» Настройка персональных файерволов (firewall rules)

Karlsberg

Цитата:

что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?

Вариантов тут немного, а именно один -- игнорировать их!

Цитата:

следить 254 интерфейсами в домовой сети -- эти геморрой, т.к. там постоянно все меняется.

Ну это (и по вышесказаному) уже детали, у кого как.

Цитата:

причем маааленькое такое в % соотношении.

хватит и одного
Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него.
Ну а вообще от конкретики отталкиватся надо, а так .... это всё частности и в др. условиях может быть не нужно или непременимо. Я не про домовые сети писал.


Добавлено
Karlsberg

Цитата:

что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу

А ничего он делать не будет. Ведь правило сработает если он в пакете найдёт так сказать "сигнальный флажок"-предопределённый MAC адрес. А они через модем не ходят. Где ходят см. выше.

neva102502

Цитата:

Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него.

А причем тут персональные фаеры и воровство трафика? Персональный фаер напрямую никак не позволит избавиться от этого.

Цитата:

Я не про домовые сети писал.

Ну если вы поставщик услуг или корпоративщик, то вам не в эту тему, т.к. тут сабж
Цитата:

Настройка персональных файерволов (firewall rules)

Цитата:

Настройка персональных файерволов (firewall rules)

Они не только в домовых сетях применяются и при диалапе;).

Цитата:

Персональный фаер напрямую никак не позволит избавиться от этого.

Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.


Добавлено
и ребят, мож я чё не так понял, но если это для обычных юзеров, нафига им надо всё то что в шапке написано ? Обсуждать возможности перс. фаеров так по максимуму. Если что поправьте меня

neva102502

Цитата:

Они не только в домовых сетях применяются и при диалапе;).

Ну вы то ведь понимате, что нет в dial-up'е никаких MAC. Тогда о чем разговор?

Цитата:

Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.

Это смотря каким способом его воруют. Если говорить о транзитных пакетах через вашу машину, то на ней должен стоять прокси-сервер или поднят NAT или настроена соотв. маршрутизация пакетов и т.д., т.е. для персональных машин достаточно нетиповая ситуация. Но это не суть, т.к. я вообще не понимаю, причем тут транзитный трафик и правила на базе MAC? Ведь фаер безо всяких MAC прекрасно защитит от этого. Для этого просто не нужно знать MAC -- для этого достаточно IP!

Цитата:

нет в dial-up'е никаких MAC

Точно. Я про это разговора и не вёл.

Цитата:

Ведь фаер безо всяких MAC прекрасно защитит от этого.

А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка.
И в остальном ты почти прав, почему почти, потому что
Цитата:

Для этого просто не нужно знать MAC -- для этого достаточно IP!

для этого или того иногда предпочитают знать кто MAC, кто как я MAC+IP. IP почемуто считается (не будем выяснять почему) самым легко(часто)подделываемым элементом. Ну да это дело так сказать вкуса. Точка.

Цитата:

Мак действует только в пределах твоей подсети, до первого же маршрутизатора

- Да, верно, ща проверил - маки входящих извне пакетов одинаковы - то есть, отображается МАС маршрутизатора(гейта).


Цитата:

Attack detection, который может временно блокировать удаленный IP (или всю подсеть)
Ага, отрубит твою машину от всей твоей же подсети,

- Именно поэтому я и заинтересовался МАСами.

Цитата:

Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке.

- Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа на значения кого-нить, в данный момент сидящего в оффлайне. Так что, не поможет. Да и геморно, действительно (если без помощи спец прог)


Цитата:

. Хотя, это ИМХО уже излишество банить всю подсеть, т.е. даже если хацкер IP поменяет, то его опять автоматика забанит.

- Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит и теоретически есть возможность пробиться. Для того и придумано банить всю подсеть.


Цитата:

что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?

- А по какому МАС адресу?
Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный. Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС. Так что, неоткуда даже брать адрес для правила. Кроме того, вроде даже пропадает закладка с МАС правилами. если адаптер не еthernet, а модем.

Цитата:

Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа

Знаю, но ты, я , а не все. Сначала незнающие только Ip меняют, тут ты засекаешь злоумышленника и потом просто ему внимание больше уделяешь Ну а как боротся с одновременной сменой, это уже тОчно не этого топика разговор. Насчёт MAC+IP - то это для параноиков, хотя согласен что вариант не намного надёжнее чем просто по MAC и я вдобавок так просто узнаю кто начинал с со смены IP свою криминальную деятельность

bredonosec

Цитата:

Именно поэтому я и заинтересовался МАСами.

Ну это явно не повод, чтобы ради этого ими интересоваться.

Цитата:

Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит

Да, тормозит. А еще более сложные правила, т.е. не только IP, но и IP + MAC тормозят еще больше

Цитата:

и теоретически есть возможность пробиться.

Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера). Если такой не имеется (что в общем то соблюдается), то пакеты просто буферизуются и тем самым сильнее грузят систему. Но на машинах уровня P4 x 512 RAM это не страшно.

Цитата:

Для того и придумано банить всю подсеть.

Чушь. Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше как ни в чем не бывало. А для того, чтобы уйти в другую подсеть, уже нужно быть либо изощренным хакером, либо админом.

Цитата:

Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный.

Нет никаких MAC'ов в dial-up'е.

Цитата:

Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС.

Да, ё мое. Сколько раз можно говорить, что MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!

neva102502

Цитата:

А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка.

Все верно. Только вот, некоторые персональные фаеры не пропускают корректно транзитные пакеты, попросту потому что они ПЕРСОНАЛЬНЫЕ и не предназначены для этого. В частности, я знаю, что такого рода "проблемы" (именно в ковычках, потому как это не баг, это фича) есть у OF 2 (по крайней мере это обсуждалось в топике по OF -- сам я не пробовал).

А вообще, в случае организации шлюза в интернет, нужно применять соотв. задаче решения, начиная от WinRoute и заканчивая MS ISA, которые в общем-то не являются персональными фаерами, а это уже

Цитата:

Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера)

Скользкий вопрос, определённо не скажу.

Цитата:

Для того и придумано банить всю подсеть

А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается.
И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает.

Цитата:

вообще, в случае организации шлюза в интернет

Да я тебе про подпольный интернет для 1го лица в организации с инетом, или там про отрезание всех от своей тачки кроме Пети, потому что у тебя там Гиг песен с матюками и т.п. В общем о персональных фаерах для локальной сети и том что по MAC кому то, кой какие правила (ну не говорил же я за все) больше нравится правила писать. Да видно не по адресу (несмотря на шапку ) .
По остальному согласен.

eika

Цитата:

Ну это явно не повод, чтобы ради этого ими интересоваться.

- Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк
Цитата:

2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol)

в секунду.
Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит)
Цитата:

А еще более сложные правила, т.е. не только IP, но и IP + MAC

- Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета. Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные.


Цитата:

только если фаер имеет такой баг

- Или система.
Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил.

Цитата:

Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше

- Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие? Где чушь?

Цитата:

MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!

- Тем более. Значит и закладки на эти правила не будет в стене.

neva102502

Цитата:

Скользкий вопрос, определённо не скажу.

А чего тут говорить? Если бы фаер при очереди запросов пропускал пакеты которые он не должен пропускать, то кому он такой красивый был нужен? Т.е. если такой факт и есть (а он есть -- про OF 2 как раз недавно писали!), то это баг.

Цитата:

А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается.

Да что вы к этой опции привязались. Её ж не обязательно включать.

Цитата:

И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает.

Отличная вещь.

Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах

А вообще, жалуются, конечно на OF 2, но вот только по скорости работы каки[-то серьезных нареканий не припомню. Попробуйте последнюю версию 2.1.303.4009 (314) с нормальной сетевой картой (лучше на чипсете Intel) -- думаю, что не должо быть проблем.

Добавлено
bredonosec

Цитата:

Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк

Ну, не попадут и? Пакетов, которые не попадают под правила очень много. И никто не умер.

Цитата:

Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит)

Теперь на пакеты от таких флудеров срабатывает автомат и блокируется его IP и/или локальный порт. А при желании потом могу по логам проверить, что конкретный чел мне слал.

Цитата:

логить всё входящее - никаких хардов не хватит

В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога. Недавно приделали...

Цитата:

Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета.

А если этот пакет от dial-up'шика, чей вы увидите MAC? Ближайшего к вам маршритизатора? Если ДА, то какой от этого MAC'а толк?

Цитата:

Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные.

Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP.

Цитата:

Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил.

Ну это ваши проблемы. А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться.

Цитата:

Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие? Где чушь?

Значит я потерял вашу мысль и подумал о другом. Разжевывать лень.

К вопросу об MAC адресе при диал-апе:

Цитата:

A dialup modem is a point to point device. When you use Dialup networking to connect to your ISP Dialup Networking Connection (DUN) creates a dummy MAC address so the modem looks like a network device.

Значит, MAC все-таки есть, но не является идентификатором сетевого интерфейса

Ух, спор я вижу бесполезен. К слову про MAC + IP в нЕкоторых случаях я говорил,
bredonosec такого не упоминал. Про диалап мы всё давно выяснили и про него речь не шла. Домовые сети у нас лично как раз все на 100Мб свитчах. Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры. НО и им надо к этому стремится. На сём умолкаю. Сенкс за диалог.

Добавлено
Karlsberg По "тому MAC" ты правило не настроешь

neva102502

Цитата:

По "тому MAC" ты правило не настроешь

Да я не спорю. Сам вижу, что не он.

Цитата:

Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP.

- А зачем делать правило ИП+МАС? Смысл? МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял)

Цитата:

А если этот пакет от dial-up'шика, чей вы увидите MAC?

- То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу. Только по диалу оччень многие дырки, существующие для локальщиков, недоступны. Да и зафлудить через диал тяжко тебе будет.


Цитата:

Ну это ваши проблемы

- И я их решаю.

Цитата:

А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться.

- Атлон 550. И хватает абсолютно.

Цитата:

Пакетов, которые не попадают под правила очень много. И никто не умер.

- Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто. А
Цитата:

2004/05/17, 03:20:24.830, GMT +0200, 2111, Device 1, Rule 28, Blocked incoming MAC packet, src=00-03-47-E9-70-57, dct=...

как-то поинформативнее, чем

Цитата:

2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol)

будет. Можете считать это личным предпочтением.

Цитата:

Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах

- Именно такие и стоят тут. 10Мб -только самые маленькие - до 10 чел локалки.
Цитата:

срабатывает автомат и блокируется его IP и/или локальный порт

- И рубит тебе инет. Класс, правда? Даже ДоСить тебя не надо, твой автомат сам всё сделает!

Цитата:

В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога

- Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить.
neva102502

Цитата:

НО и им надо к этому стремится.

Согласен. файер должен быть незаметен для меня, а не жрать полпамяти и треть проца.

Цитата:

По "тому MAC" ты правило не настроешь

- Да и смысла нет.

Кстати, господа хорошие, а вы не заметили что топик превратился во флейм? Куча страниц со спорами "а нафига"... Кому хочется поспорить, откройте соответствующую тему во флейме. Здесь изначально обсуждались вопросы "как", так и пусть она будет короткая, но информативная.

Karlsberg
Спасибо.


bredonosec
Спасибо.


Цитата:

В общем, примитив. Учите нтмл!

Но это не для меня - с ме хватит и DTP


Цитата:

А если в ёксель - просто выделяешь мышкой и копи-пасте.

А вот эта технология - в самый раз! А теперь в любимый PDF

neva102502

Цитата:

Домовые сети у нас лично как раз все на 100Мб свитчах.

Да все то все, только работает это все по разному. Лично у меня < 40 Mbps. OF по боку.

Цитата:

Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры.

Ну а кто будет таким софтом пользоваться? Что он из себя представляет? Ну явно не нормальный фаер с приличными возможностями и GUI, а какую-то "поделку".

Да, и еще вы забываете, что обсуждаются персональные фаеры, а это значит, что они стоят на раб. станциях, а это значит, что на них периодически выполняются другие ресурсоемкие задачи, поэтому железная конфигурация должна подразумевать наличие соотв. количества свободных ресурсов.

А вообще, это бесполезный разговор -- из оперы разговоров про нехороших производителей софта и их пофигистичное отношение к системным ресурсам. Да они негодяи и т.п.

bredonosec

Цитата:

А зачем делать правило ИП+МАС? Смысл? МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял)

А я подумал, что вы как neva102502 рекламируете IP + MAC.

Цитата:

То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу.

Я двумя руками за, и не понимаю, нафиг нужны правила по MAC на рабочих странциях. Только для повышения надежности? Так все равно не очень надежно, т.к. любители менять IP быстро узнают, что есть еще и MAC, а потом, что его можно менять, да еще и средствами ОС (иногда).

Цитата:

Да и зафлудить через диал тяжко тебе будет.

Да флуд на рабочую станцию как явление очень редок.

Цитата:

Атлон 550. И хватает абсолютно.

Попробуйте, например, рипануть DVD в AVI или запаковать несколько сотен Мб в архив, лучше если с наивысшей степенью компрессии. Ваш фаер, при наличии потока запросов к нему, не обрадуется от вашей "железки" и начнет тупить, задерживая ответы на запросы на секунды, а может и на десятки секунд. Такие задержки сделают невозможной корректную работу многих сетевых сервисов. Это конкретный пример того, о чем я писал выше для neva102502.

Цитата:

Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто.

Да ну, мне кажется, что вот так гораздо информативнее.

Цитата:

17.05.2004 0:00:10servicename.exeUDPIN REFUSED 212.112.105.8527015*.*.*.834422Packet to closed port

Да, MAC'а нет, но, повторюсь, не был до сих пор нужен..

Цитата:

И рубит тебе инет. Класс, правда? Даже ДоСить тебя не надо, твой автомат сам всё сделает!

Каким это образом интересно?

Цитата:

Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить.

Не надо ее отключать, т.к. за активно прожитый день может 200 Мб лога накопиться, за неделю, соотв. 1 Гб -- легко. А это значит, что производительность фаера упадет, а так же то, что вы никогда в него не полезете, разве что в случае к.л. форсмажора (например, для того, чтобы найти обидчика который как-то пролез через фаер и нагадил). В обыденной жизни подавляющее большинство людей никогда не полезет смотреть старый лог. Поэтому я старые логи не храню.

eika
Кажется, идем по кругу..
чтоб сильно не флеймить, плавно переместимся в пм, а если что полезное выползет из спора, сюда кинем. ОК?
(ща напишу)

bredonosec
Не, только не ПМ. Давайте только не оффтопик, но тут.

правила для MSN (Windows Messenger)
Protocol TCP
Local port 1024- 65535
Remote port 1863, 6891-6901
Block Incoming Fragment
Block Incoming Conection

если нужно, добавьте в шапку

AntiBIOtic
Спасибо за инфу, добавил в шапку

AntiBIOtic
а что означает "Block Incoming Fragment"?

Karlsberg
вообще-то
Цитата:

Block Incoming Conection

можно было и не делать... по логике нашей таблички все, что не разрешено - запрещено (см. LAST RULE)

imho
Лучше перебдеть, чем недобдеть. Судя по всему, это особенность аутпоста, юзеров которого большинство. Я думаю, кто знает что делает, тому это не помешает.

imho

Цитата:

а что означает "Block Incoming Fragment"?

это знасит что блокировать фсе фрагментированные входящие пакеты.

Цитата:

можно было и не делать... по логике нашей таблички все, что не разрешено - запрещено

а правило для блокирование фходящих пакетов ставлю фсегда (при необходимости). приучает к тщательности настройки
Karlsberg

Цитата:

Судя по всему, это особенность аутпоста, юзеров которого большинство.

не.. я связку VisNetic Firewall (фильтрация пакетов) + ZoneAlarm (апликейшн детект) юзаю

Цитата:

Я думаю, кто знает что делает, тому это не помешает.

полностю согласен

ЗЫ полезный топик получился

Karlsberg, AntiBIOtic
Да я, в принципе, про избыточность говорю. Т.е. для многих других клиентских приложений тоже надо бы прописать запреты. Мы этого не делали по умолчанию.
Но если душа просит - ради бога

Цитата:

блокировать фсе фрагментированные входящие пакеты

а разве фрагментированный входящий не попадает под правило для просто входящего?

Топик и актуальный.
Молодец Karlsberg!

imho

Цитата:

а разве фрагментированный входящий не попадает под правило для просто входящего?

в визнетике - нет. в зон аларме тоже надо отдельно галку ставить. на счет других файеров уже не помню

Цитата:

а разве фрагментированный входящий не попадает под правило для просто входящего?
в визнетике - нет.

- Ща проверил - во всех разрешающих (не блокирующих) правилах по ТСР стоит "блок. входящие фрагменты.
В помощи тож об этом написано. Так что, для виснетика это писать обязательно.

А не может-ли запрет фрагментированных пакетов привести к блокировке "хороших" соединений? Насколько я помню, максимальный размер пакета может устанавливаться как на самой писишке, так и на раутере. Может быть такое, что кто-то коннектиться ко мне из подсети с бОльшим размером пакета, тогда ко мне он приходит по частям, и файервол его игнорирует? Специалисты, помогайте...