Добрый день. Никогда не заворачивался подобным, так как фильтровал трафик до интерфейса винды. Но появился серверок на хостинге и его нужно защищать от нехороших людей извне. Смотрел на продукты wingate, winroute. Они в основном заточены для обеспечения доступа офиса в интернет. Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100). Посмотрел на ipfw для windows, из это пакета драйвер на 2003-x64-R2 не хочет устанавливаться. Посоветуйте, плиз, фаирвольчик. Заранее благодарен.
а ты попробуй погуглить слово не faerwall а firewall - гляди, может получится?
З.Ы. как-то лет 5 назад юзал outpost - ничё так вроде
а ты попробуй погуглить слово не faerwall а firewall - гляди, может получится?
Подколол
Учитывая, что все сторонние файерволы все равно работают поверх дырявого виндового ядра - лучше чем встроенный файервол виндоуз они все равно работать не будут. В лучшем случае - предоставят больше настроек и доставят больше проблем, пока все настройки не будут вычуханы. Так что разницы по степени защищенности разных файерволов и встроенного файервола я лично не вижу.
А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.
winroute.
Kerio Control Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)
А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.
Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL
Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL
тогда за апппаратный firewall ИМХО лучше будет его спрятать
winroute.
Kerio Control Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)
+ за Керио. Удобный и простой в настройке)
Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)
Ага... именно через ISA лет 10 назад на наш корпоративный сервак и пролез червяк, который выжирал инет-трафик круглосуточной рассылкой спама
А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.
Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL
В 21-м веке на хостах, которые имеют аппаратную поддержку виртуализации, накладные расходы на эту самую виртуализацию - мизерны. Так что что там высоконагружено - в нынешнее время практически пофиг.
Это первое, что я посмотрел. На 2003-R2-X64 не устанавливается (проблема добавления сервиса к сетевой карте)
Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)
Ага... именно через ISA лет 10 назад на наш корпоративный сервак и пролез червяк, который выжирал инет-трафик круглосуточной рассылкой спама
А может он изнутри пролез , а не с наружи?
Не, он пролез через дырку стека протоколов TCP/IP, которая чуть позже была опубликована и "зашита" мелкософтом. Там до файервола просто не дошло (т.е. именно то, о чем я говорил в первом ответе в этой теме - пофиг какой файервол, потому что они ВСЕ работают поверх дырявого виндового ядра).
Всем спасибо. Таки удалось запустить winipfw.
Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100).
Так а чем не устраивает? Типа в виндовом фаерволе нельзя загнать 100 айпишек в правило?
Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100).
Так а чем не устраивает? Типа в виндовом фаерволе нельзя загнать 100 айпишек в правило?
Типа незнание матчасти явлется основанием для того, чтобы отказаться от продукта
Добрый день. Никогда не заворачивался подобным, так как фильтровал трафик до интерфейса винды. Но появился серверок на хостинге и его нужно защищать от нехороших людей извне. Смотрел на продукты wingate, winroute. Они в основном заточены для обеспечения доступа офиса в интернет. Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100). Посмотрел на ipfw для windows, из это пакета драйвер на 2003-x64-R2 не хочет устанавливаться. Посоветуйте, плиз, фаирвольчик. Заранее благодарен.
kerio winroute года 2007
Типа незнание матчасти явлется основанием для того, чтобы отказаться от продукта
Но сомнения меня таки взяли.
Добавил больше сотни адресов, работает
Код:
netsh firewall>show portopening enable ...
Конфигурация порта для профиля Обычный: Порт Протокол Режим Имя ------------------------------------------------------------------- 5985 TCP Disable Удаленное управление Windows Область: * 80 TCP Disable Удаленное управление Windows - режим совместимости (HT TP - входящий трафик) Область: * 3306 TCP Enable mysql Область: * 1111 TCP Enable 1111 Область: 192.168.1.1/255.255.255.255,192.168.1.2/255.255.255.255,192.168 .1.3/255.255.255.255,192.168.1.4/255.255.255.255,192.168.1.5/255.255.255.255,192 .168.1.6/255.255.255.255,192.168.1.7/255.255.255.255,192.168.1.8/255.255.255.255 ,192.168.1.9/255.255.255.255,192.168.1.10/255.255.255.255,192.168.1.11/255.255.2 55.255,192.168.1.12/255.255.255.255,192.168.1.13/255.255.255.255,192.168.1.14/25 5.255.255.255,192.168.1.15/255.255.255.255,192.168.1.16/255.255.255.255,192.168. 1.17/255.255.255.255,192.168.1.18/255.255.255.255,192.168.1.19/255.255.255.255,1 92.168.1.20/255.255.255.255,192.168.1.21/255.255.255.255,192.168.1.22/255.255.25 5.255,192.168.1.23/255.255.255.255,192.168.1.24/255.255.255.255,192.168.1.25/255 .255.255.255,192.168.1.26/255.255.255.255,192.168.1.27/255.255.255.255,192.168.1 .28/255.255.255.255,192.168.1.29/255.255.255.255,192.168.1.30/255.255.255.255,19 2.168.1.31/255.255.255.255,192.168.1.32/255.255.255.255,192.168.1.33/255.255.255 .255,192.168.1.34/255.255.255.255,192.168.1.35/255.255.255.255,192.168.1.36/255. 255.255.255,192.168.1.37/255.255.255.255,192.168.1.38/255.255.255.255,192.168.1. 39/255.255.255.255,192.168.1.40/255.255.255.255,192.168.1.41/255.255.255.255,192 .168.1.42/255.255.255.255,192.168.1.43/255.255.255.255,192.168.1.44/255.255.255. 255,192.168.1.45/255.255.255.255,192.168.1.46/255.255.255.255,192.168.1.47/255.2 55.255.255,192.168.1.48/255.255.255.255,192.168.1.49/255.255.255.255,192.168.1.5 0/255.255.255.255,192.168.1.51/255.255.255.255,192.168.1.52/255.255.255.255,192. 168.1.53/255.255.255.255,192.168.1.54/255.255.255.255,192.168.1.55/255.255.255.2 55,192.168.1.56/255.255.255.255,192.168.1.57/255.255.255.255,192.168.1.58/255.25 5.255.255,192.168.1.59/255.255.255.255,192.168.1.60/255.255.255.255,192.168.1.61 /255.255.255.255,192.168.1.62/255.255.255.255,192.168.1.63/255.255.255.255,192.1 68.1.64/255.255.255.255,192.168.1.65/255.255.255.255,192.168.1.66/255.255.255.25 5,192.168.1.67/255.255.255.255,192.168.1.68/255.255.255.255,192.168.1.69/255.255 .255.255,192.168.1.70/255.255.255.255,192.168.1.71/255.255.255.255,192.168.1.72/ 255.255.255.255,192.168.1.73/255.255.255.255,192.168.1.74/255.255.255.255,192.16 8.1.75/255.255.255.255,192.168.1.76/255.255.255.255,192.168.1.77/255.255.255.255 ,192.168.1.78/255.255.255.255,192.168.1.79/255.255.255.255,192.168.1.80/255.255. 255.255,192.168.1.81/255.255.255.255,192.168.1.82/255.255.255.255,192.168.1.83/2 55.255.255.255,192.168.1.84/255.255.255.255,192.168.1.85/255.255.255.255,192.168 .1.86/255.255.255.255,192.168.1.87/255.255.255.255,192.168.1.88/255.255.255.255, 192.168.1.89/255.255.255.255,192.168.1.90/255.255.255.255,192.168.1.91/255.255.2 55.255,192.168.1.92/255.255.255.255,192.168.1.93/255.255.255.255,192.168.1.94/25 5.255.255.255,192.168.1.95/255.255.255.255,192.168.1.96/255.255.255.255,192.168. 1.97/255.255.255.255,192.168.1.98/255.255.255.255,192.168.1.99/255.255.255.255,1 92.168.1.100/255.255.255.255,192.168.1.101/255.255.255.255,192.168.1.102/255.255 .255.255,192.168.1.103/255.255.255.255,192.168.1.104/255.255.255.255 139 TCP Enable Служба сеанса NetBIOS Область: * 445 TCP Enable SMB поверх TCP Область: * 137 UDP Enable Служба имени NetBIOS Область: * 138 UDP Enable Служба датаграмм NetBIOS Область: * 1900 UDP Disable SSDP-компонент UPnP-инфраструктуры Область: LocalSubNet 2869 TCP Disable UPnP-инфраструктура поверх TCP Область: LocalSubNet 3389 TCP Disable Дистанционное управление рабочим столом Область: * ...
Відповісти
Поперед.
Зміст
Наступ.
Гілками
