» Настройка персональных файерволов (firewall rules)

smurnoff
Это в программы - любой прокси-сервер который сам может с проксей работать (по-моему, все должны)
rashit
Тебе нужен варезник, сделай там фильтр по твоему файерволу

Karlsberg
Если про файервол речь - то согласен.
Однако вспомним, что есть одна веселая программка - AdMuncher (банерорезка). Так она проверяет данные регистрации на своем сервере admuncher.com . Самым простым лекарством от проверки (без коверканья программы) является блок в файерволе IP-адреса 207.44.251.118. И все... Точно так же "обманывается" Lingvo и прочий софт, ходящий по сети.
Совет исключительно теоретический (просьба не кидать помидорами!).

imho
Я в своих правилах перед тем как кого-нибудь выпустить в интернет, закрываю евойный хомяк
Правда, есть один помидор - адреса иногда меняются.

bredonosec
нет, просто встроенный имхо как-то не так сильно будет грузить тачку, просто комп на работе 800 сел

а пакетный я думаю будет грузить вообще сильно, т.к. надо каждый пакет проверить, а лучше просто отсекать не нужно вот и всё - ИМХО

Цитата:

нужно переправить запросы софтины с её специфического порта на порт прокси корпоративки. что-то типа туннеля сквозь существующий прокси.

- А разве это вопрос не в тему о HttpTunnel (в прогах или подземке) или подобном софте?

Цитата:

Сос! Как снять регистрацию, осталось 20 дней

- Опять же, вопрос в тему о данной проге. А мы не медиумы, названия Вашей проги не знаем.


Добавлено
Сорь, до меня ответили.. spike

Цитата:

встроенный имхо как-то не так сильно будет грузить тачку, просто комп на работе 800 сел

- У меня атлон 550. (ага, именно такая древность! ) И памяти кот наплакал. Сетевой фильтр под названием аутпост мне грузил (хоть и не чрезмерно), теперь стоит виснетик - вообще никакого груза. (только если многое в логи пишется, надо время от времени - раз в 2 месяца - архивировать или вытирать старые- чтоб место не занимали. (это если на многих правилах поставишь указатель записывать в лог пакет целиком).


Цитата:

а пакетный я думаю будет грузить вообще сильно

- Ответил выше примером. А если по теории - то (ИМХО) создавать виртуальный броузер, в котором запускать трафф и смотреть, что получится - нет ли неположенных действий приложений или системы, и лишь потом пропускать отфильтрованный на таком принципе траф в реальный броузер - системе будет потяжелее, чем проверять на совпадение от одного (флажок) до 6 (МАС), 12 (- Айпи), или еще скольки-нить байтов пакета с тем или иным правилом.
(у меня уже мелькала мысля сварганить хардварный файер на таком принципе (не универсал, а решающий несколько конкретных задач - как дополнение к софту), идею обрисовал другу близко знакомому с паянием микросхем - сошлись на том, что в пределах поставленной задачи хватит микроконтроллеров (- цена получится приемлемая). А вы говорите, что проверка пакетов перегрузит процессор.. )

Кста, вопрос есть к знакомым с сетевым железом:
Насколько знаю, МАС адрес сетевушки является её своего рода номером. То есть, содержит информацию и производителе, возможно, модели, т.д.
По крайней мере, что знаю:
00 - первые пока не заняты,
далее - 2 байта - производитель (02-Compaq, также есть С0, 20, 03-вроде интел, 30,40,50,08, Е0,D0, 01.. )точно уже не помню, как-то делал список соотношений производителя и третьего-червертого байтов МАСа, куда-то затерял..
Вопрос вот в чем: недавно заметил один интересный МАС - 02 01 00 00 00 00
Причем, в некоторых случаях, относящийся к разным айпи. Никто не знает, может это некий тип сетевых устройств с таким номером? Ибо на обычный МАС это совсем не похоже.

spike

Цитата:

...встроенный имхо как-то не так сильно будет грузить тачку...
...а пакетный я думаю будет грузить вообще сильно...

Собственно, могу лишь подтвердить сказанное bredonosec. Как и он, я тоже outpost пробовал. Чувствовалась некая инертность. Закачки, судя по ReGet'y, в виде гребенки были да и скорость 5500 б/с. Выгружаю outpost - закачки ровные и 5900-6000 б/с. После этого на VisNetic пересел - его не видно, не слышно. Безглючный, закачки ровные - 5900-6000 б/с, проц не грузит, память не жрет и честно делает свое грязное дело, только логи да бан-листы успевай проверять . Правила из шапки, при наличии рук и головы, к нему прикручиваются за секунды (такое чувство, что их с VisNetic'a и писали , а где-то кто-то говорил, что это, типа, сложный в плане конфигурирования FireWall). Эх, ну побыстрее бы к нему App Detect прикрутили - цены б ему не было!

bredonosec

Цитата:

недавно заметил один интересный МАС - 02 01 00 00 00 00

На 2к/ХР мак адрес может быть изменен прямо в реестре, вполне возможно это один из таких клиентов.

Karlsberg

Цитата:

На 2к/ХР мак адрес может быть изменен прямо в реестре,

- Вообще-то на любой оси он может быть изменен (и на моей 98 тоже - сам пробовал)
НО:
это делать поволяют лишь карточки некоторых производителей - (Интел, реалтек8029, WinBond, 3com). На остальных такая возможность отсутствует.
То есть, в рестре можешь менять все, что угодно, но просканировав, убедишься, что система отдает твой настоящий МАС. Это раз.
2, Если менять с целью сокрытия, глупо ставить такой заметный адрес - это тоже самое, что на краденую тачку поставить номер 00 01 фсб Гораздо выгоднее поставить любой адрес, не совпадающий с адресами своей локалки (чтоб не было HW конфликтов), или один из адресов машин своей же локальной сети (кого-нить, кто редко выходит в онлайн) - если есть привязка айпи к МАСу для доступа в инет.
3. Такие клиенты, что меняют свой адрес, у нас есть, но они достаточно умны, чтоб поступать вышеуказанно. (и первый (даже под меня косили - лог есть), и второй способ).

Хотя, вероятность, конечно, есть.


Добавлено
Вот, кста, нашел соотношения производителей карточек и первых байтов МАС адреса. ((мысль мелькнула, а не этим ли способом сканеры типа того же лангарда узнают тип устройства? )
MAC Card Producer

imho

Цитата:

Совет исключительно теоретический (просьба не кидать помидорами!)

Совет хороший.У меня таким образом заблокирована не одна прога (речь идет только о нескольких IP-сами проги имеют доступ в нет)

bredonosec

Цитата:

- У меня атлон 550. (ага, именно такая древность! )

у меня PIII-600@800(тоже давно мерку для гроба снимаю) Outpost выдает не более 1-3%-и это при банлисте в 6 тыс. адресов

denis1234
А что за банлист такой? Может стоит сделать его достоянием общественности?

Karlsberg

Цитата:

А что за банлист такой?

трояны,черви,диалеры,реклама,spy и подобный мусор
неужели не пользуешся Outpost AD&Content-filter.есть еще Blockpost,Admuncher....
-боюсь страшного ответа -ADSL

сейчас около 6 тыс. но много дублей,однотипных записей... он еще в процессе разработки. Думаю в финальной версии будет не более 3-4 тыс. Если после всего появится желание - обязательно выложу

spike

Цитата:

встроенный имхо как-то не так сильно будет грузить тачку

Не ошибается то, что не работает (c) Windows (не грузит-тоже)

denis1234

Цитата:

неужели не пользуешся Outpost AD&Content-filter.есть еще Blockpost,Admuncher....

Насчет рекламы - ADSL А все остальное - не думаю что оутпостовский самый лучший, но по готовности можно выложить.

Кто скажет есть ли возможность пролезть из локальной сети в инет, минуя все фриволы, и защиту, доступы, что бы закачать файлы из фтп серверов и из серверов Ed2k. Помогите, плз, СОС !!!

rashit
Вот в этом топике как раз решается эта проблема
http://forum.ru-board.com/topic.cgi?forum=55&topic=0457#1

Karlsberg
благодаря imho вспомнил про пару правил - предлагаю добавить в таблицу(хотя бы первое)

процесс=drwebupw.exe(DrWeb Update)
протокол=TCP,направление=исходящие,
удал.адрес=81.211.104.10(updates.drweb.ru)
порт=80,действие=разрешить

процесс=outpost.exe(Outpost main)
протокол=TCP,напрaвление=исходящие,
удал.адрес=207.44.236.84(agnitum.com-зачем ему там быть)
порт=80,действие=блокировать

bredonosec

Цитата:

(даже под меня косили - лог есть)

Где? Как узнал?(как у тебя может быть лог,если твоего компа в сети не было(или был HW конфликт ?)

Объясни,пожалуйста,человеку с опытом работы в ЛВС=0. извиняюсь что не по теме



Добавлено
Karlsberg

Цитата:

не думаю что оутпостовский самый лучший

я говорил про Blockpost - Outpost AD&Content-filter не поддерживает более 2 тыс. при превышении Outpost вылетает !!!
по этому поводу отправил bug-report в agnitum.com ждем-с результатов

bredonosec

Цитата:

- Возможно, не так выразился, имел в виду те, что создают некое подобие виртуального промежуточного серва с броузером, и если там начинают происходить всякие пакости - не пускают траф дальше (это если я правильно понял принцип их работы) - как, например, тот же аутпост -

Бредовенькое какое-то выражение Без обид только

Фаеры, относящиеся к классу сетевых фильтров -- это маршрутизаторы, обрабатывающий пакеты на основании информации, содержащейся в заголовках пакетов (т.е. работающие на уровне 3 по OSI). Из этого вытекает, что все фаеры данного класса работают с пакетами.

Может все же вы хотели сказать

Цитата:

Для локалки предпочтительнее считаю фаер с фильтрацией пакетов на уровне приложений

???


Цитата:

- оутпост персональный фаер, а не серверный,

Неверное утверждение. В теме о Outpost кратенько обсуждалось.

Цитата:

оутпост есть анализатор сетевой активности приложений, а не пакетный фаер, хотя в ядре это и реализовано

ИМХО не до конца верное утверждение, т.к. реализация пакетной фильтрации без привязки к приложениям реализована. По крайней мере я пользуюсь ей, заходя в System > Settings в OF 2.1.

По-моему Ильич Рамирас немного погорячился когда это писал (если мне не изменяет память, то это написал именно он).

Добавлено
denis1234

Цитата:

процесс=outpost.exe(Outpost main)
протокол=TCP,напрaвление=исходящие,
удал.адрес=207.44.236.84(agnitum.com-зачем ему там быть)
порт=80,действие=блокировать

А зачем процессу outpost.exe вообще куда-то ходить? Так что правило можно заметно упростить без к.л. ущерба. То же самое касается aupdrun.exe.

Особенно актуально, если вы ходите в форум 35

eika

Цитата:

А зачем процессу outpost.exe вообще куда-то ходить?

через outpost.exe работает,например,плагин WhoEasy
а обновлять Аутпост действительно проще через 35 чем через aupdrun.exe
в запрещенных у меня и так 23 приложения куда уж больше.

нарвался на прикол http://www.nnm.ru/porn_nen.jpg
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

eika

Цитата:

работающие на уровне 3 по OSI

Предлагаю в этой теме вместо номера уровня называть конкретный протокол, чтобы было понятно и тем, кто не знает что такое OSI
Vik2
Правилами эту фичу закрыть невозможно, это относится к веб-контенту и общей защищености самого оутпоста.

Vik2

Цитата:

нарвался на прикол http://www.nnm.ru/porn_nen.jpg
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

Правило для этого бага ты не создашь. Это проблема не оутпоста, а браузера IE.

gsmania

Цитата:

Это проблема не оутпоста,

То есть оутпост совсем нипричем, что разрешил себя выгрузить?

Vik2

Цитата:

нарвался на прикол http://www.nnm.ru/porn_nen.jpg
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

Проверил: куча блокнотов открылась (пустых) но аутпост устоял, так что надо рекомендую ужесточить установки. Положительный пример налицо. Но какие именно установки аутпоста ответственны за это не знаю

Vik2

Цитата:

нарвался на прикол http://www.nnm.ru/porn_nen.jpg
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

Я не стал рисковать своим здоровьем и скачал этот файл ReGet-ом,посмотрел что есть:
-команд на убиение outposta - нет
-блокнотов должно открываться не более 1000 и говорить о "куче" прока рано
-данный баг скорее всего основан на свойствах IE <запускать> все файлы с помощью своих библиотек
-ошибок можно избежать только если внести IE в запрещенные приложения(ну прямо как у меня)
-на опере данный прикол не работает (позже проверил)

Этот вопрос лучше задать в ветке по багам IE

Добавлено

Цитата:

Это проблема не оутпоста,

просто Windows решила что пара лишних блокнотов будет лучше чем Outpost

Цитата:

нарвался на прикол http://www.nnm.ru/porn_nen.jpg

Только что посмотрел (для общего развития, так сказать) - ничего страшного не нашел - Outpost и не думал вываливаться. Более того, когда мне надоело это "открытие блокнотов" (где-то окне, эдак, на 600-м) я просто нажал "остановить" окно IE и закрыл его благополучно. Потом осталось только позакрывать блокноты - и делов-то куча.
Цитата:

Этот вопрос лучше задать в ветке по багам IE

Согласен, у IE, к примеру, есть собственный баг, когда начинают выпрыгивать куча новых окон, если пытаешься закрыть окно, не нажав предварительно "остановить".
Цитата:

То есть оутпост совсем нипричем, что разрешил себя выгрузить?

Теоретически, выгрузка могла произойти по причине сожранных вистемных ресурсов новыми блокнотовскими окнами, что, на мой взгляд, вполне актуально для не очень лёгкого Outpost'a. Хотя, по правде сказать, у меня он ни разу еще не вылетал (тьфу, тьфу ).

а кто может выложить свои настроки Agnituma ?

По поводу PCAudit. То,что она запускается "изнутри"-это не совсем корректно.Она должна запускаться прямо с их сайта,как это делается в других местах.А так каждый может прочитать имя моего компа.А вот мое IP она определила совсем неверно.Это считается- я прошел тест или нет?
Pcscanner нашел открытыми несколько UDP портов (123,137,138,500,1026,1033,1051).
Часть из них я закрыл Outpost(137,138,500), но при повторном сканировании они опять
оказались открытыми.Почему?

helix

Цитата:

По поводу PCAudit. То,что она запускается "изнутри"-это не совсем корректно.Она должна запускаться прямо с их сайта,как это делается в других местах.

Цель PCAudit протестировать твою защиту на возможность пробить ее изнутри и передать наружу твою личную информацию (например логи с твоими паролями или номера твоих кредиток или информацию об установленных у тебя украденных программах что может послужить поводом для судебного преследования если ты в штатах или в европе)
Так что запускаться она должна с твоего компа!!!! Тест ты прошел если она не смогла передать наружу информацию - и она при этом сообщает если твоя стенка устояла против DLL Injection. Почитай на сайте там все подробно обьяснено и даже указаны стенки которые устояли.

Вопрос...
Есть сервер с подключением к интеренет статичный IP и есть локалка, поставил OUTpost на сервер.
локалка 192.168.0.0 в нем прописалась но когда с локалки с машины с IP 192.186.0.2.
пытаешься выйти в Нет Outpost пишет:

system 193.124.100.100 DNS Пакет на закрытый порт

localhost UDP 1028

Как коректней здесь прописать правило в этом случае?
не слишком я специалист по firewalls
ПОжалуйста ответьте...

АЛександр
Тула

Надыбал на днях программулинку Shadow Security Scanner v6.97.73, которая, по заверению разработчиков проверяет защиту удалённой машины. Поставил на "complete-scan" свой айпишник, так она показала 4 или 5 открытых портов. Это при том, что Outpost чтоит в режиме "запретить". Среди открытых - 135, 445 (то есть msblast-ssaser'ские). Даже не знаю что и думать. Просканил некоторых "соседей" по прову - та же бадяга. Или это ложная тревога?

ra3pat

Цитата:

поставил OUTpost на сервер

- если правильно помню, пост - персональный, а не серверный файер. Об этом написано и на оффсайте, и в шапке соотв темы здесь.

Цитата:

Теоретически, выгрузка могла произойти по причине сожранных вистемных ресурсов новыми блокнотовскими окнами,

- Очень может быть. Такие приколы (выгрузка или зависон, или любимая "illegal operation"), когда что-то другое сильно зажуёт ресурсы, замечал. Правда не в отношении стенки, но другое - от ДрВеба и пада до офиса, эксплорера, или чего угодно другого.


Добавлено
denis1234

Цитата:

(или был HW конфликт ?)

- именно.
eika

Цитата:

Бредовенькое какое-то выражение

- самому не понравилось. ;(

Цитата:

ИМХО не до конца верное утверждение, т.к. реализация пакетной фильтрации без привязки к приложениям реализована. По крайней мере я пользуюсь ей, заходя в System > Settings в OF 2.1.

- Правило можно создать по любой группе пакетов? Или есть ограничения? (типа там, закрыть такую-то группу IP на входящие ICMP типа 0,10,13,16,18 и еще не помню, какие, или UDP по 137/138 для неполной группы адресов, типа 192,168,0,2-192,168,0,153, ну и т.д. )
Удобство такого рода обеспечивается? Или надо каждую дюрку отдельной заплатой закрывать? Karlsberg

Цитата:

Предлагаю в этой теме вместо номера уровня называть конкретный протокол, чтобы было понятно и тем, кто не знает что такое OSI

- Сорьки за напоминание, но ссылка на обьяснение - нижняя в шапке.