Консультация по грамотной настройке фаерволов

Начну, пожалуй, с самого востребованного (имхо): руководства по правильной настройки Agnitum Outpost.
Я не буду детально все расписывать, дам лишь общие рекомендации. Это больше не руководство, а сборник советов Подробности можете спросить в этой теме :)

1. удаляйте вашу предыдущую конфигурацию (ессно ее на всякий случай лучше сохранить)


2. параметры->системные->настройка лок. сети
снимите все галочки. netbios вам не нужен (фтп безопаснее), а доверять всему диапазону подсети - абсурд

3. приложения
чтобы все было "правильно", сделайте так:
- параметры->приложения
уберите оттуда все записи (если вдруг "автонастройщик" их вам оставил)
- переведите файрволл в режим "обучение"
- совершите ваши обычные действия (т.е. лок. сайты, инет. сайты, осел, фтп и т.п.)
- отвечайте на всплывающие окошки в соответствии с здравым смыслом, т.е. разрешайте только то, что вам нужно.
- после того как вы это сделали, переведите файрволл в режим "блокировать"
- если у вас появится новое приложение, добавляйте вручную

общие советы:
-никогда не "доверяйте" приложениям, лучше пихайте их в "пользовательский" уровень и разрешайте только те порты, которые ему нужны
-закрывайте неиспользуемые порты. у среднего юзера их должно быть около 10
-закройте вообще все порты после 1024 по всем протоколам :) оставьте только ослика и irc
-SSH,Remote desktop и прочая "ерунда" вам врядли понадобиться. закрывайте :)
-протокол udp очень уязвим, чем меньше в нем открытых портов, тем лучше

p.s. последнее - лучше не пользоваться "готовыми конфигурациями" - неизвестно, кто их писал
p.p.s напомню - можете здесь проконсультироваться
 
C

Crying Devil Dante

Чет пришло в голову на эту тему, раньше не задумывался, поидее порты аутпост блокирует, ну а если открытые порты есть, то каждый открытый в параметрах-системные-глобальные параметры и доступк роусокетс - там создавать правило?может есть способ быстрее?
 
Диапазоны легче блокировать :) а так - нет. только ручками, или в конфиге ctrl+c/v :)
 
cовет навеян сегодняшнями сканами:

подключаемые модули -> детектор атак -> свойства -> блокировать атакующего на [] минут.

Здесь не жадничайте - ставьте что нить типа "999999" :)
 
D

djmaxtor

cовет навеян сегодняшнями сканами:

подключаемые модули -> детектор атак -> свойства -> блокировать атакующего на [] минут.

Здесь не жадничайте - ставьте что нить типа "999999" :)

я раньше так и делал, но последний месяц у меня постоянно вылезаю nuke и rst атаки с аськиного ip. естественно аутпост блокирует аську, а это для меня недопустимо. в чем дело разобраться так и не смог. пришлось понизить время блокировки до 3х мин).

причом аськин порт и ip я добавил в список исключений детектора атак а он всеравно блокирует.
 

gureedo

Самец :)
к примеру Internet Security Accelerator работает по UDP, никуда от не денешься. полностью жить без UDP невозможно имхо
 
он ставит открытые порты?
жить, конечно, невозможно, но протокол небезопасный - факт.
 

NIK

Ословед
Вижу в полку знатоков файрволов прибыло. Расскажите как у вас настроено правило для VPN соединения по протоколу PPPoE: какое приложение в каком направление по какому протоколу и т.п.
 

Mironov Ivan

Ословед
Вижу в полку знатоков файрволов прибыло. Расскажите как у вас настроено правило для VPN соединения по протоколу PPPoE: какое приложение в каком направление по какому протоколу и т.п.
Насколько я знаю, PPPoE идёт ниже IP, так что TCP и UDP файрволы не должны мешать _самому_ соединению.
 

Юдж

Ословед
Как снять в Outpost блокировку транзитных пакетов? Не могу зайти ни на один FTP.

n/a TCP 192.168.139.254 FTP local:192.168.110.171 2530 Блокировать транзитные пакеты ИСХ БЛОКИРОВАНО 17:48:10 15 сек. 0 байт 0 байт 0 байт/с ---
 
Поставил Аутпост
И появилось несколько вопросов
1)Как сделать так шоп работало впн соединение? (чо и кому разрешить?)
2)Там где показывается сетевая активность приложений есть чудо-зверь - n/a
3)139 порт - подробности на картинке
 
впн соединение не хочет устанавливаться только при включенном модуле Детектор Атак, если его вырубить, то все норм.
 
1)Как сделать так шоп работало впн соединение? (чо и кому разрешить?)
впн соединение не хочет устанавливаться только при включенном модуле Детектор Атак, если его вырубить, то все норм.
Разрешить РРТР до vpn.is74.ru , vpnN.is74.ru (где N = 1 to 7)
и занести в исключения Детектора атак, чтобы не рвал vpn при блокаде IP

139 порт - подробности на картинке
если качаешь файлы с нетшаринга, то нужно разрешить на исходящий.
Входящий чреват для системы без установленных обновлений от МС

к примеру Internet Security Accelerator работает по UDP
А вот тут подробнее можно, для тех кто на бронепоезде?
Ей нужен TCP 3847, который можно разрешить только из внутренней локали.
К тому же задается IP или диапазон IP который может иметь доступ
к настройке ISA из вне (если уж так хочется порулить ей сидя с пивом на даче)
UDP это кусок консоли MS, который можно смело пнуть
 

Robert Manson

Ословед
Не получается настроить файрвол (OutPost). Ситуация: есть 2 компьютера, один из них подключен к ис, второй использует первый как шлюз (соединение "Мост"). Раньше при включенном соединении с 2 компьютером сеть вообще не работала. Сейчас отключил NetBios, и мой 1-ый комп работает с сетью нормально. Кто что может сказать по этому поводу? + В запрещенных постоянно пишет про какие-то "Транзитные пакеты" и то что они заблокированы, как это исправить?
 

Dr.daiFen

Ословед
-закрывайте неиспользуемые порты. у среднего юзера их должно быть около 10
-закройте вообще все порты после 1024 по всем протоколам :) оставьте только ослика и irc
-SSH,Remote desktop и прочая "ерунда" вам врядли понадобиться. закрывайте :)
-протокол udp очень уязвим, чем меньше в нем открытых портов, тем лучше

у меня показывает 23 открытых порта как закрыть не знаю

протокол udp где настраивается
 

Юдж

Ословед
Не получается настроить файрвол (OutPost). Ситуация: есть 2 компьютера, один из них подключен к ис, второй использует первый как шлюз (соединение "Мост"). Раньше при включенном соединении с 2 компьютером сеть вообще не работала. Сейчас отключил NetBios, и мой 1-ый комп работает с сетью нормально. Кто что может сказать по этому поводу? + В запрещенных постоянно пишет про какие-то "Транзитные пакеты" и то что они заблокированы, как это исправить?

Параметры - системные - параметры сети (верхняя кнопка) - найти - сеть 192.168.1.0 (твой домашний LAN) ознаменовать галочкой "Доверенные".

P.S. Проверь настройки домашней сети. На 1 компе должны стоять IP 192.168.1.1, маска 255.255.255.0, шлюз 192.168.1.1.
На втором компе IP 192.168.1.2, остальное так же.
 
Сверху