XMMS
А какую сетевуху етот фиревол мониторит (собствено Нвидивскую или от Марвела каторая)? Или он сразу две может?

Fatality
У меня только одна... так что незнаю :-/

Ладно предположим, что нвидивскую мониторит....

Ввел в google "Что такое аппаратный firewall". Первая ссылка выданная им.

http://www.lib.csu.ru/dl/bases/prg/komp ... 00_10_htw/

Цитата:

Проверка пакетов осуществляется по-разному — в зависимости от уровня firewall. Существует пять уровней firewall:

* Первый уровень проверяет адреса, записанные в пакете, и номер порта. При этом, естественно, появляется возможность запрета приема пакетов с определенных адресов или в определенные порты. Этот уровень обеспечивает минимальную защиту, так как пакет — это еще не файл и не программа, а просто кусок информации. Но тем не менее может быть полезно, например, запретить прохождение пакетов по некоторым портам.
* Второй уровень в дополнение к тому, что происходит на первом уровне, использует ссылки на предыдущие пакеты. С помощью таких ссылок формируется законченная цепь информации, например целый файл. Такой firewall проверяет целостность передачи файлов и позволяет сразу отсекать подозрительные файлы.
* Третий уровень — это firewall программного уровня. К фильтрации пакетов и проверки целостности информации добавлена возможность проверки содержимого файлов. То есть, например, исполняемые файлы проверяются на вирусы, проверяется содержимое архивов, в письмах тестируются вложенные файлы и так далее.
* Четвертый и пятый уровни отличаются от третьего лишь технической реализацией основных функций firewall программного уровня.


В любом случае железкой управляет программа, хоть и называется это "аппаратный" firewall.

Имхо для дома более важна фильтрация портов, фильтрация доступа программ и антивирусный мониторинг. А вот в локальной сети на первое место встает именно фильтрация портов, роутинг, DMZ (если надо), а уж потом фильтрация программ и антивирусный доступ (хотя это все в комплексе важно), которые решаются на уровне клиентов и на уровне сервера. Мне бы хотелось увидеть, какие именно функции берет на себя процессор этого "аппаратного" firewall, чтобы не загружать ЦП и какие функции возлагаются на ЦП. Дополнительный процессор для реализации этих функции это хорошо, но это, явно, больше маркетинговая функция, чтобы пользователи говорили "а у меня "аппаратный" firewall", тем самым говоря, что это лучше, чем просто программный (о чем сейчас разговор и идет), хотя это вопрос спорный. В любом случае, за этим будущее, как произошла разгрузка обработки графики ЦП, за счет графического процессора, так сейчас идет тоже самое и для данного "аппаратного" firewall'a.

Люди давайте будем обсуждать вопрос о правильной настройки этого самого фаервола в винде, в частности я являюсь обладателем материнки Asus A8N-E nForce 4 Ultra и использую встроенную сетевушку + поставил полный флакон дров и соответцтвенно сервер Apache, всё вроде как хорошо поставилось без глюков и вопросов, но когда я решил скачать с одного ftp фильм (локальная сеть) через старую добрую программу FAR manager (очень она мне понравилась работает быстро и без вопросов не то что всякие Internet ExlpoerbI ) я не смог зайти не на один ftp хотя через IE и ForeFox зайти можно было спокойно, ко всему моему счастью фаервол оказался на английском языке.. и методом научного тыка и ошибок выяснилось если в закладке Firewall > Advanced Configuration > UDP/TCP Port пункт TCP/UDP port inbound action изменить с Deny на Allow всё становится на круги своя т.е. через FAR manager теперь тоже можно заходить на ftp, собственно возникает вопрос много ли я теряю в безопасности при Allow в TCP/UDP port inbound ? может просто напросто где-то надо поставить галочку и всё? когда же я всё таки на ftp попал меня поджидал следующий косяк при попытке скачать фильм скорость была всего 25Кб\сек (в дальнейшем выяснилось что разницы нет через какую я программу скачиваю та же ситуация наблюдалась и в IE и в FireFox) при том что сеть 100МБит\сек и до установки фаервола скорость была 10Мбайт\сек, отправившись опять в настройки фаервола проблему удалось решить следующими манипуляциями в закладке ActiveArmor > Port пришлось открыть порты с 1000 по 3000, сначала я пытался отследить какие порты необходимы тому же FAR manager'у и открыть только их но когда я открывал например порты 1300 по 1310 FAR manager стал заходить через порт 1400 и т.д. в итоге пришлось открыть порты в таком широком диапозоне чтобы скорость была нормальная (10Мбайт\сек) и в FAR manager и в IE, FireFox что можете по этому поводу сказать, где могу быть грабли? Особенно хочу услышать мнение тех кто тоже юзает этот фаервол на nForce 4 Ultra в локальной сети не было подобных глшюков?

Snegok

1) Браузеры используют Passive Mode, а FAR по умолчанию - нет, там нужно для этого в настройках FAR галочку поставить отсюда и проблема возникла.
2) Порт назначения не равен порту источнику. Точнее источник запроса, например на 21 FTP порт может быть с любого порта, отсюда, ты в правилах должен настраивать, что, например, разрешается проход через Firewall через 21 порт (порт назначения или Destination port), с любого порта (порт источник Source port) по протоколу TCP, что в итоге тебе и даст свободный доступ до FTP. Если будет необходимо то добавишь аналогичное правило и для UDP порта. В общем ты сам это увидел, когда FAR на 21 порт слал запросы с других портов. В общем случае таких одновременных запросов на порт может быть много и со множества портов источников, что в итоге тебе и даст твою нормальную скорость в 10Mbit.

2133

По первому пунку получается маленькая неувязочка, если я ставлю в фаре пассивный режим то действительно вроде как всё работет нормально, но у нас в сети на некоторые фтп с пассивным режимом заходить можно, а на некоторые нельзя... и что в этой ситуации мне делать?
По второму пункту я несоввсем понял что ты имел ввиду и если тебе не сложно то напиши пжалста прям по пунктам что мне нужно сделать

Заранее Спасибо.

А дрова для nVidia Firewall под linux есть,
или как всегда?

Как всегда,
я даже беты не видел,
если кто видел киньте линк плиз

Snegok

Делать то, что настроить порты так, как я тебя сказал. У меня нет ни одной матери на Nforce3 или 4, но я тебе приведу пример настройки из Kerio Winroute Firewall 6, где будет видно суть настройки порта, а дальше сделаешь аналогичную настройку у себя. Пункта "Protocol Inspector" у тебя не будет, так как это фича KWF.
#77

2133
Вот я как сделал, но должного эффекта это не дало http://images.people.overclockers.ru/33204.jpg 94.53 Кб

TCP Port Inbound Action тебе не нужен, это значит, что у тебя порт на вход окрыт. Но ИМХО ты не все настройки показал. Должны быть еще настроки этого же порта. :-/

2133
а где вообще попопулярно и системно изложено чтои как файрволами затыкать?

2133
Может это http://images.people.overclockers.ru/33213.jpg или это http://images.people.overclockers.ru/33214.jpg там слева есть список всех закладок может в другую какую-нить зайти?

К вопросу, мониторит ли нВидиевский фаер модемы.
Пробовал ставить его под 2003 и 2003х64 из дров 6.53 и 6.39 соответственно. Оба дистрибутива были какие-то недоделаные - не хватало файлов, в обоих случаях своих - собрал один из двух. Так вот, под х64 фаер упорно не пускал в инет (у меня ГПРС, устанолен драйвер стандартного модема) ни Миранду, ни Thunderbird, в логах это дело отмечалось, хотя в правила на них были прописаны. Под не-х64 напротив, все проходит запросто, в логах никаких следов, хотя правила не прописаны.
В итоге получается непонятно что. Попробую поставить уже снесенный фаер обратно и добиться от него правды =)

Добавлено спустя 2 часа, 42 минуты, 16 секунд:
Поставил на 2003х32. Работает, модемный траффик вроде мониторит. В логах среди выходящих в инет приложений числится только Aston, правила тоже работают только для него. Запретить aston.exe доступ в инет - и никто не выйдет. Неужто так в Астоне и задумано? Получается неудобно.

Народ, ни у кого небыло чего-то подобного при инсталяции нвидиевского файрвола? А именно - винда перестает грузится или не дает залогиниться даже в сейф-моде? Все это происходит на Asus A8N-E с WinXP Prof SP2. Машина подрублена к локалке с доменом. Другие файрволы на время установки нвидиевого отрублены и даже деинсталены.

Не стало? Начнем с того, что даже самые первые обзоры платы DFI NF4 отметили, что невероятным образом поднимается CPU LOAD при включении NW FW чуть ли не до 70%, причем добавлялось, что на DFI NF3 таких проблем не было. Как обычно (вынужденно) излишне оптимистичные, ревьюеры выразили убедительную надежду, что "проблема будет исправлена в последующих версиях драйверов/БИОСа" (tm). И вот по сию пору... геморрой длится. Ничего не поменялось и, видимо, уже не изменится. Не знаю, присуща ли эта проблема исключительно DFI, но на DFI STREET вы можете прочитать достаточное количество рекомендаций сразу и бесповоротно отключать NW FW и АА от греха подальше.

P.S. Больше всего хотел бы увидеть сравнение FW CPU LOAD между DFI NF3 и NF4. Многое прояснилось бы, в том числе кто и насколько хардверный.


Тем, кто задает много общих вопросов по фаерволам
А зачем вам вообще фаервол, если вы не знаете, что это такое и как им пользоваться?
Вы, наверное, не знаете также, что фаервол не является чем-то строго обязательным, незаменимым.
Вот пара советов. Прежде чем браться за фаервол (который по сути является насадкой, соответственно жрет ресурсы проца и памяти, немного (не знаю насколько заметно) увеличивает пинг, а также добавляет проблем вроде "а не я ли сам перекрыл себе доступ" и т.п.) имейте в виду следующее:
1) Если у вас внутренний ip, вы можете не заморачиваться по поводу фаервола. (Вас будет оберегать провайдер.)
2) Если у вас Windows 95 или 98, можете тоже не напрягаться. Вероятность атаки минимальна. (Меня за 3 года на кабельном модеме ни разу не атаковали.)
3) Если у вас нет потребности в многообразии функций современного фаервола, то дайте обновится Windows'у и пользуйтесь встроенный фаерволом - Брандмауэром, который появился начиная с SP2.
4) Если у вас NW фаервол и вы хотите его использовать просто потому, что он есть (и что вы за него платили), то обратите внимание на начало моего поста и тот факт, что, собственно, экономия ресурсов по сравнению с тем же брандмауэром на настоящий момент не изучена (насколько мне известно).

AD
а затем, что люди и хотят разобраться
и конференция как раз для этого создана да будет Вам известно....

а Вы таким умным сразу родились, и вопросы спецам не задавали?

AD
на Ваш абзац 1-й:
а) куда задавать вопросы и в каком случае - крайнем или не крайнем - дело личное
и не надо навязывать свои предпочтения другим
б)..... кому надо ценить Ваше время если Вы сами его не цените пускаясь в беспредметный флейм?
в)..где искать ответы - см. выше - дело личное - как минимум....

на Ваш абзац 2-й
а) ну если уже совсем "о чистоте породы" - так файрвол к разгону вообще отношения не имеет,
и никакие разговоры по оптимизации или пр. принципиально сей момент не меняют
б) просмотрите внимательно названия тем какие обсуждаются и как
в разделе Локальные сети и Интернет - возможно откроете для себя много нового
в) вы считаете что модераторы не знают свое дело? или хотите быть "святее Римского Папы? "...
на мой взгляд, сайт имеет весьма могучую популярность именно потому, что не страдает чепорностью и солдатской зашоренностью,
потому что модераторы не только не прессуют за небольшие вольности и отклонения
обсуждений в плане задания новичками порой элементарных вопросов и их последующего просвещения опытными
участниками форумов, но и сами зачастую не ленятся писать подробные ответы

Модераторам
сорри за флейм - не сдержался
ИМХО высокомерие и пренебрежение интересами не самой продвинутой
категории участников конференций - получи оно поддержку - может только повредить сайту.
А не хотелось бы