Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9

Открыть новую тему     Написать ответ в эту тему

biomednet



Schwarz Meister
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Главная ссылка проекта http://wipfw.sourceforge.net
WIPFW - MS Windows действующая версия известного IPFW для РТА FreeBSD. Вы можете использовать те же самые функциональные возможности и конфигурировать это как, только Вы работаете с IPFW. Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности в первых версиях отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время во FreeBSD.
 
IPFW - фильтрация пакета и система учета, которая постоянно находится в kernelmode, и имеет утилиту управления user-land control, ipfw. Вместе, они позволяют Вам определять и сделать запрос правил, используемых ядром в его решениях маршрутизации.
 
Есть две связанных части к ipfw. Раздел межсетевой защиты выполняет фильтрацию пакета. Есть также IP, считающий раздел, который прослеживает использование маршрутизатора, основанного на правилах, подобных используемым в разделе межсетевой защиты. Это позволяет администратору контролировать, сколько трафика маршрутизатор добирается от определенной машины, или сколько трафика WWW это отправляет, например.
 
В результате пути, которым проектирован ipfw, Вы можете использовать ipfw на машинах немаршрутизатора, чтобы выполнить фильтрацию пакета на приходе и уходящих подключениях. Это - специальный случай более общего использования ipfw, и те же самые команды и методики должны использоваться в этой ситуации.
 

Всего записей: 2139 | Зарегистр. 12-08-2002 | Отправлено: 13:04 17-03-2005
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
да, а также recv, via, xmit, in, out, вобщем всё, касающееся описания сетевого интерфейса.

От онО как..., Мыхалычъ!... мда... одним словом - пахать и пахать.

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 19:30 02-08-2011
c00ker

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
table 2 add 192.168.6.0/24{133,130}  


Цитата:
 
2. обрабатывается только 1-е правило. 2-е не работает  

 
и не должно, синтаксис задан неверный.
 
Обновил, логи корректно пишутся, всё вроде б работает корректно.
Осталось только автозагрузку правил доделать при старте системы, и обработку имен интерфейсов.

Всего записей: 12 | Зарегистр. 03-04-2006 | Отправлено: 14:59 05-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
table 2 add 192.168.6.0/24{133,130}

 

Цитата:
и не должно, синтаксис задан неверный.  

 
и что я здесь не так сделал? вроде в мануалах все так... может че просмотрел?
 
 
Цитата:
Обновил, логи корректно пишутся, всё вроде б работает корректно.  

 
вижу. проделан ненапрасно титанический труд! и работающее ANY/ME - радует.
 

Цитата:
Осталось только автозагрузку правил доделать при старте системы, и обработку имен интерфейсов.  

 
есть предложение реализовать все это близко к оригиналу: пущай стартующий драйвер ищет настройки в etc/wipfw.conf. а?
 
а еще есть предложение (если я правильно догадываюсь): параметр
net.inet.ip.fw.default_to_accept: 1 (read only) сделать конфигурабельным. то бишь регулировать последнее правило (pass/deny) через sysctl?
 
 
Добавлено:
В догонку... а насколько реально вынести ссылку на последние реализации в шапку темы?

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 11:10 08-08-2011
c00ker

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
'me' пока не стоит пользоваться, не протестировано, и адреса адаптеров закидываются в драйвер только на момент команды ipfw enum
 
у таблиц синтаксис такой:

Код:
 
 ipfw table number add addr[/masklen] [value]
 ipfw table number delete addr[/masklen]
 ipfw table {number | all} flush
 

 

Цитата:
 
есть предложение реализовать все это близко к оригиналу: пущай стартующий драйвер ищет настройки в etc/wipfw.conf. а?
 

В оригинале правила тоже скриптом загружаются при запуске системы, не ядром  
Хотя была идея содержимое текущих правил выгружать на диск при перезагрузке-завершении работы системы, и загружать при запуске, но это уже как раз отхождение от оригинала.
 

Цитата:
 
В догонку... а насколько реально вынести ссылку на последние реализации в шапку темы?
 

Как будет стабильный релиз, озадачимся вопросом
 

Всего записей: 12 | Зарегистр. 03-04-2006 | Отправлено: 11:30 08-08-2011 | Исправлено: c00ker, 11:36 08-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
'me' пока не стоит пользоваться, не протестировано, и адреса адаптеров закидываются в драйвер только на момент команды ipfw enum

да. есть такое дело. проверил - творится полная фигня.

Цитата:
у таблиц синтаксис такой:  
 ipfw table number add addr[/masklen] [value]  
 ipfw table number delete addr[/masklen]  
 ipfw table {number | all} flush

а как тогда с:

Цитата:
 As an example, an address specified as 1.2.3.4/24{128,35-55,89}
     or 1.2.3.0/24{128,35-55,89} will match the following IP
     addresses: 1.2.3.128, 1.2.3.35 to 1.2.3.55, 1.2.3.89 .

 
table 1 add 192.168.0.0/20
table 2 add 192.168.6.0/24{130,133}
table 3 add 192.168.6.12
table 3 add 192.168.6.113
table 4 add 172.16.0.0/23
table 5 add 192.168.15.255
table 5 add 224.0.0.0/4
table 5 add 255.255.255.255
table 6 add 172.16.10.255
table 6 add 192.168.0.255
table 6 add 192.168.7.255
table 6 add 192.168.16.255
table 6 add 192.168.31.255
 
и вот что получил:
c:\Windows\System32\drivers\etc>ipfw table 1 list
192.168.0.0/20 0
192.168.6.0/24 0
 
c:\Windows\System32\drivers\etc>ipfw table 2 list
192.168.0.0/20 0
192.168.6.0/24 0
 
c:\Windows\System32\drivers\etc>ipfw table 3 list
192.168.6.12/32 0
192.168.6.28/32 0
 
c:\Windows\System32\drivers\etc>ipfw table 4 list
172.16.0.0/23 0
192.168.6.28/32 0
 
c:\Windows\System32\drivers\etc>ipfw table 5 list
192.168.6.0/24 0
192.168.7.255/32 0
 
c:\Windows\System32\drivers\etc>ipfw table 6 list
172.16.10.255/32 0
192.168.0.255/32 0
 
c:\Windows\System32\drivers\etc>ipfw table all list
---table(1)---
192.168.0.0/20 0
192.168.6.0/24 0
 
чую, там че-то не так с "сишной" организацией списков... в каком исходнике это глянуть? у меня кой чего есть.
 
А второе - меня озадачила проблема: при запуске когда-то "боевой" конфигурации под XP/W2K-server оригинальная конструкция:
 
add check-state
add deny tcp from any to any established
add pass tcp from me to table(1) out setup keep-state
add pass udp from me to table(1) out keep-state
 
после внесения изменений в  3-ю и 4-ю строчки:
 
add pass tcp from any to 192.168.0.0/20 out setup keep-state
add pass udp from any to 192.168.0.0/20 out keep-state
 
периодически рвала соединения. а помогала мне в этом "тетя ася" - типа соединение потеряно. пришлось плотно поиграться с параметром: net.inet.ip.fw.dyn_short_lifetime.
то решения найдено не было, хотя ipfw -de show показывал вроде бы правильные таблицы, но вот тайм-ауты че-то не были похожи на правду. может здесь уже проблема в правильности настроек TTL протокольного стека?
 
И последнее, может есть смысл убрать ненужную нумерацию в начале каждой строки протокола? эт еще и кусочек кода уберется, добавив чуток шустрости протоколирования

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 19:46 08-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
5-й день работает в штатном режиме.
замечания(table):
- действует ограничение на количество записей: 2
- не заноситься в broadcast 255.255.255.255
пожелания(по сложности):
  - 2-а варианта драйвера (allow/deny)
  - работа с интерфейсами (via)
  - fwd
  - nat

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 13:41 12-08-2011
c00ker

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
глюк с таблицами - вина компилятора tcc, правила на самом деле вносятся, но отобразиться корректно не могут пока отложил
Провозился с автоматической установкой im-драйвера, пока не очень успешно.  
Залил релиз с доп. сервисом, подгружающим правила при запуске системы. Остальное в процессе.

Всего записей: 12 | Зарегистр. 03-04-2006 | Отправлено: 03:06 17-08-2011 | Исправлено: c00ker, 03:08 17-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
глюк с таблицами - вина компилятора tcc, правила на самом деле вносятся, но отобразиться корректно не могут  пока отложил  

замечено... теперь и просмотр/очистка таблиц завершается ошибкой

Цитата:
 
Провозился с автоматической установкой im-драйвера, пока не очень успешно.

я тоже убил день на "причесывание" inf-файлов. успехов мало. но идея добавить установку сервиса через inf, закладочки в свойствах ipfw и вывод доступной пока информации в системный лог,  гложет.

Цитата:
 
Залил релиз с доп. сервисом, подгружающим правила при запуске системы. Остальное в процессе.  

уже проверил. работает. ждем-с... VIA, ME, FWD, NAT. кстати, оставь в -h только то, что реализовано, а и при сборке - дату/версию файлов для обновления версий и для возможного с моей стороны: cat-файла.  

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 22:02 17-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
По поводу FWD.
Правило парсится, но в список не добавляется. Ему не присваивается rule-номер. Возможно "рихтовка" будет мимнимальной...
Пожелания:
1. Было бы разумно добавить умалчиваемые, как 65535, правила парсинга через lo0. То бишь allow all via lo0, deny to 127.* и deny from 127.*
2. *.fw.verbose - по-умолчанию = 1

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 08:49 18-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
обнаружена еще одна бяка(?).
 
обработка токена unreach: вместо его заноситься reject, что есть не совсем хорошо и даже вредно. глянув в "сырцы" от Луиджи - обратил внмание, что упор сделан на unreach6.
 
 
Добавлено:
Глюк не глюк (только что заметил)? нумерация правил идет от номера последнего. если последнее правило предположим 112, то последующие 212, 312, 412 etc...

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 08:46 19-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
блин... оказывается unreach host = reject 1

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 13:18 20-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
c00ker,
 
Полностью перелопатил родные inf-файлы...  
Как результат - необходимость в вызове функций install/remove отпал. все делается через inf(установка/удаление службы).  
А теперь о пожеланиях... Есть ли смысл вообще в ipfw_svc? Она стартует только при загрузке системы, а потом останавливается. Только из-за того, что надо прогрузить конфиг?
А почему бы тогда не заставить читать конфиг саму службу-драйвер при старте? При этом все параметры читать из реестра. Кстати о нем родимом. Мною добавлены инсталляционные моменты:
1.параметру config с путем к cmd-шке, по правилам хорошего тона, самое место в services\Ipfw\Parameters. Туда же я (от себя) внес параметр REG_EXPAND_SZ wipfw.conf с значением %12%\etc\wipfw.conf
2.инсталляция мини-порта сейчас добавляет (на перспективу) пользовательский интерфейс доступный через список оборудования->Сетевые платы -> Ipfw Miniport.
Для наглядности там содержаться пока 3 параметра:  
Accept (default_to_accept), Dynamic (размер динамических правил с шагом 64), Verbose (включение ведения лога).

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 19:48 23-08-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Все-таки какие то глюки с check-state имеют быть место. QiP "скачет" как дурной...

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 13:27 28-08-2011
AndreyBY2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
c00ker, спасибо большое за отличный файрвол и за возобновление работы над проектом.
 
Хотелось бы узнать каковы перспективы использования wipfw на Windows 7. Нагуглить решение не удалось, так же как и не удалось найти другой файрвол аналогичный по простоте установки и настройки. При этом всё большее кол-во пользователей переходят на семерку.
 
Помогите пожалуйста.

Всего записей: 1 | Зарегистр. 27-10-2010 | Отправлено: 19:08 07-09-2011
c00ker

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
извиняюсь за долгое отсутствие, был в отпуске.  
AndreyBY2, на семерке последняя версия работает, про нее предыдущее обсуждение .

Всего записей: 12 | Зарегистр. 03-04-2006 | Отправлено: 22:02 21-09-2011
mookhin



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
c00ker
Загляни, pls, в "личку"... оч надо...

Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 20:59 22-10-2011
nikolya3444

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
при установке из файла install-deny.cmd выдает ошибку  
install_driver: CreateService: 1073
 
The ipfw kernel-mode driver service was started successfully.
 
install_service: CreateService: 1073
lo0  - MS TCP Loopback (127.0.0.1)
eth2 - Wireless Network Connection (192.168.1.100)
 
System error 5 has occurred.
 
Access is denied.
 
one_pass: 1
debug: 1
verbose: 1
verbose_limit: 100
dyn_buckets: 256
curr_dyn_buckets: 256
dyn_count: 0
dyn_max: 1000
static_count: 1
dyn_ack_lifetime: 300
dyn_syn_lifetime: 20
dyn_fin_lifetime: 1
dyn_rst_lifetime: 1
dyn_udp_lifetime: 10
dyn_short_lifetime: 5
dyn_grace_time: 10
 
Current rules:
65535 deny ip from any to any
 
SUCCESS. Default action is DENY
Log files are located in C:\WINDOWS\security\logs
Change wipfw.conf file for your taste.
Press any key to continue . . .
 
Не могу понять к чему нет доступа! После запуска loadrules.cmd все правила включаются и работают правильно, но после перезагрузки их снова нет. В чем проблема?

Всего записей: 1 | Зарегистр. 26-12-2011 | Отправлено: 13:25 26-12-2011
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да. не плохой проект. жаль, что приходится пользоваться kerio лишь из-за наттинга. керио - бяка, по сравнению с wipfw. увы, придется терпеть. наттинг наверняка реализуют не скоро. хотя, 5 лет терпел. еще 5 лет протерплю. винклиентов не перетащить под никсы. дорого по времени. да что время. есть клиенты, которым жалко банально денег на роутер. хоть бери и дари)

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 20:22 05-06-2012 | Исправлено: dariusii, 20:26 05-06-2012
Go4vial

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет!
Есть ли новости о проекте? Очень интересует, будет ли корректно работать wipfw под win7 _x64_, а то в гугле только про win7 x32 написано
И если да, то какая версия?

Всего записей: 32 | Зарегистр. 07-11-2011 | Отправлено: 09:41 02-09-2012 | Исправлено: Go4vial, 09:42 02-09-2012
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Go4vial
 
наттинга все равно не умеет.
хоть, под windows 8. хоть под windows 10 x128.
 
Винда - это своя философия на все и вся. Дух Баллмера не позволит протиснуться сюда нормальному ПО. Тока керио, касперский, 1ц итц))
 
Хочешь, что бы работали консультанты, гаранты, блондинки - прогинайся под коммерческий костыльный софт аля керио, фематеч радмин и в том же духе.
коропратЫв.
 
Не будет здесь настоящего ipfw.
Ни через год, ни через 10 лет. Не укладывается коммерческая полтика мысы под такой вид совместимости.
 
А софту многа.. ага)))

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 16:53 11-09-2012 | Исправлено: dariusii, 16:56 11-09-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru