Цитата:
|
Есть идея установки дополнительной сетевой карты и подключения к моей ЛВС.
|
Угу, а потом можно будет развести интернет на остальные компы посредством встроенного в Windows XP "ICS"а, компов у тебя немного, будет в самый раз. Стоит лишь подумать об учете трафика с юзеров.
Касаемо фаерволла: настроятельно рекомендую
Visnetic Firewall , как
корпоративный фаерволл под винду - лучше не видел. От Аутпосла лучше отказаться, все-таки персональный он, не для сети.
Для твоей задачи
Наружу должны быть открыты соединения с:
[TCP]
локальный порт удаленный порт
----------------------------------------------------
[135-137,139,445]
<X> [all ports] (самое первое правило. Блокируй нещадно эти порты, нечего им наружу торчать открытыми)
[1024-65536]
<X> 135-137,139,445 (аналогично, твоим виндам снаружи тоже нечего искать)
[1024-65536] -> 21 (если используешь FTP)
[1024-65536] <-> 20 (FTP: active) (кажется именно <-> так)
[1024-65536] -> 25 (SMTP - отправка почты)
[1024-65536] -> 43 (whois клиент)
[1024-65536] -> 80 (HTTP)
[1024-65536] -> 110 (POP3 - получение почты)
[1024-65536] -> 443 (Secure HTTP)
[1024-65536] -> 5190 (ICQ)
UDP:
локальный порт удаленный порт
----------------------------------------------------
[1024-65536] -> 53 [Primary DNS IP] (обращения к основному DNS-серверу)
[1024-65536] -> 53 [Secondary DNS IP] (обращения к дополнительному DNS-серверу)
(оба DNS-сервера у тебя д.б. прописаны в настройках подключения к инету)
Лучше запретить соединения на другие DNS-сервера, дабы избежать возможных проблем. Однако стоит периодически проверять указанные тобой DNS - сервера на работоспособность.
[ICMP]
----------------------------------------------------
11 <-> 11 (time exceed)
8 <-> 0 (Ping others)
0 <-> 8 (Others ping)
[ARP]
----------------------------------------------------
allow all arp
"->" (установленные "blocking incoming packets" и "blocking incoming connections")
"<->" (отменены "blocking incoming packets" и "blocking incoming connections")
"
<X> " (блокирование соединений в обе стороны)
Все остальные порты - наглухо закрыты
P.S.
Многие из HTTP по раздаче файлов, FTP и Прокси - серверов в интернете по различным причинам работают на нестандартных портах, стало быть, если ты видишь ссылку типа:
http://[adress]:[xxxx], где xxxx - обозначенный номер порта, отличный от 80, указанными правилами выше фаерволл будет блокировать такое соединение, соответственно, надо будет создать правило, разрешающее соединение
TCP
локальный порт удаленный порт
----------------------------------------------------
[1024-65536] -> [xxxx]
То же самое касается и FTP
ftp://[adress]:[xxxx]
Если значение порта [xxxx] отлично от 21
TCP
локальный порт удаленный порт
----------------------------------------------------
[1024-65536] -> [xxxx]
Только не злоупотребляй.
Все, описанное выше относится
ТОЛЬКО к сетевому интерфейсу, смотрящему в интернет. Внутри локальной сети крайне рекомендую оставлять все на [allow all traffic]
В фаерволле - полезная вещь - лог, который (в зависимости от настроек) фиксирует обработку каждого действия, попадающего под заведенны тобой правила, и отказ в обработке действий, если подходящих прави не создано.
На момент настройки тщательно следи за логом, чтобы найти и исправиь возможные проблемы.
В дальнейшем, если какой-ниьудь из пользователей спросит тебя что-нить "а у меня аська не работает/сайт не открывается/программка не соединяется", смотри в лог фаерволла в первую очередь.
P.P.S. крайне рекомендую держать как на раутере, так и на клиентах антивирь с активированным
резидентным модулем. Например, Drweb.
Вроде бы ничего не забыл.
Да, и не забудь отключить встроенный в виндах фаерволл. неприемлимо держать две стены на одном компе.