» Лучший домашний фаерволл firewall - сравниваем и обсуждаем

Viewgg

Цитата:

Если нет, тогда проходить такие тесты вообще бесполезно, мы действительно тестируем своего провайдера

- Вероятнее всего, что-то сменилось за более чем полугодовое отсутствие меня в сети, потому и сел в лужу..
Цитата:

разрешить сканирование вашего адреса (наверно, имеется в виду тунеллирование прокси или проброс портов (кажется, так называется?) на NAT).

что-то вроде, вероятно, и было. Бо ранее сканил себя.

про WIPFW(Win32)/IPFW(unix) кто что может сказать?

WIPFW на win2k3 работает нормально и лицензия свободная (GPL)

174bpm

Цитата:

про WIPFW(Win32)/IPFW(unix) кто что может сказать?

Я юзаю, и мне нравится. Единственный минус - нет контроля на уровне приложений, но зато, как по мне, очень удобная настройка (ну не нравится мне щелкать мышкой и выбирать по триста опций для одного правила, когда все это прописывается в одной-единственной строке).

2all
Может кто-нибудь посоветует что-нибудь аналогичное wipfw (или хотя бы отдаленно похожее), но с контролем приложений? Юзал когда-то Look'n'Stop, в принципе мне он нравился, но там один огромный недостаток - он мониторит ТОЛЬКО 1 сетевой интерфейс, а у меня их 2, и оба нужно защищать.
Попробовал Jetico - тоже в принципе ничего, но не нашел, где там для пакета указывается, с какого интерфейса он получен (или на какой интерфейс направляется). Можно указать айпи, можно указать порт, протокол, флаги, а вот интерфейс - нельзя А мне очень надо. Может, я просто провтыкал? o_O

У меня Kaspersky Anti-Hacker установлен, что-то я среди возможных пунктов в голосовании его не увидел, так он что вообще ацтой?

YurikWiz
В голосовании нет, но на предыдущих страницах его обсуждали. Не такой уж и отстой, но многие всерьёз его не воспринимают.

Подскажите, пожалуйста, файервол, поддерживающий профили. Есть у меня, допустим, два соединения (GPRS и Dialup), ввиду существенно разной тарификации приходится ставить разные правила на приложения: с GPRS запрещать HTTP, открывать только асю, в то время как с Dialup можно почти всем и все . Разумно это осуществляется только через профили (конфигурации, которые можно достаточно оперативно переключать на ходу).

Пока что пользуюсь жутко глючным Outpost'ом (ну это моя т.з.), ибо до сих пор не встретил другого файервола, поддерживающего профили. Есть огромное желание перейти на другой файервол. На какой??? Спасибо.

renee

Цитата:

Подскажите, пожалуйста, файервол, поддерживающий профили. Есть у меня, допустим, два соединения (GPRS и Dialup), ввиду существенно разной тарификации приходится ставить разные правила на приложения: с GPRS запрещать HTTP, открывать только асю, в то время как с Dialup можно почти всем и все . Разумно это осуществляется только через профили (конфигурации, которые можно достаточно оперативно переключать на ходу).

Посмотри на Jetico Personal Firewall. У него профили называются политиками. Их может быть сколько угодно. Переключаться между ними легко.

xdude

Цитата:

Юзал когда-то Look'n'Stop, в принципе мне он нравился, но там один огромный недостаток - он мониторит ТОЛЬКО 1 сетевой интерфейс, а у меня их 2, и оба нужно защищать.

Те тебе нужны разные правила по разным интерфесам?
Тогда, подходят 3 - Norton, Tiny и VisNetic, хотя могу и ошибаться насчет Tiny.
В VisNetic ты можешь делать разные правила для разных интерфейсов, но не для приложений.

Добавлено.
Вопрос
Цитата:

Я юзаю, и мне нравится.

А почему не VisNetic, котрый имеет приятные дополнения?

KUSA

Цитата:

А почему не VisNetic, котрый имеет приятные дополнения?

Про VisNetic впервые слышу. А он на x64 встанет?

2all
Товарищи! Проблема! Позавчера поставил себе Win XP Professional x64, не могу найти ни одного файрвола! Мой любимый wipfw не пашет, пытался собрать из исходников для x64 - че-то очень много парева с ним получается. Попробовал Tiny x64 - с системой стало что-то неладное твориться, наверное он как-то на дрова видюхи не так влияет: комп загружается нормально, как только доходит до рабочего стола - на экране тупо высвечиваются какие-то цветные штрихи и полосочки внизу экрана, а остальное все черное. Винда вроде как работает нормально, только видюха ниче не показывает, кроме этих полосочек, которые даже не шевелятся. Я думал, видюха сгорела. Режим VGA не помогает, только SafeMode. Зашел в SafeMode? удалил дрова видюхи, перегрузился - все ОК. Удали Tiny, установил дрова видюхи - опять все нормально. На всякий случай попробовал еще раз поставить Tiny - та же хрень, опять снес.
Пробовал Outpost x64 - устанавливается нормально, но после перезагрузки пишет, что не может загрузить драйвер, и фильтрация не пашет.

Короче говоря, полный абзац. Что делать, товарищи? ПОМОГИТЕЕЕ!!!

Цитата:

Про VisNetic впервые слышу. А он на x64 встанет?

- что самое смешное - не нашел инфы об этом.. Ни да ни нет - ничего.
Список требований - http://www.deerfield.com/products/visnetic-firewall/requirements/
В принципе, можешь спробовать. Штука весьма легкая, держит сколько угодно интерфейсов, надежная (пока ни разу не выбивало, в отличие от зоны/поста/гвардейца/прочих.)
Полный список фич: http://www.deerfield.com/products/visnetic-firewall/features/fulllist.htm
форум поддержки http://webboard.deerfield.com/guests
прочий суппорт: http://support.deerfield.com/esupport/?group=vf
http://support.deerfield.com/esupport/?_a=knowledgebase

Темы в программах и варезнике найдешь сам Фильтром

bredonosec
Вроде установилась нормально, запускается тоже нормально. Только вот такая трабла: после запуска ничего с ней не могу сделать. Запускаю мастер конфигурации, настраиваю 2 своих интерфеса, применяю настройки - и ничего не происходит. Все списки пустые (ни интерфейсов, ни рулесов, нифига нет). Кроме того, заблокирована вся менюшка фильтров (ни добавить, ни просмотреть, ни удалить не могу). Наверное, все-таки под x64 оно не пашет
Или там что-то особенное надо сделать, чтоб оно заработало?

Добавлено:
Да, кстати, пробовал и "настойки вручную", и "автомат" и "мастер настроек" - ничего не помогает

Цитата:

и ничего не происходит. Все списки пустые (ни интерфейсов, ни рулесов, нифига нет).

- Связь с инетом при этом есть? (я понимаю, если лог пустой, а связь есть - это когда в конфигурации выставлено "пропускать" а не "фильтровать".. но чтоб папки правил пустые...)
Да, если руками создать правило, оно тож не появляется?

bredonosec
Связь с инетом вроде как была. Политику выбрал "Фильтровать", хотя выбирал и "Блокировать" - никаких результатов.

Цитата:

Да, если руками создать правило, оно тож не появляется?

Руками создать нельзя, так как
Цитата:

Кроме того, заблокирована вся менюшка фильтров (ни добавить, ни просмотреть, ни удалить не могу)

фильтров=правил.

Цитата:

Руками создать нельзя, так как

тады последняя идея - взять импортнуть какой-нить список правил (в файлах *.rul, *.rls) - если не получится, тады не знаю...
//да, еще мысля, если у вас 2 адаптера, может, правила и остальное создаются первому, а вы во втором ищете? (у меня как-то такой случай был, но чтоб заблокированно.. такого не было)

bredonosec

Цитата:

да, еще мысля, если у вас 2 адаптера, может, правила и остальное создаются первому, а вы во втором ищете?

Дело в том, что список адаптеров тоже пуст (я говорю о списке, который находится в левой панели), равно как и другие несколько списков в этой панели. Как адаптеры в список добавлять, и как между ними переключаться - так и не нашел. Когда нажимаю правой кнопкой на строчку "Adapters" (или как она там называется, уже не помню, прогу деинстальнул), появляестя меню с единственным пунктом "settings". Нажимаю - открывается то же окошко settings, которое появляется сразу после установки программы (то есть, первоначалькая настройка программы). Может быть, я где-то не там ищщу? Как вообще там задаются правила, и добавляются/меняются адаптеры?

crypt77

Цитата:

Посмотри на Jetico Personal Firewall.

У-у-у-у!!! Посмотрел описание одним глазом - уже слюнки потекли! Спасибо! Уже качаю.

xdude

Цитата:

Про VisNetic впервые слышу. А он на x64 встанет?

А ты не просил под X64.
Он не поддерживается в этих конфигурациях. Причина - своя обработка дров системами X64.
Если-бы поддерживался, разработчики об этом собщили-бы. По поводу Tiny идеи есть, но мне кажется для этого топика будут оффтопом.

KUSA

Цитата:

По поводу Tiny идеи есть, но мне кажется для этого топика будут оффтопом.

А где ж еще обсуждать особенности работы (или не-работы) файрволов, как ни здесь?

xdude
Вопросы по конкретному фаерволлу обсуждаются в теме этой программы, здесь сравнение и обсуждение общих вопросов.

KUSA

Цитата:

По поводу Tiny идеи есть, но мне кажется для этого топика будут оффтопом.

Перенес вопрос сюда, если знаешь что-то - подскажи. Заранее спасибо.

xdude

Цитата:

А где ж еще обсуждать особенности работы (или не-работы) файрволов, как ни здесь?

Посмотри тему VisNetic - во что там вылилось обсуждение всего одной настройки программы.

Добавлено.
Вроде KERIO может поддрживать
Цитата:

Any 64 bit Versions of Windows

,но насчет 2 интерфейсов не знаю.

Кто что может сказать про Comodo - оффсайт. Тут вот ветка есть, но там нет сравнения с другими продуктами. Там же есть ссыла на страничку тестов, но сабж там сильно старый участвует (еще в.1.0, а уже 2.0 есть).
Просто отпишите, кто сей сабж пользует, как он и что по сравнению с обсуждаЕмЫми - во как!

KUSA
Спасибо за советы. Но мне надоел весь это геморой с дровами и софтом, и я вернул себе 32-битную винду Все-таки 64-битная XP еще сыровата для употребления, решил ждать Висту.

Теперь меня интересует другой вопрос: какой файрвол поддерживает тонкую настройку на уровне пакетов, чтобы типа как в wipfw, можно было прописать все, начиная от интерфейса, на который приходит или с которого уходит пакет, и включая флаги отдельного протокола (типа SYN,ACK,RST для TCP, или ICMP 0,ICMP 8, ну и т.д.). И желательно, чтоб все это можно было объединять в таблицы, типа как в Jetico.
В принципе, Jetico вещь хорошая, но есть недостаток: нельзя указывать конкретный сетевой интерфейс, к которому относится правило. А айпишник указывать не получается, так как он у меня динамический на одном интерфейсе (на другом я тоже иногда его меняю). Ну и кроме того, нельзя указать список портов в виде 2000-3000,3100,5000-13000. Для каждого элемента списка приходится создавать новое правило, а это такая головная боль, да и ошибиться не мудрено.
Пробовал VisNetic - настройки не такие тонкие: например, флаги для TCP-пакета я там не нашел, где задаются.
Outpost мне что-то сразу не понравился, не знаю почему. Тоже как-то все деревянно, нет гибкости.
Еще не пробовал Tiny, но почитал о нем отзывы - и охота отпала.
Как насчет ZoneAlarm? Как там с настройками на уровне пакетов?
Заранее спасибо.

2xdude
Посмотри постом выше - это не твой случай?

Цитата:

...Главное, что у него расширенные настройки для контроля сети - можно указывать несколько сетевых адаптеров...

xdude
С флагами на 2 интерфейса - не видел.
Jetico - висит на машинах с PAT.
VisNetic-не создает правила с флагами, но работает с ними.Посмотри в теме, я это описывал.

Цитата:

Outpost мне что-то сразу не понравился, не знаю почему.

Мне тоже интерфейсом и еще кое-чем...
ZoneAlarm - создай правило для 80 порта и посмотри как пропустятся порты 8080 и 8081 втихую без логов и шума+Нет памяти контроля целостности приложений.

Добавлено.
Можно попробовать предложить тебе KERIO,но там как с ZoneAlarm чем новее билд - тем больше ошибок.
Плюс затыкают старые, плюс им сейчас занимаются уже не в KERIO, а другие программисты.
Т.е. пока отловят сначала ошибки других,потом свои,потом нарекания пользователей,времени пройдет...


Цитата:

Еще не пробовал Tiny, но почитал о нем отзывы - и охота отпала.

Зря, просто если не запрещать NetBios, можно получить проблемы. В Tiny не знаю точно насчет двух интерфейсов, но если есть желание посмотри. Он не совсем стандартный, тяжел при первом конфигурировании, но:
имеет память контроля целостности приложений + бонусы...
возможность работы с диапазоном портов
работа с приложениями и группами, что упрощает создание правил для схожих приложений
Могу помочь с небольшой документацией по Tiny, но на английском.

#

KUSA

Цитата:

В Tiny не знаю точно насчет двух интерфейсов, но если есть желание посмотри.

Спасибо за столь подробный ответ А я уж хотел ZAP качать.
Сейчас буду пробовать Tiny.

Вчера вот раскопал InJoy firewall - просто монстр. Правда, абсолютно нестандартный для персональных файрволов подход к конфигурированию, но если разобраться - поддерживает кучу настроек, по-моему, ни один из тех, что я пробовал, столько возможностей не предлагает. Но опять же я в нем не нашел, как работать с теми же TCP-флагами. Хотя с разными интерфейсами можно работать, если указывать в правилах не айпишники, а их мак-адреса (хотя, так и не успел попробовать, сработает такое правило, или нет).

xdude

Цитата:

Вчера вот раскопал InJoy firewall

Не трать время, пригодится для разборок c Tiny. Пока лучше разобраться с 2 интерфейсами.

Добвлено.
Пока в твоем случае - это Tiny or else VisNetic.

KUSA
Не, Tiny попробовал, тоже не то. Там упор сделан на приложения, а пакетная фильтрация неудобная и не полная. Опять же, флаги для TCP указать нельзя
Наверное, придется мне без контроля приложений сидеть на wipfw.

Добавлено:
То же самое VisNetic - пакетная фильтрация аццтой

xdude

Цитата:

Опять же, флаги для TCP указать нельзя

Странно, но я об этом уже писал-
Цитата:

С флагами на 2 интерфейса - не видел.

Цитата:

а пакетная фильтрация неудобная и не полная

Фактически это не так - без Loopback будет тяжеловато попасть в сетку.
Добавлено.
Убей в Tiny Allow DNS for trusted Aplication(точно не помню),не создавай никаких правил-враг не пройдет.


Цитата:

То же самое VisNetic - пакетная фильтрация аццтой

В чем, в отсутствии работы с флагами - туда 95 процентов фаеров попадают.
Какой отклик на пакет флаг FIN в wipfw и VisNetic для закрытых портов?
Тогда, по обработке этого флага можно сказать что wipfw ...

Впрочем, я не менежджер этих продуктов. В любом случае, каждый пользуется тем,что ему нравится, к чему привык. Я лишь предложил тебе варианты.

KUSA

Цитата:

Какой отклик на пакет флаг FIN в wipfw и VisNetic для закрытых портов?

В wipfw можно прописать, например, правило, которое будет отбрасывать все фрагментированные пакеты, или все пакеты с установленным флагом FIN. Или, например, разрешить входящие подклучания (с установленным флагом SYN и сброшенным ACK) на один сетевой интерфейс (например, чтоб к моему Quake-серваку только по этому интрефейсу подключаться могли), а на другом интерфейсе их запретить.
Для какой-то шняги мне вообще нужно прописать правило, чтобы разрешался доступ на целую кучу портов (что-то вроде 1700,20000-20015, 20030-20049,что-то еще). Все это делается одной-единственной строчкой в wipfw, а вот во всех этих high-end файрволах приходится создавать по несколько правил, тыкать на кучу флажков, выбирать нужные опции в нескольких селектбоксах, короче, полный абзац.

Короче, насколько я понял, все тонкости настройки пакетной фильтрации, увы, недоступны во всех персональных виндовых файрволах
(по крайней мере в тех, которые я успел перепробовать).


Цитата:

Впрочем, я не менежджер этих продуктов. В любом случае, каждый пользуется тем,что ему нравится, к чему привык. Я лишь предложил тебе варианты.

В любом случае, огромное спасибо за советы