.Скорее всего,DC++ работает не целый день, поэтому фаер для приложений в твоем случае поинтересней.

KUSA

В том-то и дело, что вопрос был об исходящих 1025-5000>1025-65535.
Опасно ли такое открывать или нет.

Не было вопросов, как и что открывать из входящих. Открываются на входящие только два порта, указанных в dc++. В самом же dc++ указывается ручник и все.
Об этом я говорил выше.
правила принимают следущий вид

1025-5000(tcp)>411
1025-5000(tcp&udp)>1025-65535
два порта, указанных в клиенте. один udp и один tcp<1025-65535

Я не знаю, на сколько такой вариант дыряв, потому что я не знаю самого элементарного в безопасности, а именно: можно ли разрешать свободное плавание на исходящих выше 1025го порта. Это, даже, не относится к dc++.

получается вот так

KUSA
Благодарю за инфо.

Цитата:

Скорее всего,DC++ работает не целый день, поэтому фаер для приложений в твоем случае поинтересней.

- Если только этот вопрос, то у виснетика есть работа по часам (правило-restrictions - hours of use - limited hours)

неуловил...

А какая разница?