dariusii
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Один чел посоветовал юзать этот файрволл. Пока что просто пробую. вот сделал одну вещь. Не знаю, правильно или нет. Соединение с dc++ хабом. Я создал три правила на эзернет фейсе dc++ in и dc++ out создал две группы в первую внес сети, откуда ко мне можно ходить по udp и tcp на порты, прописанные в strongdc. во вторую группу внес адреса хостов серверов dc++ StrongDC++ у меня решил быть открытым на входящие udp - 28911 порт tcp - 21764 порт Сервер открыт по 411му порту, соответственно Получается, что мы должны создать три правила. Два входящих, tcp и udp и одно исходящее, tcp. Последнее правило гласит разрешить ходить на группу dc++ серверов на 411й порт с юзер-диапазона (1024-5000 порты) и с моего адреса ip. Это одно единственное правило на исходящие соединения. Два первых правила. Везде подразумевается, что хождение идет только с конкретных адресов. маски или диапазон имеются толко для группы пользователей, ожидающих соединение с моей машиной. Либо мой адрес ip. Никак не any. UDP - разрешить ходить с группы юзер-сети ко мне на порт udp , обозначенный в моем Strongdc, dc_tc, linuxdcpp или как хотите. кто чем пользует. В моем случае - 28911 порт. С портов 1024-65535. И последнее правило. Разрешить ходить с группы юзер-сети на порт tcp, обозначенный в моем dc++ клиенте. В моем случае, 21764 порт. С портов 1024-65535. Не забываем про опцию "filtering data" в настройках udp правила. остальные правила автоматом заимеют нужное направление. Это будет видно по стрелочкам )))) ) Я только вчера поставил эту стенку первый раз в жизни и поентму могу сильно ошибаться. Например, я не знаю. ставить ли опцию block incoming fragments или не ставить. Для kazaa, visnetic ее не ставил. Но это на ощупь. Но эта стенка, видимо, куда круче, чем просто ip адреса и порты. в ней можно очень тонко все сделать. фильтрация по mac-адресам и тд. Вот, с этим бы разобраться. |