Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9

Открыть новую тему     Написать ответ в эту тему

biomednet



Schwarz Meister
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Главная ссылка проекта http://wipfw.sourceforge.net
WIPFW - MS Windows действующая версия известного IPFW для РТА FreeBSD. Вы можете использовать те же самые функциональные возможности и конфигурировать это как, только Вы работаете с IPFW. Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности в первых версиях отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время во FreeBSD.
 
IPFW - фильтрация пакета и система учета, которая постоянно находится в kernelmode, и имеет утилиту управления user-land control, ipfw. Вместе, они позволяют Вам определять и сделать запрос правил, используемых ядром в его решениях маршрутизации.
 
Есть две связанных части к ipfw. Раздел межсетевой защиты выполняет фильтрацию пакета. Есть также IP, считающий раздел, который прослеживает использование маршрутизатора, основанного на правилах, подобных используемым в разделе межсетевой защиты. Это позволяет администратору контролировать, сколько трафика маршрутизатор добирается от определенной машины, или сколько трафика WWW это отправляет, например.
 
В результате пути, которым проектирован ipfw, Вы можете использовать ipfw на машинах немаршрутизатора, чтобы выполнить фильтрацию пакета на приходе и уходящих подключениях. Это - специальный случай более общего использования ipfw, и те же самые команды и методики должны использоваться в этой ситуации.
 

Всего записей: 2139 | Зарегистр. 12-08-2002 | Отправлено: 13:04 17-03-2005
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
никак не найду, где расписаны правила по "remote desktop". То, что я должен раскрыть выход на удаленный порт 3389, понятно. Но какие порты должны быть раскрыты из входящих!!!
 
telnet xxx.xxx.xxx.xxx 3389
 
смотрю лог
 
..
ipfw: 2100 Deny TCP xxx.xxx.xxx.xxx:3389 yyy.yyy.yyy.yyy:1986 in via eth0
 
входящий порт постоянно разный
 
походил по форуму. нихрена путного не нашел, по правилам

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 23:30 24-09-2006
BrainOff



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а поддержка ARP есть? я где-то читал, что обрезали.. самому посмотреть пока руки не доходят, хотя очень надо

Всего записей: 501 | Зарегистр. 06-08-2006 | Отправлено: 00:07 25-09-2006
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BrainOff
 
Поищи на Opennet. Там где-то обсуждали этот вопрос. Точно не упомню, но именно по wipfw тема...
 
########
 
Неплохая подборка правил по ipfw:http://forums.whirlpool.net.au/forum-replies-archive.cfm/493621.html
 
Зная, как теряются линки, выкладываю снимок содержимого той ссылки.
 
FreeBSD Firewall...
 
Специфика, конечно, по фре. Но многие моменты будут, думаю, интересны начинающим.
 
Жаль, что мало народу здесь. Имхо, лучший файрволл. Но и настроить его грамотно нужно.
Многие проблемы у людей возникают, имхо, потому, что много док, но мало экзамплов. Экзамплы хорошо помогают в усваивании, что к чему. Конечно, если они правильные. Или ближе к соблюдению грамотного подхода опр. тулзы.
Всегда удивляло то, что очень много документации, а примеров мало, или они от такого фонаря, что аж слепит днем...
 
Предлагаю каждому выкладывать свои настройки. Критиковать других. Спорить, как на ЛОР'е. Имхо, здоровый спор очистит ненужное в них. Но и без оффтопа..
 
Если что не так. Прошу поправить.
 
какие правила я сделал для себя:
rc.fw
 
 
Большая просьба, не переходить на личности, а идти только по теме, если возникнет критика в адрес приведенных правил соседей по ветке.
 
Величайшая просьба - не выкладывать кусками конфиг. Иногда может быть так, что другим людям будет интересно увидеть индивидуальную настройку каждого человека. Интересуемый момент в конфиге можно, в конце концов, просто выделить цветом или сделать жирнее шрифт в таком месте. Кто-то может заметить повтор правил интересуемого момента и момента, который человек и не заметил, а он может оказаться похож диапазоном портов или других вещей. Тогда можно будет обсудить объединение правил и другие вещи.
 
Люди. Пожалуйста начинайте выкладывать свои конфиги. Свои мысли по технической стороне.
Данная тулза позволяет легко выкладывать текстовики конфигов, без графических сэмплов.

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 06:00 25-09-2006 | Исправлено: dariusii, 07:26 25-09-2006
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мои изменения в rc.conf
 
подробности
 
Изменения связаны с клиентом bittorrent

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 01:01 28-09-2006 | Исправлено: dariusii, 03:14 29-09-2006
GOODmen



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Мой когда-то рабочий конфиг (сейчас стоит Керио как прокси и фаер). К сожалению, руки не дошли разобраться с флагами setup establish keep-state и подобными, было бы еще надежнее.
Подробнее...

Всего записей: 366 | Зарегистр. 15-01-2004 | Отправлено: 10:36 28-09-2006 | Исправлено: GOODmen, 10:41 28-09-2006
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мои изменения в rc.conf
 
убрал опцию setup из правил, под клиентов bittorrent
 
Изменения связаны с клиентом bittorrent

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 22:10 28-09-2006 | Исправлено: dariusii, 03:31 29-09-2006
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кстати. Ethereal тоже является пакетным фильтром. Почему бы не использовать его?
 
То есть, чем он может быть лучше/хуже?

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 15:38 09-10-2006
GOODmen



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
что за зверь?

Всего записей: 366 | Зарегистр. 15-01-2004 | Отправлено: 07:57 10-10-2006
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GOODmen
 
не то. утка... Надо было мне сначала проверить достоверность этой инфы...
 
Добавлено:
мои правила для wipfw v. 0.2.8
 
Подробнее...

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 19:22 11-11-2006 | Исправлено: dariusii, 20:31 11-11-2006
EgorDS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ а какую версию лучше использовать 0.2.7 или 0.2.8 ?

Всего записей: 178 | Зарегистр. 11-09-2002 | Отправлено: 10:06 21-11-2006
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EgorDS
 
имхо, 0.2.8

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 12:26 22-11-2006
XMblPb



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
стабильно работает? глюки? зависания? у меня стоял squidNT 2.6, регулярно подвисал процесс... пришлось снести и поставить Proxy+

----------
MCTS: Microsoft Exchange Server 2007

Всего записей: 607 | Зарегистр. 20-06-2004 | Отправлено: 17:08 10-12-2006
vinyviny



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а вот вам tdifw это тот же WIPFW но только с контролем приложений, эта версия расчитана не на сервера а на домашние(персональные) рабочие станции http://tdifw.sourceforge.net

Всего записей: 64 | Зарегистр. 01-08-2006 | Отправлено: 02:36 24-12-2006
Nagual



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в общем понятно только то, что ничего не понятно... нет ли что нить попонятнее и с гуем господа? а то руками и вслепую это я даже не знаю как назвать ))

Всего записей: 528 | Зарегистр. 06-01-2006 | Отправлено: 16:58 14-01-2007
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nagual
QTFW

----------
Опросы ru-board'а

Всего записей: 8676 | Зарегистр. 08-06-2006 | Отправлено: 17:42 14-01-2007
SmallwooD13

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вышла новая бета-версия 0.3.2, страница загрузки:
http://sourceforge.net/project/showfiles.php?group_id=113599

Всего записей: 136 | Зарегистр. 13-01-2005 | Отправлено: 06:37 09-03-2007
alextretij2

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
тоже решил юзать WIPFW, много смотрел, а в связи з лицензированием остановился на нем.

Всего записей: 82 | Зарегистр. 17-08-2004 | Отправлено: 17:34 10-03-2007
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 Nagual
 
А под что, Вы хотите, что бы там был GUI?
 
+++++++++
   
 
Это GUI к ipfw в MAC OS. Прога зовется  "Xupport"
 
Честно? - отстой и крайне меня раздражает. Гибкости нет никакой.
даже, если под qt вариантом настроек больше - не советую
проект развивается, а gui не всегда. автору  это не нужно. и это правильно.
Хотите  GUI? - пользуйте Outpost Firewall.
 
правила с pipes не ввести
keep-state не везде, тоже.
 
Бросайте Вы это.
 
Конфиг примитивен
 
вот еще раз выкладываю свой конфиг под wipfw
 
#wipfw.conf
-f flush
add allow all from any to any via lo*
add check-state
#dhcp
add allow udp from any 67,68 to any 67,68 keep-state
add allow 47 from any to any
add allow all from me to any keep-state
#ftp-server
add allow tcp from any 1024-65535 to me 21 setup keep-state
add allow tcp from any 1024-65535 to me 49152-65534 keep-state
#Bittorent
add allow tcp from any to me 49150 keep-state
add allow udp from any to me 49150 keep-state
#dc++
add allow tcp from any to me 1412 keep-state
add allow udp from any to me 1412 keep-state
#icmp
add allow icmp from me to any keep-state
#time
add allow udp from me 123 to any 123 keep-state
add prob 0.05 deny ip from any to any in
#

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 01:13 28-04-2007 | Исправлено: dariusii, 01:18 28-04-2007
Mylord666

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если я правильно понял, WIPFW контролирует лишь протоколы и порты? Без возможности ограничения доступа для приложений?

Всего записей: 819 | Зарегистр. 19-11-2006 | Отправлено: 23:27 06-05-2007
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mylord666
 
Да. Потому что, это файрволл.
 
нужен контроль компонентов - admuncher итц.
 
имхо, файрволл не должен быть очередным комбайном.
 
Просто, разработчики делают такой софт, каким его хотят видеть пользователи. что бы лчше брали. так можно делать, но не со стенками увольте

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 01:19 07-05-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru