да, точно, запамятовал, что удаленный порт, а локальные те же, да по удп.. Но, с другой стороны, учитывая размер стека портов, насколько эти глюки вероятны.. да и обычный рефреш дело решит если что..
bredonosec Ну да будешь каждый раз рефрешить. И то не поможет.
Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз. Сама программа вообще не знает какой порт откроется, а получает его в качестве параметра возврата из процедуры.
Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
А на каком уровне работает МАС, позвольте поинтересоваться?
MAC адреса - это адреса канального уровня. Пэтро
Цитата
Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
Нам же нужно не перекрывать их совсем, а перекрывать новые соединения, которые приходят к нам из внешнего мира на эти порты. В таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.
Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз.
- насколько глядел логи, первое соединение с сетью - удп по 1026 порту.(на 53 - днс), после чего ТСР на 1027 и т д На порт 1024 или 1025 почему-то ни разу не попадалось. (попробую поискать среди старых логов - может, где и был такой.... )
alexk
Цитата
MAC адреса - это адреса канального уровня.
Угу Что и требовалось доказать. И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?
Цитата
таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.
- точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.) Моя стена также это имеет.
Да, как обещал, *относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534
И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?
читай выше:
Цитата
можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя
Цитата
точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.)
Проверка идет не только при приеме пакета извне, но и при открытии нового соединения с твоего компьютера, что в экстренных ситуациях помогает против червей, создающих с десяток новых соединений с твоего адреса.
можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя
- ну конкретизируй же наконец ) Жду не дождусь, еще ответ забуду, который заготовил на твой будущий ответ
Цитата
но и при открытии нового соединения с твоего компьютера,
- возможно, не ставил себе троев и не проверял Хелп говорит так:
Цитата
** Firewall falls into a class of firewalls called Stateful Inspection Firewalls. Stateful inspection firewalls overcome the limitations of packet filter firewalls and application-proxy servers. They examine more than just the "to" and "from" addresses, and do not require a proxy for every application being accessed. Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses. For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host. Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic, making them inherently fast.
Да, проверил логи - ну точно 1024,1025 не юзаются.. весело.. Вот лог сразу после включения сегодня.
- ну конкретизируй же наконец ) Жду не дождусь, еще ответ забуду, который заготовил на твой будущий ответ
Конкретно это обозначает поставить сетевой карте чужого компьютеру твой айпи и установить твой мак-адрес на этой же сетевой карте (смотрящей в твой сегмент сети). Без использования vpn соединения получается потрясающий эффект твоего компьютера
поставить сетевой карте чужого компьютеру твой айпи и установить твой мак-адрес на этой же сетевой карте (смотрящей в твой сегмент сети).
Превосходно. Итак, постановка того же ИПа выбрасывает "обнаружен конфликт с хардварей имеющей адрес /мой ИП/. Работа при этом идет как и ранее. /проверено на практике и неоднократно/ Установка нового МАС-а возможна только на карточках от трех фирм (лень ща лезть искать названия, запомнил только что их три). На остальных это дело не пролазит. /опять же, проверено на практике/
Цитата
Без использования vpn соединения получается потрясающий эффект твоего компьютера
- Даже если все условия соблюдены и злоумышленник воспринимается за локальный адрес, опять же, пропускаются только пакеты, явно разрешенные правилами для меня. И никаких специфических или кривых. Ибо неположено. А с жалкими 1024-5000 / 80 +21/20; 53(днс), да еще парочкой многого не сделаешь. Даже эффективно посниффить через АРП (изобразив из себя ложный сервер) не получится, бо он запрещен, а таблица статическая. Не говоря уж о пофлудить.
А теперь покажи, как ты сможешь достичь аналогичного эффекта стандартной виндовой стенкой (встроенной). Слушаю внимаетльно )
Итак, постановка того же ИПа выбрасывает "обнаружен конфликт с хардварей имеющей адрес /мой ИП/. Работа при этом идет как и ранее. /проверено на практике и неоднократно/
Если менять только айпи - то да, но почитай - я говорю об одновременной замене айпи и мака.
Цитата
Установка нового МАС-а возможна только на карточках от трех фирм (лень ща лезть искать названия, запомнил только что их три)
На вскидку dlink surecom 3com intel via/nvidia встроенные Это уже сколько? И это, заметь, только под win32, именно из-за ограничений драйверов, а не аппаратных возможностей карточки, под linux/unix этот список будет неизмеримо больше, т.к. ioctl SIOCSPHYSADDR пока никто не отменял.
Цитата
- Даже если все условия соблюдены и злоумышленник воспринимается за локальный адрес, опять же, пропускаются только пакеты, явно разрешенные правилами для меня.
Он воспринимается не как локальный адрес, локальные пакеты вообще в сеть ходить не должны, а как шлюз, которому твой компьютер полностью доверяет. Сеть - это как минимум 2 системы
Цитата
А теперь покажи, как ты сможешь достичь аналогичного эффекта стандартной виндовой стенкой (встроенной).
Приехали, уже забыли, с чего начинали? Не про виндовую стенку речь, а про то, что супер-пупер фаервол от недостатков канального уровня все равно не спасет.
Возможно, со времени той инфы, добавилось моделей.
Цитата
а как шлюз, которому твой компьютер полностью доверяет.
- шлюз - имеется в виду гейт или что? Если гейт для выхода в инет, то как и сказал, никакого "беспредельного" доверия. И адрес тогда не мой, а гейта. И воздействовать на это проще: если юзер - звонок админу, если сам админ - просто отрубаешь провода ("домашняя" локалка - на несколько домов), если предприятие - + начальству и любуешься зрелищем. Если же, опять же, имеется в виду мой адрес, то никаких "беспредельных доверий". Это только у виндовой встроенной такие глюки (или еще у чего-то, чем не пользовался). Только то, что явно разрешено. Проверено жизнью в опасной зоне
Цитата
Приехали, уже забыли, с чего начинали? Не про виндовую стенку речь, а про то, что супер-пупер фаервол от недостатков канального уровня все равно не спасет.
Начинали с того, что ты заявил, будто виндовая стенка абсолютно достаточна и предпочтительна. (см стр. 2) Вот мне и интересно стало, как она станет делать всё, упомянутое выше.