10 ответов в этой теме

[rromms]

Здравствуйте всем!

Выяснил, что Dr. Web® Firewall некорректно ведет себя по отношению к гостевой машине Virtualbox-а.
В тестовых целях установлены Ubuntu - как шлюз и WinXP - для тестов этого шлюза.
После установки Dr. Web Antivirus + Firewall , Dr. Web® Firewall блокирует всю работу шлюза и тормозит работу по SSH.
При вкл. FW - шлюз неработает, при выкл. работа возобновляется.
Ковыряние правил и, в конце концов, выдача полной "индульгенции" Virtualbox-y, его сет. интерфейсу, Putty - результата не принесли.

Хочу услышать совет техподдержки.

Заранее спасибо!

[Borka]

Хочу услышать совет техподдержки.

Техподдержка - это здесь.

[rromms]

В общем-то уже неактуально - снес ...
Постоянные тормоза на ровном месте.

Сообщение было изменено rromms: 05 Апрель 2011 - 10:06

[userr]

Постоянные тормоза на ровном месте.

Без логов - пустые слова.
Получите в ответ такие же: нет никаких тормозов при правильных настройках. Вам показалось.

[Aleksey Strokin]

Здравствуйте всем!

Выяснил, что Dr. Web® Firewall некорректно ведет себя по отношению к гостевой машине Virtualbox-а.
В тестовых целях установлены Ubuntu - как шлюз и WinXP - для тестов этого шлюза.
После установки Dr. Web Antivirus + Firewall , Dr. Web® Firewall блокирует всю работу шлюза и тормозит работу по SSH.
При вкл. FW - шлюз неработает, при выкл. работа возобновляется.
Ковыряние правил и, в конце концов, выдача полной "индульгенции" Virtualbox-y, его сет. интерфейсу, Putty - результата не принесли.

Хочу услышать совет техподдержки.

Заранее спасибо!

Dr. Web Firewall - это персональный файрвол, для защиты компьютера пользователя. Поэтому весь транзитный трафик в нём по умолчанию запрещён. Ставить его на шлюз не совсем верное решение, т.к. фильтрация трафика на шлюзе сильно отличается от того что должно происходить на компьютере обычного пользователя. Если-же вы всё таки хотите использовать наш файрвол на шлюзе, вам нужно поподробней описать как у вас организована работа этого шлюза (список интерфейсов и как они непосредственно соединены между собой, какие соединения, между какими интерфейсами должны маршрутизироватся). Тогда я смогу подсказать, как правильно задать правила для пакетного фильтра, или на каких интерфейсах пакетный фильтр лучше вообще отключить.

Сообщение было изменено Aleksey Strokin: 05 Апрель 2011 - 13:17

[maxic]

Алексей, типичная задача: на машине стоит VirtualBox или VMWare. Нужно, чтобы фаер разрешал трафик этому софту. Автоправило или изменение логики фаера предвидится?

[Aleksey Strokin]

Алексей, типичная задача: на машине стоит VirtualBox или VMWare. Нужно, чтобы фаер разрешал трафик этому софту. Автоправило или изменение логики фаера предвидится?

Я так понимаю подключение к физ. интерфейсу компьютера настроено как мост(bridge)?
Хм... полагаю самым верным решением добавить в правила пакетного фильтра, для физ. интерфейса сетевой карты(той что смотрит наружу в общую сеть) правило:
Разрешить, в обе строны, Network protocol - Unspecified, в MAC Settings -> Local MAC address -> Equal -> указать MAC адрес виртуальной сетевой карты(той чьи пакеты через мост будут ходить).

Автоправило, это не ко мне, да и разрешать транзитный трафик по умолчанию... Т.е. с моей стороны тут как-бы никаких проблем нет, но по дефолту вряд-ли. Всё таки это снижает защищённость компьютера пользователя, а нужно не всем.
Изменение логики в принципе уже сделано, но к данной проблеме отношения не имеет, т.к. данная ситуация может быть разрешена простой модификацией правил.

[maxic]

Я так понимаю подключение к физ. интерфейсу компьютера настроено как мост(bridge)?
Хм... полагаю самым верным решением добавить в правила пакетного фильтра, для физ. интерфейса сетевой карты(той что смотрит наружу в общую сеть) правило:
Разрешить, в обе строны, Network protocol - Unspecified, в MAC Settings -> Local MAC address -> Equal -> указать MAC адрес виртуальной сетевой карты(той чьи пакеты через мост будут ходить).

Автоправило, это не ко мне, да и разрешать транзитный трафик по умолчанию... Т.е. с моей стороны тут как-бы никаких проблем нет, но по дефолту вряд-ли. Всё таки это снижает защищённость компьютера пользователя, а нужно не всем.
Изменение логики в принципе уже сделано, но к данной проблеме отношения не имеет, т.к. данная ситуация может быть разрешена простой модификацией правил.

Бридж.
Спасибо за информацию. То есть, как я понимаю, в новой реализации фаера облегчения этой ситуации не будет?

[Aleksey Strokin]

Могут быть и другие варианты (по степени снижения защищённости):
1. В качестве MAC указать не адрес сетевой карты, а Not MY_COMPUTER, или Not Equal и адрес физ. сетевой карты.
2. Поставить Allow all для физ. интерфейса.
2. Снять галочку в свойствах сетевого соединения(в настройка Windows) с драйвера пакетного фильтра, т.е. вообще его отключить.

[Aleksey Strokin]

Спасибо за информацию. То есть, как я понимаю, в новой реализации фаера облегчения этой ситуации не будет?

Лично я не знаю, т.к. сервисами и GUI не занимаюсь. В принципе проблему обсуждали, но конкретного решения, как это лучше вреднить, пока не принято. Есть масса более срочных и важных задач.

[maxic]

Aleksey Strokin
Поклон, все заработало