[vasketsov]

vot
Слил последний с их сайта.

НЕ УМЕЕТ он понимать в качестве параметра локальный адрес. У него есть возможность рулить по интерфейсам, но если на одном интерфейсе более одного адреса - он отдыхает.
Кроме того, NETBIOS-трафик у него правилами не регулируется, то есть, например, UDP разрешить в обе строны только 137-137 - не удалось, вообще говоря, он ВСЕГДА пропускал NETBIOS независимо от настроек на отдельной страничке про шары и броузинг.

Короче, я весьма недоволен этим файрволом и советом его попробовать.

Было это все на Windows 2000 AS + SP3 + ВСЕ фиксы, SMB он пускал по локальной сети, всего 3 RAS-овских интерфейса и один LAN.

Это я уже так тестирование начал.

[Outcast]

Так всётаки какой файрвол лучше?

[vasketsov]

Outcast
Ваш вариант, что значит "лучше" ?

[Outcast]

vasketsov
Я имел в виду какой надёжнее и функциональнее. Пробовал Нортон персональный файрвол, но он сильно глючил и был удалён.

[APOSTOL]

Что значит

Цитата:

надёжнее

Что значит

Цитата:

функциональнее

Для какого пользователя ? Тут так давно забыли, о чём тема, что пикируются профессионалы на профессиональные Файеры.

Я (к примеру) на домашней одиночной (ну не считать же две машины в сети - сетью) сначала поставил Agnitum Outpost Firewall бесплатный, он мне нервов перепортил вагон. Затем Agnitum Outpost Firewall Pro ver. 1.0.1817.1645, и в принципе он меня устроил. Затем в качестве эксперимента ZoneAlarm Pro 3.1.395 совместно с VisualZone Report Utility 5.6.0.2660, не очень вдохновило, и через некоторое время вернулся обратно к Outpost Firewall Pro. Затем на него поставил плагины HTTP Log и Blockpost. Для меня всего этого хватило. Попытки доступа - информирует. Проверки на спецсайтах - ругаются. Лезущие изнутри в И-нет программы - пресекаются.

[Outcast]

Цитата:

надёжнее

Значит, что б работал без глюков и отлавливал все новые подключения к сети.

Цитата:

функциональнее

Значит - удобство настройки и работы.

Цитата:

Для какого пользователя ?

Для меня и моего компьютера подключеного к сети через модем.

Не знаю, кто чем пользуется, а вот мой домашний для обычного диал-апа:

#!/bin/sh
#
#file /etc/sysconfig/iptables_ppp.sh - Initial IP Firewall script for kernel 2.4.x
#
#Script не требует указания ни статического, ни "подхвата" динамического IP.
#Правила привязаны к интерфейсам.
#
INET_IFACE="ppp0"
LO_IFACE="lo"
IPTABLES="/sbin/iptables"
###################
#Проверка зависимостей в загружаемых IPTables modules
#
/sbin/depmod -a
###################
#Устанавливаем default policies для INPUT, FORWARD и OUTPUT chains
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
###################
#
#Создаем chain для "плохих" TCP пакетов
#
$IPTABLES -N bad_tcp_packets
#
#Создаем chain для защиты от спуффинга
#
$IPTABLES -N spuff_in_ppp
$IPTABLES -N spuff_out_ppp
#
#Создаем дочерние chains для входящих ICMP, TCP и UDP
#
$IPTABLES -N icmp_in_ppp
$IPTABLES -N tcp_in_ppp
$IPTABLES -N udp_in_ppp
#
#Создаем дочерние chains для исходящих ICMP, TCP и UDP
#
$IPTABLES -N icmp_out_ppp
$IPTABLES -N tcp_out_ppp
$IPTABLES -N udp_out_ppp
#
####################
#
#Регистрируем и удаляем все "проблемные" TCP пакеты
#
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \--log-prefix "New not syn: "
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
#
####################
#
#Регистрируем и удаляем все входящие спуффинг-пакеты (если есть LAN - отредактируйте ваш диапазон)
#
$IPTABLES -A spuff_in_ppp -s 127.0.0.0/8 -j LOG \--log-prefix "Loopback in ppp died: "
$IPTABLES -A spuff_in_ppp -s 127.0.0.0/8 -j DROP
$IPTABLES -A spuff_in_ppp -s 10.0.0.0/8 -j LOG \--log-prefix "Class A in ppp died: "
$IPTABLES -A spuff_in_ppp -s 10.0.0.0/8 -j DROP
$IPTABLES -A spuff_in_ppp -s 172.16.0.0/12 -j LOG \--log-prefix "Class B in ppp died: "
$IPTABLES -A spuff_in_ppp -s 172.16.0.0/12 -j DROP
$IPTABLES -A spuff_in_ppp -s 192.168.0.0/16 -j LOG \--log-prefix "Class C in ppp died: "
$IPTABLES -A spuff_in_ppp -s 192.168.0.0/16 -j DROP
$IPTABLES -A spuff_in_ppp -s 240.0.0.0/5 -j LOG \--log-prefix "Class E in ppp died: "
$IPTABLES -A spuff_in_ppp -s 240.0.0.0/5 -j DROP
$IPTABLES -A spuff_in_ppp -s 224.0.0.0/4 -j LOG \--log-prefix "Multicast in ppp died: "
$IPTABLES -A spuff_in_ppp -s 224.0.0.0/4 -j DROP
$IPTABLES -A spuff_in_ppp -s 255.255.255.255 -j LOG \--log-prefix "Broadcast in ppp died: "
$IPTABLES -A spuff_in_ppp -s 255.255.255.255 -j DROP
$IPTABLES -A spuff_in_ppp -d 0.0.0.0 -j LOG \--log-prefix "Broadcast in ppp died: "
$IPTABLES -A spuff_in_ppp -d 0.0.0.0 -j DROP
#
#Регистрируем и удаляем все исходящие спуффинг-пакеты (если есть LAN - отредактируйте ваш диапазон)
#
$IPTABLES -A spuff_out_ppp -d 127.0.0.0/8 -j LOG \--log-prefix "Loopback out ppp died: "
$IPTABLES -A spuff_out_ppp -d 127.0.0.0/8 -j DROP
$IPTABLES -A spuff_out_ppp -d 10.0.0.0/8 -j LOG \--log-prefix "Class A out ppp died: "
$IPTABLES -A spuff_out_ppp -d 10.0.0.0/8 -j DROP
$IPTABLES -A spuff_out_ppp -d 172.16.0.0/12 -j LOG \--log-prefix "Class B out ppp died: "
$IPTABLES -A spuff_out_ppp -d 172.16.0.0/12 -j DROP
$IPTABLES -A spuff_out_ppp -d 192.168.0.0/16 -j LOG \--log-prefix "Class C out ppp died: "
$IPTABLES -A spuff_out_ppp -d 192.168.0.0/16 -j DROP
$IPTABLES -A spuff_out_ppp -d 240.0.0.0/5 -j LOG \--log-prefix "Class E out ppp died: "
$IPTABLES -A spuff_out_ppp -d 240.0.0.0/5 -j DROP
$IPTABLES -A spuff_out_ppp -d 224.0.0.0/4 -j LOG \--log-prefix "Multicast out ppp died: "
$IPTABLES -A spuff_out_ppp -d 224.0.0.0/4 -j DROP
$IPTABLES -A spuff_out_ppp -d 255.255.255.255 -j LOG \--log-prefix "Broadcast out ppp died: "
$IPTABLES -A spuff_out_ppp -d 255.255.255.255 -j DROP
$IPTABLES -A spuff_out_ppp -s 0.0.0.0 -j LOG \--log-prefix "Broadcast out ppp died: "
$IPTABLES -A spuff_out_ppp -s 0.0.0.0 -j DROP
#
####################
#
#Загружаем ICMP rules для входящих потоков
#
$IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_in_ppp -p ICMP --icmp-type  11 -j ACCEPT
$IPTABLES -A icmp_in_ppp -m limit --limit 6/minute --limit-burst 1 \-p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_in_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "ICMP in ppp died: "
$IPTABLES -A icmp_in_ppp -p ICMP -j DROP
#
#Загружаем TCP rules для входящих потоков. Для входящих --dport двойная проверка
#
$IPTABLES -A tcp_in_ppp -p TCP --syn --sport 20 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 21:22 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 80 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 111 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 113 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 139 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 443 -j ACCEPT
#$IPTABLES -A tcp_in_ppp -p TCP --syn --sport 32768:65535 --dport 1024:65535 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED -m multiport --sport 20,21,22,23,25,80,81,82,83 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED -m multiport --sport 110,111,113,139,443,3128,5190,8080,8088 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED -m multiport --dport 20,21,22,80,111,113,139,443 -j ACCEPT
#$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED  --sport 32768:65535 --dport 1024:65535 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED  --sport 1024:65535 --dport 32768:65535 -j ACCEPT
$IPTABLES -A tcp_in_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "TCP in ppp died: "
$IPTABLES -A tcp_in_ppp -p TCP -j DROP
#
#Загружаем UDP rules для входящих потоков
#
$IPTABLES -A udp_in_ppp -p UDP --sport 53 -j ACCEPT
$IPTABLES -A udp_in_ppp -p UDP --sport 123 -j ACCEPT
$IPTABLES -A udp_in_ppp -p UDP --sport 137:138 --dport 137:138 -j ACCEPT
$IPTABLES -A udp_in_ppp -p UDP --sport 4000 -j ACCEPT
$IPTABLES -A udp_in_ppp -m limit --limit 3/minute --limit-burst 6 -j LOG \--log-prefix "UDP in ppp died: "
$IPTABLES -A udp_in_ppp -p UDP -j DROP
#
####################
#
#Загружаем ICMP rules для исходящих потоков
#
$IPTABLES -A icmp_out_ppp -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_out_ppp -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_out_ppp -p ICMP --icmp-type  11 -j ACCEPT
$IPTABLES -A icmp_out_ppp -m limit --limit 6/minute --limit-burst 1 \-p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_out_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "ICMP out ppp died: "
$IPTABLES -A icmp_out_ppp -p ICMP -j DROP
#
#
#Загружаем TCP rules для исходящих потоков
#
$IPTABLES -A tcp_out_ppp -p TCP --sport 20:22 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 20:23 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 25 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 80 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 80:83 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 110 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 111 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 111 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 113 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 113 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 139 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 139 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 443 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 443 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 3128 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 5190 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 8080 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 8088 -j ACCEPT
#$IPTABLES -A tcp_out_ppp -p TCP --sport 1024:65535 --dport 32768:65535 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 32768:65535 --dport 1024:65535 -j ACCEPT
$IPTABLES -A tcp_out_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "TCP out ppp died: "
$IPTABLES -A tcp_out_ppp -p TCP -j DROP
#
#Загружаем UDP rules для исходящих потоков
#
$IPTABLES -A udp_out_ppp -p UDP --dport 53 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --dport 67:68 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --dport 123 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --sport 137:138 --dport 137:138 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --dport 4000 -j ACCEPT
$IPTABLES -A udp_out_ppp -m limit --limit 3/minute --limit-burst 6 -j LOG \--log-prefix "UDP in out died: "
$IPTABLES -A udp_out_ppp -p UDP -j DROP
#
###################
#
#INPUT chain
#
#Регистрируем и удаляем все "проблемные" входящие извне TCP пакеты
#
$IPTABLES -A INPUT -p tcp -i $INET_IFACE -j bad_tcp_packets
#
#Регистрируем и удаляем входящие спуффинг-пакеты
#
$IPTABLES -A INPUT -i $INET_IFACE -j spuff_in_ppp
#
#"Направляющие" для локальных и "перенаправляющие" для inet пакетов rules
#
$IPTABLES -A INPUT -p ICMP -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_in_ppp
$IPTABLES -A INPUT -p TCP -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_in_ppp
$IPTABLES -A INPUT -p UDP -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_in_ppp
#
#Регистрирующее rule для "неохваченых" входящих пакетов
#
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 6 -j LOG \--log-prefix "IP INPUT packet died: "
#
#OUTPUT chain
#
#Регистрируем и удаляем все "проблемные" TCP пакеты, идущие наружу.
#
$IPTABLES -A OUTPUT -p tcp -o $INET_IFACE -j bad_tcp_packets
#
#Регистрируем и удаляем исходящие спуффинг-пакеты
#
$IPTABLES -A OUTPUT -o $INET_IFACE -j spuff_out_ppp
#
#Разрешающее для исходящих пакетов.
#
$IPTABLES -A OUTPUT -p ICMP -o $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p ICMP -o $INET_IFACE -j icmp_out_ppp
$IPTABLES -A OUTPUT -p TCP -o $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -o $INET_IFACE -j tcp_out_ppp
$IPTABLES -A OUTPUT -p UDP -o $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p UDP -o $INET_IFACE -j udp_out_ppp
#
#Регистрирующее rule для "неохваченых"  исходящих пакетов
#
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 6  -j LOG \--log-prefix "IP OUTPUT packet died: "

[Raistlin]

Так получилось, что знакомство с firewall у меня началось с AtGuard. Сейчас, вдохновлённый дискуссией, попробовал Outpost Pro. Первое впечатление -- AtGuard удобней (мастер настройки правил, к примеру) и функциональней (веб-фильтр можно посайтово настроить, правда в 3.22 эта фишка не работает). Хотя, с другой стороны, Outpost умеет резать рекламу по размерам. Но в дискуссии AtGuard почему-то почти не упоминается. Почему? Не прекращён ли этот проект (веб-сайт их не отвечает)? Если прекращён, то какой была последняя версия?
Обнаружил, кстати, что при загруженном Outpost у меня перестают нормально обрабатываться OSZone'овские скрипты (перенаправление и т. д.). Всё приходит в норму, если отключить модуль блокировки рекламы. Ну и ну. Может, я что-то не так сделал? Хотя я и настроить-то ещё ничего не успел...

[s]Исправлено: Raistlin, 2:59 27-02-2003[/s]

[LeXo]

Я попробовал Agnitum Outpost Firewall Pro ver. 1.0.1817.1645, вот теперь сижу с ним и копаюсь в настройках. К сожалению русского helpa на него нет, хоть сам он и русского производства. Сравнивать мне не с чем, так как не работал еще ни с каким фаером и был за это наказан. Пробовал поставить Tiny Personal Firewall 4.0, но к нему русификатора не нашел, есть только на 3.0 версию.

Danilo
Это что и с чем его едят? Я так понял что это программа которую ты сам написал для защиты. Если так, то маладца!!! Это сколько же надо знать, что бы в этом всем разобраться? Вот ты пишешь

Цитата:

домашний для обычного диал-апа

А для выделенки что нибудь такое сущестует. И вообще как заставить это работать.

Outcast
Полностью поддерживаю твое желание. Я тоже хотел бы безовсяких заморочек быть защищенным от и до. Хотелось бы запустить фаер и не настраивать его, а он все атаки внутренние и внешние пресекал.

Блин ну платим же бабки за пользование инетом, так почему должны еще переживать, хакнут тебя или нет.

Я не знаю как вы проверяете, но ZoneAlarm и Outpost самые классные. Outpost руссифицирован и дока ра русском есть, так что решайте.
URL http://www.agnitum.com/download/OutpostInstall.exe
URL http://www.agnitum.com/download/Outpost_User_Guide_(RU).pdf