Показано с 1 по 1 из 1

Тема: Как правильно настроить FireWall (общие рекомендации)

  1. #1

    Как правильно настроить FireWall (общие рекомендации)

    И так. Вы получили реальный IP адрес. Ну что же, спешу вас обрадовать: вы уже почти попали. Почему? А файрвол вы настроили? То-то же.... Ну дак это поправимо.

    И так: что делаем в первую очередь? Правильно, устанавливаем его, родимого. Какой? Ответ один: тот, который вы сможете настроить.
    Я вам расскажу общую концепцию, а уж настраивать - сами.
    Выбирать лучше тот, что имет два способа фильтрации: по программам и пакетная.


    Для начала настроим пакеты: как правило фильтры в пакетах исполняются в порядке, записаном в программе (учтите это выполняя ниже следующие рекомендации: небольшую помощь дадут знаки - и +, означающие пакеты до нулевого правила и после, соответственно).
    Настраивать мы будем правила для входящих пакетов. Ибо исходящими пусть управляют правила для приложений.

    1) (0) В начале надо запретить входящие TCP пакеты на порты 1-1025 и UDP пакеты на порты 1-1024. Зачем? А что бы закрыть виндовые дыры.
    2) (+) Так же закрываем еще одну дыру имени "мелкомягких" TCP 5000 и UDP 1900.
    В результате оказались защищены системные порты, что даст повод думать, что мы за каменной стеной.

    3) (-) Теперь откроем то, что нам нужно: это DNS (UDP 53), FTP (TCP 20-21) и, если необходимо для своего http-сервера TCP 80.
    4) (-) Дабы не сидеть совсем невидимками, разрешим ICMP пакеты. Как минимум echo-request (8/0), echo-reply (0/0) и ошибки (3/*) .

    Ну вот: основа создана. Теперь вы относительно защищены.
    Настройку допуска по приложениям осваивайте сами. (Подскажу только одну вещь: запретите Аське бегать к 80 порту удаленных машин: зачем вам банеры?)

    А теперь самое грустное:
    Вы ведь уже подняли FTP сервер? И тариф у вас хороший, не "простой"? Тогда я вас обрадую: если к вам заглянет кто-то с прокси сервера (proxy.xxxx.ru), то вас ждет радость: обратный траффик пойдет вам как "внешка". Не радует? Придется потерять часть клиентов (узнаем адрес proxy.xxxxx.ru: ping xxxxx.xxxxxx.ru. Там будет что-то вроде xxx.xx.xxx.xxx):
    5) (-) Блокируем входящие пакеты на локальный порт 21 от удаленной машины xxx.xx.xxx.xxx. Печально, но лишних денег у нас обычно не бывает.


    А теперь к частозадаваемым вопросам:
    1) Так: вот тот господин в углу... Да вы, что вы хотели спросить? Как увидеть всех в сетевом окружении? Хороший вопрос.
    И такой же хороший ответ: оно вам не надо!
    Почему? А потому, что дыра. Одна. Большая. Я бы сказал: гигантская.
    Именно по этому никто не захочет вас пускать на свою машину. Да и вам незачем себя раскрывать.
    А для передачи файлов используйте лучше FTP. Там и поддержка дозакачки есть.

    2) Что? Какой файрвол лучше?
    Я же уже говорил: тот, который сможете настроить. Почитайте другие ЧаВО, где расписаны настройки конкретных программ.

    3) Вам хочется установить режим "невидимки"? Вы слышали, что когда вас пингуют, то это денег стоит?
    Открою страшную тайну: считалка трафика считает все пришедшие на ваш адрес пакеты, в не зависимости от того, ответила ваша машина на него или нет.
    А вот пробелем техподдержке вы своим "невидимым" режимом доставите не мало. Так что плюньте и забудьте.
    Понравилось? Поделитесь:
    Последний раз редактировалось Aule; 29.04.2005 в 17:34.
    "Барраддур в канале..."
    "Недокументированные ошибки Windows 95. Трехтомник."
    "Вы не идиоты, вы просто не я......"


Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •