VisNetic Firewall - настройки?

[Bosmr]

Nymph
Напиши плз, через что ты подклучаешься(по какому порту), и какие с внешней стороны на тебя нужны сервисы(ну скажем, на твоей машине вертится хттп или фтп сервер и т.п.)

Просто из того что ты привел, как то все смутно...

Цитата:

причем на этот раз браузер ломился на 80 порт, разрешил локально порты 80-5000...

Локально???

Цитата:

Пытался уменьшить диапазон портов для ХТТП - при 1000-3000 вроде пашет, хотя грузится подольше, а при диапазоне от 1500-1600 нийига не грузит кроме www.ya.ru (

Это ж клиентские порты... зачем тебе их закрывать? закрывать нужно сервисные...
Или я что-то не так понял?

Да, кстати, визард по моему не очень то и удобная вещь.
Как-то он все странно настраивает... все равно потом разгребать приходится...

[DJLOVE]

pereshel na kabelnyi internet
modem usb
prejnie nastroiki visnetic meshayut emu rabotat...

zdelal novie - inet ne rabotaet blokiruetsya vse !
kto tut s Israel ? mojet polzuetes takim firewall podskazhite

[Dark Diver]

Нет ли у кого созданного правила для DC++ эта ужасная штука юзает все время разные порты

[pektop]

есть есче нюанс, если вы соеденяетесь с удаленной машиной на которой стоит Visnetic Firewall по Remote Desktop , то firewall вам не увидеть, и в настройках не полазить. Решение проблемы проста:

При запуске ремоте десктоп добавте -
%SystemRoot%\System32\mstsc.exe /console /v:SERVERIP /w:1024 /h:768

и тогда появится Visnetic

[Bosmr]

pektop
у Виснетика же есть ремоут админ встроенный, причем очень и очень сносный.
Или я чего-то не так понял?

[Tadjik]

Я перепробовал много фаярволов в связи с тем что недавно подключился к локальной сети в которой еще и интернет (по этой фразе можно судить на сколько я разбираюсь в сетях).
Раньше у меня стоял Сайгейт, меня он устраивал в принципе, но он сильно грузит процессор, и потом многоуважаемый модератор раздела пишет что он не очень надежден в сравнении с некоторомы другими.
Я поставил Visnetic. Он мне понравился. поцессор не грузит совсем, интерфейс нордический - все мне нраится. Но проблема в том (моя проблема) что он не привязываеттрафик к приложениям, меня больше никто не спрашивает "разрешить ил изапретить досьтуп приложению".

Я настроил его как мог встроенным визардом, отметил HTTP, FTP, HTTPS.


Проблемы у меян возникд когда я поставил skype. Его visnetiс не пускает. Lanskope, вроде бы сначала пускал а теперь не пускает.

Читаю лог, что блокирует, пытаясь понять что нао окрывать. Ничего не понимаю.

Там Есть remote порт и Local порт/ Чем они отличаются мне не понять.


Объясните пожалуйста люди добрые что создавать и где получать данные какой порт программа использует.
И как вообще настроить этот фаяврол. Я читал в топиках - нигде толком это не отражено.

Если можно я с удовольствием почитал бы матчасть по портам и протоколом, если кто-нибудь знает ресурсы где доступно это объясняют.

И чего мне нужно опасаться от моих сетевых соседей и что нужно закрыть дл я безопасности7


Заранее спасибо.

[FantomIL]

Tadjik
За то, что не пользуешься поиском - 2 балла Тема про VisNetic Firewall уже существует.

Цитата:

Tadjik:
Но проблема в том (моя проблема) что он не привязываеттрафик к приложениям, меня больше никто не спрашивает "разрешить ил изапретить досьтуп приложению".

Он и не должен. Этот файрволл работает по принципу аппаратного.
По настройке можешь почитать здесь http://www.deerfield.com/support/vis...irewall/setup/, там можно скачать руководства, есть база знаний и т.д.
Матчасть в доступном виде можно почитать на http://www.oszone.net/ Также, в этом разделе есть подраздел Библиотека там есть много полезных ссылок.

Цитата:

Tadjik:
И чего мне нужно опасаться от моих сетевых соседей и что нужно закрыть дл я безопасности7

Опасаться нужно всего и закрыть нужно все, кроме того, что тебе необходимо. А необходимое зависит от того, чем ты занимаешься в И-нете (браузер, почтовый клиент, фтп-клиент, аська, телнет, есть ли серверы на твоей машине, ... и т.д.)

[Tadjik]

Не очень понял за что мне дали предупреждение. Мой вопрос был не совсем про Visnetic Firewall. Поиском пользоваться я умею.

В этой ветке одни вопросы и никаких ответов. Всем спасибо.

[FantomIL]

Цитата:

Tadjik:
Не очень понял за что мне дали предупреждение

Предупреждение тебе дали за то, что создаешь новый топ при том, что уже существует аналогичный.

Цитата:

Tadjik:
Мой вопрос был не совсем про Visnetic Firewall

Может я читаю плохо, но:

Цитата:

Tadjik:
...Я поставил Visnetic. Он мне понравился...
...Я настроил его как мог встроенным визардом...
...Проблемы у меян возникд когда я поставил skype. Его visnetiс не пускает. Lanskope, вроде бы сначала пускал а теперь не пускает...
...И как вообще настроить этот фаяврол...

Цитата:

Tadjik:
В этой ветке одни вопросы и никаких ответов

Ответы в моем предыдущем посте. Пройдись, пожалуйста, по ссылкам и почитай. Если после этого остануться вопросы - спрашивай, постараемся помочь.

[Bosmr]

Попытаюсь кратко пояснить типы портов.

Разделить их можно на 2 подгруппы, назовем их "сервисными" и "клиентскими".

Первые, "сервисные" (если конечно следовать спецификации!!!), лежат в пределах [1.. 1023], и используются для сетевых служб.
Например:
Веб-сервер - 80
Ftp-сервер - 20-21
Smtp-сервер - 25
pop3-сервер - 110

Означает это следующее.
Если у тебя на компьютере установлен веб-сервер, и ты хочешь дать возможность откружающим подключаться к нему, ты должен открыть у себя ЛОКАЛЬНО порт#80.

Или же, если у тебя есть ftp-сервер, и ты желаешь сделаьт его доступным, открываешь ЛОКАЛЬНО порты 20-21 (в зависимости от типа соединения).

Второй тип портов, лежит в интервале [1024-65536], и распределяется между программами ДИНАМИЧЕСКИ.

Например. Если ты запрашиваешь из интернета страницу, твой веб браузер получит от системы порт в пределах [1024-65536], после чего, с него будет предпринята попытка соединения с удаленным веб-сервером на порт #80.
После окончания сеанса, порт будет освобожден, и может быть использован другой программой.

Понятно?

Цитата:

Tadjik:
Читаю лог, что блокирует, пытаясь понять что нао окрывать. Ничего не понимаю.

Там Есть remote порт и Local порт/ Чем они отличаются мне не понять

Все довольно несложно. Рассмотрим на примере:

Цитата:

2005/10/27, 16:18:25.579, GMT +0400, 2054, Device 2, Rule 79, Allowed TCP connection attempt, src=195.209.---.---, dst=194.67.23.102, sport=3711, dport=110

Значит, что видно из лога:

Такого-то числа, в такое-то время, на устройстве#2, было обработано правило №79, в результате чего было разрешено (Allowed) соединение по протоколу TCP, от моего ip (src=source), "src=195.209.---.---", к удаленному (dst=destination) компьютеру, "dst=194.67.23.102".
Подключение было установлено с локального порта sport=3711 на удаленный dport=110.

Как нетрудно догадаться, это было соединение на внешний почтовый ящик mail.ru по протоколу POP3.

Рассмотрим другрй пример:

Цитата:

2005/10/27, 15:22:44.218, GMT +0400, 2010, Device 2, Blocked incoming UDP packet (no matching rule), src=195.209.225.152, dst=195.209.---.---, sport=1059, dport=53

Опять же, такого то числа, в такое то время, на устройстве #2 были ЗАБЛОКИРОВАНЫ (Blocked) входящие (incoming) пакеты по неустановленному правилу (no matching rule). Попытка соединения удаленного компьютера "src=195.209.225.152" к моему раутеру "dst=195.209.---.---", с локального (удаленного) порта "sport=1059" на порт получателя "dport=53".

Как тоже, надеюсь, понятно, какой-то дурик подумал что у меня наружу открыт ДНС-сервер.


Вот, вкартце, пояснил... если чего не понятно, спрашивай...

P.S. И не забывай! Этот фаерволл НЕ РАБОТАЕТ по приложениям! вся политика завязана на настройке правил по портам!!!

P.P.S. Исключений из правил довльно много, например, ICQ.
у нее "сервисный" порт, т.е. тот, на который твой клиент будет соединяться лежит во втором интервале. А именно - порт 5190.
Видимо, данная программа не заявлена в сетевой спецификации, и ей не разрешено использовать "сервисные" порты.

Скорее всего и со скайпом твоим тоже самое.
Выключи все что может пачкать в логах (т.е. все что может использовать интернет), и запусти свой skype-клиент.
Далее смотри в лог. Будут запрещаться исходящие соединения.
Смотришь, на какие удаленные (dport=...) порты они происходят. На всякий случай, встроенным в Виснетик whois-клиентом (1. Необходимо создать правило, разрешающее удаленное соединение на порт #43,
2. потом правой крысой по записи в логе - whois [ip], и далее тебе вылезет информация по компании, которой принадлежит данный айпи-адрес), проверяешь принадлежность данного айпи к сети skype, а потом строишь правило, в котором разрешаешь соединение по протоколу TCP, с локальных портов 1024-65536 на вычисленный тобой удаленный порт(ы).

Также, если уж совсем щепетильно подходить к настройке стены, можно указать диапазон удаленных айпи-адресов, на который возможно успешная обработка данного правила. Если используемых подсетей несколько, и они не перекрываются друг другом, необходимо будет составить несколько правил.
Но, как правило этого не требуется.

Цитата:

Dark Diver:
Нет ли у кого созданного правила для DC++ эта ужасная штука юзает все время разные порты

Я создал три правила на эзернет фейсе
dc++ in и dc++ out
создал две группы
в первую внес сети, откуда ко мне можно ходить по udp и tcp на порты, прописанные в strongdc.
во вторую группу внес адреса хостов серверов dc++
StrongDC++ у меня решил быть открытым на входящие
udp - 28911 порт
tcp - 21764 порт
Сервер открыт по 411му порту, соответственно

Получается, что мы должны создать три правила. Два входящих, tcp и udp и одно исходящее, tcp.
Последнее правило гласит разрешить ходить на группу dc++ серверов на 411й порт с юзер-диапазона (1024-5000 порты. оконцовки 5000 достаточно) и с моего адреса ip. Это одно единственное правило на исходящие соединения.
Два первых правила. Везде подразумевается, что хождение идет только с конкретных адресов. маски или диапазон имеются толко для группы пользователей, ожидающих соединение с моей машиной. Либо мой адрес ip. Никак не any.
UDP - разрешить ходить с группы юзер-сети ко мне на порт udp , обозначенный в моем Strongdc, dc_tc, linuxdcpp или как хотите. кто чем пользует. В моем случае - 28911 порт. С портов 1024-65535.
И последнее правило. Разрешить ходить с группы юзер-сети на порт tcp, обозначенный в моем dc++ клиенте. В моем случае, 21764 порт. С портов 1024-65535.
Не забываем про опцию "filtering data" в настройках udp правила. остальные правила автоматом заимеют нужное направление. Это будет видно по стрелочкам )))) )

Это зеленый совет. Я только вчера поставил эту стенку первый раз в жизни и поентму могу сильно ошибаться. Например, я не знаю. ставить ли опцию blocl incoming fragments или не ставить. Для kazaa, visnetic ее не ставил. Но это на ощупь.

Но эта стенка, видимо, куда круче, чем просто ip адреса и порты.
в ней можно очень тонко все сделать. фильтрация по mac-адресам и тд.

Вот, с этим бы разобраться.

[vasiko]

мож кто видел мануал к этому фаерволу на русском
не могу настроить не как
неплохо былобы и русск к ней

[FantomIL]

sysser - 2 штрафных за запрос на варез в разделе "Безопасность".

Bosmr, правила подзабылись?
Все варезные дела в соответствующем разделе.
+ 2.

Посты удалены.

[Nymph]

такой вопрос по сабжу:
время от времени в логах появляется запись "2006/12/15, 08:03:28.968, GMT +0500, 2026, Device 2, Blocked incoming packet (unknown protocol)"
Device 2 это у меня встроенная сетевуха на которой висит АДСЛьный модем ...
при этом, в общем-то никаких проблем, при работе через этот интерфейс, я не замечал.
настройки по протоколам следущие:
UDP стоит "Don`t log"
всё остальное (Arp, Rarp, TCP, ICMP) стоит как "Log"
что это могут быть за запросы?