А кто-нибудь пользовался в Anthill встроенным в nForce аппаратным фаерволом? Плюсы-минусы, рекомендации по совместному использованию с другими программными?
Ну что же. Я провёл эксперимент и могу поделиться с общественностью. Чтобы не читать мой длинный технический опус, могу сказать, что вещь зело-полезная. На ней можно выставить, какие протоколы принимать, какие порты, а дальше уже может программный дорулить. Хотя, при желании можно и аппаратным обойтись.
Итак. Начинаем. Очищаем все таблицы (domain name, UDP/TCP port, TCP option (что это??), ICMP type, IP protocol, IP address, IP option (что это??), Ether type) потом узнал, что погорячился, некоторые желательно восстановить (TCP option), просто опции поставить disabled. Везде политика по-умолчанию DENY. Задача, чтобы комп, подключенный к этому сетевому интерфейсу через мост вышел в инет и заработала Microsoft-сеть. Здесь у меня нет большой домашней сети, потому условия будут такими.
В инструкции на 150 страниц очень подробно написано, что интегрированный фаервол является PC firewall, т.е. не подходит для маршрутизации, а только для подкючения данной машины как конечной точки. Ну ладно. Посмотрим. Позже выяснилось, что это действительно так. В правилах можно задавать удалённый адрес, но нельзя адрес источник и адрес назначения, а так же и интерфейс.
Загружаю второй комп и начинаю смотреть логи фаервола. Надо сказать, что для этого инсталлируется немного-нимало веб-сервер apache! И далее всё через CGI.
1. Для начала появилось сообщение, что заблокирован пакет Ethertype 0x0800, поискал, оказалось, что это IPv4. Прописал. Потом Ethertype 0x0806 (это ARP), его тоже прописал.
2. Тогда появилось сообщение, что заблокирован DHCP-сервер. (снял галочку запрета - а зачем она??)
Что смутило, что сразу после этого удалённый комп по DHCP сразу получил адрес. Не пришлось прописывать UDP, порты 67, 68.
3. Тогда появилось, что блокирован протокол 17. Вспомнил, что это TCP, заодно прописал разрешение для 6 (UDP) и 1 (ICMP).
4. Далее появилось, что блокирован порт UDP 137, UDP 138. Прописал их.
5. Далее появилось, что блокирована TCP option (TCP:139 Option: 2) и (TCP:443 Option: 4)
Попробовал прописать разрешения для TCP портов 139 и 443. Нет, не проходит, ругается на TCP option.
Полез в инет. Нашёл:
2 - Maximum Segment Size (MSS, RFC 793)
4 - Selective ACK Permitted (SACK-Permitted, RFC 2018)
В общем, похоже, что это флаги. Прописал разрешения для них.
Как раз в инструкции страниц на 5 рассказывалась разница между Stateful и Stateless фаерволами. Правда, как это использовать - ни слова. Только вида - первое это рулез, второе не очень, потому лучше использовать первое, а вообще nForce умеет и то и другое. И всё )) Видимо, вот это оно и есть, надо разрешить opton 4, чтобы уменьшить нагрузку на фаервол, т.к. аутентификация протокола и соединения уже прошла, можно каждый пакет дальше по цепочке не проверять.
После этого, когда уже всё заработало вроде, он ещё ругнулся на Domain name и всё заработало. Там можно прописать, что на xxx.com нельзя. А так, везде в примерах таблица пустая и правило по-умолчанию ALLOW.
Стал думать над этим. Какой от всего этого толк. Подумал. Впринципе, неплохо отрезает весь паразитный трафик. Когда в Антхилл смотрю на Netstat в Outpost становится дурно. Ещё дурнее, когда на tcpdump, какие только кадры по сети не летают. Тут и IPX/SPX, и Appletalk и NetBEUI, и даже IPv6. Таким образом, в аппаратном прописываем IPv4 и TCP, UDP, ICMP. Всё остальное нафиг. Можно и с портами разобраться. Зачем мне нужно ловить бешенное число бродкастов от всевозможных чатов и игр в сети? Прописываем только порты, которые нужны и известны. Далее, уже по-вкусу можно добавить программный фаервол Microsoft ICF или Agnitum Outpost, или кому что ещё нравится, ими уже провести окончательную невилировку просочившихся пакетов. Прелесть в том, что т.к. они были отброшены на аппаратном уровне, то не будут нагружать и даже видны в программном фаерволе.
Софт и интернет (Модератор: K i r i L L) > Тема: Firewall (степень защиты, выбор)