Обясните тупому про настройку Firewall - Безопасность

05.03.2004, 14:20

Имеем: ADSL доступ в инет через модем, роутер, фаервол в одном лице (d-link 504g) к нему подсоединен хаб на 8 портов к хабу клиентские машины (тип домашняя сеть). С локальных компов нужен только доступ к севрсиам HTTP,ftp, почтте ну и аська естественно. Внешний IP интерент провайдер дает один динамический. 504G работает в режиме роутера. Включен НАТ. На 504g установлен DHCP сервер который назанчает локальным машинам адреса из диапазона 192.168.100.10-192.168.100.18.

Вопрос. Какие правила надо прописать в файерволе на 504g чтобы максимально защитить локальные машины от посягательств извне. Я так понимаю что надо сначала запретить все входящие из WAN в LAN (по всем ip и портам) и разрешить доступ из LAN (для диапазона адресов указанных выше) в WAN по портам 80,23,25,63,68,110 и по портам выше 1024? так? И в каком порядке эти правила писать если это имеет значение?

Сенкс...

Supervisor · 05.03.2004, 15:03

Цитата:

alf535:
запретить все входящие из WAN в LAN (по всем ip и портам)

Тогда как будет работать аська и входящая почта?

05.03.2004, 15:12

Appz_newS

Значит тогда по этим портам разрешить входящие. Какие еще ошибки? А порядк написания правил какой?

R!xon · 05.03.2004, 23:59

на моем D-Link'е файрвол по умолчанию включен, т.е. запрещает все входящие соединения с WAN Side,
и форвардит только 5190 порт для аськи, и 4662 для мула, а если ты думаешь что это спасет от нападения хакеров, ты ошибаешься, с помощью реверс шелла можно легко обойти твой файрвол на роутере

06.03.2004, 03:42

R!xon Да это понтяно - что если кому надо

то практически его ничего не остановит... но поскольку образуется локалка с пользователями не очень продвинутыми ото надо бы безопасить ее хоть чуток от их неграмотности....

Supervisor · 06.03.2004, 14:20

Цитата:

alf535:
А порядк написания правил какой?

На сколько я знаю порядок не имеет значения.

Supervisor · 26.03.2004, 10:59

Цитата:

Appz_newS:
На сколько я знаю порядок не имеет значения.

Сори ошибка. Вот что написано в хелпе Outpost:

Outpost Firewall использует первое правило, отвечающее критериям сетевой активности приложения, и игнорирует все последующие правила. Брандмауэр обрабатывает правила в порядке их нахождения в перечне. Если правило соответствует критериям, поиск по перечню прекращается. Т.е. все правила, которые имеют подходящие параметры, но располагаются дальше первого найденного, будут проигнорированы.

FantomIL · 30.03.2004, 00:08

Цитата:

Первоначальное сообщение от Appz_newS
Сори ошибка. Вот что написано в хелпе Outpost:

Outpost Firewall использует первое правило, отвечающее критериям сетевой активности приложения, и игнорирует все последующие правила. Брандмауэр обрабатывает правила в порядке их нахождения в перечне. Если правило соответствует критериям, поиск по перечню прекращается. Т.е. все правила, которые имеют подходящие параметры, но располагаются дальше первого найденного, будут проигнорированы.

Это актуально, практически, для любого файрволла, и это справедливо, потому что зачем там дальше искать и проверять что-то, если первое правило сразу подходит. Это сделано для максимальной производительности файрволла, чтобы юзеры не ощущали тормозов (ну или почти не ощущали) в И-нете.

AndDi · 31.03.2004, 16:25

imho практически всегда последнее правило запретить все всем

05.03.2004, 14:20	# 1
alf535 Guest Сообщения: n/a	Обясните тупому про настройку Firewall Имеем: ADSL доступ в инет через модем, роутер, фаервол в одном лице (d-link 504g) к нему подсоединен хаб на 8 портов к хабу клиентские машины (тип домашняя сеть). С локальных компов нужен только доступ к севрсиам HTTP,ftp, почтте ну и аська естественно. Внешний IP интерент провайдер дает один динамический. 504G работает в режиме роутера. Включен НАТ. На 504g установлен DHCP сервер который назанчает локальным машинам адреса из диапазона 192.168.100.10-192.168.100.18. Вопрос. Какие правила надо прописать в файерволе на 504g чтобы максимально защитить локальные машины от посягательств извне. Я так понимаю что надо сначала запретить все входящие из WAN в LAN (по всем ip и портам) и разрешить доступ из LAN (для диапазона адресов указанных выше) в WAN по портам 80,23,25,63,68,110 и по портам выше 1024? так? И в каком порядке эти правила писать если это имеет значение? Сенкс...

05.03.2004, 15:12	# 3
alf535 Guest Сообщения: n/a	Appz_newS Значит тогда по этим портам разрешить входящие. Какие еще ошибки? А порядк написания правил какой? Последний раз редактировалось alf535; 05.03.2004 в 16:09.

05.03.2004, 23:59	# 4
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	на моем D-Link'е файрвол по умолчанию включен, т.е. запрещает все входящие соединения с WAN Side, и форвардит только 5190 порт для аськи, и 4662 для мула, а если ты думаешь что это спасет от нападения хакеров, ты ошибаешься, с помощью реверс шелла можно легко обойти твой файрвол на роутере

06.03.2004, 03:42	# 5
alf535 Guest Сообщения: n/a	R!xon Да это понтяно - что если кому надо то практически его ничего не остановит... но поскольку образуется локалка с пользователями не очень продвинутыми ото надо бы безопасить ее хоть чуток от их неграмотности....

31.03.2004, 16:25	# 9
AndDi Newbie Регистрация: 20.03.2004 Сообщения: 15	imho практически всегда последнее правило запретить все всем