"Железный" фаервол маршрутизатора - Выбор сетевого экрана (фаерволы, firewall) - Форумы Anti-Malware.ru Перейти к содержанию
TANUKI

"Железный" фаервол маршрутизатора

Recommended Posts

TANUKI

Присмотрел себе маршрутизатор D-Link DIR-300 (популярный среднебюджетный вариант) для раздачи инета по квартире :)

Много наслышан о том, что "железный" фаерволл надежнее программного, т.к. гибче в настройках. Действительно ли при "железном" фаере отпадает необходимость ставить программный на ноутбук?

Спасибо за ответы спецов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Использую конкретно этот роутер уже порядка полугода, файрвол на ноуте не держу, зверей нет :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Серьёзный же у вас подход к созданию "домашки"! :)

Попросту говоря, схема работы "железного" роутера такова:

из WAN в LAN - не пущать никого и ни откуда!

из LAN в WAN - пущать всех и всюду!

Настройки изнутри нужно будет делать самостоятельно, и если у вашего "железного" их побольше, чем ON/OFF, то вам даже повезло. Но если вам нужно будет потом ещё и поиграть по домашней сети, то "стенку", стоящую по-умолчанию, нужно будет убирать. Очень неудобно.

Если "домашка" уже есть, то лучше купить обычный Адсл-модем и воспользоваться UserGate Proxy & Firewall5.0

[www.usergate.ru]. Антивирус - само собой, поставить, и даже тот, кому какой нравится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Множественные уязвимости в D-Link DIR-300... (в ссылке)

Alex_Goodwin

Как раз вовремя!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Серьёзный же у вас подход к созданию "домашки"! :)

Попросту говоря, схема работы "железного" роутера такова:

из WAN в LAN - не пущать никого и ни откуда!

из LAN в WAN - пущать всех и всюду!

Нет, этого мало. У меня ещё настроен порт форвардинг для торрентов, моего фтп-сервера и OpenVPN-сервера. Плюс ещё много довольно вкусных функций.

Настройки изнутри нужно будет делать самостоятельно, и если у вашего "железного" их побольше, чем ON/OFF, то вам даже повезло. Но если вам нужно будет потом ещё и поиграть по домашней сети, то "стенку", стоящую по-умолчанию, нужно будет убирать. Очень неудобно.

Не надо. Надо только настроить все тот же порт форвадинг.

Если "домашка" уже есть, то лучше купить обычный Адсл-модем и воспользоваться UserGate Proxy & Firewall5.0

[www.usergate.ru]. Антивирус - само собой, поставить, и даже тот, кому какой нравится.

Можно и так, но с роутером под NATом надежней будет. BTW, насколько я понял, роутер покупается не столько для построения "сложной локалки", сколько в качестве WiFi Access Point. А если так - то почему бы не взять не намного более дорогую, но намного более функциональную девайсину?

Спасибо, познавательно. Впрочем, у меня уже Firmware Version : 1.05.

Кстати, TANUKI, настоятельно рекомендую сразу же после покупки обновить прошивку роутера до последней версии - со старыми версиями могут возникать проблемы с производительностью (а как показал пост Alex_Goodwin - ещё и с безопасностью).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
насколько я понял, роутер покупается не столько для построения "сложной локалки", сколько в качестве WiFi Access Point.

Именно. Собираюсь купить девайс только в качестве раздачи инета на два ноутбука - не более того :)

Спасибо за совет :)

Итак, насколько я понял, единого мнения нрет по поводу того, нужен ли еще программный фаерволл или достаточно железного? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
единого мнения нет по поводу того, нужен ли еще программный фаерволл или достаточно железного?

Они все (и модемы, и фаеры) разные - в этом загвоздка. Идеала нет, пока нет.

Опыт других пользователей - хорошее подспорье, но большинство программно-технических недостатков мы узнаём после покупки.

Два фаера, конечно же, использовать излишне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

не нужен. Я пользую TP - Link - фаер вполне успешно выполняет функции, аутпост фактически молчал 3 месяца по входу, сейчас я его снял

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
не нужен. Я пользую TP - Link - фаер вполне успешно выполняет функции, аутпост фактически молчал 3 месяца по входу, сейчас я его снял

Отлично. Хотя на нетбуке таки оставлю программный - мало ли в кафе с вай-фаем нужно будет в Сеть выйти :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Я пользую TP - Link

Отсюда можно? А какую марку порекомендуете или какая именно у вас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Пользую вот этот TL-R860. (http://vector.kharkov.com/product.php?product_id=490). Цена в 20 баксов при вполне уместном функционале

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

не люблю д-линк...

ужасные, лучше asus WL-500G

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
д-линк... ужасные, лучше asus WL-500G

А по-подробнее можно про обоих?

Не для меня лично, а вообще... хотя бы приведите несколько характеристик из Вашего личного опыта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
А по-подробнее можно про обоих?

Не для меня лично, а вообще... хотя бы приведите несколько характеристик из Вашего личного опыта.

Сколько сталкивались с d-link'ами wi-fi'ными не промышленными, так со всеми были проблемы.

То кого то отключиют при совместном использовании точкой. То просто часто подвисают.

А вот asus WL-500G(с линуксом полноценным на борту) или WL-520G(более легкая версия) работуют без перерыва месяцами.

При том обслуживают и по 6 устройств.

с wl-500G была лишь одна проблеммка, если указать(по ssh естественно -)) ), что бы он wget'ом качал файл более 4 гигов, то он зависает.

скорее всего памяти не хватает -))

ну то что обе железячки могут юзать PPPTP, PPPoE, выступать в роли НАТа, роутера, свитча и прочие фишки ... думаю даже не стоит упомянать особенно для 500g ;)

(но что бы линукс на 500g стоял - его надо перепрошить ;) - по умолчанию там идет похожая очень прошивка, что и на 520g, но функционал чуть шире)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А еще добавить про прошивку от Олега, которой я прошил и свой дешевенький WL 520GU

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
не люблю д-линк...

ужасные, лучше asus WL-500G

Я бы и Циско поставил, но ведь все упирается в бюджет ;)

АСУС это прекрасно, но только не во времена мирового кризиса, когда каждый центаво на счету ;)

Пока решил повременить с покупкой и обхожусь раздачей инета с одного ноута на другой по вай-фай (благо в любом ноуте уже есть вай-фай) :). Да, один ноут постоянно привязан к кабелю, но он все равно большой и постоянно стоит на столе, так что пусть раздает Инет :)

На удивление, оказалось, что организовать из ноутбука роутер занимает всего два-три клика мышкой в Висте :) Был приятно удивлен :)

Вопросец: на основном (раздающем) ноуте стоит Авира Премиум (с фаерволлом). Нужно ли ставить второй фаерволл на маленький (принимающий) ноут, или достаточно будет антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Я бы и Циско поставил, но ведь все упирается в бюджет ;)

АСУС это прекрасно, но только не во времена мирового кризиса, когда каждый центаво на счету ;)

Пока решил повременить с покупкой и обхожусь раздачей инета с одного ноута на другой по вай-фай (благо в любом ноуте уже есть вай-фай) :). Да, один ноут постоянно привязан к кабелю, но он все равно большой и постоянно стоит на столе, так что пусть раздает Инет :)

На удивление, оказалось, что организовать из ноутбука роутер занимает всего два-три клика мышкой в Висте :) Был приятно удивлен :)

Вопросец: на основном (раздающем) ноуте стоит Авира Премиум (с фаерволлом). Нужно ли ставить второй фаерволл на маленький (принимающий) ноут, или достаточно будет антивируса?

Я бы отталкивался от режима раздачи в этом случае. Понятия не имею, что именно творит Виста в плане сетевых подключений при такой конфигурации. Если это режим NAT (в ХР расшаривание сетевых подключений - это именно оно), то я бы фаер на принимающий ноут не ставил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Я бы отталкивался от режима раздачи в этом случае. Понятия не имею, что именно творит Виста в плане сетевых подключений при такой конфигурации. Если это режим NAT (в ХР расшаривание сетевых подключений - это именно оно), то я бы фаер на принимающий ноут не ставил.

Да ничего особого не вторит, папки не расшаривал вообще :) Просто забираю инет на второй бук :) Поставил на второй бук КИС2009, он узрел вай-фай главного ноута и я указал ему "не пущать" вторжения извне (публичная сеть). Инет раздается-принимается, но расшарки нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zamok
не нужен. Я пользую TP - Link - фаер вполне успешно выполняет функции, аутпост фактически молчал 3 месяца по входу, сейчас я его снял

у меня он молчал когда порты скинили! :D а заметил это КИС 2010. если фаер настроет слабо(99% дефолтных настроек) то при наличии аппаратного оутпост можно на 100% неставить.

друзья помогите выбрать роутер, выбор стоит между ASUS WL-600g и D-link DIR-400 хочется надежную вешь(постояно клеятся всякие гады) эти модели обсуждались выще прошло время возможно поятся новые мнения.?

ASUS WL-500g надо перепрошивать для линукса и панель нерусская как с этим у ASUS WL-600g?может кто юзал?

ASUS WL-600g и D-link DIR-400 основное назначение ап. фаер. и чтоб работал без перерывов

невижу в этих модемах разьем для подключения к телефонной линии, как там дело с этим обстоит?

спасибо...

Отредактировал zamok

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic
Я бы и Циско поставил, но ведь все упирается в бюджет

TANUKI, я бы вам порекомендовал вот эту вещь.

Не пожалеете.

Этот модем (в последней прошивке), умеет гораздо больше чем то, тчо вы собрались покупать. :)

И цена очень демократичная.

http://www.acorp.ru/products/adsl/sprinter-adsl-w422g/

Толковая ТП

http://www.ddixlab.ru/forum

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
TANUKI, я бы вам порекомендовал вот эту вещь.

Не пожалеете.

Этот модем (в последней прошивке), умеет гораздо больше чем то, тчо вы собрались покупать. :)

И цена очень демократичная.

http://www.acorp.ru/products/adsl/sprinter-adsl-w422g/

Толковая ТП

http://www.ddixlab.ru/forum

Спасибо, но у меня пока никакой конкретики :) Был ТП-линк, сейчас стоит Цисковский Линксис, завтра будет стоят Асус :) А этот акорп, наверное, хорош, но он для АДСЛ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mnz
Присмотрел себе маршрутизатор D-Link DIR-300 (популярный среднебюджетный вариант) для раздачи инета по квартире :)

Много наслышан о том, что "железный" фаерволл надежнее программного, т.к. гибче в настройках.

Аппаратный не может быть гибче программного по определению )) А по надежности... Обычно да. Но не стоит забывать, что во многих аппаратных маршрутизаторах прошивки на основе линукса.

Действительно ли при "железном" фаере отпадает необходимость ставить программный на ноутбук?

Зависит от того насколько ценна информация на ноутбуке. Не зря хорошим тоном считается сочетание надежности аппаратного фаервола и гибкости программного (2 межсетевых экрана).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
А по надежности... Обычно да. Но не стоит забывать, что во многих аппаратных маршрутизаторах прошивки на основе линукса.

Это можно рассматривать как плюс или как минус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Это можно рассматривать как плюс или как минус?

И как "+" и как "-". Например "-", не так давно была информация о "ботнете из роутеров и DSL-модемов"...

Цитирую:

Исследователи из DroneBL несколько недель назад, борясь с нацеленной на их сервис ddos-атакой, наткнулись на необычный ботнет.Тщательно изучив ботнет, исследователи пришли к выводу, что червь под названием psyb0t захватывает исключительно роутеры и DSL-модемы, при этом игнорируя обычные компьютеры.

Заражению подвержены любые маршрутизаторы на базе Linux/MIPS, доступ к администрированию которых производится через службы SSHd или telnetd, при условии, что сами устройства находятся в демилитаризованной зоне DMZ..

Источник 1

или вот

Источник 2

Основным плюсом, на мой взгляд, является гибкость в настройке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×