Файервол на десктопе,как настраивать и надо ли?

Haron_Prime	# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)
Темы: 28 Сообщения: 2109 Участник с: 08 июня 2014	если на пальцах, то: первое и третье правила фильтруют входящий/исходящий трафик, не пропуская битые пакеты второе правило пропускает входящие, которые не попали под первое правило в итоге система не тратит ресурс на обработку повреждённых пакетов при большом объёме трафика (у меня, как правило, 100-150ГБ в день, но в отдельных случаях доходило и до 350-380ГБ) это не такая уж и мизерная экономия Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad GitHub , BitBuket

# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)

Сообщения: 2109

Участник с: 08 июня 2014

если на пальцах, то: первое и третье правила фильтруют входящий/исходящий трафик, не пропуская битые пакеты
второе правило пропускает входящие, которые не попали под первое правило
в итоге система не тратит ресурс на обработку повреждённых пакетов
при большом объёме трафика (у меня, как правило, 100-150ГБ в день, но в отдельных случаях доходило и до 350-380ГБ) это не такая уж и мизерная экономия

Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket

indeviral	# 10 лет, 3 месяца назад
Темы: 39 Сообщения: 3204 Участник с: 10 августа 2013	Aivar"лаптю" сложно всё объяснить, поднимите свой уровень до "валенка" что ли, ну как у меня)) Необходимость защиты зависит от наличия угрозы (как сказано ать...), неизвестно что взбредет в голову провайдеру(они мутные), мой провайдер например блокирует только 21 и 80 порт(немного парило потом разобрался и понял зачем он это делает), всё остальное открыто. Что творится у вашего провайдера сейчас, и что будет завтра никто не знает. Простейший пример... Ошибки в тексте-неповторимый стиль автора©

indeviral

# 10 лет, 3 месяца назад

Темы: 39

Сообщения: 3204

Участник с: 10 августа 2013

Aivar"лаптю" сложно всё объяснить, поднимите свой уровень до "валенка" что ли, ну как у меня))
Необходимость защиты зависит от наличия угрозы (как сказано ать...), неизвестно что взбредет в голову провайдеру(они мутные), мой провайдер например блокирует только 21 и 80 порт(немного парило потом разобрался и понял зачем он это делает), всё остальное открыто. Что творится у вашего провайдера сейчас, и что будет завтра никто не знает.
Простейший пример...

Ошибки в тексте-неповторимый стиль автора©

Aivar	# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	Ну вот, теперь понятно: файрволл мне не нужен, да и роутер стоит... antiron, а Вам?

indeviral	# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)
Темы: 39 Сообщения: 3204 Участник с: 10 августа 2013	Aivar В "роутере" скорее всего у вас есть свой firewall.... (p.s. с включённым upnp решето) А если всё таки кабель от провайдера подключен напрямую, лишним он точно не будет. Ошибки в тексте-неповторимый стиль автора©

nafanja	# 10 лет, 3 месяца назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	мужики, игнор или мало знаний? http://archlinux.org.ru/forum/topic/13869/?page=1#post-140497 Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

indeviral	# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)
Темы: 39 Сообщения: 3204 Участник с: 10 августа 2013	мало знаний)) сори даже первая строчка грузит... какая может быть защита на локальном компьютере от spoofingа)) и зачем сначала писать net.ipv4.conf.all.rp_filter = 1 то есть как бы для всего, а потом вы уточняете что у вас входит в понятие всё? Ошибки в тексте-неповторимый стиль автора©

indeviral

# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)

Темы: 39

Сообщения: 3204

Участник с: 10 августа 2013

мало знаний)) сори
даже первая строчка грузит... какая может быть защита на локальном компьютере от spoofingа))
и зачем сначала писать net.ipv4.conf.all.rp_filter = 1 то есть как бы для всего, а потом вы уточняете что у вас входит в понятие всё?

Ошибки в тексте-неповторимый стиль автора©

nafanja	# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	ind.indeviral даже первая строчка грузит... какая может быть защита на локальном компьютере от spoofingа)) можно перехватывать чужие пакеты прикинувшись кем то. я могу ошибаться в названиях но было дело. как то захотел проучить одного в локалке. у него был доступ админа к локальному сайту. так перехватил его трафик вытащил его куку и получил полный доступ к сайту. но в локалке это просто, не знаю можно ли такое устроить и в инете. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

ind.indeviral
даже первая строчка грузит... какая может быть защита на локальном компьютере от spoofingа))

можно перехватывать чужие пакеты прикинувшись кем то.
я могу ошибаться в названиях но было дело.
как то захотел проучить одного в локалке. у него был доступ админа к локальному сайту. так перехватил его трафик вытащил его куку и получил полный доступ к сайту. но в локалке это просто, не знаю можно ли такое устроить и в инете.

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

nafanja	# 10 лет, 3 месяца назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	ind.indeviral и зачем сначала писать net.ipv4.conf.all.rp_filter = 1 то есть как бы для всего, а потом вы уточняете что у вас входит в понятие всё? вот было у меня такое предчувствие что уточнять не надо. уберу. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 10 лет, 3 месяца назад

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

ind.indeviral
и зачем сначала писать net.ipv4.conf.all.rp_filter = 1 то есть как бы для всего, а потом вы уточняете что у вас входит в понятие всё?

вот было у меня такое предчувствие что уточнять не надо. уберу.

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

indeviral	# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)
Темы: 39 Сообщения: 3204 Участник с: 10 августа 2013	спуфинг эт походу снифинг только с изменением arp таблицы маршрутизатора (или просто изменения таблицы хз. может кто поправит), и защита походу одна мониторинг измения свзки ip mac в arp таблице и отключения сниферов от сети. Может я что то путаю но какая может быть защита на клиенте хз)) Ошибки в тексте-неповторимый стиль автора©

indeviral

# 10 лет, 3 месяца назад (отредактировано 10 лет, 3 месяца назад)

Темы: 39

Сообщения: 3204

Участник с: 10 августа 2013

спуфинг эт походу снифинг только с изменением arp таблицы маршрутизатора (или просто изменения таблицы хз. может кто поправит), и защита походу одна мониторинг измения свзки ip mac в arp таблице и отключения сниферов от сети. Может я что то путаю но какая может быть защита на клиенте хз))

Haron_Prime	# 10 лет, 3 месяца назад
Темы: 28 Сообщения: 2109 Участник с: 08 июня 2014	мой уровень где-то между валенком и лаптем, потому мне вполне хватает вот такого конфига :INPUT ACCEPT [63494:3984121] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [104478:128641017] :f2b-SSH - [0:0] -A INPUT -p tcp -m tcp --dport 22 -j f2b-SSH -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p icmp -m limit --limit 5/sec --limit-burst 1 -m icmp --icmp-type 8 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT -A INPUT -p icmp -j DROP -A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT -A INPUT -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT -A INPUT -p udp -m state --state NEW -j REJECT --reject-with icmp-net-prohibited -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -m state --state INVALID -j DROP -A f2b-SSH -j RETURN COMMIT также установлен fail2ban Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad GitHub , BitBuket

Haron_Prime

# 10 лет, 3 месяца назад

Темы: 28

Сообщения: 2109

Участник с: 08 июня 2014

мой уровень где-то между валенком и лаптем, потому мне вполне хватает вот такого конфига

:INPUT ACCEPT [63494:3984121]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [104478:128641017]
:f2b-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j f2b-SSH
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p icmp -m limit --limit 5/sec --limit-burst 1 -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state NEW -j REJECT --reject-with icmp-net-prohibited
-A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A f2b-SSH -j RETURN
COMMIT

также установлен fail2ban

Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket