Файервол в раутере. - Безопасность

lemik · 11.01.2007, 18:28

Есть желание и возможности поставить несколько компьютеров дома.
Естессно соединить их в сетку подключить к интернету.

Сейчас появились раутеры со встроенными файерволами.

Для подключения нескольких компов к Сети они удобны, а как с защитой?

В смысле, можно ли убрать "стенки" на компах?

Если у кого есть опыт - поделитесь, плиз.

KomatoZo · 11.01.2007, 18:32

Насколько я знаю, в недорогих аппаратных железках файрволлы дрянь. Поэтому если веры друг другу нет, то оставить на клиентах это дело нужно.

Borland · 11.01.2007, 21:59

Файрволлы с машин лучше не убирать.
Тот, который в железке физически не в состоянии уследить, какая зараза и что отсылает в инет... Т.е. любая прога с твоей машины отправит любую инфу в инет (сколько сейчас пинчей в инете объяснять, думаю, не надо)...
От атак снаружи железка защищает вполне надёжно - в смысле, никакой хакер снаружи до машин внутри достучаться не сможет (если на файрволле не сделать спец. настроек). В этом же основной минус железки - для нормальной работы eMule, BitTorrent и т.п. требуется спец. настройка железки.

lemik · 12.01.2007, 20:29

Так тогда может вообще купить раутер без фаервола?

zavara · 12.01.2007, 20:52

Нормальных роутеров без файервола нет (может не встречал), т.е. все более менее нормальные роутеры содержат функции поддержки DHCP, NAT и FireWall. Или лучше так если он управляемый (программируемый) тогда там есть FireWall. Я думаю можно просто не использовать эту функцию. А лучше использовать и железный и программный файервол

Cartman · 12.01.2007, 20:54

Цитата:

lemik:
Так тогда может вообще купить раутер без фаервола

Если есть возможность - то лучше с фаером. Во первых 100% защитишься от внешнего проникновения, во вторых в большинстве (даже не очень дорогих) фаерах есть статистика траффика по портам. А это, я думаю, пригодится.

SinClaus · 12.01.2007, 22:37

Есть еще одно соображение: поскольку за рутером обычно левонет (192.168.ххх.ххх) то стенка на рутере должна защищать в основном от проникновения НА сам рутер. По той же причине желательно не отвечать на пинги снаружи. А те, что на машинах - защита от проникновения в сеть через проброшенные порты и от случая захвата рутера.

Nexus · 13.01.2007, 00:42

Чайник я в этом деле , но по моему ежели раутер держит NAT, MAC-filtering и порты что надо под *Осел и КО* открыты ,то фаерволл на внутренней сетке никчему , главное антивирь настроить .
Ежели совсем секретность нужна немерянная можно там сетку запаролить\спрятать и довесить шифрование данных - но энто совсем для *энтузиастов*.

p.s- мнение - > IMHO , без претензий , и ,свободно для обсуждения .

FantomIL · 14.01.2007, 19:02

Цитата:

Сообщение от Nexus;undefined

то фаерволл на внутренней сетке никчему

Файрволл внутри сетки нужен для контроля приложений, как и написал выше Борланд. Поскольку на домашнем раутере, как правило, изнутри - наружу открыты все порты для всех протоколов. То бишь, никаким троянам и шпионам ничего не помешает отсылать инфу с твоего компа. Антивирь в этом - не панацея, так как хорошие шпионы пишутся самостоятельно и очень нескоро попадают в антивирусные базы. Кроме того все это можно еще и шифровать, сжимать, ... таким образом, зачастую и известные трояны далеко не все антивирусы ловят. А программный файрволл с контролем приложений (Аутпост, ЗонеАларм, Керио, ...) сразу выкинет пользователю предупреждение о подозрительной сетевой активности.

Sharer · 15.01.2007, 10:17

Извините, а не дешевле-ли купить ещё одну сетевуху и раздавать интернет с одного из компьютеров? И как правило фаервол, который на роутере создаст больше проблем, чем принесет пользы имхо фтопку.
Подозреваю, что вы слишком серьезно подошли к построению своей домашней сети -)

Cartman · 15.01.2007, 11:46

Цитата:

Сообщение от Sharer;undefined

И как правило фаервол, который на роутере создаст больше проблем

На каком основании Вы это заявляете? Железный роутер, да еще и с фаерволлом завсегда лучше и надежнее софтового.

Цитата:

Сообщение от FantomIL;undefined

А программный файрволл с контролем приложений (Аутпост, ЗонеАларм, Керио, ...)

Kerio Winrote Firewall не имеет контроля приложений. Скорее всего только Personal, но в нем нет роутера.

Цитата:

Сообщение от FantomIL;undefined

Поскольку на домашнем раутере, как правило, изнутри - наружу открыты все порты для всех протоколов

Гы, а нафига? Я так понимаю открываются порты по мере надобности. Но в том что не панацея согласен ибо данные отсылаются в большинстве случаем по стандартным портам.

FantomIL · 15.01.2007, 14:00

Цитата:

Сообщение от Cartman

Скорее всего только Personal, но в нем нет роутера.

Он и имелся в виду. А раутер и не нужен, поскольку мы применяем аппаратный. А софт-файрволл используем для контроля сетевой активности приложений.

Цитата:

Сообщение от Cartman

Гы, а нафига? Я так понимаю открываются порты по мере надобности.

Нафига - не знаю, но 100% раутеров для небольших сетей, которые проходили через мои руки, по умолчанию, были настроены именно так:
WAN -> LAN - все запретить
LAN -> WAN - все разрешить
А значит, пользователь должен еще и разбираться какие входящие соединения разрешать, а какие исходящие - запрещать. При этом, контроля приложений все равно нету и, соответственно, необходимость в софт-файрволе или в системе контроля сетевой активности приложений на рабочих станциях - присутствует.

someone312002 · 04.02.2007, 22:14

В своё время пользовал 3ком-овский рутер со встроенным файрволлом. Никаких проблем не возникало, хотя в локалке было порядка 180 компов плюс несколько серверов, работающих на "вне"... После правильной настройки никаких проникновений не наблюдалось...
УДАЧИ !!!

IrWert · 17.02.2007, 16:04

Самое смешное - внутри супер-аппаратного файервола живет вполне себе обычный линукс, iptables в нем делает нат, а теперь - вопрос: как вы представляете себе запрет файрвола средствами iptables, если компов во внутренней сетке более одного, а управление роутера - веб-интерфейс и телнет? DMZ - частный случай настройки файрвола, согласитесь...

Dimarzio · 17.02.2007, 18:25

Немаловажно ещё позволяет ли "железный" файрвол себя настраивать. У меня допустим стоит не очень хороший рутер, если не сказать дерьмовый, достался нахаляву, там есть свой файрвол у которого аж 2 опции - вкл./выкл. Но как оказалось он довольно практичный, я как-то хотел с приятелем поиграть по сети в Quake. Так как комп у меня был пошустрее сервер делал я у себя - пока я не отключил "железную" стенку мой комп даже не пинговался. Так что как защита извне - вещь очень практичная, а если ещё позволяет себя настроить (помимо вкл./ выкл.) то тут и рассуждать нечего.

KomatoZo · 19.02.2007, 10:54

Цитата:

Сообщение от Dimarzio

мой комп даже не пинговался

канешн, дарагой =) Он не пинговался потому, что любой дерьмовый рутер как правило тупо делает НАТ - попингуешь тут =)))

11.01.2007, 18:28	# 1
lemik Member Регистрация: 08.01.2004 Пол: Male Сообщения: 202	Файервол в раутере. Есть желание и возможности поставить несколько компьютеров дома. Естессно соединить их в сетку подключить к интернету. Сейчас появились раутеры со встроенными файерволами. Для подключения нескольких компов к Сети они удобны, а как с защитой? В смысле, можно ли убрать "стенки" на компах? Если у кого есть опыт - поделитесь, плиз.

11.01.2007, 18:32	# 2
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Насколько я знаю, в недорогих аппаратных железках файрволлы дрянь. Поэтому если веры друг другу нет, то оставить на клиентах это дело нужно. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

11.01.2007, 21:59	# 3
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 519	Файрволлы с машин лучше не убирать. Тот, который в железке физически не в состоянии уследить, какая зараза и что отсылает в инет... Т.е. любая прога с твоей машины отправит любую инфу в инет (сколько сейчас пинчей в инете объяснять, думаю, не надо)... От атак снаружи железка защищает вполне надёжно - в смысле, никакой хакер снаружи до машин внутри достучаться не сможет (если на файрволле не сделать спец. настроек). В этом же основной минус железки - для нормальной работы eMule, BitTorrent и т.п. требуется спец. настройка железки. __________________ Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий Московская ПЛ IMHO - отдых в Анапе

12.01.2007, 22:37	# 7
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 335	Есть еще одно соображение: поскольку за рутером обычно левонет (192.168.ххх.ххх) то стенка на рутере должна защищать в основном от проникновения НА сам рутер. По той же причине желательно не отвечать на пинги снаружи. А те, что на машинах - защита от проникновения в сеть через проброшенные порты и от случая захвата рутера. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

15.01.2007, 10:17	# 10
Sharer Banned Регистрация: 30.07.2006 Сообщения: 100	Извините, а не дешевле-ли купить ещё одну сетевуху и раздавать интернет с одного из компьютеров? И как правило фаервол, который на роутере создаст больше проблем, чем принесет пользы имхо фтопку. Подозреваю, что вы слишком серьезно подошли к построению своей домашней сети -) Последний раз редактировалось Sharer; 15.01.2007 в 10:19.

12.01.2007, 20:29	# 4
lemik Member Регистрация: 08.01.2004 Пол: Male Сообщения: 202	Так тогда может вообще купить раутер без фаервола?

12.01.2007, 20:52	# 5
zavara Junior Member Регистрация: 28.09.2004 Сообщения: 97	Нормальных роутеров без файервола нет (может не встречал), т.е. все более менее нормальные роутеры содержат функции поддержки DHCP, NAT и FireWall. Или лучше так если он управляемый (программируемый) тогда там есть FireWall. Я думаю можно просто не использовать эту функцию. А лучше использовать и железный и программный файервол

13.01.2007, 00:42	# 8
Nexus Junior Member Регистрация: 21.11.2004 Адрес: там,где нас нет... Пол: Male Сообщения: 57	Чайник я в этом деле , но по моему ежели раутер держит NAT, MAC-filtering и порты что надо под Осел и КО открыты ,то фаерволл на внутренней сетке никчему , главное антивирь настроить . Ежели совсем секретность нужна немерянная можно там сетку запаролить\спрятать и довесить шифрование данных - но энто совсем для энтузиастов. p.s- мнение - > IMHO , без претензий , и ,свободно для обсуждения .

04.02.2007, 22:14	# 13
someone312002 Junior Member Регистрация: 17.12.2002 Адрес: [EST], Tallinn Сообщения: 120	В своё время пользовал 3ком-овский рутер со встроенным файрволлом. Никаких проблем не возникало, хотя в локалке было порядка 180 компов плюс несколько серверов, работающих на "вне"... После правильной настройки никаких проникновений не наблюдалось... УДАЧИ !!! __________________ "я не волшебник - я только учусь..." (c) ...а зовут меня Олег...

17.02.2007, 16:04	# 14
IrWert Member Регистрация: 01.02.2004 Сообщения: 211	Самое смешное - внутри супер-аппаратного файервола живет вполне себе обычный линукс, iptables в нем делает нат, а теперь - вопрос: как вы представляете себе запрет файрвола средствами iptables, если компов во внутренней сетке более одного, а управление роутера - веб-интерфейс и телнет? DMZ - частный случай настройки файрвола, согласитесь... __________________ Никого не хотел обидеть, все вышесказанное - ИМХО...

17.02.2007, 18:25	# 15
Dimarzio Member Регистрация: 09.05.2004 Адрес: Нямеччина Сообщения: 270	Немаловажно ещё позволяет ли "железный" файрвол себя настраивать. У меня допустим стоит не очень хороший рутер, если не сказать дерьмовый, достался нахаляву, там есть свой файрвол у которого аж 2 опции - вкл./выкл. Но как оказалось он довольно практичный, я как-то хотел с приятелем поиграть по сети в Quake. Так как комп у меня был пошустрее сервер делал я у себя - пока я не отключил "железную" стенку мой комп даже не пинговался. Так что как защита извне - вещь очень практичная, а если ещё позволяет себя настроить (помимо вкл./ выкл.) то тут и рассуждать нечего. __________________ Рок против наркотиков??? Xа-ха, они бы еще сказали пчелы против меда...