Консультация по грамотной настройке фаерволов

[IvanGT]

покажи правила и скажи что тебе надо от керио?
или речь про Kerio Personal firewall?

речь по KerioWinRouteFirewall
закрытые порты 135, 445
разрешенные службы
DNS, DHCP, FTP, http, https, pptp, DC++

По умолчанию создается правило блокирующее ВСЕ в любом направлении которое работает после всех правил в которые не вошли данные службы\порты. Есть подозрение что зараза лезет через другие дырки.

 

[IvanGT]

можно ли привязать определенный сайт к определенному сетевому интерфейсу? Например www.is74.ru привязать к интерфейсу "is" а не к интерфейсу "интернет"

 

[Dis]

речь по KerioWinRouteFirewall
закрытые порты 135, 445
разрешенные службы
DNS, DHCP, FTP, http, https, pptp, DC++

По умолчанию создается правило блокирующее ВСЕ в любом направлении которое работает после всех правил в которые не вошли данные службы\порты. Есть подозрение что зараза лезет через другие дырки.

я имел ввиду картинку. это ты думаешь что они закрыты возможно
и о какой заразе речь?ты сетовал что не прошел тест прогарммы с 2ip, так если у тебя разрешен http, то керио пустит любую програмум если она будет обрашться по 80 порту. это серверный а не персональный фаервол. для дома он не нужен, и бесполезен. если нечно ты нераздаеш им инет.
в этом случае у меня было разрешено только dns и синхронизация времени для самого хоста фаервола.и за этим копом никто не сидел.

длжен создаваться отчет о сетевой активности и о заблокированных приложениях, я хочу знать что надо закрыть что бы мой керио успешно прошел данную проверку.

об этом речь? чтобы пройти тест закрой 80 порт. но тогда у тебя и браузилка не зайдет в инет.
кстати керио и онлайн проверку не пройдет (от outpost например) т.к. на скан портов не реагирует никак кроме того что своих логах напишет что тебя скнят.

можно ли привязать определенный сайт к определенному сетевому интерфейсу? Например www.is74.ru привязать к интерфейсу "is" а не к интерфейсу "интернет"

можно. таблицы роутинга смотри.


пишеш соответственно:
сеть 78.29.0.0
маска 255.255.254.0
чтобы привязать не все ИС ресурсы а только 1 сайт задаеш сеть: ip сайта (is74.ru 78.29.0.254, city.is74.ru 78.29.0.251). маска 255.255.255.255
интерфейс выбираеш ИС
шлюз: свой для подсети (10.48.144.1 например)
метрика 1
галку поствь (статический маршрут) и имя любое.

 

[Dis]

Для Dis
svchost.exe, мать-services.exe
Destination:127.0.0.1 port any;TCP IN/OUT; Allow
Destination:xx.xxx.xx.xx-xx.xxx.xx.xx;port 53(DNS);UDP OUT;Allow
Destination: any; port 80;TCP Out;allow

Заметьте что адреса DNS сервера желательно прописать точные.

а зачем? я вот посмотрел это можно и в аутпосте сделать, да и в любом (ни один просто этого поумолчанию не предлагает). у меня бук и иногда я от ис отключаюсь, иногда ис лежит и я сижу на скайлинке, иногда на gprs.
и как тогда быть? по моему это сильно муторно, хотя и безопаснее.
можно конечно пользовать openDNS, а не ис сервер.... кстати идея пища для моей паранои.

добавлено
в аутпосте за днс отвечает 2 системных правила и туда можно явно прописать адреса днс. того же OpenDSN. это будет правильнее и менять удобно при необходимости.
по умолчаню там прописаны адрес аднс из настроек интерфейсов.

 

[IvanGT]

можно. таблицы роутинга смотри.

пишеш соответственно:
сеть 78.29.0.0
маска 255.255.254.0
чтобы привязать не все ИС ресурсы а только 1 сайт задаеш сеть: ip сайта (is74.ru 78.29.0.254, city.is74.ru 78.29.0.251). маска 255.255.255.255
интерфейс выбираеш ИС
шлюз: свой для подсети (10.48.144.1 например)
метрика 1
галку поствь (статический маршрут) и имя любое.

а как привязать все ИС ресурсы,ю то есть все сайты ИС, их производный и виртуальный город

 

[Dis]

а как привязать все ИС ресурсы,ю то есть все сайты ИС, их производный и виртуальный город

именно так как я написал выше:
сеть 78.29.0.0
маска 255.255.254.0
интерфейс выбираеш ИС
шлюз: свой для подсети (10.48.144.1 например)
метрика 1
галку поствь (статический маршрут) и имя любое.

этот маршрут ты должен по идее получить от DHCP. я думаю что для доступа юзеров за фаерволом к этим ресурсам нужно добаивть еще одно првило:
пользователи-интерфейсИС (либо прямо диапазон подсети ресурсов указать 78.29.0.0\255.255.254.0)-все-разрешить-(логи по вкусу)-инспекторов не задавать.

 

[IvanGT]

жа ты аправ, даннае маршруты там есть по "умолчанию" так что я там ничего не менял. Нг как гни работают?

 

[ogl]

а зачем? я вот посмотрел это можно и в аутпосте сделать, да и в любом (ни один просто этого поумолчанию не предлагает).

Задать ДНС можно в любом фаерволе..

у меня бук и иногда я от ис отключаюсь, иногда ис лежит и я сижу на скайлинке, иногда на gprs.
и как тогда быть? по моему это сильно муторно, хотя и безопаснее.
можно конечно пользовать openDNS, а не ис сервер.... кстати идея пища для моей паранои.

А как Вам мысль создать несколько конкретных конфигураций и переключать при необходимости?
Аутпост это позволяет сделать.

 

[Dis]

жа ты аправ, даннае маршруты там есть по "умолчанию" так что я там ничего не менял. Нг как гни работают?

создать правило полагаю. я выше писал какое.

 

[Anfauglir]

Стоит Виндоус Виста Ультимэйт х64 СП1 и Есет Смарт Секьюрити 3.0.669.0. Как сделать что бы Есет не спрашивал меня каждый раз при установке связи (включении интернета):

Приожение, запущенное на локальном компьютере, пытается установить связь с удаленным компьютером. Разрешить?

Когда была Виндоус ХП, надо было один раз поставить галочку Запомнить действие (создать правило) и нажать разрешить. На Висте это не срабатывает, каждый раз снова спрашивает.

 

[ogl]

Стоит Виндоус Виста Ультимэйт х64 СП1 и Есет Смарт Секьюрити 3.0.669.0. Как сделать что бы Есет не спрашивал меня каждый раз при установке связи (включении интернета):.....

ИМХО
С ESS правильно сделать так:
-переустановить на новую версию, там пофиксили баги фаервола
-при установке выбрать Пользовательскую установку
- выбрать Интерактивный режим,
если сделать именно так, ESS не создаст несколько неудаляемых правил, которые очень неудобно обходить...
-сразу после окончания установки, не запуская никаких прог. и подключений, открыть прогр.+F5+фаервол+зоны и правила+ настройки + подробный режим и создать правило:
VPN (или любое др. название)-любое направление -разрешить-протокол GRE & ESP- локальный и удалённый любые
- только теперь открывать и создавать...
[url=ed2k://|file|ESET%20Smart%20Security%20Home%20Edition%2032-bit%20v3.0.684%20rus.rar|24546602|01FF382EC17D6E086ECB97C68B50C645|h=LAXAEHPZN445CTKDDVCKKADUL4D44PNY|/]ESET Smart Security Home Edition 32-bit v3.0.684 rus.rar 23.41 Мб 48.[16-19][/URL]
Блин, только сейчас увидел, что у Вас х64 ))) Ну, в осле есть.

 

[Dis]

жа ты аправ, даннае маршруты там есть по "умолчанию" так что я там ничего не менял. Нг как гни работают?

проверяй правила. у меня такие (дополнительных маршрутов не понадобилось)

 

[ogl]

Вчера, так и не смог подключить vlc player к ip-tv ИС,
конфигурация : KAV + Outpost 2009... (ну вот хочется человеку так!)
Понятно, что каспер не причём, не его это задача...
А Outpost перерыл на два круга, прописанных, как на стр ИС, правил не хватает...
"Разрешите в конфигурации Вашего бандмауэра/файрволла любой входящий трафик на адрес 239.255.255.255 по протоколу UDP (на любой порт), а также любой входящий трафик на порт 1234 протокола UDP (на любой IP-адрес)."
В детекторе атак нашел предустановленную блокировку порта 1234, всё равно чего-то ещё нет...
Что ещё подключить - разрешить?

 

[BlackHawk]

Вчера, так и не смог подключить vlc player к ip-tv ИС,
конфигурация : KAV + Outpost 2009... (ну вот хочется человеку так!)
Понятно, что каспер не причём, не его это задача...
А Outpost перерыл на два круга, прописанных, как на стр ИС, правил не хватает...
"Разрешите в конфигурации Вашего бандмауэра/файрволла любой входящий трафик на адрес 239.255.255.255 по протоколу UDP (на любой порт), а также любой входящий трафик на порт 1234 протокола UDP (на любой IP-адрес)."
В детекторе атак нашел предустановленную блокировку порта 1234, всё равно чего-то ещё нет...
Что ещё подключить - разрешить?

попробуй разрешить любой трафик с адресом 239.255.255.255 и любой трафик по 1234 udp
еще у аутпоста прогу внеси в список доверенных и поставь галочку чтобы не проверял ее активность(не помню что и где, но что-то такое там вроде было)
ну и у Каспера тоже добавь в доверенные

 

[ogl]

попробуй разрешить любой трафик с адресом 239.255.255.255 и любой трафик по 1234 udp

Это-то я сразу сделал - мало

...еще у аутпоста прогу внеси в список доверенных и поставь галочку чтобы не проверял ее активность(не помню что и где, но что-то такое там вроде было)

Я Outpost пользовался со 2 по 3,5 версию, там так...
А эта- 6,5 тут нет доверенных или пользовательский ... :idontno:

 

[_BIZONE_]

А обновления есть????

 

[Dis]

Вчера, так и не смог подключить vlc player к ip-tv ИС,
конфигурация : KAV + Outpost 2009...
В детекторе атак нашел предустановленную блокировку порта 1234, всё равно чего-то ещё нет...
Что ещё подключить - разрешить?

в системных правилах есть блокировать IGMP. разреши его.

 

[NightCrawler]

Скажите, есть ли какие-либо универсальные настройки для Outpost в ИС? А то случается так, что Аутпост блокирует соединение и иногда довольно некстати.
Вообщем если я устанавливаю правила для svchost, то емул работает, а потом неожиданно выключатся. Разрешаю полную активность svchost - осел включается, работает, но потом снова неожиданно выключается. И так не работает и эдак. Может правила неправильно устанавливаю? Какие нужно?

 

[zer0day]

Скажите, есть ли какие-либо универсальные настройки для Outpost в ИС? А то случается так, что Аутпост блокирует соединение и иногда довольно некстати.
Вообщем если я устанавливаю правила для svchost, то емул работает, а потом неожиданно выключатся. Разрешаю полную активность svchost - осел включается, работает, но потом снова неожиданно выключается. И так не работает и эдак. Может правила неправильно устанавливаю? Какие нужно?

+1000000

 

[маска]

Вчера, так и не смог подключить vlc player к ip-tv ИС,
конфигурация : KAV + Outpost 2009... (ну вот хочется человеку так!)
Понятно, что каспер не причём, не его это задача...
А Outpost перерыл на два круга, прописанных, как на стр ИС, правил не хватает...
"Разрешите в конфигурации Вашего бандмауэра/файрволла любой входящий трафик на адрес 239.255.255.255 по протоколу UDP (на любой порт), а также любой входящий трафик на порт 1234 протокола UDP (на любой IP-адрес)."
В детекторе атак нашел предустановленную блокировку порта 1234, всё равно чего-то ещё нет...
Что ещё подключить - разрешить?

в глобальных правилах надеюсь прописывал и чем выше стоит правило тем у нее более главный приоритет.у мну стоят оутпост 2008 какаято там версия а это наверно 2009-его непробовал на вкус