Файервол на десктопе,как настраивать и надо ли?

если на пальцах, то: первое и третье правила фильтруют входящий/исходящий трафик, не пропуская битые пакеты
второе правило пропускает входящие, которые не попали под первое правило
в итоге система не тратит ресурс на обработку повреждённых пакетов
при большом объёме трафика (у меня, как правило, 100-150ГБ в день, но в отдельных случаях доходило и до 350-380ГБ) это не такая уж и мизерная экономия
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Aivar"лаптю" сложно всё объяснить, поднимите свой уровень до "валенка" что ли, ну как у меня))
Необходимость защиты зависит от наличия угрозы (как сказано ать...), неизвестно что взбредет в голову провайдеру(они мутные), мой провайдер например блокирует только 21 и 80 порт(немного парило потом разобрался и понял зачем он это делает), всё остальное открыто. Что творится у вашего провайдера сейчас, и что будет завтра никто не знает.
Простейший пример...
Ошибки в тексте-неповторимый стиль автора©
Ну вот, теперь понятно: файрволл мне не нужен, да и роутер стоит...
antiron, а Вам?
Aivar
В "роутере" скорее всего у вас есть свой firewall.... (p.s. с включённым upnp решето)

А если всё таки кабель от провайдера подключен напрямую, лишним он точно не будет.
Ошибки в тексте-неповторимый стиль автора©
мужики, игнор или мало знаний?
http://archlinux.org.ru/forum/topic/13869/?page=1#post-140497
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
мало знаний)) сори
даже первая строчка грузит... какая может быть защита на локальном компьютере от spoofingа))
и зачем сначала писать net.ipv4.conf.all.rp_filter = 1 то есть как бы для всего, а потом вы уточняете что у вас входит в понятие всё?
Ошибки в тексте-неповторимый стиль автора©
ind.indeviral
даже первая строчка грузит... какая может быть защита на локальном компьютере от spoofingа))
можно перехватывать чужие пакеты прикинувшись кем то.
я могу ошибаться в названиях но было дело.
как то захотел проучить одного в локалке. у него был доступ админа к локальному сайту. так перехватил его трафик вытащил его куку и получил полный доступ к сайту. но в локалке это просто, не знаю можно ли такое устроить и в инете.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
ind.indeviral
и зачем сначала писать net.ipv4.conf.all.rp_filter = 1 то есть как бы для всего, а потом вы уточняете что у вас входит в понятие всё?
вот было у меня такое предчувствие что уточнять не надо. уберу.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
спуфинг эт походу снифинг только с изменением arp таблицы маршрутизатора (или просто изменения таблицы хз. может кто поправит), и защита походу одна мониторинг измения свзки ip mac в arp таблице и отключения сниферов от сети. Может я что то путаю но какая может быть защита на клиенте хз))
Ошибки в тексте-неповторимый стиль автора©
мой уровень где-то между валенком и лаптем, потому мне вполне хватает вот такого конфига

:INPUT ACCEPT [63494:3984121]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [104478:128641017]
:f2b-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j f2b-SSH
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p icmp -m limit --limit 5/sec --limit-burst 1 -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state NEW -j REJECT --reject-with icmp-net-prohibited
-A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A f2b-SSH -j RETURN
COMMIT

также установлен fail2ban
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
 
Зарегистрироваться или войдите чтобы оставить сообщение.