» NetworkShield Firewall 2006

Цитата:

Чем отличается ваш продукт от Lan2Net ?
У меня сложилось впечатления что это один и тот же продукт (и команда та же), только в новой оболочке ?

Можно подробнее, как это один и тот же продукт в новой оболочке?


Цитата:

Я прав ?

Нет.


Добавлено:

Цитата:

leshy84
Извини... но я не к тебе обращался ! Я спрашивал разработчика! И про новые версии я тоже в курсе обоих сабжев.
И на будущее - ответы на вопросы по принципу "лишь бы сказать" раздражают! не знаешь ответа на вопрос лучше помолчи!
А то что ты думаешь про серверные файрволы – меня не интересует в принципе !

Вот так всегда и бывает... Не разобравшись да в @бло...
Как бы так по-мягче сказать то... leshy84 в разработке непосредственное участие принимает...

как у него с распределением трафика?
sheaper - типа есть?
кэширующий proxy - ?

networkshield

Цитата:

Можно подробнее...

Даже не знаю что сказать подробнее... очень много мелких факторов указывающих на то что обе программы разрабатывали, или принимали активное участие, одни и те же люди. (как минимум имена и фамилии те же) И при этом делают точно такой же продукт... Не понятно зачем ?
Вариантов может быть несколько...
Например Ваша команда раскололась на двое и каждый теперь хочет иметь свой продукт....
Ну или нужно сбросить с себя ответственность перед клиентами за не удачный проект...
итд. Но то что в судьбе обоих прог одни и те же лица... это факт.


Цитата:

Как бы так по-мягче сказать то... leshy84 в разработке непосредственное участие принимает...

А если он в курсе всего... тогда что же воду льет ? я не спрашивал про различия серверных фаеров в принципе... я задал конкретный вопрос!
Или он у вас работает адвокатом ?


pgofman2
sheaper - ... нет
кэширующий proxy - нет

Добавлено:
leshy84

Цитата:

Я про новую версию писал не тебе, а в топик - всем интересующимся. Если ты все знаешь, то напиши лучше что там нового появилось

Так ты же как выясняется

Цитата:

... leshy84 в разработке непосредственное участие принимает...

Так вот и напиши подробно что там нового (или старого ?) а не лей воду....
А то твои ответы выглядят так:
"сколько времени ? - уже светло."

networkshield

и есть еще один вопрос : а русский интерфейс будет ???

а то особенность файеров- точная формулировка правил ))) и без 100% знания иностранного языка можно так настроить, что потом никогда уже второй раз пробовать не захочется , я уж и неговорю о постоянном пользовании

Demon L

Проект Lan2net развивается и никуда не денется. В судьбе проектов Lan2net и NetworkShield - одна компания, это не скрывается.

По поводу ваших вопросов здесь и ответов на них разработчиков...
Этот форум не является нашим официальным информационным источником. Люди как хотят, так и пишут с учетом этических норм.

Официальная информация по продукту NetworkShield Firewall появится в пресс релизах при выходе русскоязычной версии. До тех пор официальной информации не будет.

А в целом leshy84 прав. Функционально, серверные фаеры ничем не отличаются друг от друга. Различия есть в комплектации, в подходе к настройке сети, интерфейсе, а также в стабильности, скорости и т.д.


MANRUS

Безусловно! Продукт разработан в России и будет с русским интерфейсом, справкой и поддержкой.

networkshield

а shaper в частности htb"шный предвидеца? только из-за него бы купил/поставил/да стал бы юзать!

оффтоп: и если не предвидеца, то не могли бы посоветовать решение под win2k3

Существуют 2 локальные сети. Одна - небольшая сеть здания (169.251.1.0), вторая - большая сеть города. Во второй сети есть определенное кол-во внутренних ресурсов (адреса 10.0.0.0) и шлюз в интернет.
Надо дать доступ всем из внутренней (первой) сети во внешнюю. NAT отлично выполняет эту задачу. НО. Тарификация по внутреннему траффику второй сети и трафику через шлюз разная. Так что я должен видеть статистику по каждому пользователю сети 169.х.х.х не просто сколько он качал, а сколько он выкачал в сети 10.х.х.х и сколько выкачал из интернета. Возможно ли это?

hlebanet
Возможно

Как понимаю, на сервере стоит 2 сетевые карты. После установки программы появится мастер - для приватной сети выбираете адаптер 169.251.1.0 и указываете соответствующий IP-диапазон, для публичной (интернет) сети указываете второй адаптер.

После завершения работы этого мастера сеть здания через NAT будет пропускаться в интернет, но трафик внутренних ресурсов не будет отделяться от трафика интернета.
Чтобы он разделялся создаете еще одну приватную сеть - адаптер как у публичной сети, диапазон 10.0.0.0-10.255.255.255.

Далее не забудьте добавить эту приватную сеть в назначения сетевого NAT-правила и создайте необходимые правила учета трафика.

networkshield

а поддержка висты есть ???
чтоб не дожидаясь выхода официального релиза от Микрософта (http://www.lenta.ru/news/2007/04/26/microsoft/) потестировать, пока можно бесплатно ???

Поддержки ещё нет. Ставить серверную часть на висту не рекомендуется

Поставил для тестирования данный фаервол. В общем вроде как неплохо. Не много ресурсов кушает.

Единственный минус и, мне кажется, очень значительный, это то, что при всех заприщающих правилах данный фаервол позволяет посетить страничку поизводителя данного продукта. А может он еще что-нибудь передает на сайт производителя, и мне не сообщает...

Цитата:

при всех заприщающих правилах данный фаервол позволяет посетить страничку поизводителя данного продукта

Он разрешает доступ к серверу активации по IP-адресу - чтобы была возможность активации после истечения триального периода. На этом IP сейчас висит и сам сайт продукта.
Но возможность отключить есть - надо просто отключить системное правило "Allow Access to NetworkShield Activation Server".

Цитата:

Единственный минус и, мне кажется, очень значительный, это то, что при всех заприщающих правилах данный фаервол позволяет посетить страничку поизводителя данного продукта. А может он еще что-нибудь передает на сайт производителя, и мне не сообщает...

Сам по себе NetworkShield ничего никуда не передает. Администратор имеет полный контроль над поведением программы.
Это одно из наших преимуществ, поскольку есть продукты, в том числе и российские, которые бесконтрольно передают определенные сведения на сервер производителя.

Почему открывается сайт NetworkShield и для чего, Leshy84 написал выше.

повторюсь...


Цитата:

от object для networkshield дата 17:19 25-04-2007

а shaper в частности htb"шный предвидеца? только из-за него бы купил/поставил/да стал бы юзать!

оффтоп: и если не предвидеца, то не могли бы посоветовать решение под win2k3

народ очь нужно!

Было бы еще очень интересно, если бы была возможность создавать сети не на основе диапазонов ип адресов, а на основе имен хостов.

object

Цитата:

народ очь нужно

Нет, не предвидеца

sprka

Цитата:

на основе имен хостов

Типа так: "*.domain"? Да, интересно. Только это совсем другой уровень в сетевом стеке, NetworkShield туда доберется еще не скоро.

Цитата:

Было бы еще очень интересно, если бы была возможность создавать сети не на основе диапазонов ип адресов, а на основе имен хостов.

чем ИП адреса не устраивают?

networkshield

Например есть следующая ситуация: Есть сервер в интернете, который приходиться администрировать по RDP.

Задача: нужно что бы порт RDP был открыт только для админа.

Привязка к МАК адресу отпадает, т.к. админ будет заходить на сервер с разных рабочих станций.

На помощь приходит сервис DynDns.org. В этом сервисе есть пользовтаель, например, Admin и ему соответствует адрес admin.dyndns.org . Администратор присваевает этому адресу свой текущий ИП.

В правилах фаервола указано правило, что с адреса admin.dyndns.org разрешено заходить по порту RDP. При отработке этого правила фаервол смотрит ип этого адреса и проверяет с текущим. Если совпали, то доступ разрешон.

В принципе, это не так уж и трудно реализовать.

Цитата:

это не так уж и трудно реализовать

Через авторизацию клиентом делается уже сейчас

Настроил следующие тестовые правила:
1. Разрешить все исходящие соединения с локалхост на 80 порт.
2. Запретить все входящие на локалхост.
3. Запредить все исходящие с локалхост.

Далее пытаюсь создать соединение с локалхост на 80 порт.

Что происходит: Создается исходящее соединение на 80 порт, при этом открывается новый случаным образм порт (например 4150) для входящего соединения.

Но созданное правило, которое закрывает все входящие соединения, блокирует ответ на 4150 порт.

Как сделать что-бы фаервол пропускал все соединения на такие автоматически открытые порты(как входящие так и исходящие)? Я же не могу все входящие порты открыть...

sprka
Это в каких случаях может потребоваться?
И как NetworkShield может узнать какой именно порт надо открывать?
Пока что он это умеет делать только для активного режима FTP - находит в сетевых пакетах номер порта и временно разрешает трафик к нему.

А как в общем решают подобную проблему?

Например, при закрытых всех входящих портах(для большей безопасности) мы конектимся изнути на какой либо порт и получить ответ не можем, т.к. входящие порты все закрыты.

Ведь встроеный фаервол винды таким то образом же работает. Он отключает все входящие порты и понимет, что овет идет на созданное исходящее соединение.

А как тогда с помощью NetworkShield можно подсчитать трафик, который прошел по вебу? Например: мы законектились по шттп (80 порту) на страничку и выкачали большой файл. NetworkShield в этом слкчае покажет исходящий трафик по 80 порту, но НЕ ПОКАЖЕТ входящий, т.к. тот пришел совсем на другой порт.

Если NetworkShield такую проблему решить не может, то значит пока будем жить со стандартным виндовым

Если бы ты попробовал поставить сей продукт, ты бы увидел - трафик считается корректно, даже при заблокированных входящих соединениях. Твой случай самый простой из всех возможных и поддерживается с самой первой версии, тут проблем нет.

Я его поставил.

Кстати, после установки он закрыл доступ к серверу и пришлось ехать в ДЦ срочно реанимировать сервер

И веб трафик считает не правильно. Только все то что пришло/ушло с 80 порта А с автоматически открытых портов не счтиает. Может где галку не поставил

sprka


Цитата:

Что происходит: Создается исходящее соединение на 80 порт, при этом открывается новый случаным образм порт (например 4150) для входящего соединения

Речь идет об обыкновенном http трафике, когда пользуетесь браузером?
Если да, то действительно, когда ваш сервер устанавливает соединение с 80 портом удаленного сервера, на вашем сервере открывается случайный порт. Весь трафик в этом соединении считается. С открытым на вашем сервере случайным портом соединение установить нельзя, пакеты от левых серверов будут блокроваться - это называется Statefull Inspection (у нас ACC).

Если у вас кастомное решение и как для FTP открывается новый порт для входящего соединения, оно будет блокироваться. Более того, 80 порт для такого решения совсем неудачно выбран, поскольку занят для http.


Цитата:

И веб трафик считает не правильно. Только все то что пришло/ушло с 80 порта А с автоматически открытых портов не счтиает. Может где галку не поставил

Автоматически порты открываются при создании соединения сервером. Они роли в учете трафика не играют никакой, если специально не задано. По умолчанию, важны источник, назначение и протокол, по которому соединение устанавливается.

Точность учета трафика в идеальных условиях 99.9%. Погрешности появляются при плохой связи... Но это уже отдельный разговор.


Цитата:

Кстати, после установки он закрыл доступ к серверу и пришлось ехать в ДЦ срочно реанимировать сервер

Если правильно указываются параметры в визарде настройки сети, то по умолчанию открыт доступ извне по rdp протоколу (terminal service). Как раз для того, чтобы не ездить в ДЦ при установке

А можно ли как то включить что бы фаервол автоматически открывал все порты для ответов (как входящие, так и исходящие)?

Если идет коннект на 80 порт на сервер, то сервер открывает автоматом новый порт для ответов. Так что бы фаервол на время ответа открыл этот порт, а потом закрыл. Возможно ли это?

sprka
Ты можешь объяснить, что это за штука, которой требуется открывать порты?

Кстати, вышел новый билд - исправлена куча мелких ошибок

leshy84, опишу ситуацию...

Есть веб сервер, у которого:
1. Открыты входящие порты на DNS, HTTP, HTTPS и RDP.
2. Все остальные входящие закрыты.
3. Все исходящие открыты.

Что не работает:
1. Есть программа-клиент(работает как сервис) на сервере, который коннектится на опреденные порты чужого сервера. Т.к. исходящие все порты открыты, то исходящиее соединение идет. Но т.к. все входящие порты закрыты(кроме перечисленных выше), то входящее соединение от чужого сервера не поступает! А оно как раз поступает на автоматичиски созданный порт для приема входящего соединения.

Как быть в этом случае? Я же не знаю какой порт определит винда для входящего соединения... И не могу открыть все входящие порты...

Далее мне еще хочеться закрыть все исходящие порты(кроме нужных), что бы левые программы(например если вирус появится) не могли вылезти наружу и что то передать.

Тогда появляется друга проблема, а именно, если идет входящее соединение например на 80 или 3389 порт, то результат посылается с сервера на автоматически назначегоно порта виндой у клиента. И если я закрою все исходящие, то результат уже не уйдет... Как быть тогда в этом случае?

Я сейчас поставил ваш фаервол, но работает он в "холостую", т.к. я не могу решить с помошью его выше описанные проблемы.

Что то мне подсказывает, что нужно смотреть все-таки в сторону ISA... Мне какжется там такие проблемы уже должны быть решены.

Скажите, после истечения тестируемого срока в 35 дней он закроет всю систему изнутри или откроет ее? Если он закроет ее, то мне нужно будет заранее его снести. Либо если у меня получится его настроить, то я его куплю.

sprka
1. А есть возможно съузить диапазон портов для входящих подключений? Если да, то открываешь их (особенно, если это порты от 1000 и выше) и нет проблем.

2. Что показывается в мониторинге соединений при HTTP-соединениях (80 порт), когда закрыты все входящие соединения? Показывается, что ответ с сервера - отдельное соединение, идущее на другой порт?

3. После 35 дней все будет работать как и раньше, только не сможешь изменять конфигурацию сети и заблокируются некоторые функции мониторинга.

Добавлено:
Вообще лучше приложи скриншот мониторинга соединений, где видно, что соединение на сервер с клиента и с сервера на клиент идут порознь.

leshy84
а когда сие ПО будет работать на Висте ? и будет ли вообще?