bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А какая разница? -  правило включается только в установленные часы/дни работы. Удобно тем, у кого комп врублен всё время, а рабочие проги - только часть времени...   Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 19:48 28-06-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec   лично мне до шедулеров еще далеко. Разобраться бы, правильно ли то, что открыл на выход 1025-5000>1025-65535 диапазон.   Добавлено: Открыл параллельный топик на http://www.linux.org.ru/jump-message.jsp?msgid=1469255   там это тоже будет актуальным. Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 21:15 28-06-2006

KUSA Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dariusii Цитата:  Разобраться бы, правильно ли то, что открыл на выход 1025-5000>1025-65535 диапазон. Пока вроде как фаер винды -родной. Хотя я тебе писал об этом Цитата: Галку блокировать входящие пока не ставь, если будет работать - тогда поставишь. В целях безопасности можно задать диапазон адресов - я писал об этом выше.       Со входящими тоже не понял. Какие порты открыты Цитата:  1025-5000(tcp)>411 Цитата: sport=3250, dport=1412 Цитата: sport=16003, dport=3638 ? Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 10:12 29-06-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KUSA   Откуда взялся файер винды? Не понял. Открыты два порта, которые указаны в dc++ клиенте. Один udp и один tcp. в целом:   1025-5000>411 (tcp) 1025-5000>1025-65535 (tcp и udp) группа локальной сети 15776<1025-65535 (tcp) группа локальной сети 2896<1025-65535 (udp) группа локальной сети   15776 tcp - настройка в strongdc 2896 udp - аналогично   Посмотрел вчера по форумам + рекомеции французов. Итого имеем два правила для VisNetic. 1. Разрешить исходящие TCP&UDP на все  удаленные порты (видимо режим поиска файлов и хабов) Галку блокировать входящие пока не ставь, если будет работать - тогда поставишь. В целях безопасности можно задать диапазон адресов - я писал об этом выше.   1025-5000>1025-65535 (tcp и udp) группа локальной сети. Сделано. А почему, в целях безопасности, нужно было задать диапазон? Разве это уязвимость? Если да, то исключения по диапазону не помогут, имхо. подменить mac и ip любой школьник может. А если и нет, то где гарантия, что в разрешенном диапазоне ip адресов не будет злоумышленника?   2. Со входящими хуже, кто-то рекомендует только порт 1412 TCP, но мне папалось  и такое мнение. Разрешить входящие TCP&UDP на диапазон 1215-8192 (связано с тем, что ты отдаешь от себя что-то) Опять-же можно задать диапазон адресов.   Это ничего не даст. Если этим советом заменить правило: 15776<1025-65535 (tcp) группа локальной сети 2896<1025-65535 (udp) группа локальной сети то я вообще не увижу сети dc++. Не вижу смысла задавать диапазон на вход. достаточно двух точек входа по udp и tcp. Больше логов по блокировке на вход я не увижу, даже так.   3.Скорее всего,DC++ работает не целый день, поэтому фаер для приложений в твоем случае поинтересней.   dc++ работает сутками. Но в чем разница, я так и не понял. Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 19:13 29-06-2006 | Исправлено: dariusii, 19:21 29-06-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: имхо. подменить mac и ip любой школьник может.   - Диапазон по МАС-ам? А каким образом? Они же не по порядку...  Если речь идет об ИПах, приходящих через инет, то подмена на локальной машине =бесполезно (попросту в сеть не выйдешь). То есть, подмена ИПа имеет смысл только в локальной сети, и то, при условии, что админ не привязал ИП-МАС к правам на обслуживание... (у нас привязаны, так что, надо одновременно менять и МАС и ИП на относящиеся к машине кого-то из лок.сети, и при этом следить. чтоб хозяин "позаимствованных" адресов не появился в сети, бо о конфликте хардвари ему выскочит сообщение. которое может оказаться у админа с последующим поиском умника. Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 19:23 29-06-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Будет выдан другой ip dhcp сервером, если другой мак и делов.   Если речь идет об ИПах, приходящих через инет, то подмена на локальной машине =бесполезно Речь, как я понимаю, не вскрывать весь диапазон локальной сети, не вскрывать или не вскрывать вообще всё. Но у нас хацкеров не меньше, чем в сети   бо о конфликте хардвари ему выскочит сообщение. которое может оказаться у админа с последующим поиском умника.   Это можно сделать, когда "не умник" вырубит свою карту. Если же произойдет конфликт, никто по шапке не получит. будет просто проба и другого слова ей не будет.   В любом случае, я не вижу, что ограничения по ip есть классика. это полумера, имхо. Полноценной защиты лично я в этом моменте не вижу.   Лучше следовать правильному задаванию фильтрации портов. На оффтопе в iptables я ни разу не упомню, что бы люди советовали выставлять "диапазоны портов". максимум - не разрешать такие правила "в мир" и все. Это было сделано. Как я понимаю, спуф визнетик уловит, но никак не подмену мак адреса. Подменить же мак так, что бы его ip стал похож на локальный - надо очень извратиться Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 19:28 29-06-2006 | Исправлено: dariusii, 19:42 29-06-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Подменить же мак так, что бы его ip стал похож на локальный - надо очень извратиться   - да и толку не особо...   По крайней мере, я дабы избавиться от малейшего шанса получить такой "втык", формирую правила таким образом, что входящее соединение с "моего ИП адреса" также под запретом. Токмо исходящее.    Насчет "входящего с моего МАС адреса" - чего-т не думал... надо будет в свободное время попросить кого-нить из местных хацкеров мой МАС подставить себе, и поглядеть, чего получится в результате.   Цитата: Будет выдан другой ip dhcp сервером да, у вас чуть другая ситуёвина.. :/ Цитата: В любом случае, я не вижу, что ограничения по ip есть классика. это полумера, имхо.   Полноценной защиты лично я в этом моменте не вижу.   Лучше следовать правильному задаванию фильтрации портов.   - Никогда не утверждал, что только по ИПам. Утверждал и продолжаю, что надо все возможные дырки крыть. То есть, комбинировать правила - и по портам, и по адресам одновременно.         Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 00:53 30-06-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec   10.60.0.0-10.63.0.0 это все наша локальная сеть, не считая соседней 192.168.1.0-192.168.8.0, где тоже стоит хаб dc++.   Какие возможные дырки мне здесь крыть. Это сеть целого города. Тысячи машин подняты.   Я хочу понять простое правило. можно ли открывать исходящие tcp&udp 1025-5000 на 1025-65535 или нельзя. Принято ли такое?   остальное же сделано   Если это не принято, то никакая нафиг избирательность тут не поможет   Извиняюсь за повтор, но по дефолту на SuSE это было разрешено. Оставалось только открыть на вход два порта, которые были указаны в dc++ Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 04:20 30-06-2006

KUSA Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dariusii 1. Цитата:  Откуда взялся файер винды? Не понял.   Это почти шутка. Смотри ПМ. 2. Цитата: Но у нас хацкеров не меньше, чем в сети В VisNetic есть опция блоуировки любителей сканить порты. Единственное - поробуй поднть число просмотренных портов до 5. Хотя не исключаю,что возможно начнутся конфликты с DC++. Это выяснится опытным путем. 3. Небольшое уточнение-локальные порты 1024-5000,удаленные 1024-65535     4. Порты открытые на вход  15776 TCP (честно говоря не понял, почему тогда фрацузы предлагали  порт 1412) и  2896 UDP. Диапазон входящих разрешенных адресов те, что ты указал  10.60.0.0-10.63.0.0 и 192.168.1.0-192.168.8.0. В противном случае  к тебе на порт могут прийти кто угодно с любого адреса, например 85.122... или любого другого. Нужно отсечь интернет. Цитата:  В любом случае, я не вижу, что ограничения по ip есть классика. это полумера, имхо. Полноценной защиты лично я в этом моменте не вижу. И не будет,если у тебя порты открыты на вход.Пускать к себе весь Интернет-не дело.Мое ИМХО. Решать тебе, скольких гостей ты готов принять. 5. Исходящие Опять-же разрешить по всем портам только для дипазона адресов, которые ты указал. Тебе будет проще, если какой-нибудь троян начнет просится на адрес например 85.122...  На антивирь особенно не надейся. Хотя опять - решать тебе. У довольно многих используется встроенный фаер в XpSp2 и SuSE. И вроде, если не соваться черти куда, все работает.   Добавлено. 6. Почему тебе не подходит VisNetic По дефолту VisNetic обеспечивает отличную защиту, плюс прекрано отлавливает скан портов, плюс шелудер, позволяющий на ночь, например на серерах, вобще закрывать порты. Пусть стучаться до посинения - бесполезно. В твоем случае все наборот - он разрешит вход на TCP порт твоего компа и обработку входящего всеми приложениями+выход на все порты и адреса (если не стоит блокировка по граничению выходных IP) для всех приложений.В случае фаера для приложений - он разрешит только приложению DC++ принимать входящие TCP, а не всем сразу+выход на все порты и адреса только для DC++.   ЗЫ Пункт 6 приминим если есть желание построить хорошо защищенную систему (тем боле что есть набор правил который здесь на двух страницах сформировался). В слчае если хорошо защищенная система не нужна,можно использовать встроенный фаер в саму систему. Выбор за тобой.     Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 11:02 30-06-2006 | Исправлено: KUSA, 13:15 30-06-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KUSA   Разве я говорил, что собираюсь устанавливать эти правила для всех ip?   речь-то про локалку. Но и локалка не маленькая..   Не проблема выставить те порты, что предложили французы и это же забить в dc++ клиенте, вместо того, что там сейчас. Только я не понимаю смысла. Выставил все равно.   в четвертый раз задаю вопрос, хотя Ты на него уже отвечал, но отвечал вот как:   первый ответ: Цитата:  У довольно многих используется встроенный фаер в XpSp2 и SuSE. И вроде, если не соваться черти куда, все работает.     второй: Цитата: Исходящие Опять-же разрешить по всем портам только для дипазона адресов, которые ты указал. Цитата:  3. Небольшое уточнение-локальные порты 1024-5000,удаленные 1024-65535   В первом и втором случае подразумевается, что открыты 1024-5000>1024-65535. В этом моменте, в случае с xp есть два изъяна.   1. Она открывает на выход это вообще на все адреса. 2. NetBios - гуляй Вася. В третьем посте Ты даешь уточнение. Тем самым подтверждаешь, что это можно, но так, что не понятно. Речь идет об уточнении исправления диапазона в техническом его виде (не про защиту) или же про то, что это можно открывать.   Поентому говорю еще раз сам вопрос в четвертый раз, потому что я так точно и не понял тебя: Можно ли открывать порты 1024-5000 на внутренние адреса (локалка)(исходящие) 1024-65535.     Почему в четвертый раз. Я так и не понял одной простой вещи. Почему исходящие 1024-5000 можно открывать только на локалку 1024-65535 и нельзя в мир? Нет. Я не собираюсь открывать такие правила в мир. Почему это "безопасно" в локалке и опасно в инет?   Но С июля месяца я подсоединяюсь и к хабам, которые будут и в инете. Хотя, если избирательно ставить так же правила под определенные ip, пусть и внешние, то вроде как можно.   Цитата:  Решать тебе, скольких гостей ты готов принять.   В visnetic можно сделать так, что он будет открывать только первые несколько случайных ip удаленных клиентов dc++ на доступ??? Не сидеть же сутками и не смотреть на логи, кто хочет войти, а кто нет..   Ладно. Измотал я тебя уже... Так много нельзя требовать от человека....   будь что будет..   на счет SuSE. Там с троянами дела обстоят плохо, поэтому сравнивать набор стандартных правил iptables с таким же набором здесь, похоже, смешно.     начинает вырисовываться картина защиты винды и никсов. "Почему и как". "Что можно там и нельзя здесь". Акцент про червей очень кстати. Особенно про то, что с ними не так просто бороться. Без шуток. Еще один повод для размышлений.   Все равно, огромнейшее Спасибо за ответы.   /////////////////////////////////////////////////////////////////////////   Итого, правила принимают следущий вид:   ########################################################## DC= адреса или диапазон адресов, куда смотрит клиент dc++ MY= мой ip адрес HUB= ip адрес хаба * = настраиваем данное правило в dc++ клиенте !также F = Block uncoming fragments     TCP. 1024-5000 $MY > 411 $HUB ($F) TCP. 1024-5000 $MY > 1024-65535 $DC ($F) TCP. 1412 $MY < 1024-65535 $DC ($*,$F) UDP. 2896 $MY < 1024-65535 $DC ($*,$F) ########################################################### Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 17:14 30-06-2006 | Исправлено: dariusii, 17:48 30-06-2006

KUSA Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dariusii Цитата:  Поентому говорю еще раз сам вопрос в четвертый раз, потому что я так точно и не понял тебя: Можно ли открывать порты 1024-5000 на внутренние адреса (локалка)(исходящие) 1024-65535.     Почему в четвертый раз. Я так и не понял одной простой вещи. Почему исходящие 1024-5000 можно открывать только на локалку 1024-65535 и нельзя в мир? Тебе проще будет отловить инетовского трояна, см 5 пункт. В случае трояна написанного кем-либо из кулцхакеров  специально для твоей сети отловить его практически будет невозможно, и фаер для приложений от такого грамотного троя тоже не спасет. Только анализом логов. Цитата:  В visnetic можно сделать так, что он будет открывать только первые несколько случайных ip удаленных клиентов dc++ на доступ??? Можно только в фаере для приложений, если ты там поставишь галку всегда спрашивать и руками будешь отвечать да-разрешить с такого-то IP. Цитата: Измотал я тебя уже Немного.   Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 17:49 30-06-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KUSA   Есть одно "но" Если пользоваться хабами, которые не в локалке, а в инете, то что делать с правилом №2 Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 18:05 30-06-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Если пользоваться хабами, которые не в локалке, а в инете, то что делать с правилом №2   имхо, или отдельное правило...    Или пользоваться группами. Menu - rules - IP Adress Group - называешь группу, напр, "Хабы", в поле для ИПов вводишь любой анбор отдельных ИПов, их диапазонов, масок, проч. (комбинировать можно, ща проверил). ОК,   Открываешь правило для хаба, в раздел фильтеринг вводишь не адрес, а группу и выбираешь из списка нужную тебе группу. Всё, твое правило будет применяться к группе. //там же можешь увидеть пункты для создания групп портов или МАС-ов.   Насколько такие правила (где и порты и адреса заданы группами) тормозят систему и не глючат - честно - не проверял..   Знаю только, что анализ логов при поиске имеющейся дыры усложнится: в логе пишется номер одного и того же правила вне зависимости от того, который адрес/группа портов задействована для данного пакета.. Цитата: Можно только в фаере для приложений, если ты там поставишь галку всегда спрашивать и руками будешь отвечать да-разрешить с такого-то IP.   вроде у виснетика тож был режим обучения View - settings - when running - learning mode но сам никогда не юзал его, бо подозреваю, как и в прочих стенках это лишь тупое создание правил под каждый проходящий пакет. И результат его - каша из сотен правил. ;/   Добавлено: блин, подпись чего-то включилась... в кои-то веки.. во глюки! ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 18:47 30-06-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec   В общем-то, со вторым правилом действительно особых проблем не будет.   Ну вот и все с dc++   переключаюсь на другие свои проблемы   Огромное спасибо, люди Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 20:15 30-06-2006 | Исправлено: dariusii, 20:17 30-06-2006

KUSA Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Цитата: вроде у виснетика тож был режим обучения View - settings - when running - learning mode Даже если он выключен, если не ошибаюсь, все равно Match rule работает.   Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 10:01 03-07-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: все равно Match rule работает - но по крайней мере сам не создает без моего ведома (или дергает попапами) /даж не знаю, как это может выглядеть и включать не желаю.../   Несколько полезных ссылок - чтоб не искать потом:   Полный список фич: http://www.deerfield.com/products/visnetic-firewall/features/fulllist.htm   форум поддержки http://webboard.deerfield.com/guests   прочий суппорт: http://support.deerfield.com/esupport/?group=vf   http://support.deerfield.com/esupport/?_a=knowledgebase Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 22:09 10-07-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Кстати, может в курсе, в чем разница между VisNetic и 8Signs. Кроме значка и разных размеров дистрибутива? - ни в чем. Это одна стена, только выпускается двумя компаниями под своими лейблами. (где-то на первых страницах темы подробности были) Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 19:16 11-07-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос возник.   Умеет ли visnetic пробрасывать порты?   ака   iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128   или без задач форвардинга   iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner squid -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 80  -j REDIRECT --to-ports 3128   Есть такое? Всего записей: 2510 | Зарегистр. 08-11-2003 | Отправлено: 12:06 27-07-2006 | Исправлено: dariusii, 12:17 27-07-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору насколько знаю, нет. //разве что на более новой версии появилось. Всего записей: 16306 | Зарегистр. 13-02-2003 | Отправлено: 18:02 27-07-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Компьютерный форум Ru.Board » Компьютеры » Программы » Deerfield VisNetic Firewall 2.0

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование