[FWC]

Какие порты закрывать, а какие нет - это решаешь сам, проведя аудит приложений и ресурсов, которыми пользуются в сети.
Для небольшой типичной офисной сетки надо оставить 80 исходящий) *- чтобы браузеры могли в инет выползать, 25 - SMTP (входящий чтобы почтовый сервер мог принимать почту и исходящий, чтобы отправлять) дальше смотри уже по приложениям, кому что надо, а остальные порты закрывай нафиг (у меня даже ICPM запрещен)
Файрвол сильно напрягает машину, на которой установлен, на остальные влияет однозначно - если разрешен порт - выпускает, если нет - "не доступен ресурс"
На серваке стоит поставить 2 сетевые карты одну внешнюю для доступа в нет и вторую для внутренней сети (вместе внешней сетевой карты можешь просто использовать интерфей модема, если он у тебя к компу прилеплен, у мня в одном офисе выделенка по типу LAN, а в другом модем в сетевую карту воткнут)
На внутреннюю сетвую вешаешь частный диапазон (типа 192.168.0.х или 10.х.х.х) Клиентским машинам совершенно нет смысла раздавать реальные IP, выгоды от них никакой точно.
Прокси и файрвол - разные вещи. Прокси по большому счету только помойка кэшированных страниц, призвана ускорить их загрузку, потому как если страница уже есть в кэше, она грузится с твоего сервера, а не с забугорного скажем.
Если хочешь остаться пока на 98-й винде в качестве сервера, оставь Винроутер и поставь обычный персональный файрвол (подойдет даже OutPost Free)
Вообще рекомендую поставить Win 2000 Server (упаси бог ставить Advanced или тем более Datacenter), но тут уже варианты пошли - рабочая группа или домен AD.
Для клиентов Win 9х домен или воркгруп - практически по барабану, так что решай сам :о)))
В качестве прокси рекомендую MS ISA Server 2000 - классная штука! Абсолютный контроль над доступом в инет, разграничение прав по пользователям, можешь назначить кому какими приложениями в какое время можно пользоваться! Если поднимаешь AD - ставь аррэй интерпрайз с интеграцией политик в AD, если воркгруп - как стандалон, особой разницы нет в принципе, я просто привык всё цетрализованно держать.
Если интересно, можем пообщаться мылом или аськой

[s]Исправлено: FWC, 12:18 19-02-2003[/s]


[s]Исправлено: FWC, 12:24 19-02-2003[/s]

Кстати, AtGuard у меня на NT-4 Сервере уже третий год стоит - не жалуюсь.
Другой вопрос, зачем  там фаерволл - ведь в WinRout'е он уже есть. Остается только настроить. Если хочешь поднимать Инет-сервер на W2k (денег много, и все такое), то послушай FWC. Но я бы на твоем месте  потратил 10$ на хорошую книгу про *NIX - за плечами не носить, а в будущем пригодится, поверь.

[FWC]

Мне почему-то не нравятся интегрированные прокси/файрволы, за исключением MS ISA Srv, какие-то файрволы в проксях ущербные... я пользовался Wingate5.0 так в нем файрвол настолько дохлый :-( я его отключил и outPost Pro поставил. Он, конечно, для сервера слабо подходит, но всё же лучше, чем гейтовский.
Кста если поставить W2k как StandAlone и поднять на нем ISA, денег не больше понадобится чем на книжку по тому же ISA :о))

[Raistlin]

Danilo
А хорошую -- это какую? Порекомендуй, пожалуйста… А то прилавки ведь разным хламом часто завалены (сужу по количеству и качеству книг по той же Windows). Ещё слышал, что, как ни защищай сеть Windows-средствами, всё равно можно влезть. А вот если прокси/firewall на основе UNIX -- нельзя. Это правда? Прошу прощения за наивный вопрос .

Я купил "Linux" Алексея Стаханова.  Неплохая книга, хоть и не "фонтан". Добавь сюда еще Интернет, man'ы, howto'шки, статьи - недостатка в информации нет, нужно только не поленится потратить время на ее поиски.
Плохому админу и Винда мешает. Хоть ИМХО, Windows и более уязвима, чем *nix, однако при грамотной настройке  никто никуда не влезет и ничего не хакнет. А с кривыми руками и *nix сломают.
Некоторые вещи под Виндой реализованы гораздо лучше - например, domain controller.  Другие - например, фаерволл - лучше под Linux. Все зависит от конкретных задач. Инет-сервер - как раз традиционно  сильная сторона *nix. Но можно и на Винде. Решай сам.

[Raistlin]

Попробовал залезть в настройки фильтрации пакетов WinRoute. Прямо руки опускаются... Входящие, исходящие, отправитель, адресат, правила для сетевой карты, для контроллера удалённого доступа... А справку, кажется, писали ребята из MS -- такие же общие рассуждения. Хоть бы один пример!
Скажите, пожалуйста, кто-нибудь настраивал firewall в WinRoute? Как там разобраться, куда какое правило писать? Вот, скажем, хочу я, чтобы у компьютера с адресом 192.168.0.9 не было выхода в Интернет по http. Как это сделать?

[BeZoN]

Цитата:

Вот, скажем, хочу я, чтобы у компьютера с адресом 192.168.0.9 не было выхода в Интернет по http. Как это сделать?

Создаешь правило блокировки входящих пакетов, где отправитель 192.168.0.9, а локальный порт 3128 (если на нем прокси крутится) или 80 (если поднята NAT).

[BSOD]

Я вчера скачал с www.kerio.com русский хелп по WinRoute. Погляди,там достаточно подробно все описано, размер около метра. Но сам сейчас тоже ставлю Winroute и ни хрена не получается.

[Raistlin]

BSOD
Спасибо , я уже и ответ на свой старый пост нашёл, в котором мне ссылки были кинуты, спасибо Yustus:
http://forum.oszone.net/topic.cgi?fo...&start=0#1

BeZoN

Цитата:

Создаешь правило блокировки входящих пакетов, где отправитель 192.168.0.9

Создаю, но у меня при этом почему-то по всей сети http-протокол перестаёт работать . Правило вешаю на сетевую карту, во входящие. Порт 3128 указываю в "Адресате" ("любой адрес" оставляю по умолчанию).