Отправляет email-рассылки с помощью сервиса Sendsay

Информационные технологии для незрячих и слабовидящих

Подписаться Бесплатный дискуссионный лист Подписчиков 1.804
  Декабрь 2006  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней 469 выпусков (несколько раз в день)


Сайт листа: http://www.tiflocomp.ru
Открыт: 22-01-2004
Пре-модерация: Нет
Адрес для писем в лист: industry.comp.tiflocomp-list@subscribe.ru

Модератор
Vladimir Dovydenkov

Статистика

1.804 подписчиков
-1 за неделю

[TC] fireval в адсл модеме

здравствуйте, все.

не силён я в настройках сетевой безопасности.

есть адсл модем d-link d500t
в нём есть fireval, говорят очень хороший, вот я и захотел его включить. включить
то включил, а вот как это чудо настроить не представляю. ниже список его настроек.
знающие люди подчеркните что из этого списка включить, а что лучше не надо. на
данный момент все флажки сняты и всё выключено.

Firewall Configuration

DoS Protection

DoS attacks can be checked based on your specific need.

State:
-
Enabled
+
Disabled

-
SYN Flooding checking

-
ICMP Redirection checking

Port Scan Protection

Port Scan attacks can be checked based on your specific need.

State:
-
Enabled
+
Disabled

-
FIN/URG/PSH attack

-
Xmas Tree attack

-
Null Scan attack

-
SYN/RST attack

-
SYN/FIN attack

Service Filtering

The following services can be blocked based on your specific need.

-
Ping from External Network

-
Telnet from External Network

-
FTP from External Network

-
DNS from External Network

-
IKE from External Network

-
RIP from External Network

-
DHCP from External Network

-
ICMP from LAN

вот так.
"+" помечено,
"-" снято.

судя по колличеству настроек, действительно это мощный fireval. вот бы только
его настроить.

С уважением, Mus:
mavx@y*****.ru

Ответить  
"mus"
Fri, 29 Dec 2006 16:21:59 +0300 (#625267)

 

Ответы:

Доброе время суток, уважаемые участники рассылки и mus!
Мне есть, что ответить на письмо от 29 декабря 2006 г., 16:21:59

Это нужно разрешить.

Это тоже разрешаем. Эта штука заблокирует порты и не откроет их, пока
этого не потребует какой-либо софт, или служба. Естественно, что, если
открытия порта потребует троян, порт будет открыт, но это уже -
проблема антивируса, а не фаервола.

Все эти штуки тоже включаем, они помогут уберечься от нюкания, если
зайдёте вдруг в ирку, или на какой чат.

Нижеуказанные настройки будут блокировать некоторые сервисы.

Эта настройка запрещает пингование айпи из внешних сетей, так что,
пропинговать вас в аське, или ещё где будет уже невозможно. Пинг либо
ничего не выдаст, либо, что-то типа 192,168,1,1, что вобщем тоже не
даст подлым хакерам большого толку.

Эта штуковина запретит внешние подключения по протоколу telnet. В
умелых руках телнет чрезвычайно опасен. Кроме того, именно с телнета и
начинается большинство серьёзных хакерских атак.

Эта опция управляет возможностью закачки по ftp на ваш компьютер
файлов. 1 из самых простых способов заслать подлую заразу: залить в
расшаренную папку файлик, и переименовать его в то, что с большой
долей вероятности может быть запущено глупым юзером, а, поскольку, вы
- не юзер, и далеко не глупый, не буду тут распространяться о том, что
держать расшаренными все диски - по меньшей мере неразумно.

Эта штука управляет dns запросами и актуальна только в том случае,
когда комп представляет собой dns-сервер. Ведь получив базу данных
сервера dns, хакер получает бесценнейшую коллекцию айпих.

Эта опция нужна только тогда, когда ваш комп занимается маршрутизацией
непосредственно в инете и актуальна эта опция только для серверов.

Эта опция управляет dhcp запросами из внешних сетей. dhcp запрос - это
запрос на получение айпи-адреса.

Эта опция накладывает некоторые ограничения на подключение по
локальной сети и не актуальна, если локалка состоит лишь из одного
компа и самого гейта.

Ответить  
yuniks
Fri, 29 Dec 2006 17:13:39 +0300 (#625283)

 

Доброе время суток, Все и ADSL'щики в особенности!

Mus писал:

У меня тоже модем d-link, но наш провайдер почему-то настаивает на том, чтобы
fireval модемов был отключен. Продвинутые ADSl'щики, кто как считает, чем такое
пожелание провайдера может быть вызвано? Может причина крыться в том, что используется
не бриджовое подключение?
Всё-таки стоит ли волю провайдера исполнять или больше будет пользы, если некоторые
его ослушаются и применят, например, схему, подробно расписанную Yuniks'ом :)
?
И попутно вопрос: почему-то сотрудники нашей провайдерской конторы упорно не
считают ADSL'модемы маршрутизаторами. Чисто интересно, с чем это может быть связано.

Всех с теперь уже прошедшими праздниками!
С уважением, Ольга

Ответить   rain Mon, 8 Jan 2007 18:59:30 +0500 (#627532)

 

Доброе время суток, уважаемые участники рассылки и rain!
Мне есть, что ответить на письмо от 8 января 2007 г., 16:59:30

Ну, скорее всего, пров будет гонять через ваш аккаунт левый трафик,
как это повадился делать скайп. Если безлимитка, так бог бы с ним, а,
когда за каждый метр отстёгиваешь, то это превращается в серьёзную
траблу. вобщем, я считаю, что фаервол лучше держать включенным. Если
провайдеру так надо гонять левый трафик, так пусть и извращается сам,
сканируя открытые порты, но об этом в данном листе не буду, дабы ни
быть обвинённым во взломе :)

А по какому протоколу работает пров? Вроде, они все сейчас на pppoe
перешли, или у вас ещё слип, или чего-нибудь с vpn исхитрились? А,
может, тут всё проще, вы просто поставили модем роутером? Так между
роутером и мостом разница только в том, что в режиме роутера гейт
коннектится с инетом сам, а в режиме моста коннект делают средства
удалённого доступа windows, вот и все самые значительные отличия.

не

связано.

Ну, давайте разберёмся, что такое, для начала - модем: МОдем -
модулятор/демодулятор. т.е. он, по определению должен уметь
превращатьо цифровые данные в аналоговые и, используя многочисленные
протоколы коррекции ошибок, преобразовывать их назад. Теперь о том,
что такое adsl: adsl - асинхронная цифровая линия, следовательно, как
таковой модуляции там и быть не может, не смотря на то, что даже в
настройках модема встречается такое слово. На асинхронных линиях есть
понятие инкапсуляция, но это немного другое. Теперь о маршрутизации.
Упрощённо о маршрутизации можно сказать так: перенаправление данных.
Теперь посмотрим, что делает наш модем. сначала любые данные,
посланные в сеть, попадают на модем. Он узнаёт вас по ip-адресу. Это
не тот айпи, который даёт вам пров, это так называемый внутренний
адрес. ПОдхватив данные, модем отсылает их уже по сети, используя
выданный провом адрес, потом их подхватывает другой сервер, и тдт.д.
Вот это и есть маршрутизация. Так, если модем на основе айпихи
подхватывает данные и отправляет их дальше, почему же он не
маршрутизатор? А вообще, в качестве доказательства можно сделать
следущее: взять 2 компа и подключить их прямыми лановскими кабелями (я
про тонкий эзэрнет) к хабу. В тот же хаб воткнуть адсл-адсл-овский
модем, зайти в сетевые подключения первого компа, выбрать "подключение
по локальной сети\протокол интернета tcp/ip и ввести вот так:
адрес ip: 192.168.1.2
Шлюз: 192,168,1,1
dns: не трогать.

Теперь на втором компе в тех же подключениях делаем так:

Адрес ip: 192.168.1.3
Шлюз: 192,168,1,1
Dns - не трогать.

Затем в настройках модема отключаем сервер dhcp и можно через 1 логин
и пароль, выданный провом, сидеть в инете сразу с 2-х компов, при этом
модем будет очень хорошо всё роутить, разумеется, модем должен быть
мостом, хотя и в режиме роутера тоже можно так извратиться. Штука на
100 процентов работоспособна, я совсем недавно ставил такую локалку.
--
С уважением, yuniks
mailto:yuniks***@y*****.ru icq: 241537718
YahooID: yuniks52 MSN: yuniks***@b*****.ru
HomePage: http://yuniks52.narod.ru

Ответить  
yuniks
Mon, 8 Jan 2007 17:37:58 +0300 (#627536)