Файервол в раутере.
 

Есть желание и возможности поставить несколько компьютеров дома.
Естессно соединить их в сетку подключить к интернету.

Сейчас появились раутеры со встроенными файерволами.

Для подключения нескольких компов к Сети они удобны, а как с защитой?

В смысле, можно ли убрать "стенки" на компах?

Если у кого есть опыт - поделитесь, плиз.

Насколько я знаю, в недорогих аппаратных железках файрволлы дрянь. Поэтому если веры друг другу нет, то оставить на клиентах это дело нужно.

Файрволлы с машин лучше не убирать.
Тот, который в железке физически не в состоянии уследить, какая зараза и что отсылает в инет... Т.е. любая прога с твоей машины отправит любую инфу в инет (сколько сейчас пинчей в инете объяснять, думаю, не надо)...
От атак снаружи железка защищает вполне надёжно - в смысле, никакой хакер снаружи до машин внутри достучаться не сможет (если на файрволле не сделать спец. настроек). В этом же основной минус железки - для нормальной работы eMule, BitTorrent и т.п. требуется спец. настройка железки.

Так тогда может вообще купить раутер без фаервола?

Нормальных роутеров без файервола нет (может не встречал), т.е. все более менее нормальные роутеры содержат функции поддержки DHCP, NAT и FireWall. Или лучше так если он управляемый (программируемый) тогда там есть FireWall. Я думаю можно просто не использовать эту функцию. А лучше использовать и железный и программный файервол

Если есть возможность - то лучше с фаером. Во первых 100% защитишься от внешнего проникновения, во вторых в большинстве (даже не очень дорогих) фаерах есть статистика траффика по портам. А это, я думаю, пригодится.

Есть еще одно соображение: поскольку за рутером обычно левонет (192.168.ххх.ххх) то стенка на рутере должна защищать в основном от проникновения НА сам рутер. По той же причине желательно не отвечать на пинги снаружи. А те, что на машинах - защита от проникновения в сеть через проброшенные порты и от случая захвата рутера.

Чайник я в этом деле , но по моему ежели раутер держит NAT, MAC-filtering и порты что надо под *Осел и КО* открыты ,то фаерволл на внутренней сетке никчему , главное антивирь настроить .
Ежели совсем секретность нужна немерянная можно там сетку запаролить\спрятать и довесить шифрование данных - но энто совсем для *энтузиастов*. :cool:

p.s- мнение - > IMHO , без претензий , и ,свободно для обсуждения .

Файрволл внутри сетки нужен для контроля приложений, как и написал выше Борланд. Поскольку на домашнем раутере, как правило, изнутри - наружу открыты все порты для всех протоколов. То бишь, никаким троянам и шпионам ничего не помешает отсылать инфу с твоего компа. Антивирь в этом - не панацея, так как хорошие шпионы пишутся самостоятельно и очень нескоро попадают в антивирусные базы. Кроме того все это можно еще и шифровать, сжимать, ... таким образом, зачастую и известные трояны далеко не все антивирусы ловят. А программный файрволл с контролем приложений (Аутпост, ЗонеАларм, Керио, ...) сразу выкинет пользователю предупреждение о подозрительной сетевой активности.

Извините, а не дешевле-ли купить ещё одну сетевуху и раздавать интернет с одного из компьютеров? И как правило фаервол, который на роутере создаст больше проблем, чем принесет пользы имхо фтопку.
Подозреваю, что вы слишком серьезно подошли к построению своей домашней сети -)

На каком основании Вы это заявляете? Железный роутер, да еще и с фаерволлом завсегда лучше и надежнее софтового.

Kerio Winrote Firewall не имеет контроля приложений. Скорее всего только Personal, но в нем нет роутера.

Гы, а нафига? Я так понимаю открываются порты по мере надобности. Но в том что не панацея согласен ибо данные отсылаются в большинстве случаем по стандартным портам.

Он и имелся в виду. А раутер и не нужен, поскольку мы применяем аппаратный. А софт-файрволл используем для контроля сетевой активности приложений.
Нафига - не знаю, но 100% раутеров для небольших сетей, которые проходили через мои руки, по умолчанию, были настроены именно так:
WAN -> LAN - все запретить
LAN -> WAN - все разрешить
А значит, пользователь должен еще и разбираться какие входящие соединения разрешать, а какие исходящие - запрещать. При этом, контроля приложений все равно нету и, соответственно, необходимость в софт-файрволе или в системе контроля сетевой активности приложений на рабочих станциях - присутствует.

В своё время пользовал 3ком-овский рутер со встроенным файрволлом. Никаких проблем не возникало, хотя в локалке было порядка 180 компов плюс несколько серверов, работающих на "вне"... После правильной настройки никаких проникновений не наблюдалось...
УДАЧИ !!!

Самое смешное - внутри супер-аппаратного файервола живет вполне себе обычный линукс, iptables в нем делает нат, а теперь - вопрос: как вы представляете себе запрет файрвола средствами iptables, если компов во внутренней сетке более одного, а управление роутера - веб-интерфейс и телнет? DMZ - частный случай настройки файрвола, согласитесь...

Немаловажно ещё позволяет ли "железный" файрвол себя настраивать. У меня допустим стоит не очень хороший рутер, если не сказать дерьмовый, достался нахаляву, там есть свой файрвол у которого аж 2 опции - вкл./выкл. Но как оказалось он довольно практичный, я как-то хотел с приятелем поиграть по сети в Quake. Так как комп у меня был пошустрее сервер делал я у себя - пока я не отключил "железную" стенку мой комп даже не пинговался. Так что как защита извне - вещь очень практичная, а если ещё позволяет себя настроить (помимо вкл./ выкл.) то тут и рассуждать нечего.

канешн, дарагой =) Он не пинговался потому, что любой дерьмовый рутер как правило тупо делает НАТ - попингуешь тут =)))