О, об это можно поподробней? Мне нужно зпретить все порты и разрешить только выход с 80-го порта на порты дипазона 1024-65534, выход с порта 110 на порты дипазона 1024-65534, выход с порта 110 на порты дипазона 1024-65534, и разрешить доступ по ssh на определённый адрес.

И как в винде настроить forward?

И как настроить подробный лог по портам?

Ворованный winroute и wingate не предлагать, нет у меня на них денег.

Вас никто не старается переубедить, но если вы будете как и я обеспечивать безопасный выход в инет двух сотен пользователей из пяти локальных сетей, расскиданных по городу через один шлюз, то к винде вы и близко не подойдёте.

ladserg

Это не шутка? BSoD -- т.н. "синий экран смерти", аналог kernel panic.

IPSec -- служба Windows. Подробнее можно найти в центре поддержки Windows.
Использование списка IP-фильтров IPSec в Windows 2000

Рекомендую Codestaff Starter, либо AnVir Task Manager, либо Autoruns от SysInternals. Всё бесплатное.

Нет, не шутка. Я действительно не знал что это. BSoD'ов я не видел уже давно, обычно винда просто перестаёт грузиться и всё, т.е. начинает загружаться, экран становится чёрным и всё, пишите письма.

, почитайте здесь, что такое IPSec, а что по поводу фильтров, то г-н Малакай так и не сказал, что мне сделать, дабы оформить такую политику фильтрации, какую я описал выше.

К тому же в винде цепочки FORWARD и метод NAT похоже отсутствуют как класс, и их приходится конфигурировать в купе с цепочками INPUT и OUTPUT, что неудобно.

А они бесплатны? А под Win 98 они идут? И много ли ресурсов требуют?

Ммм... а Пуск ==> Выполнить ==> msconfig недостаточно?

А вдруг программа-диверсант попадется? В линуксе ведь тоже бывают всякие трояны и руткиты. Может ли iptables фильтровать по приложениям? По-моему там такого не предусмотрено.

ladserg

Я в курсе, что такое IPSec. Служба IPSec в NT занимается в т.ч. и фильтрацией траффика. Как создавать политики, подробно описано на сайте поддержки MS.

Что есть форвард, не знаю, но NAT реализован под названием Internet Connection Sharing (ICS).

Насчёт бесплатности -- см. выше.
Под win98, наверное, идут. Но 9х врагу не посоветую. Эта линейка заслужила гордое звание мастдая. Ресурсов не требуют, это не резидентный, а профилактический софт. Хотя можно и резидентно пользоваться.

Вроде бы нет. А что это так важно? Зачем удалять из реестра?

А обновления по безопасности МС для кого делает? Обновился бы и всё путём. Нет, правильно, в линуксе мы будем каждый день гигабайтами качать всякую муру и ковыряться в конфигах, а включить Windows Update и щёлкнуть пару раз мышкой уже не судьба, тем более, что Windows Update включен по умолчанию.
А так естественно - не нужен тебе помошник - отключи.
ЗЫ обновления по безопасности для помошника вышли ещё летом 2005 года.

Отредактировано Malakai (24-02-2006 00:17:13)

Гм, а что в винде нельзя настроить фильтры так, что бы пакеты пропускались только в случе установки сеанс, как в случае с FTP под линусом?

У меня самые последние патчи, но откуда собаки? Я тоже хочу уметь также. Если у меня на предприятии всем будут предлагать секс с собаками то мне же ноги повыдёргивают.

Вы явно извращенец, зачем вам всё время ковыряться в конфигах? Да и качать гигабайтами на кой? У меня в женьке всю систему обновляет только одна комманда:

emerge -uvD world

И качает только патчи, а не гигабайты.

И Windows Update мне не нужен включенным по умолчанию, если у меня все двести компьютеров слазят в инет и скачают одни и теже обновления, то после оплаты счёта за инет я буду вынужден искать другую работу, лучше уж скачать обновления и распространить их через доменные политики.

И не нужно приписывать свою маниакальность другим. Я свои конфиги настроил в году 2003-м, сохранил на компашку и так и не менял их с тех пор, да и зачем их менять? Вы только представьте, сидит чел, и круглыми сутками конфиги ковыряет, ковыряет, ковыряет, ковыряет, нет, таких надо в психушку. А если учесть что он себе еще и 70 плейеров, 60 браузеров и 50 почтовиков поставил, то в суд надо подать на медиков за то что они плохо работают.

ЗЫ: Патчи у меня самые последние.

В линуксе трафик из одной сетевой карточки в лругую называется FORWARD и конфигурируется отдельно.

Т.е. там можно конфигурировать:

1 INPUT - то, что приходит непосредственно данному компу
2 OUTPUT - то, исходит непосредственно с данного компа
3 FORWARD - то, что идёт из одной сети в другую
4 NAT - то, что идёт в сети, в которых внутренние адреса или не маршрутизируются, или блокируются фильтраме. Проще говоря берёт пакет из локальной сети, запаковывает в свой и отправляет адресату, а ответ возвращает обратно в локальную сеть.
5 POSTROUTING - абсолютно все пакеты прежде чем отдать их адресату.
6 PREROUTING -  абсолютно все пакеты которые только вошли на сетевой интерфейс и ещё не попали в обработку.

Есть и ещё цепочки, но я с ними не работал.

В винде нат настраивается, но убого. Нет того удобства как с iptables, а те кто сидят на *BSD те даже флеймить на эту тему не хотят, т.к. презрительно относятся и к финдовому файерволу и к линуксовому.

Не знаю о каких аплетах вы говорите, у меня их нет. Но есть сетевой маршрутизатор на 386DX/4Мб RAM/100Мб HDD

Но я был только на этом форуме, да сообщение выскакивало не в браузере в WinPOPup окне, этого в ликусе нет, точно знаю.