Почитал changelog и задумался, как я мог сидеть так долго на этой стенке...
» Deerfield VisNetic Firewall 2.0
Кстати, перечитал весь хелп только что, и не нашел ничего относящегося к tarpit 
(разговор о версии 2,2 12в). Конкретно интересует, как чего настраивать, чтоб излишне активных подвешивать на ожидание?
(разговор о версии 2,2 12в). Конкретно интересует, как чего настраивать, чтоб излишне активных подвешивать на ожидание?dosya
Цитата:
а что конкретно тебя не устроило в визнетике?
Цитата:
Почитал changelog и задумался, как я мог сидеть так долго на этой стенке...
а что конкретно тебя не устроило в визнетике?
bredonosec
Цитата:
nu ne spets...
prodvinutiy
Цитата:
glanul... rasskazi 4to k seti podklu4eno? kakie firewalli / port mapperi / banner killeri / podklu4eni?
naprimer 4to eto takoe?
vidish slovo "SONY"
2004/01/22, 02:58:29
Adapter:Compaq NC3121 Fast Ethernet NIC
Packet was:Blocked
Device 1, Blocked incoming packet (unknown protocol)
Packet size = 114 bytes
- - - - - - Ethernet header - - - - - -
Destination: FF-FF-FF-FF-FF-FF (Broadcast)
Source: 00-02-44-01-07-01
Protocol Type: 00-64
Packet contents: 100 bytes
0000: FF FF FF FF FF FF 00 02 44 01 07 01 00 64 E0 E0 ........D....d..
0010: 03 FF FF 00 60 00 04 CA 2F C0 FD FF FF FF FF FF ....`..К/Аэ.....
0020: FF 04 52 CA 2F C0 FD 00 02 44 01 07 01 40 08 00 ..RК/Аэ..D...@..
0030: 02 06 4E 53 4F 4E 59 21 21 21 21 21 21 21 21 21 ..NSONY!!!!!!!!!
0040: 21 21 41 35 35 36 39 42 32 30 41 42 45 35 31 31 !!A5569B20ABE511
0050: 43 45 39 43 41 34 30 30 30 30 34 43 37 36 32 38 CE9CA400004C7628
0060: 33 32 00 CA 2F C0 FD 00 02 44 01 07 01 40 00 00 32.К/Аэ..D...@..
0070: 01 06 ..
Цитата:
SXP, ты вроде спец,
nu ne spets...
prodvinutiy Цитата:
не глянешь, что такое?
glanul... rasskazi 4to k seti podklu4eno? kakie firewalli / port mapperi / banner killeri / podklu4eni?
naprimer 4to eto takoe?
vidish slovo "SONY"
2004/01/22, 02:58:29
Adapter:Compaq NC3121 Fast Ethernet NIC
Packet was:Blocked
Device 1, Blocked incoming packet (unknown protocol)
Packet size = 114 bytes
- - - - - - Ethernet header - - - - - -
Destination: FF-FF-FF-FF-FF-FF (Broadcast)
Source: 00-02-44-01-07-01
Protocol Type: 00-64
Packet contents: 100 bytes
0000: FF FF FF FF FF FF 00 02 44 01 07 01 00 64 E0 E0 ........D....d..
0010: 03 FF FF 00 60 00 04 CA 2F C0 FD FF FF FF FF FF ....`..К/Аэ.....
0020: FF 04 52 CA 2F C0 FD 00 02 44 01 07 01 40 08 00 ..RК/Аэ..D...@..
0030: 02 06 4E 53 4F 4E 59 21 21 21 21 21 21 21 21 21 ..NSONY!!!!!!!!!
0040: 21 21 41 35 35 36 39 42 32 30 41 42 45 35 31 31 !!A5569B20ABE511
0050: 43 45 39 43 41 34 30 30 30 30 34 43 37 36 32 38 CE9CA400004C7628
0060: 33 32 00 CA 2F C0 FD 00 02 44 01 07 01 40 00 00 32.К/Аэ..D...@..
0070: 01 06 ..
Цитата:
rasskazi 4to k seti podklu4eno? kakie firewalli / port mapperi / banner killeri / podklu4eni?- С моей стороны - Стенка - виснетик, антивирь - нет. мапперов/киллеров/проч -нет. (нет смысла: при подключении к инету включен только маленький хард в 2Г. Если что - проще форматнуть и перелить систему с бэкапа).
Адаптер - (сетевушка) - название дано. Произв. Соmpaq, чип Intel. Соневского у меня нет ничего.
Так что, смысл сони сей -
наверно, у посылавшего стоит такой адаптер. Насколько помню, был в лане у кого-то такой (scanned with Languard). А насчет tarpit - не знаешь?
(и еще, что может работать на порту 8167 -постоянно в логах стук туда)
bredonosec
Цитата:
смотря что интересует
Цитата:
Q: My firewall signals me about attempt to establish connection through UDP-port 8167. What is this port and how does it threat me?
A: This port is used with the program for dialogue Vypress chat and as for its use there is no necessity for a special server, it dispatches requests on all network. It is certainly very unpleasant, but not especially dangerous.
Цитата:
А насчет tarpit - не знаешь?
смотря что интересует
Цитата:
(и еще, что может работать на порту 8167 -постоянно в логах стук туда)
Q: My firewall signals me about attempt to establish connection through UDP-port 8167. What is this port and how does it threat me?
A: This port is used with the program for dialogue Vypress chat and as for its use there is no necessity for a special server, it dispatches requests on all network. It is certainly very unpleasant, but not especially dangerous.
SXP - 8167 - Пасиб! В принципе, подозревал (есть чат в сети), но уверенности не было.
Цитата:
Цитата:
Цитата:
смотря что интересует- Дык еще раньше спросил:
Цитата:
Кстати, перечитал весь хелп только что, и не нашел ничего относящегося к tarpit (разговор о версии 2,2 12в). Конкретно интересует, как чего настраивать, чтоб излишне активных подвешивать на ожидание?
bredonosec
PM
PM
AntiBIOtic
Меня все устраивало и устроило. Потому и сижу. Просто в логе много багфиксов и их столько,что я и не подозревал.
А претензии у меня к нему были на заре, когда невыносимые глюки были эдак с год назад(я его тогда еще заприметил).
Ну а что мне еще надо, так это то, о чем все говорят: апп детект. И можно уйти со второго фаера
Меня все устраивало и устроило. Потому и сижу. Просто в логе много багфиксов и их столько,что я и не подозревал.
А претензии у меня к нему были на заре, когда невыносимые глюки были эдак с год назад(я его тогда еще заприметил).
Ну а что мне еще надо, так это то, о чем все говорят: апп детект. И можно уйти со второго фаера
dosya
Цитата:
Цитата:
Или не так вас понял?
Цитата:
апп детект- В смысле? Что это?
Цитата:
И можно уйти со второго фаера- Юзаете 2 одновременно?
Или не так вас понял? bredonosec
Цитата:
app detect - Application Detect
Цитата:
yep.. Visnetic + ZoneAlarm
Цитата:
- В смысле? Что это?
app detect - Application Detect
Цитата:
- Юзаете 2 одновременно?
yep.. Visnetic + ZoneAlarm
bredonosec
SXP
Нет, visnetic + mcafee desktop 8
Первый заточен под ip ограничения по конкретным протоколам (вплоть до конкретных ip smtp и конкретных dns провайдера), второй - грубо настроен, но запрещены все ненужные приложения
SXP
Нет, visnetic + mcafee desktop 8
Первый заточен под ip ограничения по конкретным протоколам (вплоть до конкретных ip smtp и конкретных dns провайдера), второй - грубо настроен, но запрещены все ненужные приложения
Поставил сабж (Dial-Up + Workstation). Прописал 3 правила:
TCP rules:
Rule #1: 'proxy.peterstar.net:3128'
Allow My Address [1024-5000] --> 217.195.65.10 [3128] (TF)
UDP rules:
Rule #2: 'Primary DNS'
Allow My Address [1024-5000] <-> 217.195.65.9 [53]
Rule #3: 'Secondary DNS'
Allow My Address [1024-5000] <-> 217.195.66.253 [53]
Собственно, под ними сейчас и сижу. Проверил изнутри - BAT не шлет и не принимает, q3 к сервакам тоже не коннектится - то что надо. IE + ReGet пашут, больше ничего, вроде, и не надо. Потом pop.yandex.ru, smtp.yandex.ru пропишу для BAT'a. Насколько я понял, все, что не разрешал - закрыто, правильно?
Теперь вопросы:
1. Не напортачил ли я чего (сильно ногами только не бейте и громко не смейтесь, пожалуйста)?
2. Что еще обязательно надо прописать в правилах?
3. Чего в правилах прописывать не надо никогда (ну, кроме Allow My Address [All] <-> All Addresses [All])?
4. Кроме правил, в остальных настройках стоит ли что-то менять?
Не забываем - Dial-Up + Workstation.
Заранее Благодарен!
TCP rules:
Rule #1: 'proxy.peterstar.net:3128'
Allow My Address [1024-5000] --> 217.195.65.10 [3128] (TF)
UDP rules:
Rule #2: 'Primary DNS'
Allow My Address [1024-5000] <-> 217.195.65.9 [53]
Rule #3: 'Secondary DNS'
Allow My Address [1024-5000] <-> 217.195.66.253 [53]
Собственно, под ними сейчас и сижу. Проверил изнутри - BAT не шлет и не принимает, q3 к сервакам тоже не коннектится - то что надо. IE + ReGet пашут, больше ничего, вроде, и не надо. Потом pop.yandex.ru, smtp.yandex.ru пропишу для BAT'a. Насколько я понял, все, что не разрешал - закрыто, правильно?
Теперь вопросы:
1. Не напортачил ли я чего (сильно ногами только не бейте и громко не смейтесь, пожалуйста)?
2. Что еще обязательно надо прописать в правилах?
3. Чего в правилах прописывать не надо никогда (ну, кроме Allow My Address [All] <-> All Addresses [All])?
4. Кроме правил, в остальных настройках стоит ли что-то менять?
Не забываем - Dial-Up + Workstation.
Заранее Благодарен!
Topcrust
Я например не получу с некоторых ящиков почту, если не разрешу аутентификацию на 113 порту, входящее и исходящее тисипи.
Может быть днсов несколько у прова, а ты открыл только два.
А запрещено или разрешено неоговоренное видно в configuration/advanced.
block или нет
Я например не получу с некоторых ящиков почту, если не разрешу аутентификацию на 113 порту, входящее и исходящее тисипи.
Может быть днсов несколько у прова, а ты открыл только два.
А запрещено или разрешено неоговоренное видно в configuration/advanced.
block или нет
dosya
Цитата:
Кажется, на pochta.ws есть такая фича. Про другие не знаю - не пользуюсь.
Цитата:
То, что пров в своих настройках указал, то и открыл. Другие может и есть, но мне про них не известно.
Цитата:
Там ничего не трогал - все по дефолту. Везде стоит блокировка и ведение лога.
Еще вот такие вопросы:
1. Разрешать ли эти правила:
UDP rules:
Rule #4 (disabled): 'DHCP (for dynamic IPs)'
Allow All Addresses [67-68] <-> All Addresses [67-68] (F)
ARP rules:
Rule #5 (disabled): 'Allow all ARP'
Allow All Addresses <-> All Addresses
2. В логах есть такое:
2004/02/06, 07:52:52.629, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.16, dst=255.255.255.255, sport=68, dport=67
2004/02/06, 07:52:52.980, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.16, dst=255.255.255.255, sport=137, dport=137
Верхняя строчка, судя по портам, как-то с правилом DHCP связана, а нижняя - с NetBIOS. Что это? Зачем? Разрешать/запрещать? И что это за адрес удаленный такой красивый, а?
Цитата:
...если не разрешу аутентификацию на 113 порту...
Кажется, на pochta.ws есть такая фича. Про другие не знаю - не пользуюсь.
Цитата:
Может быть днсов несколько у прова, а ты открыл только два.
То, что пров в своих настройках указал, то и открыл. Другие может и есть, но мне про них не известно.
Цитата:
А запрещено или разрешено неоговоренное видно в configuration/advanced.
Там ничего не трогал - все по дефолту. Везде стоит блокировка и ведение лога.
Еще вот такие вопросы:
1. Разрешать ли эти правила:
UDP rules:
Rule #4 (disabled): 'DHCP (for dynamic IPs)'
Allow All Addresses [67-68] <-> All Addresses [67-68] (F)
ARP rules:
Rule #5 (disabled): 'Allow all ARP'
Allow All Addresses <-> All Addresses
2. В логах есть такое:
2004/02/06, 07:52:52.629, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.16, dst=255.255.255.255, sport=68, dport=67
2004/02/06, 07:52:52.980, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.16, dst=255.255.255.255, sport=137, dport=137
Верхняя строчка, судя по портам, как-то с правилом DHCP связана, а нижняя - с NetBIOS. Что это? Зачем? Разрешать/запрещать? И что это за адрес удаленный такой красивый, а?
Topcrust
Цитата:
Нижняя строка - broadcast - рассылка пакета всем адресам сетки, чтоб получить ответы. Насколько заметил, начинает такое слать, если не находит запрошенный адрес. (сказал бы, что поиск IP по имени, но это вроде как забота ДНСа, совмещение IP c MAC - ARP пакеты, так что не уверен, хотя, думаю, нечто в этом роде). При нормальной работе (когда все настроено и все находит - такого не вижу. Если связь потеряна, или стучусь в заблокированный адрес - тогда бывает, такой пакет вижу исходящим.
Добавлено
Цитата:
- Можно включить. И добавить запрет АРП на не внушающий доверия диапазон IP.
Цитата:
'DHCP (for dynamic IPs)'- У тебя IP динамический? Если нет - режь со спокойной совестью. То, что твоя машина стучится по этому порту, может говорить в пользу того,что IP всетки динамический..
Нижняя строка - broadcast - рассылка пакета всем адресам сетки, чтоб получить ответы. Насколько заметил, начинает такое слать, если не находит запрошенный адрес. (сказал бы, что поиск IP по имени, но это вроде как забота ДНСа, совмещение IP c MAC - ARP пакеты, так что не уверен, хотя, думаю, нечто в этом роде). При нормальной работе (когда все настроено и все находит - такого не вижу. Если связь потеряна, или стучусь в заблокированный адрес - тогда бывает, такой пакет вижу исходящим.
Добавлено
Цитата:
ARP rules:
Rule #5 (disabled): 'Allow all ARP'
Allow All Addresses <-> All Addresses
- Можно включить. И добавить запрет АРП на не внушающий доверия диапазон IP.
bredonosec
Цитата:
Да (я писАл выше - DialUp, хотя у провайдера есть услуга "Фиксированный IP-адрес для диалап-соединения" - не активировал). Но, как я и говорил, заблокировав этот самый DHCP,всеравно все работает, вот и не знаю что делать. Скажем так, что может случится, если я его так и оставлю заблокированным?
Цитата:
Насколько я понял - это 255.255.255.255. Но какого пакета? Какие ответы? И, главное, зачем? И, опять же, что может случится, если я его так и оставлю заблокированным? Эти строки в логах появляются в моменты установления и разрыва соединения (хотя, может еще и в другие моменты, но не заметил).
Здесь, насколько я понял, надо знать теорию, но, почитав всякие HELP'o'FAQ'и по TCP/IP, не нашел там конкретного описания процесса установления соединения. Кто, куда, по каким портам ломится? Зачем? Что будет, если запретить? Ну и т.д. Какие-то общие вещи знаю, опираясь на них и прописал DNS'ы и проксю провайдерскую. Результат - IE+ReGet работают, почту тоже прописал, а вот с этими косяками по 68 и 137 порту не знаю что делать. Если в проге кликать создание нового правила, то там в пресетах можно увидеть, что 67-68 порты - это DHCP, а 137 - NetBIOS. Почитал Help - там NetBIOS обозначен как 139 порт и написано, что это надо для расшаривания файлов. Причем поправочка есть: "WARNING – you should never allow this on the interface that connects to the Internet".
Цитата:
В help'e написано следующее: "ARP (Address Resolution Protocol) translates IP addresses to physical network (Ethernet) addresses. Allowing ARP is necessary for your computer to communicate on the Internet". А если у меня модем, оно мне надо? Без этого правила (оно отключено) все работает. Включать? И как узнать "не внушающий доверия диапазон IP"?
Да, кстати, вот еще вопрос. Как VisNetic ведет себя с localhost'ом? Насколько я понял, он не блокирует эти соединения (по крайней мере, IE через proxomitron работает и q3-клиент коннектится к q3-серверу, внутри одной тачки).
Заранее прошу прощения за, возможно, ламерские вопросы, просто хотелось разобраться.
Цитата:
У тебя IP динамический?
Да (я писАл выше - DialUp, хотя у провайдера есть услуга "Фиксированный IP-адрес для диалап-соединения" - не активировал). Но, как я и говорил, заблокировав этот самый DHCP,всеравно все работает, вот и не знаю что делать. Скажем так, что может случится, если я его так и оставлю заблокированным?
Цитата:
Нижняя строка - broadcast - рассылка пакета всем адресам сетки, чтоб получить ответы.
Насколько я понял - это 255.255.255.255. Но какого пакета? Какие ответы? И, главное, зачем? И, опять же, что может случится, если я его так и оставлю заблокированным? Эти строки в логах появляются в моменты установления и разрыва соединения (хотя, может еще и в другие моменты, но не заметил).
Здесь, насколько я понял, надо знать теорию, но, почитав всякие HELP'o'FAQ'и по TCP/IP, не нашел там конкретного описания процесса установления соединения. Кто, куда, по каким портам ломится? Зачем? Что будет, если запретить? Ну и т.д. Какие-то общие вещи знаю, опираясь на них и прописал DNS'ы и проксю провайдерскую. Результат - IE+ReGet работают, почту тоже прописал, а вот с этими косяками по 68 и 137 порту не знаю что делать. Если в проге кликать создание нового правила, то там в пресетах можно увидеть, что 67-68 порты - это DHCP, а 137 - NetBIOS. Почитал Help - там NetBIOS обозначен как 139 порт и написано, что это надо для расшаривания файлов. Причем поправочка есть: "WARNING – you should never allow this on the interface that connects to the Internet".
Цитата:
Можно включить. И добавить запрет АРП на не внушающий доверия диапазон IP.
В help'e написано следующее: "ARP (Address Resolution Protocol) translates IP addresses to physical network (Ethernet) addresses. Allowing ARP is necessary for your computer to communicate on the Internet". А если у меня модем, оно мне надо? Без этого правила (оно отключено) все работает. Включать? И как узнать "не внушающий доверия диапазон IP"?
Да, кстати, вот еще вопрос. Как VisNetic ведет себя с localhost'ом? Насколько я понял, он не блокирует эти соединения (по крайней мере, IE через proxomitron работает и q3-клиент коннектится к q3-серверу, внутри одной тачки).
Заранее прошу прощения за, возможно, ламерские вопросы, просто хотелось разобраться.
Цитата:
Но, как я и говорил, заблокировав этот самый DHCP,всеравно все работает, вот и не знаю что делать.- Работает при блоке - значит не нужно оно тебе, можно смело резать дальше.
Цитата:
Насколько я понял - это 255.255.255.255.- Этот адрес означает "всем - всем - всем".
Цитата:
. Но какого пакета?- Написано же, UDP.
Цитата:
если я его так и оставлю заблокированным?- Насколько заметил, вполне можно оставить блок. //у меня этот адрес еще пару месяцев назад автобан схлопотал (кто-то может лан сканил, или что) - проблем с инетом нет//
Цитата:
Эти строки в логах появляются в моменты установления- как и сказал, если сразу не нашел адрес, кричит "всем" - авось кто отзовется.Как это в теории звучит - пока не читал.
Цитата:
там NetBIOS обозначен как 139 порт и написано, что это надо для расшаривания файлов.- Если правильно помню, есть 3 порта по нетбиосу -
137 [ Netbios-NS => Netbios Name Service ] ассоциация имени с IP
138 [ Netbios-DGM => Netbios Datagram Service ]
139 [ Netbios-ssn => NETBIOS Session Service ] шара (?) //почему-то при скане сообщает его как TCP порт. И наличие открытого 139 порта чаще всего не совпадает с наличием шары на компе. (так что - надо еще в теории подковаться, чтоб точно ответить, шара ли 139 порт.)
Цитата:
А если у меня модем, оно мне надо? Без этого правила (оно отключено) все работает.- Если пашет без него - значит не надо. У меня локалка на ~ 120 машин, причем функции DNS выполняет серв, являющийся гейтом. Потому я это открыл. /правда все окромя серва занес в блок - чтоб обезопаситься от АРП спуфа.
Цитата:
Как VisNetic ведет себя с localhost'ом? Насколько я понял, он не блокирует эти соединения- Насколько я понял, - тоже. По крайней мере ,offline explorer не жалуется при работе оффлайн=через 127.0.0.0.
bredonosec
Цитата:
Ага, кажется я начал понимать, что ты имеешь ввиду (с). Значит, когда установлено соединение, комп на радостях начинает кричать "всем - всем - всем" что-то там связанное с DHCP, а когда не находит "всех - всех - всех", то уже в соответствии с "Netbios Name Service" опять кричит "всем - всем - всем" что-то связанное с ассоциацией имени с IP.
Цитата:
А не ткнешь меня фейсом в линк на теорию?
Цитата:
Ибо нефига (с)
Цитата:
Сейчас, сейчас прольется чья-то кровь (с)
Вот еще пара вопросов.
Если не секрет, какой версией пользуешься 2.2 или беткой 2.2.5? Если беткой, то как она? Юзабельна? Переходить стОит?
На сайте программы кроме линка на файл vfsetup.exe есть еще vfadminsetup.exe - это, насколько я понял, приблуда, которая ставится на ту же тачку, где и сам файрволл, чтобы его удаленно админить, так?
И еще вопрос..., но это, скорее, в варезник. Загляни туда, если не трудно.
Цитата:
...как и сказал, если сразу не нашел адрес, кричит "всем"...
Ага, кажется я начал понимать, что ты имеешь ввиду (с). Значит, когда установлено соединение, комп на радостях начинает кричать "всем - всем - всем" что-то там связанное с DHCP, а когда не находит "всех - всех - всех", то уже в соответствии с "Netbios Name Service" опять кричит "всем - всем - всем" что-то связанное с ассоциацией имени с IP.
Цитата:
Как это в теории звучит - пока не читал.
А не ткнешь меня фейсом в линк на теорию?
Цитата:
...у меня этот адрес еще пару месяцев назад автобан схлопотал...
Ибо нефига (с)
Цитата:
...можно смело резать дальше.
Сейчас, сейчас прольется чья-то кровь (с)
Вот еще пара вопросов.
Если не секрет, какой версией пользуешься 2.2 или беткой 2.2.5? Если беткой, то как она? Юзабельна? Переходить стОит?
На сайте программы кроме линка на файл vfsetup.exe есть еще vfadminsetup.exe - это, насколько я понял, приблуда, которая ставится на ту же тачку, где и сам файрволл, чтобы его удаленно админить, так?
И еще вопрос..., но это, скорее, в варезник. Загляни туда, если не трудно.
Topcrust
Цитата:
Цитата:
Цитата:
В отношении теории - сам по крохам собираю, так что с "ткнуть" покамест не выйдет.
Иду в вареззззз....
Добавлено
Вот пример рассылки:
2004/02/10, 07:49:28.970, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=0.0.0.0, dst=255.255.255.255, sport=68, dport=67
2004/02/10, 07:49:28.970, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=0.0.0.0, dst=255.255.255.255, sport=68, dport=67
2004/02/10, 07:49:36.770, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
2004/02/10, 07:49:36.770, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
2004/02/10, 07:49:37.050, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
2004/02/10, 07:49:55.170, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
- первые 2 строки - хто-то врубился, система обновляет данные о сети (но почему по DHCP не пойму), следующие - у него в автозагрузке чат (порт 8167 - ichat) - идет поиск - кто онлайн.
Наглядно?
Цитата:
Значит, когда установлено соединение, комп на радостях начинает кричать "всем - всем - всем"- Хмм.. насчет DHCP - у меня с ниим вообще общения не было.. Но по идее, комп кричит "всем" если не нашел конкретного адресата..
Цитата:
какой версией пользуешься 2.2 или беткой 2.2.5?- 2,2 Не гонюсь за бетками, тем более, что в случае подозрительных багов пересливаю систему с бэкапа (на всякий пожарный), а потому гоняться за последними версиями несподручно.
Цитата:
есть еще vfadminsetup.exe - это, насколько я понял, приблуда, которая ставится на ту же тачку, где и сам файрволл, чтобы его удаленно админить, так?- Насколько помню инфу с сайта, это просто админская версия стены. С приблудой удаленного контроля и без чего-то-забыл-чего. Хотя нет, ща глянул офф - ты прав, я забыл.
В отношении теории - сам по крохам собираю, так что с "ткнуть" покамест не выйдет.
Иду в вареззззз....
Добавлено
Вот пример рассылки:
2004/02/10, 07:49:28.970, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=0.0.0.0, dst=255.255.255.255, sport=68, dport=67
2004/02/10, 07:49:28.970, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=0.0.0.0, dst=255.255.255.255, sport=68, dport=67
2004/02/10, 07:49:36.770, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
2004/02/10, 07:49:36.770, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
2004/02/10, 07:49:37.050, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
2004/02/10, 07:49:55.170, GMT +0100, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.161, dst=255.255.255.255, sport=8167, dport=8167
- первые 2 строки - хто-то врубился, система обновляет данные о сети (но почему по DHCP не пойму), следующие - у него в автозагрузке чат (порт 8167 - ichat) - идет поиск - кто онлайн.
Наглядно?
bredonosec
Цитата:
Читаем Help:
Цитата:
Насколько я понял, vfadminsetup.exe = The standalone Remote Administration tool. А вообще, если Help почитать (а Help, надо признать, просто шикарный
), то другие машины с VisNetic'ом (как с Server версией, так и Work) серверной версией удаленно админить можно:
Цитата:
Если я ошибаюсь, то поправьте.
Цитата:
Ну а чатятся юзеры уже по конкретным IP'ам, которые, естественно, разрешены, так? Тогда, собственно, картина аналогичная моей.
Кстати сегодня в логах такую строчку отловил:
2004/02/11, 02:54:18.935, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.66, dst=217.195.65.9, sport=1027, dport=53
А вот правило:
UDP rules:
Rule #8: 'Primary DNS'
Allow My Address [1024-5000] <-> 217.195.65.9 [53]
Вопрос, почему пакет был блокирован? Глюк, баг, фича?
Еще вопрос, ты дефолтные настройки SYN Flood и Port Scans менял? Scanner'ов банишь?
Ну а в остальном, мавроди бы разобрался. Будем считать, что настроил. Спасибо За Помощь.
Судя по времени постов, уж не с работы ли ты по ночам на форум залазишь? А судя по GMT +0100, ты где-то к западу от меня.
Цитата:
Насколько помню инфу с сайта, это просто админская версия стены.
Читаем Help:
Цитата:
When you connect via Terminal Services to your firewall computer, the VisNetic Firewall tray icon will not be visible. To administer the firewall, you will need to install the standalone Remote Administration tool on the firewall computer. This tool will allow you to connect to the firewall on the local machine and administer it via Terminal Services just as if you were able to open the actual user interface.
The standalone Remote Administration tool can be downloaded from the following web page:
http://www.deerfield.com/download/visnetic_firewall/
...бла-бла-бла...
Насколько я понял, vfadminsetup.exe = The standalone Remote Administration tool. А вообще, если Help почитать (а Help, надо признать, просто шикарный
), то другие машины с VisNetic'ом (как с Server версией, так и Work) серверной версией удаленно админить можно: Цитата:
The VisNetic Firewall Server version includes a remote administration server that allows you to connect to and administer any number of remote VisNetic Firewalls.
...
The VisNetic Firewall Workstation and Server versions both include a remote administration client that allows them to be remotely administered by a VisNetic Firewall Server.
...
Если я ошибаюсь, то поправьте.
Цитата:
...у него в автозагрузке чат (порт 8167 - ichat) - идет поиск - кто онлайн. Наглядно?
Ну а чатятся юзеры уже по конкретным IP'ам, которые, естественно, разрешены, так? Тогда, собственно, картина аналогичная моей.
Кстати сегодня в логах такую строчку отловил:
2004/02/11, 02:54:18.935, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.66, dst=217.195.65.9, sport=1027, dport=53
А вот правило:
UDP rules:
Rule #8: 'Primary DNS'
Allow My Address [1024-5000] <-> 217.195.65.9 [53]
Вопрос, почему пакет был блокирован? Глюк, баг, фича?
Еще вопрос, ты дефолтные настройки SYN Flood и Port Scans менял? Scanner'ов банишь?
Ну а в остальном, мавроди бы разобрался. Будем считать, что настроил. Спасибо За Помощь.
Судя по времени постов, уж не с работы ли ты по ночам на форум залазишь? А судя по GMT +0100, ты где-то к западу от меня
.Не нашел в нем маппинг портов. Есть ли он там?
Topcrust
Цитата:
Цитата:
Цитата: просто стена перехватывает все пакеты, которые носятся по локалке, а из их анализа я делаю выводы. 
Цитата:
Цитата:
Цитата:
Если б еще выяснить, по каким принципам плуги к этой стеночке создавать можно (готовых свободно не ходит) - вааще цены б ей не было!
Цитата: - это на 1М/256К канал). Насчет "западнее" - посмотри "профиль"
Кста, приколись: практически каждую ночь без перерыва идет красивый поток пакетов с одного адреса. Если б эпизодично - ладно уж ,можно на пинги/сканы скинуть, а так - уж очень смахивает на "ложный АРП сервер", или в просторечье АРП спуфинг.
2004/02/16, 09:43:47
Adapter:Compaq NC3121 Fast Ethernet NIC
Packet was:Blocked
Device 1, Rule 50, Blocked incoming MAC packet, src=00-30-4F-25-D3-74, dst=FF-FF-FF-FF-FF-FF
Packet size = 60 bytes
- - - - - - Ethernet header - - - - - -
Destination: FF-FF-FF-FF-FF-FF (Broadcast)
Source: 00-30-4F-25-D3-74
Protocol Type: 08-06 (ARP)
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.102
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 66 20 20 20 20 20 20 ......АЁ.f
0030: 20 20 20 20 20 20 20 20 20 20 20 20
------------------
2004/02/16, 09:43:49
---------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.20
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 14 20 20 20 20 20 20 ......АЁ..
0030: 20 20 20 20 20 20 20 20 20 20 20 20
--------------------
2004/02/16, 09:43:49
----------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.145
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 91 20 20 20 20 20 20 ......АЁ.‘
0030: 20 20 20 20 20 20 20 20 20 20 20 20
---------------------------
2004/02/16, 09:43:51
------------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.47
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 2F 20 20 20 20 20 20 ......АЁ./
0030: 20 20 20 20 20 20 20 20 20 20 20 20
----------------------------
2004/02/16, 09:43:51
----------------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.101
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 65 20 20 20 20 20 20 ......АЁ.e
0030: 20 20 20 20 20 20 20 20 20 20 20 20
-----------------
2004/02/16, 09:43:53
--------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.102
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 66 20 20 20 20 20 20 ......АЁ.f
0030: 20 20 20 20 20 20 20 20 20 20 20 20
-------------------------
2004/02/16, 09:43:54
------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.47
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 2F 20 20 20 20 20 20 ......АЁ./
0030: 20 20 20 20 20 20 20 20 20 20 20 20
---------------------
2004/02/16, 09:44:03
---------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.101
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 65 20 20 20 20 20 20 ......АЁ.e
0030: 20 20 20 20 20 20 20 20 20 20 20 20
---------------
/в этой серии меняется только адрес назначения, потому срезал верх пакетов, а так он и другие пакеты пересылает, когда есть что/ картинка лога
сорьки, что долго молчал - в инет не выходил.
Цитата:
Читаем Help:- Ага, я позже поправися, только не помню ,тут или в варезнике.
Цитата:
Если я ошибаюсь, то поправьте.- да, ты прав, даже без надстройки есть функция дистанционного контроля, view-settings-administration, где ставишь порт/пароль/разрешение на удаленное управление стеной.
Цитата:
Ну а чатятся юзеры уже по конкретным IP'ам, которые, естественно, разрешены, так?- что у них разрешено, я не знаю,
просто стена перехватывает все пакеты, которые носятся по локалке, а из их анализа я делаю выводы. Цитата:
Вопрос, почему пакет был блокирован? Глюк, баг, фича?- В таких случаях кликаешь правым на сторчке, выбираешь find the nearest rule, когда даст его номер, снова правым на строке - why packet did not match rule №.. - и она сама тебе усё скажет за милую душу!
Цитата:
дефолтные настройки SYN Flood и Port Scans менял?- Пробовал менять. И не менять. Особой разницы не заметил. Разве что, скан по дефолту выставлен оптимально - 3 порта. меньше - 2 - будут в банлист падать урлы. ,с которыми работаешь(время от времени ближайшая прокся прова в бан падает, - подожду неск секунд, удаляю. Если через неё сканили - уже им облом, а если нет - тем более нет смысла в бане держать), если больше - 4 - легче упустить сканера..
Цитата:
Scanner'ов банишь?- Обязательно! И не только их. По нескольким пунктам правил предусмотрено 5 лет расстрела (ака бан).
Если б еще выяснить, по каким принципам плуги к этой стеночке создавать можно (готовых свободно не ходит) - вааще цены б ей не было!
Цитата:
уж не с работы ли ты по ночам на форум залазишь? А судя по GMT +0100, ты где-то к западу от меня- Ночью меньше народа в переполненной локалке (админ врет при подключении новых юзеров, что около 50, а у меня в банлист уже попало >120 локальных.
- это на 1М/256К канал). Насчет "западнее" - посмотри "профиль" Кста, приколись: практически каждую ночь без перерыва идет красивый поток пакетов с одного адреса. Если б эпизодично - ладно уж ,можно на пинги/сканы скинуть, а так - уж очень смахивает на "ложный АРП сервер", или в просторечье АРП спуфинг.
2004/02/16, 09:43:47
Adapter:Compaq NC3121 Fast Ethernet NIC
Packet was:Blocked
Device 1, Rule 50, Blocked incoming MAC packet, src=00-30-4F-25-D3-74, dst=FF-FF-FF-FF-FF-FF
Packet size = 60 bytes
- - - - - - Ethernet header - - - - - -
Destination: FF-FF-FF-FF-FF-FF (Broadcast)
Source: 00-30-4F-25-D3-74
Protocol Type: 08-06 (ARP)
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.102
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 66 20 20 20 20 20 20 ......АЁ.f
0030: 20 20 20 20 20 20 20 20 20 20 20 20
------------------
2004/02/16, 09:43:49
---------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.20
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 14 20 20 20 20 20 20 ......АЁ..
0030: 20 20 20 20 20 20 20 20 20 20 20 20
--------------------
2004/02/16, 09:43:49
----------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.145
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 91 20 20 20 20 20 20 ......АЁ.‘
0030: 20 20 20 20 20 20 20 20 20 20 20 20
---------------------------
2004/02/16, 09:43:51
------------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.47
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 2F 20 20 20 20 20 20 ......АЁ./
0030: 20 20 20 20 20 20 20 20 20 20 20 20
----------------------------
2004/02/16, 09:43:51
----------------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.101
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 65 20 20 20 20 20 20 ......АЁ.e
0030: 20 20 20 20 20 20 20 20 20 20 20 20
-----------------
2004/02/16, 09:43:53
--------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.102
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 66 20 20 20 20 20 20 ......АЁ.f
0030: 20 20 20 20 20 20 20 20 20 20 20 20
-------------------------
2004/02/16, 09:43:54
------------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.47
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 2F 20 20 20 20 20 20 ......АЁ./
0030: 20 20 20 20 20 20 20 20 20 20 20 20
---------------------
2004/02/16, 09:44:03
---------------
- - - - - - ARP header - - - - - -
Hardware Address Space: 1
Protocol Address Space: 08-00
Hardware Address Length: 6
Protocol Address Length: 4
OpCode: 1 (ARP request)
Sender Hardware Address: 00-30-4F-25-D3-74
Sender IP Address: 192.168.1.34
Target Hardware Address: 00-00-00-00-00-00
Target IP Address: 192.168.1.101
0000: FF FF FF FF FF FF 00 30 4F 25 D3 74 08 06 00 01 .......0O%Уt....
0010: 08 00 06 04 00 01 00 30 4F 25 D3 74 C0 A8 01 22 .......0O%УtАЁ."
0020: 00 00 00 00 00 00 C0 A8 01 65 20 20 20 20 20 20 ......АЁ.e
0030: 20 20 20 20 20 20 20 20 20 20 20 20
---------------
/в этой серии меняется только адрес назначения, потому срезал верх пакетов, а так он и другие пакеты пересылает, когда есть что/ картинка лога
сорьки, что долго молчал - в инет не выходил.
bredonosec
Цитата:
Т.е. ты не админ, а просто на свою отдельную тачку в локалке поставил VisNetic?
Цитата:
Поздяк. Я тут на днях OS переставил, VisNetic на нее, правила импортировал. Вобщем, эта строчка исчезла, а вместе с ней и вот эта пропала, про которую я писАл выше:
2004/02/06, 07:52:52.980, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.16, dst=255.255.255.255, sport=137, dport=137
Теперь только DHCP'шная осталась (67, 68 порты).
Цитата:
Я тоже дефолт оставил, только галку банить поставил, а то она по дефолту вырублена (правда, в бан-листе пока никого не видел, хотя блокированных incomming'ов хватает).
Цитата:
Т.е. у тебя кроме разрешающих правил есть еще и запрещающие, по которым банишь? Просто по дефолту VisNetic вроде и так все блокирует (правда не банит, точнее банит, при обнаружении атаки, и то если галку поставить). А можно поподробнее про эти блок-правила?
Цитата:
На офф сайте, я так понимаю, этой инфы нету. Будем надеяться на будущее. Кстати, о выходе новых версий ничего не известно?
Цитата:
Так и в подписи, вроде, все видно.
Цитата:
Да я сам тут переснос-переустановку всего затеял, поэтому меня тоже не было, да и и-нет у меня когда как. А тут еще не пойму, то ли форум опять глючит с рассылкой, то ли у меня грабли где-то - nвой пост на мыло не пришел, а уже 2 дня прошло. Совершенно случайно зашел и увидел.
Цитата:
...просто стена перехватывает все пакеты, которые носятся по локалке, а из их анализа я делаю выводы
Т.е. ты не админ, а просто на свою отдельную тачку в локалке поставил VisNetic?
Цитата:
В таких случаях кликаешь правым на сторчке...
Поздяк
. Я тут на днях OS переставил, VisNetic на нее, правила импортировал. Вобщем, эта строчка исчезла, а вместе с ней и вот эта пропала, про которую я писАл выше: 2004/02/06, 07:52:52.980, GMT +0300, 2011, Device 1, Blocked outgoing UDP packet (no matching rule), src=217.195.92.16, dst=255.255.255.255, sport=137, dport=137
Теперь только DHCP'шная осталась (67, 68 порты).
Цитата:
Пробовал менять. И не менять.
Я тоже дефолт оставил, только галку банить поставил, а то она по дефолту вырублена (правда, в бан-листе пока никого не видел, хотя блокированных incomming'ов хватает).
Цитата:
По нескольким пунктам правил предусмотрено 5 лет расстрела (ака бан).
Т.е. у тебя кроме разрешающих правил есть еще и запрещающие, по которым банишь? Просто по дефолту VisNetic вроде и так все блокирует (правда не банит, точнее банит, при обнаружении атаки, и то если галку поставить). А можно поподробнее про эти блок-правила?
Цитата:
Если б еще выяснить, по каким принципам плуги к этой стеночке создавать можно...
На офф сайте, я так понимаю, этой инфы нету. Будем надеяться на будущее. Кстати, о выходе новых версий ничего не известно?
Цитата:
Насчет "западнее" - посмотри "профиль"
Так и в подписи, вроде, все видно
. Цитата:
сорьки, что долго молчал - в инет не выходил.
Да я сам тут переснос-переустановку всего затеял, поэтому меня тоже не было, да и и-нет у меня когда как. А тут еще не пойму, то ли форум опять глючит с рассылкой, то ли у меня грабли где-то - nвой пост на мыло не пришел, а уже 2 дня прошло. Совершенно случайно зашел и увидел.
valhalla
Цитата:
it will be in next version
Цитата:
Не нашел в нем маппинг портов. Есть ли он там?
it will be in next version
Объясните, что происходит:
http://www.consealfirewall.com/firewall/conseal.cfm
Конец VisNetic Firewall - да здравствует 8Signs?
http://www.consealfirewall.com/firewall/conseal.cfm
Конец VisNetic Firewall - да здравствует 8Signs?
dmutpu
Процитирую самого же себя из Варезника:
"Короче, решил я развеять некоторые вопросы и сомнения по-поводу этого фаерволла.
Могу дать точную информацию, так сказать из первых рук, т.к. являюсь бета-тестером этого продукта и имею тесный контакт с разработчиком.
Начну с начала:
Давным-давно, программист по имени Джеймс Грант (James Grant) написал продукт под названием Signal9 ConSeal Firewall. Signal9 - это название созданной им фирмы. Этот фаерволл в свое время, как известно, был довольно популярен, хотя и не лишен недостатков. Далее, его замечает компания McAfee, и покупает этот фаерфолл вместе с его разработчиком. Но у McAfee видимо было свое видение, каким должен быть фаерволл и через некоторое время они решили прекратить развитие этого продукта, в том виде, в каком он был. Такое решение было большим разочарованием для Джеймса Гранта и он уходит из McAfee. В 2001г. он и его два партнера (Linda Cleminshaw и Joan Chandler) создают компанию 8Signs и продолжают развитие полюбившегося многим фаерволла. Но чтобы вывести продажи фаерволла на более высокий уровень, Джеймс с партнерами решают заключить договор с довольно авторитетной сетевой компанией - Deerfield.com. Которая сама не занимается разработкой продуктов, а только является как бы дистрибьютором для других компаний. Видимо у Дирфилда есть два варианта заключения договора (я не в курсе всех подробнестей). Для крупных компаний, таких как Kerio и Qbic(WinGate), Дирфилд является обычным дистрибьютором - т.е Kerio и Qbic продолжают продавать свою продукты под своим именем, а Дирфилд только добавляет им популярности, имея с этого свою долю. А вот для мелких компаний, таких как 8Signs условия совсем другие. Мелкие компании, при заключении договора с Дирфилд, фактически обязаны изменить имя своего продукта, приписав к началу слово "Visnetic" (VISion of the InterNET - девиз компании Дирфилд). Так же эти компании не имеют права самостоятельно продавать свои продукты. На таких условиях и появился Visnetic Firewall. Под маркой Visnetic он вырос до довольно качественного продукта, а истинное его происхождение можно узнать только зайдя в меню "About Visnetic Firewall". Все так бы и продолжалось, если бы Дирфилд не заключил в сентябре 2003 года дистрибьюторский договор с компанией Kerio, на продажу их продукции. Продажи Visnetic Firewall шли не очень хорошо, а тут еще и соседство с возможным конкуррентом. Вследствии всего этого, Джеймс Грант просит Майка Дирфилда (владельца Deerfield.com) пересмотреть договор, и Дирфилд идет ему навстречу, позволив продавать свой продукт еще и под своей собственной маркой. При этом продажи фаерволла через Deerfield.com не прекратились. Так, в Сентябре этого года, и появился 8Signs Firewall. Появился - это громко сказано, т.к. он все это время и существовал, но только под другим именем.
Если брать отличия 8Signs Firewall от Visnetic Firewall, то их, можно сказать, нет. Код этих продуктов идентичен на 100%. Различия заключаются только в названии, логотипе и лицензионных кодах. Происходит все так: разрабатывается версия 8Signs Firewall, после чего во второй копии исходных кодов меняются названия и логотипы на Visnetic, меняется программый код, отвечающий за проверку лицензионного кода и компилируется вторая версия программы - для Deerfield.com.
Из понятных соображений, прямое родство Visnetic Firewall с 8Signs Firewall не афишируется.
Ну вот вроде и все, что я хотел сказать."
Процитирую самого же себя из Варезника:
"Короче, решил я развеять некоторые вопросы и сомнения по-поводу этого фаерволла.
Могу дать точную информацию, так сказать из первых рук, т.к. являюсь бета-тестером этого продукта и имею тесный контакт с разработчиком.
Начну с начала:
Давным-давно, программист по имени Джеймс Грант (James Grant) написал продукт под названием Signal9 ConSeal Firewall. Signal9 - это название созданной им фирмы. Этот фаерволл в свое время, как известно, был довольно популярен, хотя и не лишен недостатков. Далее, его замечает компания McAfee, и покупает этот фаерфолл вместе с его разработчиком. Но у McAfee видимо было свое видение, каким должен быть фаерволл и через некоторое время они решили прекратить развитие этого продукта, в том виде, в каком он был. Такое решение было большим разочарованием для Джеймса Гранта и он уходит из McAfee. В 2001г. он и его два партнера (Linda Cleminshaw и Joan Chandler) создают компанию 8Signs и продолжают развитие полюбившегося многим фаерволла. Но чтобы вывести продажи фаерволла на более высокий уровень, Джеймс с партнерами решают заключить договор с довольно авторитетной сетевой компанией - Deerfield.com. Которая сама не занимается разработкой продуктов, а только является как бы дистрибьютором для других компаний. Видимо у Дирфилда есть два варианта заключения договора (я не в курсе всех подробнестей). Для крупных компаний, таких как Kerio и Qbic(WinGate), Дирфилд является обычным дистрибьютором - т.е Kerio и Qbic продолжают продавать свою продукты под своим именем, а Дирфилд только добавляет им популярности, имея с этого свою долю. А вот для мелких компаний, таких как 8Signs условия совсем другие. Мелкие компании, при заключении договора с Дирфилд, фактически обязаны изменить имя своего продукта, приписав к началу слово "Visnetic" (VISion of the InterNET - девиз компании Дирфилд). Так же эти компании не имеют права самостоятельно продавать свои продукты. На таких условиях и появился Visnetic Firewall. Под маркой Visnetic он вырос до довольно качественного продукта, а истинное его происхождение можно узнать только зайдя в меню "About Visnetic Firewall". Все так бы и продолжалось, если бы Дирфилд не заключил в сентябре 2003 года дистрибьюторский договор с компанией Kerio, на продажу их продукции. Продажи Visnetic Firewall шли не очень хорошо, а тут еще и соседство с возможным конкуррентом. Вследствии всего этого, Джеймс Грант просит Майка Дирфилда (владельца Deerfield.com) пересмотреть договор, и Дирфилд идет ему навстречу, позволив продавать свой продукт еще и под своей собственной маркой. При этом продажи фаерволла через Deerfield.com не прекратились. Так, в Сентябре этого года, и появился 8Signs Firewall. Появился - это громко сказано, т.к. он все это время и существовал, но только под другим именем.
Если брать отличия 8Signs Firewall от Visnetic Firewall, то их, можно сказать, нет. Код этих продуктов идентичен на 100%. Различия заключаются только в названии, логотипе и лицензионных кодах. Происходит все так: разрабатывается версия 8Signs Firewall, после чего во второй копии исходных кодов меняются названия и логотипы на Visnetic, меняется программый код, отвечающий за проверку лицензионного кода и компилируется вторая версия программы - для Deerfield.com.
Из понятных соображений, прямое родство Visnetic Firewall с 8Signs Firewall не афишируется.
Ну вот вроде и все, что я хотел сказать."
dzoleg
А почему 8Signs существует как 2.2а, тогда как VisNetic до сих пор 2.2? 2.2а - обновленная версия?
А почему 8Signs существует как 2.2а, тогда как VisNetic до сих пор 2.2? 2.2а - обновленная версия?
dmutpu
По поводу Visnetic-версии точно сказать не могу, т.к. из-за чуть более раннего выхода 8Signs тестирую ее. Но мне кажется, что Visnetic 2.2 вышел, когда 8Signs был уже 2.2a и в него вошли последние исправления.
По поводу Visnetic-версии точно сказать не могу, т.к. из-за чуть более раннего выхода 8Signs тестирую ее. Но мне кажется, что Visnetic 2.2 вышел, когда 8Signs был уже 2.2a и в него вошли последние исправления.
Поставил 8Signs (я так понимаю, что это тот же VisNetic), сейчас настраиваю. Но может кроме английского хелпа где то есть описание на русском???
Предыдущая тема: Подскажите,please,прогу для создания CD с фото(+)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.