Настройка WIPFW под MuServer

MuForum · 2011 Май 15, 15:19

Firewell под ОС Windows

Межсетевой экран под ОС Windows.

<hr></hr>
# Название: WIPFW это MS Windows версия IPFW входящего в состав FreeBSD OS.
# Последняя версия: 0.2.8 от 2007-02-13
# Операционный системы: Windows 2000, XP, 2003;
# Поддержка x64: Отдельная сборка "wipfw-0.2.8_x64.zip";
# Оф.сайт: Перейти;
# Wiki: Перейти;
# Скачать: SourceForce.Net;
# Описание: Портированый FireWall "IPFW" из FreeBSD в Windows.

# Правила для MuServer:

Цитировать
Спойлер
#Сброс всех существующих правил
-f flush

# Localhost rules
# Разрешение работать через петлю
add allow all from any to any via lo*
# Запрет на принятие/отправку пакетов петли
add deny log all from any to 127.0.0.0/8 in
add deny log all from 127.0.0.0/8 to any in

add check-state
# Запрещаем фрагментированные пакеты;
add drop all from any to any fragment
# Запрещаем tcp пакеты с установленным флагом established;
add drop tcp from any to any established

# Защита от сканирования;
add drop tcp from any to any tcpflags fin
add drop tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
add drop tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg

# Запрет принятия пакетов с частных сетей;
add deny ip from any to 0.0.0.0/8 in via
add deny ip from any to 10.0.0.0/8 in via
add deny ip from any to 172.16.0.0/16 in via
add deny ip from any to 192.168.0.0/24 in via

# Входящие соединения;
add allow 80 tcp from any to me in limit src-addr 10 # WebSite;
add allow 44405 tcp from any to me in limit src-addr 10 # ConnectServer;
add allow 55901 tcp from any to me in limit src-addr 10 # GameServer;
#add allow 3389 tcp from 127.0.0.1 to me in keep-state setup # RDP - Remote Desktop Protocol;
# Разрешить все входящие соединения;
#add allow all from any to me in keep-state

# Исходящие соединения;
add allow tcp from me to any 80 out keep-state setup
add allow tcp from me to any 44405 out keep-state setup
add allow tcp from me to any 55901 out keep-state setup
# Разрешить все исходящие соединения;
#add allow all from me to any out keep-state

# Логирование трафика, не прошедшего ни одного правила;
add count log all from any to any

# Блокируем всё что не вошло;
add drop all from any to any
deny ip from any to any

[свернуть]

P.S. -> Это черновой вариант правил, который будет дорабатываться.

# Внимание:

ЦитироватьКто попробует перейти на данный Firewall, огромная просьба отписываться о результатах.
Снизилась ли нагрузка на систему.
Снизилась ли нагрузка на программу. (В данном случае Apache)
и т.д.

Deserto · 2011 Май 17, 11:41

Вообще толком ничего нет. Автор темы, напиши подробно по пунктам все шаги, для того чтобы программа успешно работала.

VoLoK · 2011 Май 30, 17:06

Попробывал
Заблокирован удалённый доступ, и доступ к серверу
и это при том что я сделал всего лишь

# Блокируем всё что не вошло;
#add drop all from any to any
#deny ip from any to any

БабушкаТрансформер · 2011 Май 30, 17:17

Цитата: VoLoK от 2011 Май 30, 19:06 Попробывал
Заблокирован удалённый доступ, и доступ к серверу
и это при том что я сделал всего лишь

# Блокируем всё что не вошло;
#add drop all from any to any
#deny ip from any to any

Было тоже самое, хотя RDP доступ оставил в исключениях
причём заблокировало и веб и серв

Щас сижу разбираюсь, вот нашёл полную статью с более подробным описанием
https://www.lissyara.su/articles/freebsd/tuning/ipfw/

cokpat · 2011 Май 30, 18:44

ты малость не то взял, для виндузятников твоя ссылка, как филькина грамота будет.

_https://l2server.org/category/manaul/windows_dos_protection_ipfw_netstat.html

тут будет попроще, написано доступным языком.

VoLoK · 2011 Май 30, 19:56

М.Б можете выложить работаюшие настройки?
А то на работаюшем сервере тестировать не хочеться

cokpat · 2011 Май 30, 20:02

сколько раз повторять, готовое никто не будет давать, за кого то делать никто ничего не будет.
Хотите что бы за вас все сделали, предлагайте символическую плату, не имеете желания или возможностей оплатить работу тому кто настроит, курите мануалы тестируйте на другом ПК (друга, подруги, игрока,дяди, тети и т.д)

funster · 2011 Июнь 09, 14:27

хм. прочитал тему и удивился. уже больше 2-х лет работаю с BSD и не когда не думал что фаер сделают и под винду =)

настроил его супер, работает отлично!
MuForum
нагрузка снизилась приблизительно на 40-45% от обычного фаервола Kerio

ИМХО советую ставить. но до этого забить косяк, и читать мануал =)

DJAKS · 2011 Июль 28, 08:44

Наконец то добрался до этой темы раньше ее как то не заметил
VoLoK, Exus не хочется сильно оскорбить скажу по проще вы тупите...
Пояснение
"Заблокирован удалённый доступ, и доступ к серверу и это при том что я сделал всего лишь
# Блокируем всё что не вошло;
#add drop all from any to any
#deny ip from any to any "
ну дак понятно все вы же правила не по вписывали а просто все запретили сначало идут исключения потом полный запрет !!!
Внимательно читайте а не увидели строку "блокирует все" и подумали что заблочит ДОС, а потом кто то сидит и теряет свое время что бы прочитать ваши глупые сообщения

folder1989 · 2011 Авг. 14, 14:44

чем етот файрвол лучшый всех?

cokpat · 2011 Авг. 14, 22:25

Цитата: folder1989 от 2011 Авг. 14, 13:44 чем етот файрвол лучшый всех?

описанием

ekvat · 2011 Авг. 24, 01:00

извиняюсь а на win32 нету

Everybody · 2011 Дек. 05, 19:05

На оффициальном сайте есть радостная новость для поклонников этого фаервола

ЦитироватьПроект разморожен, разработка продолжена (2011-06-21)
Лучше поздно, чем никогда. Начаты работы над переносом под Windows7. Устранение недоработок инсталлятора x64-битной версии. Переработка GUI-интерфейса.

Доступна экспериментальная версия под Windows 7 и Vista
https://sourceforge.net/projects/wipfw/files/experimental/

Спойлер

WARNING! BETA RELEASE! Don't use it on production!

This port based on https://info.iet.unipi.it/~luigi/dummynet

////////////////////////////////////////////////////////////////
Supported actions:
log, allow, drop, count, skipto, check-states, queue, pipe

Not supported actions:
unreach, reset, reject, divert, tee, fwd

Not supported options currently:
"recv, xmit, via" with adapter name.

///////////////////////////////////////////////////////////////
INSTALL

Enter to Control Panel -> Network and select one card

- click on Properties->Install->Service->Add
- click on 'Driver Disk' and select 'netipfw.inf' in this folder
- select 'ipfw+dummynet' which is the only service you should see
- click accept on the warnings for the installation of an unknown
driver (roughly twice per existing network card)

- start 'install_svc.cmd' script

**

UNINSTALL

- select a network card as above.
- click on Properties
- select 'ipfw+dummynet'
- click on 'Remove'

- start 'uninstall_svc.cmd' script

[свернуть]

cokpat · 2011 Дек. 05, 19:19

если будет робить под вин 2008R2 им не будет равных

DangeR · 2011 Дек. 10, 11:12

Если допустим мой сервер стоит в дата центре этот фаер вол не закроет доступ через удалённое управление ?

NightWish · 2011 Дек. 10, 11:45

Если ты установишь его через "Install.bat" то не закроет доступ=)

DangeR · 2011 Дек. 20, 01:18

поставил)))
Вроде всё прекрасно работает на виндовс сервер 2003 причём нагрузка на проц минимальная

DoS.Ninja · 2012 Май 31, 11:49

Санёк, нет смысла ставить ограничение в 10 подключений на порт 80, браузер загружает дизайн сайта асинхронно, поэтому кол-во подключений может вырасти и до 50 в зависимости от сложности дизайна

MainGM · 2013 Март 29, 13:57

кто может качественно настроить фаервол для сервера (что бы досы и санфлуды не были проблемой)

то пишите в скайп madmanmu
готов обсудить вознаграждение за помощ

misanea · 2014 Янв. 04, 20:33

а видео можно ? прото так не очень сильно понятно...

x-MU.net форум

Настройка WIPFW под MuServer

MuForum

Deserto

VoLoK

БабушкаТрансформер

cokpat

VoLoK

cokpat

funster

DJAKS

folder1989

cokpat

ekvat

Everybody

cokpat

DangeR

NightWish

DangeR

DoS.Ninja

MainGM

misanea

Похожие темы (5)