Непонятности с фаерволом.

Все о программах для онлайна.

Модератор: Gromak

Сообщение Токс% » Вс июн 06, 2004 5:32 pm

Значит так...следующая ситуёвина...имеется компутер с установленой ВиХП профессионал Енг., Фаерволом Аутпост Про 2.02.206.2921. На ХРюшку заботливо установлены все мелкософтовские хотфиксы. При коннекте в инет через диал-ап каждые 2-3 минуты горе-хакеры начинают сканить порты коипутера и слать запросы на соединение. После 20-30 записей в журнале фаервола скорость работы падает до нуля. Помогает лишь дисконнект/повторный коннект. Кто скажет - чего делать?
Токс%

 

Сообщение Гость » Вс июн 06, 2004 7:30 pm

А если выключить файрволл?
Добавлено автором
А скан точно НА твой комп идет, а не С него?
Если сканят тебя - то анназначна пиши/звони провайдеру - даже без вариантов :smile:
Гость

 

Сообщение Токс% » Вс июн 06, 2004 9:29 pm

$this->bbcode_second_pass_quote('', '[')b]Alien
анназначна пиши/звони провайдеру - даже без вариантов


Хм...самое веселое - что сканят с диапазона адресов ТОГО ЖЕ прова, к которому коннектится данная машина...объясняю тем, что это тут единственный нормальный провайдер, причем самый массовый. Выключить фаервол - есс-но проблема снимается, но неохота комп оставлять без защиты. И вообще - даже из принципа хотелось бы добиться нормальной работы Аутпоста :smile: А звонки ничего не дадут, мы в колхозе живем, тут за каждую проданную карточку провы между собой режутся :smile: $this->bbcode_second_pass_quote('', '[')b]Alien
А скан точно НА твой комп идет


Точно. Если ты про Лавсан/Сазер сотоварищи - то в этом плане машина чистая.
Токс%

 

Сообщение Г–ГіГЄГҐГ° » Вс июн 06, 2004 11:13 pm

это горе-халявщики, ищут расшаренные компы, в фаерволе agn. outpost firewall есть такая опция блокировать порт нападающего на определенное время и блокировать локальный порт, может последнюю опцию нужно отключить? Или если не поможет, установить плагин blockpost и внести достающие хосты туда, и всё...
Аватара пользователя
Г–ГіГЄГҐГ°

 
Сообщения: 144
Зарегистрирован: Вс мар 02, 2003 4:12 pm
Откуда: г. Барановичи
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Токс » Пн июн 07, 2004 7:12 am

$this->bbcode_second_pass_quote('', '[')b]Цукер
есть такая опция блокировать порт нападающего на определенное время и блокировать локальный порт, может последнюю опцию нужно отключить? Или если не поможет, установить плагин blockpost и внести достающие хосты туда, и всё...

Спасибо, попробуем.....

:smile:
Аватара пользователя
Токс
HWBY Team
HWBY Team
 
Сообщения: 1210
Зарегистрирован: Чт янв 15, 2004 3:07 pm
Откуда: Курган
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение ox » Пн июн 07, 2004 9:29 am

$this->bbcode_second_pass_quote('', '')нести достающие хосты туда

Есть подозрение, что у достающих хостов динамический IP - как же их внести-то, супостатов...

$this->bbcode_second_pass_quote('', '')корость работы падает до нуля

А из-за чего она падает? Враги забивают канал так, что не пробиться, либо просто почему-то не ходят пакеты?
Аватара пользователя
ox
HWBY Team
HWBY Team
 
Сообщения: 444
Зарегистрирован: Пт апр 05, 2002 2:31 am
Откуда: Калифорния, США
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Вернуться к началу

Сообщение Токс » Пн июн 07, 2004 10:03 am

$this->bbcode_second_pass_quote('', '[')b]ox
динамический IP


Точно... диалап, пров - тот же....
:smile: $this->bbcode_second_pass_quote('', '[')b]ox
Враги забивают канал так, что не пробиться, либо просто почему-то не ходят пакеты


Знаешь, такое ощущение что аутпост просто блокирует ВСЕ открытые порты, хотя внешне никак это не выражается. Аська напрасно пытается приконнектится, браузер не может отобразитьт страницу, а в т-метере перестают бегать байтики... :smile: Хотя для всего этого софта есть правила, которые позволяют выполнять ему любые действия, есс-но через определенный порт.
Аватара пользователя
Токс
HWBY Team
HWBY Team
 
Сообщения: 1210
Зарегистрирован: Чт янв 15, 2004 3:07 pm
Откуда: Курган
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Вернуться к началу

Сообщение Night Angel » Пн июн 07, 2004 10:32 am

Когда такое начинается, посмотри журнал Аутпоста на предмет заблокированных соединений.

Когда такое начинается, переведи фаирвол в режим бездействия, если не поможет - ищи другую причину.
Аватара пользователя
Night Angel

 
Сообщения: 563
Зарегистрирован: Вт апр 02, 2002 12:03 am
Откуда: Могилёв
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Г–ГіГЄГҐГ° » Пн июн 07, 2004 1:52 pm

по моему в аутпосте можно использовать маски, например 194.158.*.*, для адресов, но точно не знаю нужно в справке тебе по этому вопросу посмотреть, должно быть, поэтому достаточно узнать диапозон прова и запретить все соединения из этого диапазона
Аватара пользователя
Г–ГіГЄГҐГ°

 
Сообщения: 144
Зарегистрирован: Вс мар 02, 2003 4:12 pm
Откуда: г. Барановичи
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Гость » Пн июн 07, 2004 4:10 pm

Когда я говорил, что нужно звонить прову, я понимал, что кулксакепы из той же сетки, что и ты :smile: Именно поэтому и нужно звонить прову и накручивать ему уши по поводу того, что он тех ксакепов не отлавливает и не фильтрует. В опшем, банально пожаловаться. У любого нормального провайдера должны стоять IDSы и Firewallы, определяющие и пресекающие нездоровые действия пользователей.
Это по чистой случайности отключение локального брандмауэра решает проблему. А если сканить тебя будут 10-100-1000 ксакепов? В таком случае, даже если твой брандмауэр будет отрабатывать корректно, выйти в инет ты не сможешь. А это прямой ущерб тебе - ты не получаешь того, за что платишь провайдеру. Логика должна быть именно такой, а не "ланна... придумаю что-нить сам...". Зачем самому придумывать?
Гость

 

Сообщение ox » Пн июн 07, 2004 9:43 pm

Почитал тут документацию... IMHO балуется Attack Detection plugin. Попробуй может его отключить?
Аватара пользователя
ox
HWBY Team
HWBY Team
 
Сообщения: 444
Зарегистрирован: Пт апр 05, 2002 2:31 am
Откуда: Калифорния, США
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Токс » Вт июн 08, 2004 7:35 am

$this->bbcode_second_pass_quote('', '[')b]ox
балуется Attack Detection plugin

Понял.....

:smile:
Аватара пользователя
Токс
HWBY Team
HWBY Team
 
Сообщения: 1210
Зарегистрирован: Чт янв 15, 2004 3:07 pm
Откуда: Курган
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Вернуться к началу

Сообщение Hendra » Вт июн 08, 2004 8:50 am

4 Токс
а на какие порты лезут, это могут быть вири, а юзверя и не знать об этом
Hendra

 

Сообщение Г–ГіГЄГҐГ° » Вт июн 08, 2004 12:59 pm

если отключить Attack Detection plugin то тогда ты об атаке вообще не узнаешь, лучше разобраться как настроить, а не отключать...

P.S. А порты у меня обычно вот какие сканируют:

194.158.204.85 TCP (3127, 1433, 80, 6129, 2745)
141.150.154.167 TCP (111)
194.158.204.75 TCP (80, 1981, 2745, 6129, 1433, 3127)
194.158.204.75 TCP (80, 1433, 3127, 2745, 6129)

P.P.S. Используй плагин Blockpost - точно поможет, проверял, можно задавать диапазон адресов, с них не будут проходить никакие соединения :smile:

Исправлено: Цукер 8 июня 2004 года, 11:07
Аватара пользователя
Г–ГіГЄГҐГ°

 
Сообщения: 144
Зарегистрирован: Вс мар 02, 2003 4:12 pm
Откуда: г. Барановичи
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение ox » Ср июн 09, 2004 2:59 am

$this->bbcode_second_pass_quote('', '')о тогда ты об атаке вообще не узнаешь

А зачем о ней знать? Какая там атака? DDoS через Dial Up? :lol: Дети балуются IMHO. Закрыться чтобы компа в инете видно не было, не отвечать ни на какие "нелегальные" запросы (ни в коем случае не отзываться reject-ом, просто молчать). Да и все дела.

P.S. Вот кстати админ наш как-то разослал по почте инфу, может оказаться полезной:
http://www.geocities.com/olegsyrel@sbcglobal.net/security.htm
Добавлено автором
$this->bbcode_second_pass_quote('', '')то могут быть вири

Еще могут быть всяческие eDonkey & Co. Особенно если тебе в порядке очередности достается IP, ранее принадлежавший активному "качателю" :smile:
Аватара пользователя
ox
HWBY Team
HWBY Team
 
Сообщения: 444
Зарегистрирован: Пт апр 05, 2002 2:31 am
Откуда: Калифорния, США
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Вернуться к началу

Сообщение Токс » Ср июн 09, 2004 6:57 am

А с точки зрения безопасности? :smile: Можно ли считать мелкософтовские хотфиксы альтернативой полноценному фаирволу (ес-но, своевременно установленные)...
Аватара пользователя
Токс
HWBY Team
HWBY Team
 
Сообщения: 1210
Зарегистрирован: Чт янв 15, 2004 3:07 pm
Откуда: Курган
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение ox » Ср июн 09, 2004 7:29 am

IMHO можно их считать хорошим дополнением :smile: Даже если предположить, что сама ОС идеально безопасна, кроме "внешних" врагов ведь есть еще и "внутренние" - лично я не люблю, когда программы начинают проявлять инициативу и лазить зачем-то в сеть...
Аватара пользователя
ox
HWBY Team
HWBY Team
 
Сообщения: 444
Зарегистрирован: Пт апр 05, 2002 2:31 am
Откуда: Калифорния, США
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Токс » Ср июн 09, 2004 7:51 am

$this->bbcode_second_pass_quote('', '[')b]ox
когда программы начинают проявлять инициативу и лазить зачем-то в сеть...

Ну, тут лидером является сама ОС :laugh:
Аватара пользователя
Токс
HWBY Team
HWBY Team
 
Сообщения: 1210
Зарегистрирован: Чт янв 15, 2004 3:07 pm
Откуда: Курган
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Вернуться к началу

Сообщение lemon65 » Ср июн 09, 2004 9:08 am

вообще то, все можно самой же Виндой ХР и сделать, не прибегая к стороннему софту..
ничуть не хуже получится, только маленько сложнее все, Но если раз сделаешь, потом влет будешь закатывать любому компу защиту.
lemon65
злой стрелок
злой стрелок
 
Сообщения: 4005
Зарегистрирован: Чт мар 21, 2002 7:27 pm
Откуда: Магадан
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Токс » Ср июн 09, 2004 9:18 am

$this->bbcode_second_pass_quote('', '[')b]lemon65
вообще то, все можно самой же Виндой ХР и сделать, не прибегая к стороннему софту..
ничуть не хуже получится, только маленько сложнее все, Но если раз сделаешь, потом влет будешь закатывать любому компу защиту


Можно поподробнее, о чем речь идет? :smile:
Аватара пользователя
Токс
HWBY Team
HWBY Team
 
Сообщения: 1210
Зарегистрирован: Чт янв 15, 2004 3:07 pm
Откуда: Курган
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Вернуться к началу

Сообщение Г–ГіГЄГҐГ° » Ср июн 09, 2004 12:09 pm

Мне тоже хочется узнать, как стандартными средствами Windows отключить соединения с хостами из диапазона? :smile:
Аватара пользователя
Г–ГіГЄГҐГ°

 
Сообщения: 144
Зарегистрирован: Вс мар 02, 2003 4:12 pm
Откуда: г. Барановичи
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение ox » Ср июн 09, 2004 1:15 pm

В Windows XP есть встроенный т.н. "Internet Connection Firewall":
http://www.microsoft.com/windowsxp/pro/using/howto/networking/icf.asp

Сам я не пробовал (под 2000 сижу), но судя по описанию конфигурировать его не так то и просто (то, что по ссылке, это только верхушка айсберга для ознакомления). С выходом SP2 вроде как появляется ini-файл, в котором можно будет задавать настройки, уже должно быть полегче.

Была где-то статейка, в которой был очень подробно расписан процесс настройки этого встроенного firewall-а, да затерялась - не смог ее найти...
Аватара пользователя
ox
HWBY Team
HWBY Team
 
Сообщения: 444
Зарегистрирован: Пт апр 05, 2002 2:31 am
Откуда: Калифорния, США
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение savely » Ср июн 09, 2004 2:07 pm

Ну, видел я это на живой системе - как обычно у MS все делается одной кнопкой "Вкл/выкл". А что реально это делает - фиг знает. А настройка если и есть, так через реестр, не иначе :laugh:
Аватара пользователя
savely
HWBY Team
HWBY Team
 
Сообщения: 6876
Зарегистрирован: Вс мар 17, 2002 2:40 pm
Откуда: Моск. обл., г.Троицк
Благодарил (а): 2 раз.
Поблагодарили: 26 раз.


Вернуться в ПО для Интернета и сети

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

cron