[special]

Idézet: hgizmo - Dátum: 2006. ápr. 23., vasárnap - 15:36

Sziasztok!

Egy DI-604-es routert kellene úgy beállítanom, hogy a teljesen kezdõ embereket is megvédje a beépített tûzfala... egy család 3 gyerekkel, csak a web/email/ftp-nek kellene mennie, semmi dc, telnet, stb... valaki tudna segíteni a tûzfal beállításában?

Szerintem alapból be van az állítva rendesen, hogy semiféle kívüllrõl való kezdeményezés ne mehessen át. A wigwam.sztaki.hu-n van tûzfalteszter, azt érdemes nyomogatni. Engem az zavar, hogy a DI-514-et elég lukasnak látja, pedig minden alapon van. Hiába tiltok olyan portokat, amelyeket nyitottnak lát, akkor sem javul. Szar a szoffer?

[charlie]

azt, hogy kifele tilthas progikat, már bonyolultabb tûzfall kéne, vagy proxy. egyszerább ha nem is tudja felrakni a gépre (ugye winen nem rendszergazdaként kell használni a gépet..)

[hgizmo]

az alapból benne lévõ 3db szabállyal le lenne fedve minden?

[hgizmo]

Idézet: charlie - Dátum: 2006. ápr. 23., vasárnap - 16:29

azt, hogy kifele tilthas progikat, már bonyolultabb tûzfall kéne, vagy proxy. egyszerább ha nem is tudja felrakni a gépre (ugye winen nem rendszergazdaként kell használni a gépet..)

kifelé való tiltáshoz az xp-sp2 saját tûzfala elég szerintem, illetve én arra gondoltam hogy letiltok minden portot, csak a web, levelezés, ftp (port 21) maradna, meg ami szükséges ahoz hogy használható legyen a net. Ehez kérnék segítésget, példát ha valakinek már van egy beállított tûzfala...

[Coppermine]

Elvileg D-Link Firewall Rule-okkal lehetne tiltani legegyszerûbben:

Enable / Disable: ki-be kapcsolhatod a szabályt
Name: leírást adhatsz neki, pl web/ftp/levelezés, stb
Action (Allow/Deny): tiltod v. engeded
Source: forgalom forrása
- LAN, WAN, * (mind2 irány)
- IP Range Start: IP tartomány kezdete
- IP Range End: IP tartomány vége
(ha 1 IP-re akarsz szabályt akkor értelemszerûen a kettõ ugyanaz)
Destination: forgalom célja
- Ugyanígy LAN/WAN, IP Range
- Protocol: Mit használ az forgalom (TCP,UDP,mindkettõ)
- Port Range: adatforgalom által használt port(ok) (ha csak egyet használ értelemszerûen mind2 helyre ugyanaz kerül)
Schedule: Always vagy ütemezett beállítás (milyen idõszakban éljen a szabály)

Namost elvileg 4+1 szabály elég lenne egy web/ftp/email-hez:

1, Enable
    Name: web / ftp / mail / ..akármi..
    Action: Allow
    Source:
      Interface: *
      IP Range start: *
      IP Range end: *
    Destination:
      Interface: *
      IP Range start: *
      IP Range end: *
      Protocol: *
      Port Range: 80(web) 21(ftp) 25/110(mail, attól függ h smtp v pop3)
      Schedule: Always

ebbõl megcsinálod 80-asra, 21-esre 25/110-esre a szabályokat, és a végén csinálsz egyet, ami minden forgalmat tilt:

1, Enable
    Name: mindenforgalomtiltása
    Action: Deny
    Source:
      Interface: *
      IP Range start: *
      IP Range end: *
    Destination:
      Interface: *
      IP Range start: *
      IP Range end: *
      Protocol: *
      Port Range: * , *
      Schedule: Always

Elvileg a szabályok sorrendiségét jobb oldalt a nyilakkal tudod mozgatni. Lényeg, hogy a web/ftp/mail szabály legyen felül, és a mindent tiltó szabály "legalul". Így elvileg a bejövõ/kimenõ forgalmat a 80/21/25-110-en engedni fogja, mert a legelsõ szabályok közt találni fog egy Allow-t.

-C0pp3rM!n3-

ui: remélem müxik, ezt most így fejbõl

[hgizmo]

köszönöm mester!
amint odajutok, kipróbálom az általad írtakat!

[hgizmo]

idáig jó   viszont ami még kellene: Skype, MSN... ezeknek tudja valaki hogy milyen port / protokollokra van szükségük?

[special]

Idézet: hgizmo - Dátum: 2006. ápr. 25., kedd - 12:07

idáig jó   viszont ami még kellene: Skype, MSN... ezeknek tudja valaki hogy milyen port / protokollokra van szükségük?

azt nem értem igazán, hogy kimenõ forgalmat minek szûrni? szerintem csak a problémát keresed magadnak, mert ez meg az nem fog menni valamiért, és akkor lehet nézni, hogy a tûzfal fogja-e meg.

nálam az 1863-es porton megy az msn
skype 20582, 80 és 443

[hgizmo]

Köszönöm!   Nem igazán a kimenõ forgalmat szeretném szûrni, hanem úgy beállítani a tûzfalat, hogy a lehetõ legbiztonságosabb legyen ki és befelé is.

[charlie]

oda akkor a gépekre kell program alapú tûzfall...
msn tud összevissza random portokat haszálni is pl.

[special]

Idézet: hgizmo - Dátum: 2006. ápr. 25., kedd - 13:11

Köszönöm!   Nem igazán a kimenõ forgalmat szeretném szûrni, hanem úgy beállítani a tûzfalat, hogy a lehetõ legbiztonságosabb legyen ki és befelé is.

mondtam, wigwam.sztaki.hu -n tûzfalteszt, és ott látszik, van-e valami gebasz. nálam van néhány port nyitva, és nem tudok vele mit kezdeni, nem tudom, miért. hiába tiltom le külön szabállyal, attól még nyitva marad. mivel azonba ezek service portok rendre, tehát smtp, webszerver stb, ilyen portokon pedig a gépeken itthon nem fut semmi, ezért nem izgulom halálra magam.

a router miatt a gép nem is látszik a net felé alapból, tehát közvetlenül elvileg támadni sem tudják, ahhoz a géprõl kell hülyeséget csinálni (rosszindulatú oldalt megnézni, férget leölteni levéllel).

[hgizmo]

wigwam-os tûzfalteszt szerint okés minden... sofware-s tûzfalnak az xp sp2 tûzfala van, nem tudom ez így együtt mennyire megbízható?

[special]

Idézet: hgizmo - Dátum: 2006. ápr. 25., kedd - 14:13

wigwam-os tûzfalteszt szerint okés minden... sofware-s tûzfalnak az xp sp2 tûzfala van, nem tudom ez így együtt mennyire megbízható?

automatikusan frissülõ vírusírtóval, outlook és IE mellõzésével, és egy fél órás agytágítással (nem töltünk le ismeretlentõl semmit, nem kattintnuk linkekre ismeretlenektõl kapott, vagy gyanús levélben stb) már megfelelõ a védelem szerintem.

[buh1]

Sziasztok!

Problémám a következõ, van egy fibernetes kábelnet elõfizetés. Ez D-Link Ethernet Broadband Routerrel meg van osztva, a routerbõl kijövõ zsinor egyik végét kapom ide az elsõ emeletre, a másik vége a földszinten van a kábelmodemmel együtt. Ami az emeleten lévõ kábelbõl jön net azt szeretném megosztani, nagyon sokat szenvedtem már vele de sehogy nem jön össze. Van még egy D-Link router azzal próbálkoztam, meg egy edimax switch-el, egyikkel se jött össze. Van nektek valami ötletetek? Köszönöm a segítségeket!!

[charlie]

nos, bedugod a switchet a madzagra, a másik gépet beállítod DHCP-re (ha a Te géped is úgy van, ha nem, akkor kérdezd meg a router gazdáját, hogy milyen ip cím szabad) aztán ennyi.

[buh1]

a switchre bedugom a bejövõ netet, majd a másik két gépet az emeleten? így érted?

[charlie]

Idézet: buh1 - Dátum: 2006. ápr. 25., kedd - 15:40

a switchre bedugom a bejövõ netet, majd a másik két gépet az emeleten? így érted?

igen.

net a földszintrõl  ________
-------------------->| SWITCH|
                            ------------
                              |        |
                        gép1 gép2

Szerkesztette: charlie 2006. 04. 25. 14:44 -kor

[buh1]

sajnos igy nem müködött, úgy látom egy megoldás maradt, valamilyen modon fel kell huzni még 1 kábelt lentrõl. :/ ahogy csatlakoztattam bejött hogy a kapcsolat korlátozott, hiba stb... 169.... ipt osztott ki.

Szerkesztette: buh1 2006. 04. 25. 14:55 -kor

[charlie]

mivel akkor ninsc DHCP szerver a routerben (vagy ki van kapcsolva)
kérdezd meg attól akitõl kapod a netet, hog milyen ip-t állíthatsz be a másik gépnek
(aztán ha tudod, windows vezérlõpult, hálózati kapcsolatok, lan tulajdonsáai, TCP/IP tulajdonságok, aztán IP-t, meg DNS szervert beírni oda amit mondott az emberke)

[buh1]

ha csak simán a bejövõ netet bedugom a gépbe megy, akkor lemegyek és belövöm a routerbe a dhcpt. amúgy ha nincs beállítva a dhcp normális hogy most megy a net?