Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
halfelven
|
Добавлено: 17-01-07 11:54 Заголовок сообщения: Пакетный фильтр в 6 правил - обсуждение, рекомендации... |
|
|
Я хотел бы обсудить новый пакетный фильтр, который теперь должен состоять максимум из 6 правил. До этого, у большинства пользователей, разрешающих у себя только внутресетевую халяву и icq, пакетный фильтр представлял собой, что-то типа:
======================================================================
deny ip 80.82.32.10 none any none ; box.vsi.ru
deny ip 80.82.32.11 none any none ; mail.vsi.ru
deny ip 80.82.32.19 none any none ; ftp-сервер, хостинг
deny ip 80.82.32.27 none any none ; прокся
permit 84.17.243.19 none any none ; у-антона
permit ip 77.45.128.0/0.0.127.255 none any none ; локальная сеть
permit ip 80.82.32.0/0.0.31.255 none any none ; локальная сеть
permit ip 88.83.192.0/0.0.31.255 none any none ; локальная сеть
permit tcp 64.12.0.0/0.0.255.255 eq 5190 any none established ;аська
permit tcp 205.188.0.0/0.0.255.255 eq 5190 any none established ;аська
deny ip any none any none
=======================================================================
Т.е. минимум 11 правил. Теперь, задумаемся, как вписать тоже самое в 6 правил? Я думаю сделать себе такой вариант:
==================================================================
deny ip 80.82.32.11 none any none ; запретить локальный хостинг и фтп...
permit 84.17.243.19 none any none ; у-антона
permit ip 80.82.32.0/0.0.31.255 none any none ; локальная сеть
permit ip 88.83.192.0/0.0.31.255 none any none ; локальная сеть
permit ip 77.45.128.0/0.0.127.255 none any none ; локальная сеть
deny ip any none any none
==================================================================
Что мы (ну или хотите я) имеем? ICQ можно безболезнено пустить через проксю (кому нужно будет описать это - попробую описать,
но в следующих сообщениях данной темы).
Шанс получить "левый трафик" с адресов 80.82.32.10 и 80.82.32.11, на мой взгляд достаточно мал. Из плюсов - будет повод воспользоватся ящиком @box.vsi.ru для связи с саппортом.
Браузер (конкретно - Opera) замечательно настраиваеться для работы через прокси с исключениям для локальных адресов. Плюс ко всему, лично я вывел на Toolbar кнопочку с галочкой - включающей и выключающей прокси "на лету". А вот что делать пользователям использующим другие ресурсы - я просто не знаю.
С удовольствием жду комментарии, советы и поправки. Особено рад буду видеть представителей ВСИ, с их рекомендациями. |
|
Сообщения: 136
|
|
|
Байт
|
Добавлено: 17-01-07 12:11 Заголовок сообщения: |
|
|
Живу уже больше месяца без пакетного фильтра и нормально. Есть прямые руки, аутпост и бвметер - не заметить левака невозможно.
Да и нет его.
А откуда он, собсно, берётся? Я вижу тока 2 варианта:
1) сёрфим в инете и не замечаем, что браузер может сам подгружать различное весомое содержимое;
2) после пункта 1) на компе появился троянец/вирус, который и открыл порты - а оттуда уже и траффик (ну или троянец каким-то образом получил и отослал пароли - а что из этого вытекает - сами знаете)
вывод: смотрим куда лезем, делаем посложнее пароли(иногда меняем их), настраиваем фаервол и закрываем все порты кроме самых необходимых. |
|
Сообщения: 4
|
|
|
bol
|
Добавлено: 17-01-07 12:41 Заголовок сообщения: Re: Пакетный фильтр в 6 правил - обсуждение, рекомендации... |
|
|
halfelven писал(а): | Я хотел бы обсудить новый пакетный фильтр, который теперь должен состоять максимум из 6 правил. До этого, у большинства пользователей, разрешающих у себя только внутресетевую халяву и icq, пакетный фильтр представлял собой, что-то типа:
======================================================================
deny ip 80.82.32.10 none any none ; box.vsi.ru
deny ip 80.82.32.11 none any none ; mail.vsi.ru
deny ip 80.82.32.19 none any none ; ftp-сервер, хостинг
deny ip 80.82.32.27 none any none ; прокся
permit 84.17.243.19 none any none ; у-антона
permit ip 77.45.128.0/0.0.127.255 none any none ; локальная сеть
permit ip 80.82.32.0/0.0.31.255 none any none ; локальная сеть
permit ip 88.83.192.0/0.0.31.255 none any none ; локальная сеть
permit tcp 64.12.0.0/0.0.255.255 eq 5190 any none established ;аська
permit tcp 205.188.0.0/0.0.255.255 eq 5190 any none established ;аська
deny ip any none any none
=======================================================================
Т.е. минимум 11 правил. Теперь, задумаемся, как вписать тоже самое в 6 правил? Я думаю сделать себе такой вариант:
==================================================================
deny ip 80.82.32.11 none any none ; запретить локальный хостинг и фтп...
permit 84.17.243.19 none any none ; у-антона
permit ip 80.82.32.0/0.0.31.255 none any none ; локальная сеть
permit ip 88.83.192.0/0.0.31.255 none any none ; локальная сеть
permit ip 77.45.128.0/0.0.127.255 none any none ; локальная сеть
deny ip any none any none
==================================================================
Что мы (ну или хотите я) имеем? ICQ можно безболезнено пустить через проксю (кому нужно будет описать это - попробую описать,
но в следующих сообщениях данной темы).
Шанс получить "левый трафик" с адресов 80.82.32.10 и 80.82.32.11, на мой взгляд достаточно мал. Из плюсов - будет повод воспользоватся ящиком @box.vsi.ru для связи с саппортом.
Браузер (конкретно - Opera) замечательно настраиваеться для работы через прокси с исключениям для локальных адресов. Плюс ко всему, лично я вывел на Toolbar кнопочку с галочкой - включающей и выключающей прокси "на лету". А вот что делать пользователям использующим другие ресурсы - я просто не знаю.
С удовольствием жду комментарии, советы и поправки. Особено рад буду видеть представителей ВСИ, с их рекомендациями. |
В строчке с БВФ какой трафик? ip? |
|
Сообщения: 107
|
|
|
cardinal
|
Добавлено: 17-01-07 12:43 Заголовок сообщения: |
|
|
Вариант 3 - траффик извне.Ктото просто сканирует диапазон в поисках чего бы то ни было и это засчитывается как входящий траффик.Он конечно децльный,я как то проводил опыт - набежало около 150 кил за сутки,но он есть. Подробно этот момент не изучал,может быть в другие дни больше/меньше,хз.......... |
|
Сообщения: 854
|
|
|
J.C.
|
Добавлено: 17-01-07 12:56 Заголовок сообщения: |
|
|
вопрос к официальным лицам:
можно сделать так, чтобы 3 строчки с локальными диапазонами адресов, были "вшиты" в пакетный фильтр каждого, без возможности изменения самим пользователем? тогда можно было бы использовать предоставленные 6 строк более рационально |
|
Сообщения: 24
|
|
|
avf
Support
|
Добавлено: 17-01-07 13:07 Заголовок сообщения: |
|
|
Если "вшить" N правил, то на столько же уменьшится количество правил, доступных для редактирования. Т.к. суммарное количество правил в одном ACL для обеспечения масштабируемости не должно быть больше 8. 2 правила уже есть, для того чтоб всегда можно было зайти на сервер статистики и отредактировать их. Остается 6.
Совет: deny ip any none any none вконце всех правил всегда ставится неявным образом, поэтому расходовать на это правило не стоит. |
|
Сообщения: 325
|
|
|
-=[Ариец]=-
|
Добавлено: 17-01-07 13:15 Заголовок сообщения: |
|
|
Цитата: | Совет: deny ip any none any none вконце всех правил всегда ставится неявным образом, поэтому расходовать на это правило не стоит. |
ТО есть оно есть ВСЕГДА? |
|
Сообщения: 286
|
|
|
Semik
|
Добавлено: 17-01-07 13:18 Заголовок сообщения: |
|
|
-=[Ариец]=- писал(а): | Цитата: | Совет: deny ip any none any none вконце всех правил всегда ставится неявным образом, поэтому расходовать на это правило не стоит. |
ТО есть оно есть ВСЕГДА? |
Нет, оно разумеется есть только тогда, когда ты используешь пакетный фильтр. |
|
Сообщения: 133
|
|
|
J.C.
|
Добавлено: 17-01-07 13:20 Заголовок сообщения: |
|
|
спасибо за оперативный ответ.
и ещё несколько вопросов:
будут ли предложены на выбор фильтры с предустановками, о которых говорилось в соседней теме?
если да - возможно ли будет их переключение без переподключения?
поясните пожалуйста, откуда взялось это самое число 6?
если это число - некий оптимальный результат, исходя из каких-то рассчетов, то связано ли это с колличеством абонентов?
если да, то какие перспективы нас ожидают в будущем? будет ли уменьшаться число строк вместе с ростом колличества абонентов?
существует ли вероятность возвращения, к "многострочным" пакетным фильтрам в обозримом будущем? |
|
Сообщения: 24
|
|
|
-=[Ариец]=-
|
Добавлено: 17-01-07 13:45 Заголовок сообщения: |
|
|
Semik писал(а): | -=[Ариец]=- писал(а): | Цитата: | Совет: deny ip any none any none вконце всех правил всегда ставится неявным образом, поэтому расходовать на это правило не стоит. |
ТО есть оно есть ВСЕГДА? |
Нет, оно разумеется есть только тогда, когда ты используешь пакетный фильтр. |
Для успокоения души я бы пожелал услышать это от суппорта
Спасибо за ответ.
6 откудова взялась? 666 - числозверя, скоро настанет апокалипсис, мы все умрём. ааааааааа
/me побежал за спичками и солью.... |
|
Сообщения: 286
|
|
|
cardinal
|
Добавлено: 17-01-07 13:54 Заголовок сообщения: |
|
|
-=[Ариец]=- Я както видел на одном форуме пост,где чел писал о том что к нему приходили свидетели Иеговы,увидели монитор и назвали "иконой дьявола"! Грят дескать пока ты сидишь и смотришь вот в это - ты молишься дьяволу! А теперь ещё фильты такие появились...................... |
|
Сообщения: 854
|
|
|
MaZ
|
Добавлено: 17-01-07 14:09 Заголовок сообщения: |
|
|
мне кажеца, что все будут забивать на у антона..и вписывать туда чонить другое. |
|
Сообщения: 4
|
|
|
AlexBar
|
Добавлено: 17-01-07 14:13 Заголовок сообщения: |
|
|
вот мой вариант
permit ip 80.82.32.0/0.0.31.255 none any none <---бесплатный
permit ip 88.83.192.0/0.0.31.255 none any none <----тоже
permit ip 77.45.128.0/0.0.127.255 none any none <---тоже
permit ip 84.17.243.19 none any none <------- БВФ
permit ip 63.208.0.0/0.0.255.255 none any none est<------- хамачи и DynDNS
permit tcp any equal 5190 any none est <------- ася (можно через прокси - тогда одна строка свободна) |
|
Сообщения: 60
|
|
|
Semik
|
|
Сообщения: 133
|
|
|
Semik
|
|
Сообщения: 133
|
|
|
DMZ90
|
Добавлено: 17-01-07 14:24 Заголовок сообщения: |
|
|
halfelven
опищи пожалуйста поконкретнее
про ОПЕРУ через прокси И АСЬКУ(у меня КВИП) тоже через прокси,
как ЭТО настроить и с учётом пакетника! |
|
Сообщения: 3
|
|
|
Semik
|
Добавлено: 17-01-07 14:26 Заголовок сообщения: |
|
|
avf писал(а): | Совет: deny ip any none any none вконце всех правил всегда ставится неявным образом, поэтому расходовать на это правило не стоит. |
http://isp.vsi.ru/support/ipfw.html
Цитата: | Во избежание проблем при некорректной настройке набора фильтров в начало этого набора всегда неявно добавляются правила, разрешающие клиенту доступ к серверу статистики. Таким образом, если вы ошибочно настроили фильтр, вы в любой момент сможете это исправить. |
Вот всё, что написано про неявную подстановку правил в пакетный фильтр. Поэтому о том, что при включенном пакетном фильтре неявно добавляется ещё и deny ip any none any - знаете только Вы... Очень рекомендую привести официальную информацию о персональных пакетных фильтрах в соответствие с реальностью (в т.ч. и в том, что будет после 27-го числа). Во избежание множества лишних вопросов. |
|
Сообщения: 133
|
|
|
AlexBar
|
Добавлено: 17-01-07 15:32 Заголовок сообщения: |
|
|
а у препейда фильтры тоже уберут? пока они все вроде на месте?? |
|
Сообщения: 60
|
|
|
Cr@zy M@x$
|
Добавлено: 17-01-07 16:53 Заголовок сообщения: |
|
|
у меня уже в пакетнике 6 строк!меня даже не проинформировали! |
|
Сообщения: 2
|
|
|
Cr@zy M@x$
|
Добавлено: 17-01-07 17:16 Заголовок сообщения: |
|
|
а как с таким пакетным фильтром можно будет выходить во внешний интернет? |
|
Сообщения: 2
|
|
|
*SvCost!*
|
Добавлено: 17-01-07 17:27 Заголовок сообщения: |
|
|
я думаю, можно сэкономить еще одну строчку вы пакетнике!:
- в фаерволле прописать правило, чтобы браузер загружал с БВФ только TCP.
такое возможно? |
|
Сообщения: 3
|
|
|
halfelven
|
Добавлено: 17-01-07 17:55 Заголовок сообщения: Re: Пакетный фильтр в 6 правил - обсуждение, рекомендации... |
|
|
halfelven писал(а): | deny ip 80.82.32.11 none any none ; mail.vsi.ru
deny ip 80.82.32.19 none any none ; ftp-сервер, хостинг |
"комментарии" поменять местами .19 - mail.vsi.ru, .11 - ftp/хостинг
Цитата: | permit 84.17.243.19 none any none ; у-антона |
забыл перед ip'ком - tcp |
|
Сообщения: 136
|
|
|
halfelven
|
Добавлено: 17-01-07 18:12 Заголовок сообщения: |
|
|
предыдущий пост - это исправление ошибок... а то я даже на написал к чему это я
и ещё, c БВФ:
Цитата: | я не уверен полностью, но помоему 88.83.192.0/0.0.31.255 - это адреса присваемые диалап пользователям, а посему его можно выкинуть и вписать что нить нужное |
это утверждение похоже на истину или нет?[/i] |
|
Сообщения: 136
|
|
|
halfelven
|
Добавлено: 17-01-07 18:15 Заголовок сообщения: |
|
|
avf писал(а): | 2 правила уже есть, для того чтоб всегда можно было зайти на сервер статистики и отредактировать их. Остается 6. |
у stat.vsi.ru и domolink.vsi.ru разные ip - в неявное правило включены оба? |
|
Сообщения: 136
|
|
|
M@N
|
Добавлено: 17-01-07 18:40 Заголовок сообщения: Пустите меня в интернет!!! |
|
|
Объясните мне КАК мне теперь выйти в инет, если мне теперь недоступно изменение последнего правила!!! |
|
Сообщения: 3
|
|
|
|