Проблема с Dr. Web® Firewall
#1
Отправлено 04 Апрель 2011 - 23:55
Выяснил, что Dr. Web® Firewall некорректно ведет себя по отношению к гостевой машине Virtualbox-а.
В тестовых целях установлены Ubuntu - как шлюз и WinXP - для тестов этого шлюза.
После установки Dr. Web Antivirus + Firewall , Dr. Web® Firewall блокирует всю работу шлюза и тормозит работу по SSH.
При вкл. FW - шлюз неработает, при выкл. работа возобновляется.
Ковыряние правил и, в конце концов, выдача полной "индульгенции" Virtualbox-y, его сет. интерфейсу, Putty - результата не принесли.
Хочу услышать совет техподдержки.
Заранее спасибо!
#3
Отправлено 05 Апрель 2011 - 10:05
Постоянные тормоза на ровном месте.
Сообщение было изменено rromms: 05 Апрель 2011 - 10:06
#4
Отправлено 05 Апрель 2011 - 10:09
Без логов - пустые слова.Постоянные тормоза на ровном месте.
Получите в ответ такие же: нет никаких тормозов при правильных настройках. Вам показалось.
#5
Отправлено 05 Апрель 2011 - 13:17
Здравствуйте всем!
Выяснил, что Dr. Web® Firewall некорректно ведет себя по отношению к гостевой машине Virtualbox-а.
В тестовых целях установлены Ubuntu - как шлюз и WinXP - для тестов этого шлюза.
После установки Dr. Web Antivirus + Firewall , Dr. Web® Firewall блокирует всю работу шлюза и тормозит работу по SSH.
При вкл. FW - шлюз неработает, при выкл. работа возобновляется.
Ковыряние правил и, в конце концов, выдача полной "индульгенции" Virtualbox-y, его сет. интерфейсу, Putty - результата не принесли.
Хочу услышать совет техподдержки.
Заранее спасибо!
Dr. Web Firewall - это персональный файрвол, для защиты компьютера пользователя. Поэтому весь транзитный трафик в нём по умолчанию запрещён. Ставить его на шлюз не совсем верное решение, т.к. фильтрация трафика на шлюзе сильно отличается от того что должно происходить на компьютере обычного пользователя. Если-же вы всё таки хотите использовать наш файрвол на шлюзе, вам нужно поподробней описать как у вас организована работа этого шлюза (список интерфейсов и как они непосредственно соединены между собой, какие соединения, между какими интерфейсами должны маршрутизироватся). Тогда я смогу подсказать, как правильно задать правила для пакетного фильтра, или на каких интерфейсах пакетный фильтр лучше вообще отключить.
Сообщение было изменено Aleksey Strokin: 05 Апрель 2011 - 13:17
Как идти ломая стены, и не трогать кирпичи?
#6
Отправлено 05 Апрель 2011 - 13:25
#7
Отправлено 05 Апрель 2011 - 13:56
Алексей, типичная задача: на машине стоит VirtualBox или VMWare. Нужно, чтобы фаер разрешал трафик этому софту. Автоправило или изменение логики фаера предвидится?
Я так понимаю подключение к физ. интерфейсу компьютера настроено как мост(bridge)?
Хм... полагаю самым верным решением добавить в правила пакетного фильтра, для физ. интерфейса сетевой карты(той что смотрит наружу в общую сеть) правило:
Разрешить, в обе строны, Network protocol - Unspecified, в MAC Settings -> Local MAC address -> Equal -> указать MAC адрес виртуальной сетевой карты(той чьи пакеты через мост будут ходить).
Автоправило, это не ко мне, да и разрешать транзитный трафик по умолчанию... Т.е. с моей стороны тут как-бы никаких проблем нет, но по дефолту вряд-ли. Всё таки это снижает защищённость компьютера пользователя, а нужно не всем.
Изменение логики в принципе уже сделано, но к данной проблеме отношения не имеет, т.к. данная ситуация может быть разрешена простой модификацией правил.
Как идти ломая стены, и не трогать кирпичи?
#8
Отправлено 05 Апрель 2011 - 14:06
Бридж.Я так понимаю подключение к физ. интерфейсу компьютера настроено как мост(bridge)?
Хм... полагаю самым верным решением добавить в правила пакетного фильтра, для физ. интерфейса сетевой карты(той что смотрит наружу в общую сеть) правило:
Разрешить, в обе строны, Network protocol - Unspecified, в MAC Settings -> Local MAC address -> Equal -> указать MAC адрес виртуальной сетевой карты(той чьи пакеты через мост будут ходить).
Автоправило, это не ко мне, да и разрешать транзитный трафик по умолчанию... Т.е. с моей стороны тут как-бы никаких проблем нет, но по дефолту вряд-ли. Всё таки это снижает защищённость компьютера пользователя, а нужно не всем.
Изменение логики в принципе уже сделано, но к данной проблеме отношения не имеет, т.к. данная ситуация может быть разрешена простой модификацией правил.
Спасибо за информацию. То есть, как я понимаю, в новой реализации фаера облегчения этой ситуации не будет?
#9
Отправлено 05 Апрель 2011 - 14:06
1. В качестве MAC указать не адрес сетевой карты, а Not MY_COMPUTER, или Not Equal и адрес физ. сетевой карты.
2. Поставить Allow all для физ. интерфейса.
2. Снять галочку в свойствах сетевого соединения(в настройка Windows) с драйвера пакетного фильтра, т.е. вообще его отключить.
Как идти ломая стены, и не трогать кирпичи?
#10
Отправлено 05 Апрель 2011 - 14:12
Спасибо за информацию. То есть, как я понимаю, в новой реализации фаера облегчения этой ситуации не будет?
Лично я не знаю, т.к. сервисами и GUI не занимаюсь. В принципе проблему обсуждали, но конкретного решения, как это лучше вреднить, пока не принято. Есть масса более срочных и важных задач.
Как идти ломая стены, и не трогать кирпичи?
#11
Отправлено 05 Апрель 2011 - 14:23
Поклон, все заработало
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых