Фактическая температура воздуха в Находке on-line. Прогноз погоды в Находке  

Бесплатные фаерволы для Windows. Обсуждаем.

Обмен опытом ИТ-специалистов в различных областях

Модератор: Aroch

Бесплатные фаерволы для Windows. Обсуждаем.

Сообщение Char0Day » Пт май 11, 2007 9:58 am

Недавно у меня возникла острая необходимость заменить порядком поднадоевший Kerio Winroute 6.2.x с лекарством ( надоело просто - периодически слетает лицензия). На что-то аналогичное, но бесплатное. Кстати, ничего плохого про керио сказать не могу, более того - на работе стоит лицензионный - нарадоваться не могу. Правда домой лицензию за $300 покупать как-то дорого :).
Кстати, да не в оффтоп будет сказано: Недавно случайно наткнулся: Уважаемая всеми DSV :) использует в качестве Mail сервера ( в Находке во всяком случае) Kerio Mail Server (вот поэтому адресу находится его веб-морда)

Вот сейчас буду тестить портированный под Windows ОпенБСДшный фаер

И еще один, FreeBSD'шный

Потом расскажу о впечатлениях. :-)
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение petcheneg » Сб июн 09, 2007 12:21 am

Юзаю COMODO Personal FireWall Pro. Один глюк -при разрешении допуска приложения в сеть, ставится галочка "запомнить настройки для этого приложения". При следующем выходе в сеть этим приложением, снова следует вопрос, -разрешить, или, запретить доступ в сеть.(

Вчера, качнул Agava FireWall. Не ставил ещё, не тестил. Оба бесплатные.
Аватара пользователя
petcheneg
Приезжий
 
Сообщения: 5
Зарегистрирован: Сб июн 09, 2007 12:15 am
Откуда: Nakhodka

Сообщение Север » Пн июн 18, 2007 1:25 am

Привет Андрей.

Попробуй BlackICE 3.6 (Чёрный лёд)

BlackICE - фаер с несколькими уникальными опциями. Во-первых, он отличается от других файрволлов тем, что пытается получить о взломщике максимально возможную информацию; во-вторых, в программе имеется уникальная система обнаружения вторжений, включающая в себя внимательнейший анализ трафика на предмет нахождения характерных для взлома "признаков". Программа тоже зависит от сигнатур, но СПОСОБНА ЗАБЛОКИРОВАТЬ всё то, "чего нет" в сигнатурах - это позволяет выявить атаки, которых не могут обнаружить другие файрволлы !!!
Другими словами - при попытке установления несанкционированного соединения BlackIce “проглатывает” пакет данных, ответственный за установку соединения, в результате создается впечатление, что компьютера с таким IP-адресом нет.
Никаких навязчивых окон с сообщениями об атаках, разработчики сделали замечательную вещь - при обнаружении атаки или сканировании раздаётся звуковой сигнал, это очень удобно ! "Переодическое" звуковое уведомление - знаем, что прога "работает"!
Кроме этого, BlackICE проводит мониторинг активности приложений и определяет инжекцию (проверено), что позволяет пресекать любые насканкционированные действия с их стороны.

Скачать BlackICE 3.6

http://download.iss.net/eval/bipcprotec … PSetup.exe
http://www.stels27.narod.ru/000/BICE3.6rus.zip
http://www.stels27.narod.ru/000/BICEkey.zip
ключ до 2016 года(потестить думаю хватит)
----------------------------------------------
http://www.stels27.narod.ru/000/BIRemove.zip
Специально для удаления BlackICE
Запустить из любого места даже при
работающем фаере. Сам закроет
и почистит ключи и т.п.

Настройки не очень простые, но для тебя дело плевое.. :)
Сижу на нем уже недели три, не нарадуюсь.

По поводу COMODO Personal FireWall: хорош, но не нравится мне, что он разработчикам инфу отсылает...И не заблокируешь...
Homo homini lupus est...
Аватара пользователя
Север
Приезжий
 
Сообщения: 24
Зарегистрирован: Пн июн 18, 2007 1:11 am
Откуда: г.Находка

Сообщение Char0Day » Пн июн 18, 2007 12:26 pm

Александр Северский,
Ну что ж, можно и глянуть. :) . Только сам знаешь, как со временем у меня тяжко бывает :)

И опять таки - только я отказался от "лекарственного" Winroute 6, так ты тут же на другую химию сажаешь :lol: (ключ до 2016 года).

А я пока дома через NAT хожу. А на шлюзе - Linux с фаером, так что проблем не знаю пока. :yes:
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение vasap » Вс окт 07, 2007 3:12 pm

Char0Day писал(а):Вот сейчас буду тестить портированный под Windows ОпенБСДшный фаер
И еще один, FreeBSD'шный
Потом расскажу о впечатлениях. Smile
А я пока дома через NAT хожу. А на шлюзе - Linux с фаером, так что проблем не знаю пока. :yes:

Давай рассказывай о впечатлениях! ;)
Я дома шлюз держу на фрибсд+ipfw и шейпер на ipfw поднят. Использую безлимитный интернет с лимитом в 8 Кб на полную катушку :) Шлюз круглосуточно качет с тырнета всякие iso, avi и т.д. Шейпер настроен следующим образом - 90% отдается десктопной машине а 10% шлюзу при совместном использовании тырнета. Т.е. если я лезу в тырнет, то скорость закачки на шлюзе падает до минимума, а если я ничего не качаю, то скорость закачки на шлюзе опять поднимается до максисмума.
Если интересует - могу скинуть пример настройки шейпера ;)
vasap
Приезжий
 
Сообщения: 35
Зарегистрирован: Вс окт 07, 2007 2:50 pm
Откуда: Находка

Сообщение Char0Day » Пн окт 08, 2007 8:11 am

vasap, Скинь, конечно. Хотя у мя на шлюзе федора. Однако, если когда-нибудь руки дойдут - переставлю на фряху шлюз свой. У тебя 6.2 версия? На конфиг посмотрю, может, чего на iptables такого сварганить получится. Но по моему, там не так гибко, как в ipfw.
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение Aroch » Пн окт 08, 2007 4:18 pm

Север, разбираться в нем абсолютно не нужно, сам все делает. А вот качать с народа вряд ли кто станет по твоим ссылкам, я бы не стал, уж лучше с оф. сайта и потом если уж жаба давит найти ключ.
Boku wa naze kaze no you ni kumo no you ni ano sora e to ukabu hane ga nai naze... [Trinity Blood]
Аватара пользователя
Aroch
Смотритель
 
Сообщения: 177
Зарегистрирован: Ср сен 19, 2007 8:57 am
Откуда: Nakhodka

Сообщение vasap » Пн окт 08, 2007 10:20 pm

Char0Day, вот кусок из rc.conf (для чего он ужен напишу ниже):

=========<cut here>============
### PPPoE
ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES"
ppp_profile="DSL-VPN"

### IPFW & NAT
firewall_enable="YES"
firewall_type="OPEN"
firewall_quiet="YES"
firewall_script="/etc/ipfw.conf"
=========<end cut>=============

а вот кусок из /etc/ipfw.conf

=========<cut here>============
fwcmd="/sbin/ipfw " # бинарник IPFW

if_out="tun0" # Внешний интерфейс PPPoE
if_in="rl0" # внутренняя сетевуха
ip_in="192.168.0.0/24" # Внутренняя сеть

# Этот скрипт определяет динамический IP адрес внешнего PPPoE интерфейса
# именно по этой причине сначала создаем PPPoE соединение а потом пускаем
# фаервол
ip_out="`ifconfig tun0 | awk '/inet/ {sub(/addr:/,"",$2); print $2}'`"

# сбрасываем все правила
${fwcmd} -f flush
# сбрасываем все pipe
${fwcmd} -f pipe flush
# сбрасываем очереди
${fwcmd} -f queue flush

# Настройка шейпера:
# описание канала, который будем распределять между клиентом и сервером
${fwcmd} pipe 10 config bw 64Kbit/s
${fwcmd} add pipe 10 all from any to any via tun0

# настройка очередей с приоритетом 10% и 90% от толщины канала
${fwcmd} queue 10 config pipe 10 weight 10
${fwcmd} queue 20 config pipe 10 weight 90

# распределение канала между пользователями
${fwcmd} add queue 10 all from any to ${ip_out} via tun0
${fwcmd} add queue 20 all from any to 192.168.0.2 via tun0
=========<end cut>=============

Но рекомендую PPPoE поднять на модеме (у самого все руки не доходят) - замечен странный баг: если у ДС падает сервер VPN авторизации, то ssh на шлюзе тормозит при аутентификации пользователя. Приглашение на ввод пароля порой приходится ждать около 3х минут...
vasap
Приезжий
 
Сообщения: 35
Зарегистрирован: Вс окт 07, 2007 2:50 pm
Откуда: Находка

Сообщение Char0Day » Вт окт 09, 2007 9:40 am

vasap,
Спасиб, вроде так навскидку нарыл, что можно и на iptables шейпер сделать с помощью iproute2. Но пока не делал, ибо ВРЕМЯ со мною строго обращается :) . Хотя очень полезно, а то когда и забудешь на ночь закачку на шлюзе поставить, а днем надо приоритет серфингу отдавать, а не закачкам. :)

Но рекомендую PPPoE поднять на модеме (у самого все руки не доходят) - замечен странный баг: если у ДС падает сервер VPN авторизации, то ssh на шлюзе тормозит при аутентификации пользователя. Приглашение на ввод пароля порой приходится ждать около 3х минут...

В смысле, когда ты стучишься по ssh с локалки (не снаружи)? странно...
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение vasap » Ср окт 10, 2007 8:16 am

Char0Day писал(а):vasap,

Но рекомендую PPPoE поднять на модеме (у самого все руки не доходят) - замечен странный баг: если у ДС падает сервер VPN авторизации, то ssh на шлюзе тормозит при аутентификации пользователя. Приглашение на ввод пароля порой приходится ждать около 3х минут...

В смысле, когда ты стучишься по ssh с локалки (не снаружи)? странно...


Именно с локалки. Когда коннекта нет - снаружи недостучаться
vasap
Приезжий
 
Сообщения: 35
Зарегистрирован: Вс окт 07, 2007 2:50 pm
Откуда: Находка

Сообщение Char0Day » Ср окт 10, 2007 1:59 pm

vasap,
Может, у компа все ресурсы отъедаются на попытки восстановить pppoe коннект?
top в таких случаях что говорит? Может, покажет нагрузку большую за последние 1 или 5 минут, если сразу после такого проверить?

P/S/ Только вчера на безлимитке отваливался у них pppoe-сервер вечером. Поддержка достала. Каждый раз объясняешь женщине, что мой модем законнекчен с их dslam'ом и не в отвале, и что мне не нужно пересоздавать pppoe-соединение, потому что у меня оно поднято on-demand на модеме и что это проблема не у меня. Утомляет... А их,наверное, еще больше утомляют ежеминутные звонки от разных абонентов. :)
Вот у меня такое подозрение, что может быть это не их pppoe-сервер летает, а внешний интерфейс dslam'а?. Иначе тогда-бы они быстрее траблы исправляли, так ка их кучами бы абоненты доставали.
При стандартных траблах таких, модем выдает:
Can not reach ppp server, а это может быть и отвалившийся сетевой интерфейс и какая-нибудь зависшая промежуточная железяка-маршрутизатор (как у них там это все устроено, покрыто завесой тайны :-) )
Char0Day
Горожанин
 
Сообщения: 500
Зарегистрирован: Пн июл 24, 2006 1:34 pm
Откуда: г. Находка

Сообщение vasap » Ср окт 10, 2007 8:43 pm

Char0Day писал(а):vasap,
Может, у компа все ресурсы отъедаются на попытки восстановить pppoe коннект?
top в таких случаях что говорит? Может, покажет нагрузку большую за последние 1 или 5 минут, если сразу после такого проверить?

Возможно, в выходные если упадет при мне посмотрю топом

Char0Day писал(а):P/S/ Только вчера на безлимитке отваливался у них pppoe-сервер вечером. Поддержка достала. Каждый раз объясняешь женщине, что мой модем законнекчен с их dslam'ом и не в отвале, и что мне не нужно пересоздавать pppoe-соединение, потому что у меня оно поднято on-demand на модеме и что это проблема не у меня. Утомляет...

У меня как-то было: звоню - говорю у меня тырнет не работает! Мне - какой номер ошибки? Я говорю - нет у номера ошибки - Назовите номер ошибки иначе наши специалисты не смогут вам помочь...
Пришлось девушке под диктовку ppp.log записывать =)

Char0Day писал(а): А их,наверное, еще больше утомляют ежеминутные звонки от разных абонентов. :)

Тяжела доля тех. суппортов:
И такая дребедень целый день!
То корова позвонит, то олень.

Char0Day писал(а):Вот у меня такое подозрение, что может быть это не их pppoe-сервер летает, а внешний интерфейс dslam'а?. Иначе тогда-бы они быстрее траблы исправляли, так ка их кучами бы абоненты доставали.
При стандартных траблах таких, модем выдает:
Can not reach ppp server, а это может быть и отвалившийся сетевой интерфейс и какая-нибудь зависшая промежуточная железяка-маршрутизатор (как у них там это все устроено, покрыто завесой тайны :-) )

Мне кажется это симптомы банальной перегрузки сети. А учитывая их новую акцию - заплати 1000 и получи ДСЛ... Ничего хорошего из затеи маркетологов не получится имхо
vasap
Приезжий
 
Сообщения: 35
Зарегистрирован: Вс окт 07, 2007 2:50 pm
Откуда: Находка

Сообщение Север » Чт окт 11, 2007 1:26 am

Aroch писал(а):Север, разбираться в нем абсолютно не нужно, сам все делает. А вот качать с народа вряд ли кто станет по твоим ссылкам, я бы не стал, уж лучше с оф. сайта и потом если уж жаба давит найти ключ.

Извини конечно, чувствую проффи...
Но, я не понял в чем не нужно разбираться?
А вообще ты прав, с сайта "народовского" качать можно не все и не всем..
Homo homini lupus est...
Аватара пользователя
Север
Приезжий
 
Сообщения: 24
Зарегистрирован: Пн июн 18, 2007 1:11 am
Откуда: г.Находка

Сообщение Aroch » Пн окт 15, 2007 3:14 pm

Север, не нужно разбираться в самой программе, все уж слишком просто -) разве только объяснить новичку суть application protection который идет вместе с ним.
з.ы. в защите серверов, далеко не проффи, заблуждаетесь )
Boku wa naze kaze no you ni kumo no you ni ano sora e to ukabu hane ga nai naze... [Trinity Blood]
Аватара пользователя
Aroch
Смотритель
 
Сообщения: 177
Зарегистрирован: Ср сен 19, 2007 8:57 am
Откуда: Nakhodka

Сообщение Север » Пн окт 15, 2007 6:33 pm

Aroch, ну для защиты сервера BlackICE вряд ли подойдет..Для компа простого обывателя, самое то.
Говоря простыми словами, это фаер или программа выступающая как дополнение к стенке и блокирующая нападающего на основе правил-сигнапур. Только не как обычно, а ну скажем ведет себя как подающаяся нападению машина, вроде ну во-вот(типа ощущения хака), а потом просто исчезает из поля видимости нападавшего..
Т.е. хорошая вещь для обычного пользователя ПК, "поставил и забыл".
В общем, от малолетних гением хацкеров спасает прекрасно. :)

Тут в теме особо не распишешь Char0Day был нужен вообще бесплатный фаер, так собственно единственный нормальный вариант COMODO и есть, но тяжеловат собака... Поскольку уже и Jetico стал платным.
Homo homini lupus est...
Аватара пользователя
Север
Приезжий
 
Сообщения: 24
Зарегистрирован: Пн июн 18, 2007 1:11 am
Откуда: г.Находка


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron