39 ответов в этой теме

[adv2004]

Доброго дня.

 

Столкнулся с интересной особенностью работы firewall.

У меня windows 7 pro и я на vmware workstation использую xp mode в качестве виртуальной машины.

До этого мне не было необходимости, чтобы xp была в сети и соответственно я отключал виртуальный сетевой адаптер. Сейчас мне понадобилось чтобы хр сама была в сети и я перевел ее в режим bridged, то есть полной имитации присутствия ее в сети с отдельным ip адресом.

В сеть она не захотела выходить, я предположил что ее тормозит firewall. Экспериментальным путем выяснил, что если в настройках---компонентах защиты-----брандмауэр------изменить параметры работы для известных сетей выставить для реального сетевого адаптера вместо default rule - allow all, то все отлично работает.

 

 В связи с этим вопрос как настоить firewall так чтобы он все пропускал на виртуальную машину и работал в режиме default rule для хостовой системы.

 

С параметрах работы для известных сетей есть три адаптера , нормальный и два виртуальных. перевод виртуальные в allow all не позволяет нормально работать xp mode c сетью.

 

Спасибо.     

[VVS]

Лично я считаю, что пакетный фильтр в персональном фаере - абсолютно ненужная и неюзабельная фича.

Поэтому он у меня отключен на всех интерфейсах.

[Eugen Engelhardt]

Попробуйте вернуть правило фильтрации по умолчанию "Default Rule" для сетевой карты и создать разрешающее пакетное правило.

 

1. Нажмите значок Dr.Web, выберите значок "Замок", разрешите запуск приложения, выберите значок "Зубчатый круг", нажмите пункт "Компоненты защиты", выберите надпись "Брандмауэр", нажмите надпись "Изменить параметры работы для известных сетей".

2. Выберите нужный сетевой интерфейс, нажмите значок «Карандаш», выберите правило "Default rule", нажмите значок «Карандаш», нажмите значок «Плюс»:

 

Имя и описание правила - любое

Действие - разрешить пакеты

Направление - любое

Ведение журнала - отключено

Критерий - Ethernet

 

Нажмите значок «Плюс», выберите:

 

Локальный MAC-адрес - "Мой компьютер"

Удалённый Mac-адрес - "Любой»,

 

Нажмите «ОК», найдите в списке только что созданное правило, переместите его в самый верх нажимая справа пиктограмму «Стрелка в верх», затем нажмите «ОК», «ОК» и так до выхода из настроек.

Сообщение было изменено Eugen Engelhardt: 16 Ноябрь 2016 - 17:37

[adv2004]

Так как вы предлагаете, так не работает.

Но я тут подумал, что локальный МАС адрес должен быть не "мой компьютер", а "другой компьютер".

Так если следовать вашим рекомендациям и заменить МАС на "другой компьютер", то все работает.

А чтоб с хостовой системы связь работатала, то надо ставить вообще "любой" в МАС 

Правильно ли я понимаю, что в этом случае Firewall (когда я разрешил с любого на любой в МАС) по сути ничего не фильтрует и это аналогично Allow All?

Я так понимаю мне надо МАС фиксированные поставить? 

 

Спасибо.

[maxic]

Тоже задавался этим вопросом. По сути, получается, что разрешены транзитные пакеты. Кроме которых существует еще куча всяких разновидностей.
Но, по крайней мере, у вас есть возможность всё тонко подстроить для себя. В общем случае - согласен с VVS - пакетный фильтр для обычного пользователя не нужен.

[techdir]

adv2004, отключайте пакетный фильтр, сбережёте нервы и время.

[SergSG]

В общем случае - согласен с VVS - пакетный фильтр для обычного пользователя не нужен.

Обычного пользователя сложно отличить от необычного.

А вот зачем нужно было такой злобный дефолт придумывать - непонятно.

Еще более непонятно - почему за столько лет его нельзя было изменить.

 

Самое смешное - вопрос убрать пакетник реально рассматривается, а изменить дефолт нет - пострадает безопасность. Абсюрд.

Сообщение было изменено SergSG: 19 Ноябрь 2016 - 19:29

[maxic]

SergSG, ну а если данное правило равно почти отключению пакетника, то смысл городить всю эту историю? Мало кто будет морочиться с занесением маков в правила.

[SergSG]

SergSG, ну а если данное правило равно почти отключению пакетника, то смысл городить всю эту историю? Мало кто будет морочиться с занесением маков в правила.

Это так кажется. Если отпилят, запросто может выясниться, что кто то его использовал. Или где нить в спец конторах им чего то блокировали. В быту он конечно не нужен, особенно учитывая требуемый уровень квалификации для его настройки.

Он уже сделан, он есть, и есть не просит. Измени дефолт на сквозняк и все проблемы исчезнут.

Начнут выпиливать, все переломают, потом год фиксить будут.

[adv2004]

Я совершенно обычный пользователь и раз я в форум пишу как настроить пакетный фильтр, значит он нужен и простым пользователям.  

Я пока оставлю настройки как указал, маки прописывать не буду, есть ведь еще и другие виртуальные машины.  

 

Спасибо.

[Eugen Engelhardt]

Так как вы предлагаете, так не работает.

Значения поменяйте:

 

Локальный MAC-адрес - "Любой»

Удалённый Mac-адрес - "Мой компьютер"

 

Правильно ли я понимаю, что в этом случае Firewall (когда я разрешил с любого на любой в МАС) по сути ничего не фильтрует и это аналогично Allow All?

Нет, неправильно.

 

Правило Allow All позволяет пропускать все сетевые пакеты (созданные правила не обрабатываются), в отличии от правила по умолчанию Default Rule, где используются предварительно созданные правила для сетевых пакетов, описывающие наиболее часто встречающиеся конфигурации сети и распространенные атаки (используется по умолчанию для всех новых интерфейсов).

 

Я так понимаю мне надо МАС фиксированные поставить?

Не обязательно.

[SergSG]

Значения поменяйте:

 

Локальный MAC-адрес - "Любой»

Удалённый Mac-адрес - "Мой компьютер"

 

Eugen Engelhardt, и вы таки уверены, что в файере все работает так, как должно?

[Eugen Engelhardt]

и вы таки уверены, что в файере все работает так, как должно?

Да, а что именно смущает ?

[VVS]

Много чего, но это не разговор для этой темы.

[SergSG]

 

и вы таки уверены, что в файере все работает так, как должно?

Да, а что именно смущает ?

В паблик трекере можно почитать.

А если в целом, то https://forum.drweb.com/index.php?showtopic=324468&p=801428

Сообщение было изменено SergSG: 22 Ноябрь 2016 - 17:47

[Eugen Engelhardt]

Не вижу проблемы. Напишу в двух предложениях 

1. Брандмауэр по умолчанию не устанавливается.

2. Если уж установили, то предполагается наличие элементарных знаний для управления брандмауэром, к тому же имеется справка, и более того, есть форум, ТП.

[SergSG]

Не вижу проблемы.

Ну вот, и вы туда же.

Значит в трекер таки не заходили, да и форум не листали.

[nata16]

Попробовал сегодня известный метод устранения телеметрии с использованием виртуальной машины на VirtualBox и роутера. Запретил в роутере выход в интернет хост-компьютеру и попытался выйти в интернет только через виртуальную машину (ВМ) в режиме моста. Как в первом посте писалось, DrWeb не пускает ВМ в интернет по-умолчанию. По рекомендации Eugen Engelhardt попытался ввести дополнительное правило. Но не помогло, нет интернета в ВМ.

Возможно потому, что в списке вместо Ethernet появляется только Ethernet SNAP (после добавления MAC-адресов)?

Нет ли у кого уточненного правила?

 

Правило по Eugen Engelhardt

Выберите нужный сетевой интерфейс, нажмите значок «Карандаш», выберите правило "Default rule", нажмите значок «Карандаш», нажмите значок «Плюс»:

Имя и описание правила - любое

Действие - разрешить пакеты

Направление - любое

Ведение журнала - отключено

Критерий - Ethernet (здесь после ввода MAC выбирается только Ethernet SNAP )

Нажмите значок «Плюс», выберите:

Локальный MAC-адрес - "Любой»

Удалённый Mac-адрес - "Мой компьютер"

Нажмите «ОК», найдите в списке только что созданное правило, переместите его в самый верх нажимая справа пиктограмму «Стрелка вверх», затем нажмите «ОК», «ОК» и так до выхода из настроек.

 

[Eugen Engelhardt]

nata16, если VB в режиме моста, тогда попробуйте разрешить правило "GATEWAY: ICS gateway" и создать разрешающее пакетное правило с критерием UDP для сетевой карты в настройках Брандмауэра Dr.Web.

Dr.Web > значок "Замок" > значок "Шестерёнка" > Компоненты защиты > Брандмауэр > Изменить параметры работы для известных сетей > значок "Карандаш в круге" > нажать надпись "Default Rule" > значок "Карандаш в круге" > прокрутить ползунок до конца вниз > отметить флажком "GATEWAY: ICS gateway" > нажать значок "Плюс в круге" >  Имя и описание правила - DHCP > Действие - Разрешить пакеты > Направление - Любое > Ведение журнала - Отключено > Критерий - UDP > нажать значок "Плюс в круге" > Локальный порт  - выбрать "Равен" -  ввести значение 68 > Удалённый порт - выбрать "Равен" - ввести значение 67 > нажать "ОК", найти в списке только что созданное правило, переместите его в самый верх нажимая справа пиктограмму "Стрелка в верх" > нажать "ОК" > "ОК" и так до выхода из настроек.

[nata16]

Eugen Engelhardt

Спасибо за ответ.

1. Да, VirtualBox в режиме моста. Но чтобы виртуальная машина выходила в интернет надо изменить параметры до Allow All адаптера хост-компьютера с Windows 7 (у меня он обозначен как Real7-64). Параметры VirtualBox Host-Only Ethernet Adapter остаются в режиме Default Rule.

2. Следую указаниям в Вашем посте и, наконец, прокручиваю ползунок до конца вниз и НЕ вижу "GATEWAY: ICS gateway"