Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (3) « Первая ... 2 3  ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> А какой ПЕРСОНАЛЬНЫЙ файрвол вы используете?, личные предпочтения
Eugene | Профиль
Дата 24 Сентября, 2005, 9:37
Quote Post



Юджин
Group Icon

Группа: VIP
Сообщений: 2047
Регистрация: 12.08.03
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


коннектится к порту 53
с порта 1024,1025,1026,1027 и тд
(пассивного сокета для приема данных от днс-сервера)


____________________
Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.
PMEmail Poster
1/5791   
bredonosec | Профиль
Дата 24 Сентября, 2005, 12:50
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


да, точно, запамятовал, что удаленный порт, а локальные те же, да по удп..
Но, с другой стороны, учитывая размер стека портов, насколько эти глюки вероятны.. да и обычный рефреш дело решит если что..


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
Пэтро | Профиль
Дата 24 Сентября, 2005, 23:46
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


bredonosec
Ну да будешь каждый раз рефрешить. И то не поможет.

Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз. Сама программа вообще не знает какой порт откроется, а получает его в качестве параметра возврата из процедуры.


Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
PMEmail Poster
3/20840   
alexk | Профиль
Дата 25 Сентября, 2005, 16:50
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


bredonosec
Цитата

А на каком уровне работает МАС, позвольте поинтересоваться?

MAC адреса - это адреса канального уровня.
Пэтро
Цитата

Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.

Нам же нужно не перекрывать их совсем, а перекрывать новые соединения, которые приходят к нам из внешнего мира на эти порты. В таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
1/13986   
bredonosec | Профиль
Дата 26 Сентября, 2005, 3:21
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз.
- насколько глядел логи, первое соединение с сетью - удп по 1026 порту.(на 53 - днс), после чего ТСР на 1027 и т д
На порт 1024 или 1025 почему-то ни разу не попадалось. (попробую поискать среди старых логов - может, где и был такой.... )

alexk
Цитата
MAC адреса - это адреса канального уровня.
Угу smile.gif Что и требовалось доказать. smile.gif
И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?
Цитата
таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.
- точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.) Моя стена также это имеет.

Да, как обещал,
*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534


(С)шапка темы Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)
/в сборке которой ваш покорный слуга принимал живейшее участие blush2.gif /

Добавлено в 03:22
Цитата
Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
- если не забуду, попробую прикрыть для эксперимента (ща не имеет смысла, всё одно стек ушел вперед) и скажу результаты.


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
3/12891   
alexk | Профиль
Дата 26 Сентября, 2005, 16:51
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


bredonosec
Цитата
И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?

читай выше:
Цитата

можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя

Цитата

точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.)

Проверка идет не только при приеме пакета извне, но и при открытии нового соединения с твоего компьютера, что в экстренных ситуациях помогает против червей, создающих с десяток новых соединений с твоего адреса.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
1/13986   
bredonosec | Профиль
Дата 27 Сентября, 2005, 1:41
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя
- ну конкретизируй же наконец smile.gif) Жду не дождусь, еще ответ забуду, который заготовил на твой будущий ответ bigwink.gif
Цитата
но и при открытии нового соединения с твоего компьютера,
- возможно, не ставил себе троев и не проверял smile.gif
Хелп говорит так:
Цитата
** Firewall falls into a class of firewalls called Stateful Inspection Firewalls.  Stateful inspection firewalls overcome the limitations of packet filter firewalls and application-proxy servers.  They examine more than just the "to" and "from" addresses, and do not require a proxy for every application being accessed.
Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses.  For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host.  Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic, making them inherently fast
.


Да, проверил логи - ну точно 1024,1025 не юзаются.. весело..
Вот лог сразу после включения сегодня.
Цитата
2005/09/26, 21:34:52.540, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=my_IP, dst=Gate_IP, sport=1026, dport=53
2005/09/26, 21:34:54.030, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1026, dport=53
2005/09/26, 21:34:54.850, GMT +0200, 2111, Device 1, Rule 78, Blocked incoming MAC packet, src=00-02-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:34:55.070, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=194.67.57.26, sport=1027, dport=80
2005/09/26, 21:34:56.660, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1028, dport=53
2005/09/26, 21:34:58.200, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1028, dport=53
2005/09/26, 21:34:59.250, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=194.67.23.157, sport=1029, dport=80
2005/09/26, 21:35:00.070, GMT +0200, 2111, Device 1, Rule 59, Blocked incoming MAC packet, src=00-50-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:35:00.070, GMT +0200, 2111, Device 1, Rule 59, Blocked incoming MAC packet, src=00-50-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:35:00.780, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1030, dport=53
2005/09/26, 21:35:01.060, GMT +0200, 2111, Device 1, Rule 59, Blocked incoming MAC packet, src=00-50-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:35:01.500, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1031, dport=53
2005/09/26, 21:35:01.990, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=194.67.23.157, sport=1032, dport=80
2005/09/26, 21:35:02.050, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1033, dport=53
2005/09/26, 21:35:02.320, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1030, dport=53
2005/09/26, 21:35:02.820, GMT +0200, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.59, dst=192.168.1.255, sport=137, dport=137
2005/09/26, 21:35:02.980, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1031, dport=53
2005/09/26, 21:35:03.360, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=81.222.128.13, sport=1034, dport=80
2005/09/26, 21:35:03.360, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1035, dport=53


Добавлено в 01:42
IP -ы и маки прикрыл. ибо нафиг.


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
1/12891   
Пэтро | Профиль
Дата 27 Сентября, 2005, 2:05
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
Да, проверил логи - ну точно 1024,1025 не юзаются.. весело..


Не юзаются т.к. открыты наверно. Какаянить программа эксплуатирует. Хотя я чесно говоря плохо представляю как UDP работает я больше по TCP
PMEmail Poster
1/20840   
alexk | Профиль
Дата 27 Сентября, 2005, 10:17
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


bredonosec
Цитата

- ну конкретизируй же наконец ) Жду не дождусь, еще ответ забуду, который заготовил на твой будущий ответ

Конкретно это обозначает поставить сетевой карте чужого компьютеру твой айпи и установить твой мак-адрес на этой же сетевой карте (смотрящей в твой сегмент сети). Без использования vpn соединения получается потрясающий эффект твоего компьютера lol.gif


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
2/13986   
bredonosec | Профиль
Дата 28 Сентября, 2005, 23:54
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
поставить сетевой карте чужого компьютеру твой айпи и установить твой мак-адрес на этой же сетевой карте (смотрящей в твой сегмент сети).

Превосходно.
Итак, постановка того же ИПа выбрасывает "обнаружен конфликт с хардварей имеющей адрес /мой ИП/. Работа при этом идет как и ранее. /проверено на практике и неоднократно/
Установка нового МАС-а возможна только на карточках от трех фирм (лень ща лезть искать названия, запомнил только что их три). На остальных это дело не пролазит. /опять же, проверено на практике/
Цитата
Без использования vpn соединения получается потрясающий эффект твоего компьютера
- Даже если все условия соблюдены и злоумышленник воспринимается за локальный адрес, опять же, пропускаются только пакеты, явно разрешенные правилами для меня. И никаких специфических или кривых. Ибо неположено.
А с жалкими 1024-5000 / 80 +21/20; 53(днс), да еще парочкой многого не сделаешь. Даже эффективно посниффить через АРП (изобразив из себя ложный сервер) не получится, бо он запрещен, а таблица статическая. Не говоря уж о пофлудить.

А теперь покажи, как ты сможешь достичь аналогичного эффекта стандартной виндовой стенкой (встроенной).
Слушаю внимаетльно smile.gif)


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
3/12891   
alexk | Профиль
Дата 29 Сентября, 2005, 13:19
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Цитата

Итак, постановка того же ИПа выбрасывает "обнаружен конфликт с хардварей имеющей адрес /мой ИП/. Работа при этом идет как и ранее. /проверено на практике и неоднократно/

Если менять только айпи - то да, но почитай - я говорю об одновременной замене айпи и мака.
Цитата

Установка нового МАС-а возможна только на карточках от трех фирм (лень ща лезть искать названия, запомнил только что их три)

На вскидку
dlink
surecom
3com
intel
via/nvidia встроенные
Это уже сколько? lol.gif
И это, заметь, только под win32, именно из-за ограничений драйверов, а не аппаратных возможностей карточки, под linux/unix этот список будет неизмеримо больше, т.к. ioctl SIOCSPHYSADDR пока никто не отменял.
Цитата

- Даже если все условия соблюдены и злоумышленник воспринимается за локальный адрес, опять же, пропускаются только пакеты, явно разрешенные правилами для меня.

Он воспринимается не как локальный адрес, локальные пакеты вообще в сеть ходить не должны, а как шлюз, которому твой компьютер полностью доверяет. Сеть - это как минимум 2 системы smile.gif
Цитата

А теперь покажи, как ты сможешь достичь аналогичного эффекта стандартной виндовой стенкой (встроенной).

Приехали, уже забыли, с чего начинали? Не про виндовую стенку речь, а про то, что супер-пупер фаервол от недостатков канального уровня все равно не спасет.







____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
2/13986   
bredonosec | Профиль
Дата 30 Сентября, 2005, 5:31
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
Это уже сколько?
Возможно, со времени той инфы, добавилось моделей.
Цитата
а как шлюз, которому твой компьютер полностью доверяет.
- шлюз - имеется в виду гейт или что? Если гейт для выхода в инет, то как и сказал, никакого "беспредельного" доверия. И адрес тогда не мой, а гейта. И воздействовать на это проще: если юзер - звонок админу, если сам админ - просто отрубаешь провода ("домашняя" локалка - на несколько домов), если предприятие - + начальству и любуешься зрелищем.
Если же, опять же, имеется в виду мой адрес, то никаких "беспредельных доверий". Это только у виндовой встроенной такие глюки (или еще у чего-то, чем не пользовался). Только то, что явно разрешено.
Проверено жизнью в опасной зоне smile.gif

Цитата
Приехали, уже забыли, с чего начинали? Не про виндовую стенку речь, а про то, что супер-пупер фаервол от недостатков канального уровня все равно не спасет.
Начинали с того, что ты заявил, будто виндовая стенка абсолютно достаточна и предпочтительна. (см стр. 2)
Вот мне и интересно стало, как она станет делать всё, упомянутое выше.


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
1/12891   

Topic OptionsСтраницы: (3) « Первая ... 2 3  Start new topic Start Poll 

 



[ Script Execution time: 0.0818 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top