» Deerfield VisNetic Firewall 2.0

Цитата:

А какая разница?

- правило включается только в установленные часы/дни работы.
Удобно тем, у кого комп врублен всё время, а рабочие проги - только часть времени...

bredonosec

лично мне до шедулеров еще далеко.
Разобраться бы, правильно ли то, что открыл на выход 1025-5000>1025-65535 диапазон.

Добавлено:
Открыл параллельный топик на http://www.linux.org.ru/jump-message.jsp?msgid=1469255

там это тоже будет актуальным.

dariusii

Цитата:

Разобраться бы, правильно ли то, что открыл на выход 1025-5000>1025-65535 диапазон.

Пока вроде как фаер винды -родной. Хотя я тебе писал об этом
Цитата:

Галку блокировать входящие пока не ставь, если будет работать - тогда поставишь. В целях безопасности можно задать диапазон адресов - я писал об этом выше.

Со входящими тоже не понял. Какие порты открыты
Цитата:

1025-5000(tcp)>411

Цитата:

sport=3250, dport=1412

Цитата:

sport=16003, dport=3638

?

KUSA

Откуда взялся файер винды? Не понял.
Открыты два порта, которые указаны в dc++ клиенте. Один udp и один tcp.
в целом:

1025-5000>411 (tcp)
1025-5000>1025-65535 (tcp и udp) группа локальной сети
15776<1025-65535 (tcp) группа локальной сети
2896<1025-65535 (udp) группа локальной сети

15776 tcp - настройка в strongdc
2896 udp - аналогично

Посмотрел вчера по форумам + рекомеции французов. Итого имеем два правила для VisNetic.
1. Разрешить исходящие TCP&UDP на все удаленные порты (видимо режим поиска файлов и хабов) Галку блокировать входящие пока не ставь, если будет работать - тогда поставишь. В целях безопасности можно задать диапазон адресов - я писал об этом выше.

1025-5000>1025-65535 (tcp и udp) группа локальной сети. Сделано. А почему, в целях безопасности, нужно было задать диапазон? Разве это уязвимость? Если да, то исключения по диапазону не помогут, имхо. подменить mac и ip любой школьник может. А если и нет, то где гарантия, что в разрешенном диапазоне ip адресов не будет злоумышленника?


2. Со входящими хуже, кто-то рекомендует только порт 1412 TCP, но мне папалось и такое мнение.
Разрешить входящие TCP&UDP на диапазон 1215-8192 (связано с тем, что ты отдаешь от себя что-то) Опять-же можно задать диапазон адресов.

Это ничего не даст. Если этим советом заменить правило:
15776<1025-65535 (tcp) группа локальной сети
2896<1025-65535 (udp) группа локальной сети
то я вообще не увижу сети dc++. Не вижу смысла задавать диапазон на вход. достаточно двух точек входа по udp и tcp.
Больше логов по блокировке на вход я не увижу, даже так.


3.Скорее всего,DC++ работает не целый день, поэтому фаер для приложений в твоем случае поинтересней.

dc++ работает сутками. Но в чем разница, я так и не понял.

Цитата:

имхо. подменить mac и ip любой школьник может.

- Диапазон по МАС-ам? А каким образом? Они же не по порядку...
Если речь идет об ИПах, приходящих через инет, то подмена на локальной машине =бесполезно (попросту в сеть не выйдешь). То есть, подмена ИПа имеет смысл только в локальной сети, и то, при условии, что админ не привязал ИП-МАС к правам на обслуживание... (у нас привязаны, так что, надо одновременно менять и МАС и ИП на относящиеся к машине кого-то из лок.сети, и при этом следить. чтоб хозяин "позаимствованных" адресов не появился в сети, бо о конфликте хардвари ему выскочит сообщение. которое может оказаться у админа с последующим поиском умника.

bredonosec
Будет выдан другой ip dhcp сервером, если другой мак и делов.

Если речь идет об ИПах, приходящих через инет, то подмена на локальной машине =бесполезно
Речь, как я понимаю, не вскрывать весь диапазон локальной сети, не вскрывать или не вскрывать вообще всё. Но у нас хацкеров не меньше, чем в сети

бо о конфликте хардвари ему выскочит сообщение. которое может оказаться у админа с последующим поиском умника.

Это можно сделать, когда "не умник" вырубит свою карту. Если же произойдет конфликт, никто по шапке не получит. будет просто проба и другого слова ей не будет.

В любом случае, я не вижу, что ограничения по ip есть классика. это полумера, имхо.
Полноценной защиты лично я в этом моменте не вижу.

Лучше следовать правильному задаванию фильтрации портов.
На оффтопе в iptables я ни разу не упомню, что бы люди советовали выставлять "диапазоны портов".
максимум - не разрешать такие правила "в мир" и все. Это было сделано.
Как я понимаю, спуф визнетик уловит, но никак не подмену мак адреса. Подменить же мак так, что бы его ip стал похож на локальный - надо очень извратиться

Цитата:

Подменить же мак так, что бы его ip стал похож на локальный - надо очень извратиться

- да и толку не особо...
По крайней мере, я дабы избавиться от малейшего шанса получить такой "втык", формирую правила таким образом, что входящее соединение с "моего ИП адреса" также под запретом. Токмо исходящее.
Насчет "входящего с моего МАС адреса" - чего-т не думал... надо будет в свободное время попросить кого-нить из местных хацкеров мой МАС подставить себе, и поглядеть, чего получится в результате.

Цитата:

Будет выдан другой ip dhcp сервером

да, у вас чуть другая ситуёвина.. :/

Цитата:

В любом случае, я не вижу, что ограничения по ip есть классика. это полумера, имхо.
Полноценной защиты лично я в этом моменте не вижу.
Лучше следовать правильному задаванию фильтрации портов.

- Никогда не утверждал, что только по ИПам. Утверждал и продолжаю, что надо все возможные дырки крыть. То есть, комбинировать правила - и по портам, и по адресам одновременно.

bredonosec

10.60.0.0-10.63.0.0 это все наша локальная сеть, не считая соседней 192.168.1.0-192.168.8.0, где тоже стоит хаб dc++.

Какие возможные дырки мне здесь крыть. Это сеть целого города. Тысячи машин подняты.

Я хочу понять простое правило. можно ли открывать исходящие tcp&udp 1025-5000 на 1025-65535 или нельзя.
Принято ли такое?

остальное же сделано

Если это не принято, то никакая нафиг избирательность тут не поможет

Извиняюсь за повтор, но по дефолту на SuSE это было разрешено.
Оставалось только открыть на вход два порта, которые были указаны в dc++

dariusii
1.
Цитата:

Откуда взялся файер винды? Не понял.

Это почти шутка. Смотри ПМ.
2.
Цитата:

Но у нас хацкеров не меньше, чем в сети

В VisNetic есть опция блоуировки любителей сканить порты. Единственное - поробуй поднть число просмотренных портов до 5.
Хотя не исключаю,что возможно начнутся конфликты с DC++. Это выяснится опытным путем.
3. Небольшое уточнение-локальные порты 1024-5000,удаленные 1024-65535
4. Порты открытые на вход 15776 TCP (честно говоря не понял, почему тогда фрацузы предлагали порт 1412) и 2896 UDP. Диапазон входящих разрешенных адресов те, что ты указал 10.60.0.0-10.63.0.0 и 192.168.1.0-192.168.8.0. В противном случае к тебе на порт могут прийти кто угодно с любого адреса, например 85.122... или любого другого. Нужно отсечь интернет.
Цитата:

В любом случае, я не вижу, что ограничения по ip есть классика. это полумера, имхо.
Полноценной защиты лично я в этом моменте не вижу.

И не будет,если у тебя порты открыты на вход.Пускать к себе весь Интернет-не дело.Мое ИМХО.
Решать тебе, скольких гостей ты готов принять.
5. Исходящие Опять-же разрешить по всем портам только для дипазона адресов, которые ты указал. Тебе будет проще, если какой-нибудь троян начнет просится на адрес например 85.122... На антивирь особенно не надейся.
Хотя опять - решать тебе.
У довольно многих используется встроенный фаер в XpSp2 и SuSE. И вроде, если не соваться черти куда, все работает.

Добавлено.
6. Почему тебе не подходит VisNetic
По дефолту VisNetic обеспечивает отличную защиту, плюс прекрано отлавливает скан портов, плюс шелудер, позволяющий на ночь, например на серерах, вобще закрывать порты. Пусть стучаться до посинения - бесполезно.
В твоем случае все наборот - он разрешит вход на TCP порт твоего компа и обработку входящего всеми приложениями+выход на все порты и адреса (если не стоит блокировка по граничению выходных IP) для всех приложений.В случае фаера для приложений - он разрешит только приложению DC++ принимать входящие TCP, а не всем сразу+выход на все порты и адреса только для DC++.

ЗЫ
Пункт 6 приминим если есть желание построить хорошо защищенную систему (тем боле что есть набор правил который здесь на двух страницах сформировался). В слчае если хорошо защищенная система не нужна,можно использовать встроенный фаер в саму систему. Выбор за тобой.

KUSA

Разве я говорил, что собираюсь устанавливать эти правила для всех ip?

речь-то про локалку. Но и локалка не маленькая..

Не проблема выставить те порты, что предложили французы и это же забить в dc++ клиенте, вместо того, что там сейчас. Только я не понимаю смысла. Выставил все равно.

в четвертый раз задаю вопрос, хотя Ты на него уже отвечал, но отвечал вот как:

первый ответ:

Цитата:

У довольно многих используется встроенный фаер в XpSp2 и SuSE. И вроде, если не соваться черти куда, все работает.

второй:

Цитата:

Исходящие Опять-же разрешить по всем портам только для дипазона адресов, которые ты указал.

Цитата:

3. Небольшое уточнение-локальные порты 1024-5000,удаленные 1024-65535

В первом и втором случае подразумевается, что открыты 1024-5000>1024-65535.
В этом моменте, в случае с xp есть два изъяна.
1. Она открывает на выход это вообще на все адреса.
2. NetBios - гуляй Вася.
В третьем посте Ты даешь уточнение. Тем самым подтверждаешь, что это можно, но так, что не понятно. Речь идет об уточнении исправления диапазона в техническом его виде (не про защиту) или же про то, что это можно открывать.

Поентому говорю еще раз сам вопрос в четвертый раз, потому что я так точно и не понял тебя:
Можно ли открывать порты 1024-5000 на внутренние адреса (локалка)(исходящие) 1024-65535.


Почему в четвертый раз.
Я так и не понял одной простой вещи. Почему исходящие 1024-5000 можно открывать только на локалку 1024-65535 и нельзя в мир? Нет. Я не собираюсь открывать такие правила в мир. Почему это "безопасно" в локалке и опасно в инет?

Но С июля месяца я подсоединяюсь и к хабам, которые будут и в инете. Хотя, если избирательно ставить так же правила под определенные ip, пусть и внешние, то вроде как можно.


Цитата:

Решать тебе, скольких гостей ты готов принять.

В visnetic можно сделать так, что он будет открывать только первые несколько случайных ip удаленных клиентов dc++ на доступ??? Не сидеть же сутками и не смотреть на логи, кто хочет войти, а кто нет..

Ладно. Измотал я тебя уже... Так много нельзя требовать от человека....

будь что будет..

на счет SuSE. Там с троянами дела обстоят плохо, поэтому сравнивать набор стандартных правил iptables с таким же набором здесь, похоже, смешно.


начинает вырисовываться картина защиты винды и никсов. "Почему и как". "Что можно там и нельзя здесь". Акцент про червей очень кстати. Особенно про то, что с ними не так просто бороться. Без шуток. Еще один повод для размышлений.

Все равно, огромнейшее Спасибо за ответы.

/////////////////////////////////////////////////////////////////////////

Итого, правила принимают следущий вид:

##########################################################
DC= адреса или диапазон адресов, куда смотрит клиент dc++
MY= мой ip адрес
HUB= ip адрес хаба
* = настраиваем данное правило в dc++ клиенте !также
F = Block uncoming fragments


TCP. 1024-5000 $MY > 411 $HUB ($F)
TCP. 1024-5000 $MY > 1024-65535 $DC ($F)
TCP. 1412 $MY < 1024-65535 $DC ($*,$F)
UDP. 2896 $MY < 1024-65535 $DC ($*,$F)
###########################################################

dariusii

Цитата:

Поентому говорю еще раз сам вопрос в четвертый раз, потому что я так точно и не понял тебя:
Можно ли открывать порты 1024-5000 на внутренние адреса (локалка)(исходящие) 1024-65535.


Почему в четвертый раз.
Я так и не понял одной простой вещи. Почему исходящие 1024-5000 можно открывать только на локалку 1024-65535 и нельзя в мир?

Тебе проще будет отловить инетовского трояна, см 5 пункт. В случае трояна написанного кем-либо из кулцхакеров специально для твоей сети отловить его практически будет невозможно, и фаер для приложений от такого грамотного троя тоже не спасет. Только анализом логов.
Цитата:

В visnetic можно сделать так, что он будет открывать только первые несколько случайных ip удаленных клиентов dc++ на доступ???

Можно только в фаере для приложений, если ты там поставишь галку всегда спрашивать и руками будешь отвечать да-разрешить с такого-то IP.

Цитата:

Измотал я тебя уже

Немного.

KUSA

Есть одно "но"
Если пользоваться хабами, которые не в локалке, а в инете, то что делать с правилом №2

Цитата:

Если пользоваться хабами, которые не в локалке, а в инете, то что делать с правилом №2

имхо, или отдельное правило...
Или пользоваться группами.
Menu - rules - IP Adress Group - называешь группу, напр, "Хабы", в поле для ИПов вводишь любой анбор отдельных ИПов, их диапазонов, масок, проч. (комбинировать можно, ща проверил). ОК,
Открываешь правило для хаба, в раздел фильтеринг вводишь не адрес, а группу и выбираешь из списка нужную тебе группу. Всё, твое правило будет применяться к группе.

//там же можешь увидеть пункты для создания групп портов или МАС-ов.
Насколько такие правила (где и порты и адреса заданы группами) тормозят систему и не глючат - честно - не проверял..
Знаю только, что анализ логов при поиске имеющейся дыры усложнится: в логе пишется номер одного и того же правила вне зависимости от того, который адрес/группа портов задействована для данного пакета..

Цитата:

Можно только в фаере для приложений, если ты там поставишь галку всегда спрашивать и руками будешь отвечать да-разрешить с такого-то IP.

вроде у виснетика тож был режим обучения
View - settings - when running - learning mode
но сам никогда не юзал его, бо подозреваю, как и в прочих стенках это лишь тупое создание правил под каждый проходящий пакет. И результат его - каша из сотен правил. ;/

Добавлено:
блин, подпись чего-то включилась... в кои-то веки.. во глюки!

bredonosec

В общем-то, со вторым правилом действительно особых проблем не будет.

Ну вот и все с dc++

переключаюсь на другие свои проблемы

Огромное спасибо, люди

bredonosec

Цитата:

вроде у виснетика тож был режим обучения
View - settings - when running - learning mode

Даже если он выключен, если не ошибаюсь, все равно Match rule работает.

Цитата:

все равно Match rule работает

- но по крайней мере сам не создает без моего ведома (или дергает попапами) /даж не знаю, как это может выглядеть и включать не желаю.../

Несколько полезных ссылок - чтоб не искать потом:

Полный список фич: http://www.deerfield.com/products/visnetic-firewall/features/fulllist.htm
форум поддержки http://webboard.deerfield.com/guests
прочий суппорт: http://support.deerfield.com/esupport/?group=vf
http://support.deerfield.com/esupport/?_a=knowledgebase

bredonosec

Цитата:

но по крайней мере сам не создает без моего ведома

В нем эта функция отключена. Она возможна только в ручном режиме при просмотре лога.
Кстати, может в курсе, в чем разница между VisNetic и 8Signs. Кроме значка и разных размеров дистрибутива?

Цитата:

Кстати, может в курсе, в чем разница между VisNetic и 8Signs. Кроме значка и разных размеров дистрибутива?

- ни в чем. Это одна стена, только выпускается двумя компаниями под своими лейблами. (где-то на первых страницах темы подробности были)

Вопрос возник.

Умеет ли visnetic пробрасывать порты?

ака

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

или без задач форвардинга

iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner squid -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128

Есть такое?

насколько знаю, нет. //разве что на более новой версии появилось.

bredonosec

А где можно посмотреть changelog, что это появилось?
Я не нашел такого момента.
Если можно, Пожалуйста подскажите.

Цитата:

А где можно посмотреть changelog, что это появилось?

я не сказал, что появилось )) Я сказал, что насколько знаю, нет. Исключение - если вдруг на новой версии появилось ))
А ссылки - полный список фич http://www.deerfield.com/products/visnetic-firewall/features/fulllist.htm (не вижу там)

А чейнджлога сам не вижу.. Ни на сайте, ни среди файлов стенки. Разве что на форумах (на прошлой старнице ссылки) поддержки что-нить такое найдется..

Никак не могу разобраться, как с помощью виснетика прокидывать порт с одного интерфеса на другой...
Подскажите?

Others
пару посто выше прочесть трудно было?

bredonosec
http://forum.ru-board.com/topic.cgi?forum=5&topic=8649&start=300#19

dariusii
об этом и говорил (только почему обращение ко мне, не я же задал вопрос, на который отвечено?)

bredonosec

ошибся номерком )

Думаю, что человек разберется

Обнаружил странный глюк:

Если кликнуть на значок (войти в правила) - возвращается стандартный светофор. Любое другое окно - вот эта мура... Всякие подозрения бродят...

bredonosec
Ты наверное не обновил версию?

Цитата:

Ты наверное не обновил версию?

Это критично?