dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec   наша сетка 10.60.0.0/16 до 10.63.0.0/16   лог показывает именно то, что действительно не разрешено. dc++ можно вообще не подымать в этот момент. ===   аудит разрешенных правил по dc++ делал, тоже. - пусто. В логах вообще пусто.   Повторюсь. При отключенном визнетике - все ок. И еще. Данная хрень не только у меня. У всех, у кого стоит визнетик в нашей сетке, творится та же самая хрень.   Проблем с какими-либо другими приложениями (не dc++ клиентами) не наблюдается.   Пробовал везде отрубать "block incoming fragments" - не то.   Накидал аудит на все, что только мог. Выявилось то, что одно правило рарешения исходящих блокировало правило входящих пакетов, ибо блокировало все входящие по диапазону портов, которые разрешало на выход. снизил приоритет. все пошло. теперь бы узнать, может ли кто достучаться до меня. Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 11:06 27-08-2006 | Исправлено: dariusii, 11:18 27-08-2006

Minoz Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dariusii Более или менее подробное описанно, что надо открыть для ДС тут. Из этого можно сделать вывод, что по по ТСР нужно открыть фсе и для фсех... Получится очень спецефическая настройка фаера...   bredonosec Цитата:  - Смысл?   А просто... Зато теперь у меня фсе "левые пакеты" блокируются одним последним правилом, и как то на "душе" сразу легче Всего записей: 794 | Зарегистр. 22-11-2004 | Отправлено: 13:07 27-08-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Minoz     Правила, что в конце поста, прекрасно работали.   А просто... Зато теперь у меня фсе "левые пакеты" блокируются одним последним правилом, и как то на "душе" сразу легче   Когда на душе спокойно, это хорошо )) Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 19:26 27-08-2006 | Исправлено: dariusii, 19:29 27-08-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Minoz Цитата:  просто... Зато теперь у меня фсе "левые пакеты" блокируются одним последним правилом,   Ну ежели от замены строчки типа Цитата: 2006/08/27, 22:49:30.890, GMT +0200, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.1, dst=192.168.1.105 на строчку с указанием номера правила становится легче на душе - пользуйте так   dariusii Цитата: Накидал аудит на все, что только мог.   - а в конфигурации вот енто самое правило для "не подпадающих под правила" лог отчеркнул? Просто траффик, не подпадающий под всевозможные правила, мягко говоря, несколько больший, чем можно было бы ожидать. по крайней мере, у меня. Может, там что нужное встретится? Цитата: теперь бы узнать, может ли кто достучаться до меня. также можно в правилах откликнуть для анализа логить не только соединение, но и факт отсылки пакета. (3 окошка: лог, лог пакет, лог коннекшн - отчеркнуть первое и третье) //второе запишет тебе всё содержимое каждого подпадающего под правило пакета, а это огромная масса еннужной инфы.. // Всего записей: 16318 | Зарегистр. 13-02-2003 | Отправлено: 00:02 28-08-2006 | Исправлено: bredonosec, 00:04 28-08-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Да. Аудита соединений достаточно Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 14:22 28-08-2006

Iliasla Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня в свое время DC++ был настроен так:   TCP DCPP_IN - MyAddress(11025)<-AllAddresses(1024-11025) DCPP_OUT - MyAddress(1024-11025)->AllAddresses(11025) DCPP_P2P - MyAddress(1024-5000)<->DCServer(411)   UDP DCPP_IN - MyAddress(11025)<-AllAddresses(1024-11025) DCPP_OUT - MyAddress(1024-11025)->AllAddresses(11025) DCPP_P2P - MyAddress(1024-5000)<->DCServer(411)   Т.е. DC++ работает через сервер с 411 портом, в самих DC++ настроено также использование 11025 порта вместо диапазона портов. Stateful Inspection в файрволле выключено. Сервер юзали YoshiHub (с динозавриком), вроде поприличнее штатного..   Сейчас в локалке уже не юзаем (их разряда эксперимента не вышло), глючноватая все же система DC++... так что подробности сообщить не могу Всего записей: 125 | Зарегистр. 08-07-2005 | Отправлено: 01:34 31-08-2006 | Исправлено: Iliasla, 01:37 31-08-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Iliasla   Чуть, скромнее Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 11:03 31-08-2006 | Исправлено: dariusii, 11:04 31-08-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SVicUL Оно у меня и не исчезало Я его, просто, не применял. Все работает в обе стороны. Правила были содраны со стандартных правил iptables из SuSE (добавление оттуда двух правил исходящих соединений). Одно udp и одно tcp. Там нужно было, лишь, добавить два входящих соединения (SuSE Linux) Под визнетиком было добавлено еще два правила исходящих. все. Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 11:50 31-08-2006 | Исправлено: dariusii, 11:57 31-08-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Iliasla    ########################################## DC= адреса или диапазон адресов, куда смотрит клиент dc++   MY= мой ip адрес   HUB= ip адрес хаба   * = настраиваем данное правило в dc++ клиенте !также   F = Block uncoming fragments     Rules for local area connection 1.TCP. 1412 $MY < 1024-65535 $DC ($*,$F)   any.TCP. 1024-5000 $MY > 411 $HUB ($F) 2.TCP. 1024-5000 $MY > 1024-65535 $DC ($F) UDP. 2896 $MY < 1024-65535 $DC ($*,$F) ##########################################   Порядок дописал. Так будет точнее.   Осталось разобраться с еще одной гетерогенкой > bittorent протоколом.   Пока что правила таковы для bittorent у меня:   ################################################################ MY= мой ip адрес   ALL = All adresses F = Block uncoming fragments   internet connetction (not ethernet)   BitTorrent IN: TCP, $MY 6881-6999 <  1025-65535 $ALL ($F) BitTorrent OUT: TCP, $MY 1024-5000 > HTTP and 6881-6999 $ALL ($F)   http адреса можно и определить, но смысла мало. http можно даже убрать. это 80'ка все равно. Клиента, соответственно, настраиваем, если это нужно. ################################################################   Добавлено: дело в том, что правила перекрывают друг друга. block incoming/outgoung connections же   Или я чтот не догоняю....     Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 23:15 31-08-2006 | Исправлено: dariusii, 00:18 01-09-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KUSA Нет, это не совсем одно и то-же. Тогда, как получается, что когда я поменял приоритет входящих соединений по tcp под dc++, у меня все заработало.   нет. у меня проблемы, как таковой нет, если честно. У знакомого. с теми же правилами. Даже, приоритет правил тот же. Как получается у него - то есть связь с другими машинами через dc++, то нет связи. Та же ерунда и с битторрентом. стоит у него азуреус. у меня биткомет. надо было мне его ему поставить и сравнить их. хотя, сам клиент по портам настроен на разрешения визнетика. входящие порты. часть машин с визнетик идет лесом, которые не по правилам сидят (используют свои исходящие порты ниже планки безопасных), а часть работает нормально. то бишь, не:  ################################################################ MY= мой ip адрес   ALL = All adresses F = Block uncoming fragments   internet connetction (not ethernet)   BitTorrent IN: TCP, $MY 6881-6999 <  1025-65535 $ALL ($F) BitTorrent OUT: TCP, $MY 1024-5000 > HTTP and 6881-6999 $ALL ($F)   http адреса можно и определить, но смысла мало. http можно даже убрать. это 80'ка все равно. Клиента, соответственно, настраиваем, если это нужно. ################################################################   надо делать, получается, а :  ################################################################ MY= мой ip адрес   ALL = All adresses F = Block uncoming fragments ALLPORTS = all ports (0 - 65535)   internet connetction (not ethernet)   BitTorrent IN: TCP, $MY 6881-6999 <  $ALLPORTS $ALL ($F) BitTorrent OUT: TCP, $MY 1024-5000 > $ALLPORTS $ALL ($F)   ################################################################   Ну какие, там, у людей файрволлы, сам понимаешь. У основной массы дефолтный winfirewall. Разрешил клиента через такой файрволл, а тот делай, что хошь (про поведение людей на удаленных машинах - основная масса, имхо)   Я же внимания не обращаю. винда - так.. фильм после юга на ней помонтировал и все. все мои правила просты, как и раньше писал   iptables -F; iptables -t nat -F; iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT; iptables -P FORWARD DROP; export LAN=eth0; iptables -I INPUT 1 -i ${LAN} -j ACCEPT; iptables -I INPUT 1 -i lo -j ACCEPT; iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT; iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT; iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP; iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP; iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 3128 -j DROP; iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 3128 -j DROP; iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner squid -j ACCEPT; iptables -t nat -A OUTPUT -p tcp --dport 80  -j REDIRECT --to-ports 3128; iptables -t nat -A OUTPUT -p tcp --dport 8080  -j REDIRECT --to-ports 3128; iptables -t nat -A OUTPUT -p tcp --dport 8081  -j REDIRECT --to-ports 3128; iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set;   то бишь, запрет только на опасные порты, по входящим, и на порт прокси. все. в винде, если так сделать, то лучше закрывать глаза и браться за руки   Хотя, я не очень силен в разнице между этими осями, в плане, "что же лучше еще запереть в win". Как говорят, так и делаю. Как и где работают трояны, итц в вин, мне не особо ведомо. Для лин такое не особо грозит. Поентому просто блокируются важные порты на вход и все.   Получается, на сколько хороши файрволлы в их чистом виде под win!!! - фиг знает.   Добавлено: С другой стороны, как тут кто-то говорил - "создать опр. правило только для одной проги, а дальше нее, типа, эти правила не вылезут" - как я понял, - полное фуфло. Либо есть нормальные правила для всего, либо от лукавого, имхо. Ибо дыр с такой сложной системой, как правила под опр. прогу, может быть очень много, а учитывая Closed Source (Outpost Firewall etc..) - еще больше.   По факту, получается, что с p2p клиентами под win проблемы решены не полностью. Во! как Они меня особо не волнуют. win - н и в африке win. Sorry перед ее поклонниками (или сторонниками, как хотите..) Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 02:43 01-09-2006 | Исправлено: dariusii, 03:10 01-09-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: когда я поменял приоритет входящих соединений по tcp под dc++, у меня все заработало. -  В списке правил самое верхнее имеет наибольший приоритет (проверяется первым, если с  ним не совпало - со строкой ниже, и т.д. до самого низа)  Нумерация правил значения не имеет, только порядок, отображенный в окне   Цитата: все мои правила просты, как и раньше писал   - это для виснетика правила в таком виде, или для чего другого? вид какой-то необычный..   Всего записей: 16318 | Зарегистр. 13-02-2003 | Отправлено: 04:27 01-09-2006

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec   Нет. Я про другое. Пример: Я разрешаю входящие на свой 1412й порт со! всего диавазона 1024-65535 по tcp. При этом я ставлю галочку "block outgoing connections". Меня больше всего интересует, что делает "block outgoing connections". Раньше я считал, что эта опция "работает только в данном правиле". То есть, если это правило будет стоять выше всех, а "ниже" я поставлю правило, где будет разрешено ходить на! диапазон 1024-65535, то верхнее его не перекроет, только потому что там стояла опция "block outgoing connections". Если же это не так, то получается, что будет очень сложно совместить все правила. Ну, к примеру, поставлю я его ниже второго, что здесь привел. Смотрите, тогда, что получится с ним. Та же картина конфликта, только, наоборот. Говорю. Это в случае, если правило "block outgoing connections" или "block incoming connections" перекрывает собою нижележащие правила. А смена приоритета оных это, почему-то, подтверждает   это для виснетика правила в таком виде, или для чего другого? вид какой-то необычный.. Нет. Я про простоту файрволла в Linux. Кстати, для них все расписано и даже на русском: http://www.opennet.ru/docs/RUS/iptables/ Просто, я показал, что там минимум правил по данной теме. Об исходящих соединениях вообще особо заботиться не нужно. Всего записей: 2512 | Зарегистр. 08-11-2003 | Отправлено: 13:49 01-09-2006

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: правило "block outgoing connections" или "block incoming connections" перекрывает собою нижележащие правила. А смена приоритета оных это, почему-то, подтверждает   понял, (после пятикратного прочтения )) о чем вы   поглядел, у меня ни единого, где не было бы отмечено блокировать входящие коннекты, видимо потому и не сталкивался с таким моментом   Цитата: я показал, что там минимум правил по данной теме. агитатор     Всего записей: 16318 | Зарегистр. 13-02-2003 | Отправлено: 01:23 02-09-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Компьютерный форум Ru.Board » Компьютеры » Программы » Deerfield VisNetic Firewall 2.0

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование