Чтобы добавлять сообщения и комментарии, .

@ShpurloS:
ShpurloS

Вопрос к знатокам фаерволлов. Банальный роутер, wan, lan, nat. Имеет ли смысл дропать forward, если дропнут input с внешнего интерфейса? (условно masquerade; accept established,related; drop input)

@byt3:
byt3

Пару лет назад читал похожие параноидальные мысли, про бэкап Википедии, про регулярный синк локального репозитория, про дамп Флибусты и так далее. habrahabr.ru

@MikalaiBeliashou:
MikalaiBeliashou

"Доступ к  juick.com заблокирован в соответствии с политикой безопасности организации.   Категория : Games   В случае , если вы не согласны с политикой безопасности предприятия, обращайтесь в СИБ" — это я на сайт хотел зайти :-) Тут все в игры играют :-)

@uno:
uno

жуйк, а какой файрволл на андроиде самый нормальный? кроме /dev/hands & /dev/brain конечно :)

@nixon89:
nixon89

Сегодня запилил на работе на Kerio Control интеграцию с AD, его теперь можно использовать как более-менее нормальный UTM. Есть там такой пункт как "Политика HTTP". И можно например чтобы дял определенных пользователей показывался один контент вместо другого. Теперь вместо картинок во вконтактике у юзеров все jpg'и заменяются на гифку с Доктором Зло, который держит мизинец у рта и смеется. ^_^

@kostanakis:
kostanakis

Реквестирую хороший фри антивирус/файерволл для Вянды.

@ighost:
ighost

жуйк, у кого есть тимспик сервер на линуксе, настраивали iptables? поделитесь опытом :)

@pc:
pc

[17:12] user: вчера ко мне знакомый в аську постучался
[17:13] user: грит, шозахуйня, уже нескока месяцев сайт www.mvideo.ru не грузицо
[17:13] user: тока грит через прокси
[17:13] user: а так нет
[17:13] user: негодный грит интернет мне продаете
[17:14] user: я грю у меня открываецо
[17:14] user: он репу прочисал, запустил браузер на телефоне, по вифи через тот же уфанедовский роутер подключился и зашол на мвидео без проблем
[17:14] user: и тута мне стало интересно
[17:15] user: зашел на дрс, запустил тцпдамп
[17:15] user: сравнил syn-пакеты с телефона и с нотебука (который не заходит)
[17:18] user: на телефоне начальный размер окна 5 кб и выставлены опции tsval/tsecr, wscale (rfc1323) в соответствии с этим самым рвц
[17:19] user: а на нотебуке венда хп, начальный размер окна 65535 (по умолчанию в хп 17xxx), тоже используются опции из rfc1323, но tsval=0
[17:19] user: а по рфц tsval должен быть равен локальному таймеру (tick counter или чота в етом роде)
[17:20] user: и вот на нотебучные syn-ы www.mvideo.ru НЕ ОТВЕЧАЕТ
[17:21] user: короче в реестре хп убрали нахуй tsval, оставили тока wscale (параметр в реестре чтото типа Tcp1323Opts)
[17:21] user: и — чудо — сайт стал открываца
[17:21] user: отсюда вывод — у некоторых саетов злоебучии фаерволы блокируют syn-ы с tsval=0
[17:22] user: техподдержке на заметку. можете даже в knowledgebase написать
[17:24] user: а прикол в том, что в windows xp по умолчанию этот параметр (Tcp1223Opts) отсутствует, то есть вообще в синах нет tsval и wscale
[17:24] user: видать знакомый запущал какойнить "ускоритель интернета", который срет в реестр

@kuyantus:
kuyantus

Что может случиться с системами, оставленными без присмотра, без защиты на произвол судьбы людям, не сильно понимающих, что такое безопасность? Как минимум, отвалившийся стандартный виндовый брандмауер, отвалившаяся локальная сеть. Сейчас сюда, в комменты, вывалю все найденные способы и буду пробовать по очереди.

@SigmaKyte:
SigmaKyte

Жуйковчане? Вы знаете что надо заблокировать через hosts, чтобы Outpost Firewall не лез в интернет проверять лицензию?

@pc:
pc

wmic /node:"WNSS02" /privileges:enable /IMPLEVEL:Impersonate process call create "netsh firewall set opmode disable"

@wwarlock:
wwarlock

Вот! Это то что я ждал три года, и то что гугл должен был включить в робота изначально.
А функционал из WhisperMonitor можно было ожидать и в DroidWall на самом деле.
У меня даже зрела идея реализовать это самому.
Надеюсь скоро компоненты от Whisper появяться и в других сборках, врядли там настолько тесная интеграция, что их нельзя выдернуть.
opennet.ru

@omeh2003:
omeh2003

В домашней сетке у меня есть ftp сервер поднятый на десктопе . Нервы что то шалят совсем в последнее время :) Хочу скриптик сделать прикрывающий порты в зависимости от ситуации и желания. Не могу понять правильно ли я понял маны или упустил что?
Пример:
1) "iptables -A INPUT -p tcp --dport 21 -j REJECT"
Будет отвергать абсолютно все входящие пакеты на 21 порт. Те наглухо закроет его вообще от всего и на всех интерфесах.

2) "iptables -A INPUT -i eth0 -p tcp --dport 21 -j REJECT"
Закроет только интерфейс eth0 и соответственно доступ ко всем ip адресам находящимся на этом интерфейсе. Но при этом доступ к ftp поднятом на виртуальной машине которая имеет доступ к локалке через мост на eth0 будет открыт. И локально я тоже смогу ползать по FTP.

3) "iptables -A INPUT -d 192.168.1.20 -p tcp --dport 21 -j REJECT" блочится доступ из вне к конкретным хостам. Так уже можно "отрезать" виртуалку от локалки или сам комп где стоит виртуалка.

Вывод:
Можно блокировать сервис-
1) наглухо закрыв порт
2) на интерфейсе перекрывая доступ через него
3) точечно по ip адресу

Итог: каша в башке :)

@-duke-:
-duke-

desksoft.com
Ограничитель скорости, монитор и маленький фаервольчик.

@Fyon:
Fyon

Прислали по почте :-D
1. Одна человеческая клетка содержит 75Мб генетической информации
2. Один сперматозоид содержит 37.5Мб.
3. В одном миллилитре содержится около 100 млн сперматозоидов.
4. В среднем, эякуляция длится 5 секунд и составляет 2.25 мл спермы.
5. Таким образом, пропускная способность мужского члена будет равна:
(37.5Мб x 100M x 2.25)/5 = (37 500 000 байт/сперматозоид x 100 000 000 сперматозоид/мл x 2.25 мл) / 5 секунд = 1 687 500 000 000 000 байт/секунду = 1 687.5 Терабайт/с

Получается что женская яйцеклетка выдерживает эту DDoS-атаку на полтора терабайта в секунду, пропуская только один выбранный пакет данных и является самым офигенным в мире хардварным фаерволом...

Но тот один пакет, который она пропускает, валит систему на 9 месяцев...

@jedi:
jedi

нужно подключиться к порту 87 udp — сервера банк-клиента.
1) в офисе на роутере нет правила запрещаюшего этот порт
2) порт на сервере пашет — 100%, проверяли с других офисов
3) в винХР брэндмауер выключен, антивирусов нет, с других компов этого офиса, тоже не выйти на 87порт

вопрос: как узнать что и где блокирует 87 UDP порт ?

@mirivlad:
mirivlad

Gufw — управление фаерволлом никогда еще не было таким простым.
mirvir.ru

@SirAnthony:
SirAnthony

Жуйк советуй, нужно закрыть все исходящие порты кроме хттп. Брандмауэр не осилил, там только добавлятьь исключения можно.

@zweipluse:
zweipluse

Для Гнома есть Firestarter, а что есть для KDE?

@pc:
pc

enable IPC$, ADMIN$ share on windows fierewall

netsh firewall set service RemoteAdmin enable

@nevian:
nevian

Есть нас куча адресов за натом, есесно основной доступ через проксю, но некоторые сервисы так не работают.. и как назло живут в этом самом акамаи — есть мысли как это открыть на PIX?

@sandr1x:
sandr1x

Around the Great Wall of China in 10 steps [cut].

@sandr1x:
sandr1x

Победил-таки Великую Китайскую Огненную Стену и теперь хожу, куда хочу. Ингредиенты успеха: vps, openvpn, squid, google и, конечно же, — juick. HOWTO запиливать?

@zweipluse:
zweipluse

Брандмауэр != Фаерволл или Брандмауэр == Фаерволл?

@Max1musC:
Max1musC

Многие в сети говорят, что индийский код — это не есть хорошо. Не знаю, не спец в этой области. Но, качество этой программы, и компетентность разработчиков, у меня уже под сомнением...

@zweipluse:
zweipluse

Мой firewall на домашнем роутере. Абсолютная защита!

@don-Rumata:
don-Rumata

О, моновол новый вышел. Я уж подумал что им надоело.
Скачать тут: m0n0.ch
Скрины веб-гуя тут: m0n0.ch

Changes in this release:

* IPv6 improvements
o allow IPv6 addresses for domain overrides in DNS forwarder
o added 'strict order' to DNS forwarder (useful when using SixXS DNS)
o initial support for AYIYA for SixXS tunnels
o fix for DHCPv6 firewall rules
o allow link-local addresses to communicate
o allow input of DUID in MAC address field of a DHCPv6 reservation
o DHCPv6 reservations are now also added to DHCPv4
* fix to WAN DHCP (release/renew button)
* added option to disable spoof check on bridge (use to enable non-m0n0wall DHCP servers and/or multicast traffic)
* added system fans/temperature monitoring on status page – should work on a reasonable set of PC hardware (but not on Soekris/PC Engines boards)
* improved handling of accesses to pages that the user is not authorized for
* added fix for OpenSSL session renegotiation vulnerability
* added patch to ISC-DHCP to rewrite lease file every 5 minutes (reduce growth rate and occurrence of MFS exhaustion)

Где там мой вбокс?

@MitrandiR:
MitrandiR

а есть в линухе чтонибудь хорошее гуевое для настройки фаервола?? а то совсем некайф самому ковырять конфиги..

@Top4ek:
Top4ek

Жуйк, подскажи прогу для прокировки сайтов/серверов под вантузом. hosts не предлагать. Open Source или freeware.

@OCTAGRAM:
OCTAGRAM

Ух, ты! pf под Windows! force.coresecurity.com

@DeeZ:
DeeZ

С удивлением узнал что outpost firewall стал бесплатным. Ее функционала мне предостаточно. А от антивируса давно отказался.

@kmp:
kmp

Жуйк, помогай. Поставил windows 7, захотел раздать с десктопа по wi-fi интернет на ноут. Поставил Kerio WinRoute Firewall — 7ка ругается на него, удалил. Не знаю уж что керио меняет, но теперь не запускается служба ICS: Ошибка 1068: Не удалось запустить дочернюю службу. ICS собственно нужна для Connectify, вычитал, что в 7ке хорошо этой софтиной раздать инет можно.

@avr:
avr

Добротная инструкция по iptables ---> gazette.linux.ru.net

@l1feh4ck3r:
l1feh4ck3r

Reverse SSH Tunneling, Bypassing Firewalls and NAT — linuxers.org

@sandr1x:
sandr1x

Стоило скачать "Objectified", как начали (и до сих пор не перестают) ломиться на 6881 порт, хе-хе.

@maxym:
maxym

Неплохой гайд по разворачиванию виртуальной сети в proxmox. "Guide: Firewall and router with Proxmox" myatus.co.uk

@ilardm:
ilardm

ааа!!! мне страшно!!! порезал winUpdate фаерволом(CORE FORCE) на все соединения с интернетом, запретил любые execute на c:\ , а он всё равно в трее выскочил со своим "обновления для вашеё системы готовы" :/ А вот IE стеми же настройками даже не запускается.
ЗЫ знаю что можно просто отключить автоапдейт. Хотелось посмотреть на работу фаервола.

@ilardm:
ilardm

у кого был опыт общения с CORE FORCE? мне кажется, или он не понимает мои требования зарезать любую активность процесса на определённом сетевом интерфейсе?