VisNetic Firewall - настройки?

[Bosmr]

Hell, вот это скорость ответов! Голос!

[helldomain]

Chto-to ti u nas bledno wiglyadish, ya tebe tut karmu nemnogo podlechil ;-))).

[Bosmr]

Спасибо...помогло...мне намного легче Пойду dll ваять...

[helldomain]

Udachi ;-))).

[DJLOVE]

настроики:
какие порты надо открывать? хттп/фтп/емуле/

[helldomain]

HTTP - 80 (TCP)
HTTPS - 443 (TCP)
FTP - 20 (TCP), 21 (TCP)
eMule - 4662 (TCP), 4672 (UDP)

[DJLOVE]

немогу блин настроить
выбивает из интеренета как только вклучаю стену

[Bosmr]

DJLOVE

Посмотри лог, что ни блокиреет?

Да, насчет портов...
Ну еще же пассив фтп есть, у них там вроде свои порты...
Да, многие сайты тоже юзают не один только 80 порт...
Я не знаю, как это правильно назвать, наверное соединения через прокси.
Вот к примеру:
http://www-old.nwgsm.ru:8101/sendsms.htm

[helldomain]

Dj, ti whodish cherez VPN. Otkliuchi filtering na LAN adaptere.

[Nymph]

Хм, тож поставил тут на выходных этот зверя...
Во-первых пользовался Визардом при создани правил, в результате при сохранении всего чего он насоздавал и дальнейшем звпуске Инет у меня сесло полностью, слава богу когда он спрашивал про статус инета при вырублении стены я ему оставил enable.
Полез в Хелп, поглядел, ниче особо полезного не нашел, снес все правила и начал создавать вручную:
Открыл для ХТТП тока 80 порт, в поле адреса поставил "тока свой", для удаленного коннекта поставил адреса - любой, порт 1024-5000 - нифига не пашет
Потыркался по логам, обнаружил что лог просто забит сообщениями о блокировке ARP пакетов, вспомнил что по умолчанию он мне советовал разрешить любые ARP - создал ему такое правило, инет продолжал не грузится, но по крайней мере пинги то соседних тачек и до шлюза ходить стали
Также обнаружил в логах попытки приконнектиться на 53 порт, вспомнил что тама висит наш DNS, рзрешил для UDP походы на 53 порт - инет незаработал, но терь в оснонвом блокировались попытки соединения на порты выше 1000.
Для ХТТП разрешил локальные порты 1024-5000 - инет запахал, но с внутренней локалки (у меня LAN по городу и выход через проксю в инет) сайты не грузились, причем на этот раз браузер ломился на 80 порт, разрешил локально порты 80-5000 - о чудо!!! Инет заработал!
Для ФТП прописал в TCP прописал 21 и 20 порты (20 для passive mode).
Ася терь тоже пашет
Теперь собственно такие вопросы:
Пытался уменьшить диапазон портов для ХТТП - при 1000-3000 вроде пашет, хотя грузится подольше, а при диапазоне от 1500-1600 нийига не грузит кроме www.ya.ru (
Чем такая хрень вызвана и какой минимально необходимый диапазрн портоа ему нужен чтоб номально грузился Инет???

Пока все!!! )
Потом буду ещё добавлять наверна...

PS Предлагаю владельцам данной стены делиться здесь правилами для работы различных приложнений и своими находками и наблюдениями!

ЗЗЫ И ещё такой вопрос возник: если он не работает с прогами, то чтот мешает какой-нить шняге ломануться через 80 порт когдв у меня на запущен браузер, и он как бы свободен получается? (помня слова Хелла о том что одновременно один порт модет использовать только одно приложение).
В этом смысле мне кажется лучше Кеиро в том плане что он по-моему использкет криптографическую подпись для идентификации приложений, и какждый раз при переустановке проги и замены её экэшникана крякнутый Керио всегда спрашивает разрешить ли выход замененному файлу! Мож все-таки разьясните принцип так называемых железячных (индустриального класса) стен?

[Bosmr]

Nymph
Напиши плз, через что ты подклучаешься(по какому порту), и какие с внешней стороны на тебя нужны сервисы(ну скажем, на твоей машине вертится хттп или фтп сервер и т.п.)

Просто из того что ты привел, как то все смутно...

Цитата:

причем на этот раз браузер ломился на 80 порт, разрешил локально порты 80-5000...

Локально???

Цитата:

Пытался уменьшить диапазон портов для ХТТП - при 1000-3000 вроде пашет, хотя грузится подольше, а при диапазоне от 1500-1600 нийига не грузит кроме www.ya.ru (

Это ж клиентские порты... зачем тебе их закрывать? закрывать нужно сервисные...
Или я что-то не так понял?

Да, кстати, визард по моему не очень то и удобная вещь.
Как-то он все странно настраивает... все равно потом разгребать приходится...

[DJLOVE]

pereshel na kabelnyi internet
modem usb
prejnie nastroiki visnetic meshayut emu rabotat...

zdelal novie - inet ne rabotaet blokiruetsya vse !
kto tut s Israel ? mojet polzuetes takim firewall podskazhite

[Dark Diver]

Нет ли у кого созданного правила для DC++ эта ужасная штука юзает все время разные порты

[pektop]

есть есче нюанс, если вы соеденяетесь с удаленной машиной на которой стоит Visnetic Firewall по Remote Desktop , то firewall вам не увидеть, и в настройках не полазить. Решение проблемы проста:

При запуске ремоте десктоп добавте -
%SystemRoot%\System32\mstsc.exe /console /v:SERVERIP /w:1024 /h:768

и тогда появится Visnetic

[Bosmr]

pektop
у Виснетика же есть ремоут админ встроенный, причем очень и очень сносный.
Или я чего-то не так понял?

[Tadjik]

Я перепробовал много фаярволов в связи с тем что недавно подключился к локальной сети в которой еще и интернет (по этой фразе можно судить на сколько я разбираюсь в сетях).
Раньше у меня стоял Сайгейт, меня он устраивал в принципе, но он сильно грузит процессор, и потом многоуважаемый модератор раздела пишет что он не очень надежден в сравнении с некоторомы другими.
Я поставил Visnetic. Он мне понравился. поцессор не грузит совсем, интерфейс нордический - все мне нраится. Но проблема в том (моя проблема) что он не привязываеттрафик к приложениям, меня больше никто не спрашивает "разрешить ил изапретить досьтуп приложению".

Я настроил его как мог встроенным визардом, отметил HTTP, FTP, HTTPS.


Проблемы у меян возникд когда я поставил skype. Его visnetiс не пускает. Lanskope, вроде бы сначала пускал а теперь не пускает.

Читаю лог, что блокирует, пытаясь понять что нао окрывать. Ничего не понимаю.

Там Есть remote порт и Local порт/ Чем они отличаются мне не понять.


Объясните пожалуйста люди добрые что создавать и где получать данные какой порт программа использует.
И как вообще настроить этот фаяврол. Я читал в топиках - нигде толком это не отражено.

Если можно я с удовольствием почитал бы матчасть по портам и протоколом, если кто-нибудь знает ресурсы где доступно это объясняют.

И чего мне нужно опасаться от моих сетевых соседей и что нужно закрыть дл я безопасности7


Заранее спасибо.

[FantomIL]

Tadjik
За то, что не пользуешься поиском - 2 балла Тема про VisNetic Firewall уже существует.

Цитата:

Tadjik:
Но проблема в том (моя проблема) что он не привязываеттрафик к приложениям, меня больше никто не спрашивает "разрешить ил изапретить досьтуп приложению".

Он и не должен. Этот файрволл работает по принципу аппаратного.
По настройке можешь почитать здесь http://www.deerfield.com/support/vis...irewall/setup/, там можно скачать руководства, есть база знаний и т.д.
Матчасть в доступном виде можно почитать на http://www.oszone.net/ Также, в этом разделе есть подраздел Библиотека там есть много полезных ссылок.

Цитата:

Tadjik:
И чего мне нужно опасаться от моих сетевых соседей и что нужно закрыть дл я безопасности7

Опасаться нужно всего и закрыть нужно все, кроме того, что тебе необходимо. А необходимое зависит от того, чем ты занимаешься в И-нете (браузер, почтовый клиент, фтп-клиент, аська, телнет, есть ли серверы на твоей машине, ... и т.д.)

[Tadjik]

Не очень понял за что мне дали предупреждение. Мой вопрос был не совсем про Visnetic Firewall. Поиском пользоваться я умею.

В этой ветке одни вопросы и никаких ответов. Всем спасибо.

[FantomIL]

Цитата:

Tadjik:
Не очень понял за что мне дали предупреждение

Предупреждение тебе дали за то, что создаешь новый топ при том, что уже существует аналогичный.

Цитата:

Tadjik:
Мой вопрос был не совсем про Visnetic Firewall

Может я читаю плохо, но:

Цитата:

Tadjik:
...Я поставил Visnetic. Он мне понравился...
...Я настроил его как мог встроенным визардом...
...Проблемы у меян возникд когда я поставил skype. Его visnetiс не пускает. Lanskope, вроде бы сначала пускал а теперь не пускает...
...И как вообще настроить этот фаяврол...

Цитата:

Tadjik:
В этой ветке одни вопросы и никаких ответов

Ответы в моем предыдущем посте. Пройдись, пожалуйста, по ссылкам и почитай. Если после этого остануться вопросы - спрашивай, постараемся помочь.

[Bosmr]

Попытаюсь кратко пояснить типы портов.

Разделить их можно на 2 подгруппы, назовем их "сервисными" и "клиентскими".

Первые, "сервисные" (если конечно следовать спецификации!!!), лежат в пределах [1.. 1023], и используются для сетевых служб.
Например:
Веб-сервер - 80
Ftp-сервер - 20-21
Smtp-сервер - 25
pop3-сервер - 110

Означает это следующее.
Если у тебя на компьютере установлен веб-сервер, и ты хочешь дать возможность откружающим подключаться к нему, ты должен открыть у себя ЛОКАЛЬНО порт#80.

Или же, если у тебя есть ftp-сервер, и ты желаешь сделаьт его доступным, открываешь ЛОКАЛЬНО порты 20-21 (в зависимости от типа соединения).

Второй тип портов, лежит в интервале [1024-65536], и распределяется между программами ДИНАМИЧЕСКИ.

Например. Если ты запрашиваешь из интернета страницу, твой веб браузер получит от системы порт в пределах [1024-65536], после чего, с него будет предпринята попытка соединения с удаленным веб-сервером на порт #80.
После окончания сеанса, порт будет освобожден, и может быть использован другой программой.

Понятно?

Цитата:

Tadjik:
Читаю лог, что блокирует, пытаясь понять что нао окрывать. Ничего не понимаю.

Там Есть remote порт и Local порт/ Чем они отличаются мне не понять

Все довольно несложно. Рассмотрим на примере:

Цитата:

2005/10/27, 16:18:25.579, GMT +0400, 2054, Device 2, Rule 79, Allowed TCP connection attempt, src=195.209.---.---, dst=194.67.23.102, sport=3711, dport=110

Значит, что видно из лога:

Такого-то числа, в такое-то время, на устройстве#2, было обработано правило №79, в результате чего было разрешено (Allowed) соединение по протоколу TCP, от моего ip (src=source), "src=195.209.---.---", к удаленному (dst=destination) компьютеру, "dst=194.67.23.102".
Подключение было установлено с локального порта sport=3711 на удаленный dport=110.

Как нетрудно догадаться, это было соединение на внешний почтовый ящик mail.ru по протоколу POP3.

Рассмотрим другрй пример:

Цитата:

2005/10/27, 15:22:44.218, GMT +0400, 2010, Device 2, Blocked incoming UDP packet (no matching rule), src=195.209.225.152, dst=195.209.---.---, sport=1059, dport=53

Опять же, такого то числа, в такое то время, на устройстве #2 были ЗАБЛОКИРОВАНЫ (Blocked) входящие (incoming) пакеты по неустановленному правилу (no matching rule). Попытка соединения удаленного компьютера "src=195.209.225.152" к моему раутеру "dst=195.209.---.---", с локального (удаленного) порта "sport=1059" на порт получателя "dport=53".

Как тоже, надеюсь, понятно, какой-то дурик подумал что у меня наружу открыт ДНС-сервер.


Вот, вкартце, пояснил... если чего не понятно, спрашивай...

P.S. И не забывай! Этот фаерволл НЕ РАБОТАЕТ по приложениям! вся политика завязана на настройке правил по портам!!!

P.P.S. Исключений из правил довльно много, например, ICQ.
у нее "сервисный" порт, т.е. тот, на который твой клиент будет соединяться лежит во втором интервале. А именно - порт 5190.
Видимо, данная программа не заявлена в сетевой спецификации, и ей не разрешено использовать "сервисные" порты.

Скорее всего и со скайпом твоим тоже самое.
Выключи все что может пачкать в логах (т.е. все что может использовать интернет), и запусти свой skype-клиент.
Далее смотри в лог. Будут запрещаться исходящие соединения.
Смотришь, на какие удаленные (dport=...) порты они происходят. На всякий случай, встроенным в Виснетик whois-клиентом (1. Необходимо создать правило, разрешающее удаленное соединение на порт #43,
2. потом правой крысой по записи в логе - whois [ip], и далее тебе вылезет информация по компании, которой принадлежит данный айпи-адрес), проверяешь принадлежность данного айпи к сети skype, а потом строишь правило, в котором разрешаешь соединение по протоколу TCP, с локальных портов 1024-65536 на вычисленный тобой удаленный порт(ы).

Также, если уж совсем щепетильно подходить к настройке стены, можно указать диапазон удаленных айпи-адресов, на который возможно успешная обработка данного правила. Если используемых подсетей несколько, и они не перекрываются друг другом, необходимо будет составить несколько правил.
Но, как правило этого не требуется.