Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9

Открыть новую тему     Написать ответ в эту тему

biomednet



Schwarz Meister
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Главная ссылка проекта http://wipfw.sourceforge.net
WIPFW - MS Windows действующая версия известного IPFW для РТА FreeBSD. Вы можете использовать те же самые функциональные возможности и конфигурировать это как, только Вы работаете с IPFW. Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности в первых версиях отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время во FreeBSD.
 
IPFW - фильтрация пакета и система учета, которая постоянно находится в kernelmode, и имеет утилиту управления user-land control, ipfw. Вместе, они позволяют Вам определять и сделать запрос правил, используемых ядром в его решениях маршрутизации.
 
Есть две связанных части к ipfw. Раздел межсетевой защиты выполняет фильтрацию пакета. Есть также IP, считающий раздел, который прослеживает использование маршрутизатора, основанного на правилах, подобных используемым в разделе межсетевой защиты. Это позволяет администратору контролировать, сколько трафика маршрутизатор добирается от определенной машины, или сколько трафика WWW это отправляет, например.
 
В результате пути, которым проектирован ipfw, Вы можете использовать ipfw на машинах немаршрутизатора, чтобы выполнить фильтрацию пакета на приходе и уходящих подключениях. Это - специальный случай более общего использования ipfw, и те же самые команды и методики должны использоваться в этой ситуации.
 

Всего записей: 2139 | Зарегистр. 12-08-2002 | Отправлено: 13:04 17-03-2005
franchisement



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Нашел: 10.10.0.0/16

Всего записей: 364 | Зарегистр. 21-09-2004 | Отправлено: 23:55 25-12-2008
mihmig

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Юзал сабж:
Плюсы:
1. Устанавливается/удаляется БЕЗ перазагрузки на ЛЮБОЙ ОС windows
2. Если тщательно "вкурить" мануал - настройка легка и непринужденна
почти все устраивает, но есть вопросы:
1. опция log ведет удобный лог пакетов DDMMYYYY.log (можно написать скрипт для анализа - типа кто в прошлом месяце стока накачал)
 
add 200 count log ip from 10.0.0.120 to me in
НО в лог почему-то не складывает ДЛИНУ пакета - или у меня что-то не так настроено?
Тогда Траффик инспектор ("сертифицированная" прога, которая не может сама деинсталлирваться) шел бы лесом...
 
2. по команде help выдает кратенький мануал на английском в котором есть слово
divert - в виндовой версии работает или нет?
 
Так как проект мертв вопрос:  
Тут есть специалисты которые могут доработать напильником запись в лог ДЛИНЫ пакета?

Всего записей: 271 | Зарегистр. 25-09-2007 | Отправлено: 15:19 27-12-2008
august23



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кто-то может подсказать настройку WIPFW чтобы заблокировать все сайты кроме определенных
 
или это же с помощью файла hosts в винде

Всего записей: 15 | Зарегистр. 31-08-2007 | Отправлено: 21:48 11-02-2009
mihmig

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
august23
wifw - не прокси-сервер, блокирует трафик не по URL, а по ip-адресам.
Через Hosts можно, но (маловероятно) может оказаться, что на одном ip будут и ПЛОХОЙ и ХОРОШИЙ сайты.  
Вам в Вашем случае рекомендую заюзать HandyCache (там в белый список заносите что нужно) а в черном запрещаете все остальное.

Всего записей: 271 | Зарегистр. 25-09-2007 | Отправлено: 14:50 12-02-2009
august23



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 mihmig
хорошо подскажи, пожалуйста, как заблокировать все что не идет на определенный IP
нужно защитить машины и сетку от GPRS модемов и мобильного интернета, а все что идет на разрешенный днс или маршрутизатор - пусть пропускает

Всего записей: 15 | Зарегистр. 31-08-2007 | Отправлено: 18:47 12-02-2009
mihmig

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
august23
что типа так:
100 ipfw add allow tcp from me to any via eth0
200 ipfw add deny from me to any
 
где eth0-интерфейс сетевухи локальной сети. Т.о. какие бы интерфейсы юзер не создавал - пакеты не пройдут.
 
А админских прав лишить если?

Всего записей: 271 | Зарегистр. 25-09-2007 | Отправлено: 18:05 14-02-2009
C128

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В C:\WINDOWS\security\logs накапливаются логи по 300-400мб за день, возможно отключить логирование? Винт на 4 гб и каждый раз заходить удалять немного напрягает.

Всего записей: 20 | Зарегистр. 12-02-2009 | Отправлено: 21:34 12-05-2009
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
C128

Цитата:
add count log ip from any to any

Из конфига(файл wipfw.conf) надо эту или ей подобную строку удалить, зависит от того какие правила вы используете.
Про синтаксис в случае с логами и вообще, подробнее почитайте http://wipfw.sourceforge.net/doc-ru.html#rformat

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 9954 | Зарегистр. 18-04-2007 | Отправлено: 22:13 12-05-2009
C128

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите, пожалуйста!
 
Есть желание сменить режим работы фаервола на deny any
 
wipfw 0.2.8
 
Все работает, но за пределы сервера трафик не идет. В чем модет быть проблема?
 
172.16.20.0/24 своя подсеть, можно все во все подсети без ограничений.
10.152.0.0/16, 10.171.0.0/16, 10.221.0.0/167 можно только то, что явно разрешено.
 
10.152.0.0/16 и интернет на внешних PPPOE.
 
Вот адаптеры:
 
lo0  - MS TCP Loopback (127.0.0.1)
eth1 - home (172.16.20.1)
eth2 - corbina (10.171.90.88)
ppp0 - WAN (PPP/SLIP) Interface (172.16.20.21)
ppp1 - WAN (PPP/SLIP) Interface (10.152.200.15)
ppp2 - WAN (PPP/SLIP) Interface (62.148.132.39)
 
 
Вот конфиг:
 
# First flush the firewall rules
-f flush
 
add 00096 allow ip from me to any via eth2
add 00097 allow ip from me to any via ppp1
add 00098 allow ip from me to any via ppp2
add 00099 allow ip from me to any via eth1
add 00100 allow ip from any to any via lo*
 
 
# icmp
add 00101 allow icmp from any to 62.148.132.39 in recv ppp2 icmptype 0,3,4,11,12
add 00102 allow icmp from any to 10.152.200.15 in recv ppp1 icmptype 0,3,4,11,12
add 00103 allow icmp from any to 10.171.90.88 in recv eth2 icmptype 0,3,4,11,12
 
add 00104 allow icmp from 62.148.132.39 to any out xmit ppp2 icmptype 3,8,12
add 00105 allow icmp from 10.152.200.15 to any out xmit ppp1 icmptype 3,8,12
add 00106 allow icmp from 10.171.90.88 to any out xmit eth2 icmptype 3,8,12
 
add 00107 allow icmp from 62.148.132.39 to any via ppp2 frag
add 00108 allow icmp from 10.152.200.15 to any via ppp1 frag
add 00109 allow icmp from 10.171.90.88 to any via eth2 frag
 
add 00110 allow icmp from 172.16.20.0/24 to any
add 00111 deny icmp from any to any via ppp2
add 00112 deny icmp from any to any via ppp1
add 00113 deny icmp from any to any via eth2
 
 
#127.0.0.0
add 00130 deny ip from 127.0.0.0/8 to any in
add 00131 deny ip from any to 127.0.0.0/8 in
 
#port filter
add 00132 deny tcp from any to 10.171.90.88 135-139
add 00133 deny tcp from any to 10.152.200.15 135-139
add 00134 deny tcp from any to 10.171.90.88 1025-1029
add 00135 deny tcp from any to 10.152.200.15 1025-1029
add 00136 deny tcp from any to 10.171.90.88 1723
add 00137 deny tcp from any to 10.152.200.15 1723
 
#other
add 00145 allow ip from 172.16.20.0/24 to any via eth1
#add 00212 check-state
#add 00312 allow ip from me to any keep-state out
add 00400 allow tcp from any to 10.171.90.88 3128
add 00401 allow tcp from any to 10.152.200.15 3128
add 00402 allow tcp from any to any 21
add 00403 allow tcp from any to any 22
add 00404 allow tcp from any to any 443
add 00403 allow tcp from any to any 5900
 
add 65535 deny ip from any to any

Всего записей: 20 | Зарегистр. 12-02-2009 | Отправлено: 23:34 15-05-2009
verhoum

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
при помощи wipfw можно сделать прозрачный прокси?

Всего записей: 8 | Зарегистр. 02-11-2008 | Отправлено: 14:20 05-07-2009
mihmig

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
verhoum
Увы - нет, он не модифицирует пакеты.
Ставьте траффик инспектор или *nix-систему.

Всего записей: 271 | Зарегистр. 25-09-2007 | Отправлено: 22:09 05-07-2009
franchisement



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Интересно, проект мёртв?

Всего записей: 364 | Зарегистр. 21-09-2004 | Отправлено: 21:24 13-07-2009
mihmig

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
franchisement
к сожалению - да, но я по-прежнему ищу C-программиста, который мог бы слегка модифицировать и перекомпилировать исходник.

Всего записей: 271 | Зарегистр. 25-09-2007 | Отправлено: 23:30 13-07-2009
franchisement



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
жаль. у меня о везде стоит и на серверах и на рабочих. лучше не найти решения.. кста, по семеркой пашет?

Всего записей: 364 | Зарегистр. 21-09-2004 | Отправлено: 00:32 14-07-2009
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SysCommander

Цитата:
port forwarding и NAT делаются тривиально виндовыми средствами (netsh)  

 
при работающем wipfw предлагаешь включать еще и netsh?
Две стенки ничего?
 
Добавлено:
franchisement
 

Цитата:
жаль. у меня о везде стоит и на серверах и на рабочих. лучше не найти решения.. кста, по семеркой пашет?

проект неформально остановился еще до выпуска vista sp1.
 
Короче, это труп. как и winnt 5.x

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 00:29 31-07-2009 | Исправлено: dariusii, 00:37 31-07-2009
mihmig

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
portforwarding от portmapping-а отличается вроде бы?
только маппинг (убого) делает винда.

Всего записей: 271 | Зарегистр. 25-09-2007 | Отправлено: 14:40 31-07-2009
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как-то резко помер проект.
Похоже, коммерсанты всяких kerio etc "уговорили" разработчика и проект прикрыли.
Жаль. Очень недвусмысленные настройки. простота. Пользовался им очень долго. несколько лет.
но, без NAT'а не везде его поставить. Да и под всякие win7 его уже не будет.
Найти бы Руслана Старицына и узнать, в чем дело.

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 15:09 31-07-2009 | Исправлено: dariusii, 15:13 31-07-2009
tahomavlz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
проект опенсорсный - может быть кто то возьмется за доработку.
нат через netsh? интересно как? а то хотелось бы уже выкинуть убогий ics.

Всего записей: 148 | Зарегистр. 02-11-2008 | Отправлено: 03:17 01-08-2009
dariusii



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tahomavlz
О netsh очень много говорят, но еще никто толкового блога так и не выложил, а это о чем-то, да говорит.
С одной стороны, вещь документирована, но очень "академично" и с другой - общие описания.
Можно найти тысячи законченных примеров по iptables/ipfw/pf/и даже по виндовым стенкам сторонним, но ни одного законченного и интересного примера по netsh.
Проще, видимо, мешок камней сожрать, чем разбираться в нем.

Всего записей: 2392 | Зарегистр. 08-11-2003 | Отправлено: 14:34 05-08-2009
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dariusii

Цитата:
Найти бы Руслана Старицына и узнать, в чем дело.

А на мыло в суппорт писать не пробовали? На счет проекта согласен.

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 9954 | Зарегистр. 18-04-2007 | Отправлено: 14:57 05-08-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru