Перейти к содержимому


Фото
- - - - -

правила файрвола

firewall

  • Please log in to reply
70 ответов в этой теме

#1 man8531

man8531

    Newbie

  • Posters
  • 85 Сообщений:

Отправлено 15 Сентябрь 2018 - 16:52

здравствуйте
хочу создать свой фильтр в файрволе на уровне пакетов и возник вопрос: в какой последовательности происходит фильтрация пакетов? у iptables, например, сначала мы запрещаем всё, а потом, ниже в правилах, открываем нужные нам порты.

Сообщение было изменено man8531: 15 Сентябрь 2018 - 16:54


#2 man8531

man8531

    Newbie

  • Posters
  • 85 Сообщений:

Отправлено 15 Сентябрь 2018 - 18:50

или сбросьте уже готовый фильтр, если есть у кого, чтобы: блокировал всё, а ниже можно было открывать порты

#3 Afalin

Afalin

    Massive Poster

  • Dr.Web Staff
  • 2 972 Сообщений:

Отправлено 17 Сентябрь 2018 - 09:17

у iptables, например, сначала мы запрещаем всё, а потом, ниже в правилах, открываем нужные нам порты.

Эээ, что? Если у iptables сначала в цепочке идёт -j DROP, то последующие -j ACCEPT с этим уже ничего не сделают.


Семь раз отрежь – один раз проверь

#4 man8531

man8531

    Newbie

  • Posters
  • 85 Сообщений:

Отправлено 17 Сентябрь 2018 - 16:34

Эээ, что? Если у iptables сначала в цепочке идёт -j DROP, то последующие -j ACCEPT с этим уже ничего не сделают.

возможно, некорректно изложил мысль. речь идёт об этом:

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

 

а ниже пошли правила

 

$IPT -A INPUT -i $WAN -p tcp --dport 10050 -j ACCEPT

 

нe да не суть. так как это реализовано у продукции DrWeb? или как реализовать похожее



#5 SergSG

SergSG

    The Master

  • Posters
  • 11 179 Сообщений:

Отправлено 17 Сентябрь 2018 - 17:11

Все что вы запретите выше, дальше уже не разрешится.



#6 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 228 Сообщений:

Отправлено 17 Сентябрь 2018 - 17:31

man8531, иерархия сверху вниз, сначала разрешаем, а в конце запрещаем (всё например), таким макаром - всё запрещено, кроме разрешённого выше.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#7 SergSG

SergSG

    The Master

  • Posters
  • 11 179 Сообщений:

Отправлено 17 Сентябрь 2018 - 17:52

man8531, иерархия сверху вниз, сначала разрешаем, а в конце запрещаем (всё например), таким макаром - всё запрещено, кроме разрешённого выше.

Вот же огород нагородили. Нет чтоб золотое правило - разрешено все, что не запрещено. И создавай себе только запреты какие считаешь нужным.



#8 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 228 Сообщений:

Отправлено 17 Сентябрь 2018 - 18:00

разрешено все, что не запрещено. И создавай себе только запреты какие считаешь нужным.

По умолчанию так оно и есть, никаких запретов, если не заметили..


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#9 SergSG

SergSG

    The Master

  • Posters
  • 11 179 Сообщений:

Отправлено 17 Сентябрь 2018 - 18:08

 

разрешено все, что не запрещено. И создавай себе только запреты какие считаешь нужным.

По умолчанию так оно и есть, никаких запретов, если не заметили..

 

По умолчанию, это когда пакетник совсем отключен? Или когда проставлены птички возле разрешений?

Я имел ввиду, что как такового понятия "разрешить" быть не должно.

 

Прикрепленный файл  FW1.png   30,39К   0 Скачано раз



#10 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 228 Сообщений:

Отправлено 17 Сентябрь 2018 - 20:16

SergSG, ах, Вы о пакетном фильтре  :D :facepalm: (не фильтре приложений), там да, всё запрещено, что не разрешено.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#11 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 441 Сообщений:

Отправлено 19 Сентябрь 2018 - 00:17

SergSG, ах, Вы о пакетном фильтре  :D :facepalm: (не фильтре приложений), там да, всё запрещено, что не разрешено.

Главное не перестараться, а то будет запрещено соединение с сервером ES  :ph34r:


Best regards, Zaets Kirill
Doctor Web, Ltd.

#12 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 196 Сообщений:

Отправлено 19 Сентябрь 2018 - 13:22

 

SergSG, ах, Вы о пакетном фильтре  :D :facepalm: (не фильтре приложений), там да, всё запрещено, что не разрешено.

Главное не перестараться, а то будет запрещено соединение с сервером ES  :ph34r:

 

 

хм. агент разучился общаться с собственным fw?!



#13 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 441 Сообщений:

Отправлено 19 Сентябрь 2018 - 13:32

Фаер, есть фаер. Если выставить в пакетнике  block all, то это реально будет block all  :ph34r:


Best regards, Zaets Kirill
Doctor Web, Ltd.

#14 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 228 Сообщений:

Отправлено 19 Сентябрь 2018 - 15:25

Если выставить в пакетнике  block all, то это реально будет block all

В пакетном фильтре имеет значение очередность правил: если такое правило в самом начале - тогда да, если в конце всех правил - то сперва обработаются правила разрешения и потом наступит block all. Нужно полагать, если кто-то хочет block all, то нужно будет создать соответствующие разрешающие правила.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#15 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 441 Сообщений:

Отправлено 19 Сентябрь 2018 - 15:27

 

Если выставить в пакетнике  block all, то это реально будет block all

В пакетном фильтре имеет значение очередность правил: если такое правило в самом начале - тогда да, если в конце всех правил - то сперва обработаются правила разрешения и потом наступит block all. Нужно полагать, если кто-то хочет block all, то нужно будет создать соответствующие разрешающие правила.

 

Поэтому я изначально и написал "Главное не перестараться", т.к. не по всех случаях будет разрыв соединения.


Best regards, Zaets Kirill
Doctor Web, Ltd.

#16 SergSG

SergSG

    The Master

  • Posters
  • 11 179 Сообщений:

Отправлено 19 Сентябрь 2018 - 20:24

 

Если выставить в пакетнике  block all, то это реально будет block all

В пакетном фильтре имеет значение очередность правил: если такое правило в самом начале - тогда да, если в конце всех правил - то сперва обработаются правила разрешения и потом наступит block all. Нужно полагать, если кто-то хочет block all, то нужно будет создать соответствующие разрешающие правила.

 

Три раза прочел. И куда бедному юзеру податься? :facepalm:


 

 

SergSG, ах, Вы о пакетном фильтре  :D :facepalm: (не фильтре приложений), там да, всё запрещено, что не разрешено.

Главное не перестараться, а то будет запрещено соединение с сервером ES  :ph34r:

 

хм. агент разучился общаться с собственным fw?!

Может когда то он и умел, но не все застали те времена. :unsure:  



#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 504 Сообщений:

Отправлено 19 Сентябрь 2018 - 21:04

На пакетном уровне нет ни каких агентов
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 SergSG

SergSG

    The Master

  • Posters
  • 11 179 Сообщений:

Отправлено 19 Сентябрь 2018 - 21:07

На пакетном уровне нет ни каких агентов

Настройки в агенте. А логика куда то телепортировалась.



#19 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 228 Сообщений:

Отправлено 19 Сентябрь 2018 - 21:24

Три раза прочел. И куда бедному юзеру податься?

Три раза недостаточно..  :D податься всегда есть куда  :)


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#20 man8531

man8531

    Newbie

  • Posters
  • 85 Сообщений:

Отправлено 20 Сентябрь 2018 - 11:38

так и не понял как всё это хозяйство работает. создал новую группу правил, добавил правило разрешающее всё входящее и исходящее (как рекомендовали выше: сначала всё открываем, а потом закручиваем гайки), добавил правило открывающее порт агента на входящий и исходящий трафик (чтоб не выстрелить в ногу и не запереть машину навсегда), но всё блокируется напрочь. рядом есть группа правил открывающее полный доступ - оно работает. а моё, то же самое - нет. прикладываю xml с настройками групп правил и скриншоты из консоли управления.

 

Прикрепленные файлы:





Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых