» WIPFW / IPFW

verhoum
Увы - нет, он не модифицирует пакеты.
Ставьте траффик инспектор или *nix-систему.

Интересно, проект мёртв?

franchisement
к сожалению - да, но я по-прежнему ищу C-программиста, который мог бы слегка модифицировать и перекомпилировать исходник.

жаль. у меня о везде стоит и на серверах и на рабочих. лучше не найти решения.. кста, по семеркой пашет?

SysCommander

Цитата:

port forwarding и NAT делаются тривиально виндовыми средствами (netsh)

при работающем wipfw предлагаешь включать еще и netsh?
Две стенки ничего?

Добавлено:
franchisement


Цитата:

жаль. у меня о везде стоит и на серверах и на рабочих. лучше не найти решения.. кста, по семеркой пашет?

проект неформально остановился еще до выпуска vista sp1.

Короче, это труп. как и winnt 5.x

portforwarding от portmapping-а отличается вроде бы?
только маппинг (убого) делает винда.

Как-то резко помер проект.
Похоже, коммерсанты всяких kerio etc "уговорили" разработчика и проект прикрыли.
Жаль. Очень недвусмысленные настройки. простота. Пользовался им очень долго. несколько лет.
но, без NAT'а не везде его поставить. Да и под всякие win7 его уже не будет.
Найти бы Руслана Старицына и узнать, в чем дело.

проект опенсорсный - может быть кто то возьмется за доработку.
нат через netsh? интересно как? а то хотелось бы уже выкинуть убогий ics.

tahomavlz
О netsh очень много говорят, но еще никто толкового блога так и не выложил, а это о чем-то, да говорит.
С одной стороны, вещь документирована, но очень "академично" и с другой - общие описания.
Можно найти тысячи законченных примеров по iptables/ipfw/pf/и даже по виндовым стенкам сторонним, но ни одного законченного и интересного примера по netsh.
Проще, видимо, мешок камней сожрать, чем разбираться в нем.

dariusii

Цитата:

Найти бы Руслана Старицына и узнать, в чем дело.

А на мыло в суппорт писать не пробовали? На счет проекта согласен.

Цитата:

нат через netsh? интересно как? а то хотелось бы уже выкинуть убогий ics.

как моя правильно понимает согласно статьи
http://ru.wikipedia.org/wiki/Netsh

то netsh это не программа\служба которая обеспечивает NAT и пр, а это консольное управление сетвыми настройками. Я это к тому что ICS вы не выкенете никак, хоть GUI хоть netsh.


Но у меня другой вопрос, может ктото сталкивался с тем что но серверной платформе после перезагрузки сервера wipfw блокирует любые входящие исходящие соединения, лечится только переустановкой ipfw..
ОС WinServer 2k3SP2, сетевухи гигабитные типа Marvell Yukon 88e8050?

vensen
А установили какой вариант? Не напутали deny\allow?

по умолчанию стоит deny, но правила разрешающие определенный входящий трафик конечно есть.
Опыт работы есть с ipfw... на WinXP никаких проблем, и у меня на WinSer 2k3 R2 тоже.
Может проблема в сетевухах?? ведь что мой сервак, что другие и обновляются, и дрова свежие и пр. Более того что трабла решается банальной переустановкой ipfw, проявлется при перезагрузке, более того проявляется периодически...
Думал ктото встречался с этим, понять где я мож гоню...

vensen
Не очень понял, у вас NAT через сетевухи или еще что-то? Входящие понятно, а исходящие разрешены необходимые? Настройки какие?

redwhiterus
нет, все просто. В конфигурационнике для входящих используются статические правила, а для исходящих простое динамическое правило
add check-state
add pass all from me to any out keep-state

По счастливой случайности в четверг познакомился с Русланом.
Сам использовал его продукт. Очень понравилось.
К сожалению, проект пока действительно в ступоре.
На данный момент прошло уже два года с момента последнего релиза в сеть wipfw.
Как сказал Руслан - сейчас нет возможности разрабатывать дальше.
Да и к тому же работает он сейчас над другим проектом.

Nadz

Жаль конечно это все.

А не знаете работает ли ipfw под 64x системой?

у меня windows server 2003 sp2 st r2 64x. при install-deny ошибка:


install_driver: CreateService: 1073
Системная ошибка 1275.

Загрузка драйвера была заблокирована

Для продолжения нажмите любую клавишу . . .

<del>

Хорошие новости!
Появился новый ipfw для Винды, от самого Luigi Rizzo -- причем вместе с dummynet'ом!
См. тут: http://info.iet.unipi.it/~luigi/dummynet/
http://info.iet.unipi.it/~luigi/dummynet/20100322-dummynet-windows.zip

Вот интересно под windows 7 корректно работает ) ?

qwertyqw
Думаю нет. Давно не обновляется проект. В Win7 примерно схожий по функционалу встроенный фаер. Можно к нему(встроенному) довесить Vista и Windows 7 Firewall Control Plus

redwhiterus
Спасибо за встроенный фаервол, попытаюсь разобраться %)
Я спросил по поводу ipfw от Luigi Rizzo , ndis фильтр установился , правило запрещающее устанавливаю - странички не грузятся, а вот правила от wipfw с XP переношу в 20100322-dummynet-windows и Windows 7 тоже странички не открываются
Эх жаль, хорошая программмка и самое главное всё понятно ( для моих нужд )

qwertyqw
Тема по ipfw от Luigi Rizzo выходит за рамки данной, имхо, лучше открыть новую и желательно с понятным описанием.(шапкой)

Цитата:

нат через netsh? интересно как? а то хотелось бы уже выкинуть убогий ics.

ммм...

Как-то так

@echo off

REM В кавычках укажите имя внутреннего интерфейса, с учетом регистра
REM Лучше переименуйте интерфейсы по-английски
set int="Local connection 1" REM тут я поставил rl0, так же и интерфейс переименовал
REM здесь укажите имя внешнего интерфейса
set ext="Local connection 2" REM rl1

sc stop RemoteAccess > NUL
sc stop SharedAccess > NUL
sc config SharedAccess start= disabled > NUL
sc config TapiSrv start= demand > NUL
sc config RasAuto start= demand > NUL
sc config RasMan start= demand > NUL
echo Enable routing ...
echo Windows Registry Editor Version 5.00 > re.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] >> re.reg
echo "IPEnableRouter"=dword:00000001 >> re.reg
regedit /s re.reg
del /q re.reg
echo OK.

REM Раскомментируйте в случае если ошибка "нет записей"
rem netsh routing ip add interface name=%int% state=enable
rem netsh routing ip add interface name=%ext% state=enable

echo Setting up NAT...
netsh routing ip nat uninstall > NUL
netsh routing ip nat install
echo Enable NAT on internal interface...
netsh routing ip nat add interface name=%int% Private
echo Enable NAT on external interface...
netsh routing ip nat add interface name=%ext% Full
echo Now enable Routing and Remote Access...
sc config RemoteAccess start= auto > NUL
net start RemoteAccess
netsh routing ip nat show interface
echo Done.

Совершенно справедливо упомянуто выше, что Netsh не софт, не файрвол, а просто комманд-лайн интерфейс к штатным настройкам сети в винде.

Стянуто откуда-то с форума, посвященного настройкам wipfw. Кто узнал, отпишитесь, плиз, укажу источник.

Цитата:

В Win7 примерно схожий по функционалу встроенный фаер.

Если не учитывать самодобавление правил программами типа iTunes. То бишь, следить и еще раз следить за правилами. Словом, система думает за тебя. В случае с iTunes и с некоторыми другими софтинами, винда даже не спросит, добавлять ли правило разрешения, или нет.
ipfw хорош не крутизной, или еще чем-то таким виндовым, а именно своей простотой и правильность в подходе к защите. Никаких нашлепок и "удобств".

Добавлено:
ukcuka

Цитата:

Появился новый ipfw для Винды, от самого Luigi Rizzo -- причем вместе с dummynet'ом!
См. тут: http://info.iet.unipi.it/~luigi/dummynet/
http://info.iet.unipi.it/~luigi/dummynet/20100322-dummynet-windows.zip

точнее, http://info.iet.unipi.it/~luigi/dummynet/20100319-ipfw3.tgz , ибо бинарник только под win32

то есть, vs, ddk и руки и сами собираем драйвер )))

Удалось ли кому-нибудь собрать Wipfw под Windows 7?

Оказывается чтение мануалов очень полезная штука!
Установил на windows 7 эту штуку _http://info.iet.unipi.it/~luigi/dummynet/20100322-dummynet-windows.zip

Проделал как сказано в мануале:

Цитата:

1. INSTALL THE NDIS DRIVER

- open the configuration panel for the network card in use
(either right click on the icon on the SYSTRAY, or go to
Control Panel -> Network and select one card)

- click on Properties->Install->Service->Add
- click on 'Driver Disk' and select 'netipfw.inf' in this folder
- select 'ipfw+dummynet' which is the only service you should see
- click accept on the warnings for the installation of an unknown
driver (roughly twice per existing network card)

Все работает! Всем спасибо!

METAJIJI

а чего ее ставить. 32'битка же хоть, xp, хоть windows 7. хоть, windows 1000)))

Ты ее на x86_64 поставить попробуй.

Заметь, автор даже не взялся ее собирать под такой вариант винды. даже "бет" нету

wipfw и все эти ндис'ы в прошлом. взял второй комп, поставил туда рашн федору Linux и делов и не надо всех этих ндисов, фигисов и прочих чудищь, коих под вин тонны, но 100 раз подумаешь, что ставить, если без "ауминя" на все смотреть.

Был бы второй комп, не парился бы. Поставил бы FreeBSD и pf. А вообще мне от фаервола нужны его прямые обызанности, закрыть "лишние порты".
Windows 7 от Xp и 2000 отличается. По крайней мере wipfw-0.2.8 не ставится
по части x86 у меня именная такая ОС. (i686, если быть точным)
По воводу x64 видел такой архивчик "wipfw-0.2.8_x64_repack_by_D9IDbKA.exe" _http://dump.ru/file/4858081

Сам не пробовал да и не вижу смысла в моем случае лепить 64 битную систему, ОЗУ все равно 4Гб стоит


Добавлено:
Что-то я не могу понять... как добавить подобное правило?


Код:
ipfw allow ip from any to any out via %IFACE%

METAJIJI

Цитата:

А вообще мне от фаервола нужны его прямые обызанности, закрыть "лишние порты".

Чем встроенный брандмауэр не устраивает ?