Abszolút offtopic: XP-re keresek ingyenes tűzfalat

Offtopic

Jó, tudom, tudom... vastag bőr van a képemen :D dehát ez egy offtopic fórum ha jól látom :)
Újrarakom az XP-met és szeretnék rá valami korrekt kis tűzfalat. Eddig a Nortonék tűzfalát használtam (ezt kaptam az alaplapomhoz), de az olyan régi és annyi bajom van vele, hogy jó lenne valami más.
A ZoneAlarm tudása picit kevésnek tűnik, a kerio meg... nemistudom... megszűnt? Fizetőssé vált? Szóval kellene valami használható darab.
(még a Sygate jutott eszembe, de arról semmi infom nincs a nevén kívül)
Tudna valaki tippet adni, hogy mit keressek?

Közben megnéztem a Kerio -> Sunbelt oldalát. Szóval van belőle ingyenes verzió is. Egyelőre(?) mégsem törlöm a topic-ot, mert hátha valaki tud konkrét tippet adni...

  • 3820 megtekintés

Na, felraktam.

Háááááát, ebben lehet állítani filesystem- és registry-engedélyektől kezdve mindent. Ez az AIO-jelleg lelohasztott egy kicsit, én csak tűzfalat akartam.
Nagyon jó - annak, akinek van ideje és türelme beállítani. Az már más kérdés, hogy mikor olyan rule-t akartam kreálni, hogy TCP/UDP 5555 befele jöhet (p2p), akkor nem engedett portot állítani. Jó ez a pf, de mennyivel jobb lenne, ha lenne egy executablea mi service-ként fut, meg egy pf.conf. ;-)
Ez a program tipikus példa arra, mennyire meg tudja a GUI szívatni az embert. Semmivel nem jobb, mint a Jetico Firewall.

Update: ki kellett törölnöm belőle a predefined progikat, mert pl. a Firefox nem futtathatott a temp mappából semmit OpenDownload-al.
Beállítottam a sec policyt low-ra, kinyitottam az inbound portjaimat jól. Most minden outbound engedélyezve van, netbiost leszűkítettem kicsit, ill. kivetem az összes predefined appot - a tűzfal így már maradhat. :-)
A portokat úgy tudtam csak megadni, ha kiválaszottam a protokollt. Mondjuk jó lenne, ha lehetne egyszerre megadni TCP/UDP-t is (pf-ben van pass in quick from
to $localnet proto {tcp,udp} stb.), de ne legyünk telhetetlenek, a PF grafikus frontend így is elég korrekt.
20-30 perc alatt belőhető (most már így, ja. :-P)

( o_O v | 2006. 04. 21., p – 22:45 )

Hello!

En az XPes gepemen Sygate Personal Pro tűzfalat hasznalok bar mar nem fejlesztik mert a Symantec felvásárolta is igy ez lealt persze meg kaphato.Jó tűzfalnak tartom jobb konfiguralhatosag es jobb biztosag jellemzi.Ha kell rola info akkor:

EMAIL: pigri at enternet.hu
MSN: pigrike at hotmail.com
ICQ: 333-155-952

( Szab | 2006. 04. 21., p – 23:05 )

Én Keriot használok windows alatt. Bár nem nagyon szoktam windows alatt netet használni, csak mmorpg-t. Mindenre rákérdez, úgyhogy nekem ez tünt a legjobb megoldásnak. Régebben ZoneAlarm-ot használtam, de gondom volt vele (sajnos már nem emlékszem, hogy mivel akadt össze). NOD32-vel kiegészítve nem volt sem vírus, sem hack. Ha már windows, én erre szavaznék. Itthonra tökéletesen megfelelt az ingyenes verziója.

( BikMak | 2006. 04. 21., p – 23:42 )

Sygate: megvásárolta a norton, és már nem fejlesztik, de a legutóbbi stabil szerintem jó, és az még ingyenes.

Kerio: nem fejlesztik, de a régi verziói is tökéletesek

A zonealarm, meg szerintem eleget tud

Kerio: nem fejlesztik, de a régi verziói is tökéletesek

Nem igaz, Sunbelt megvette, 30 nap után nem szűr webet - amit amúgy is ki szoktam belőle kapcsolni, de ugyanúgy műxik.

Ami tényleg ingyenes, az a Jetico és a Winsock Firewall. A Jetico supportja jó, 1-2 nap alatt válaszolnak, türelmesek, normálisak - de halál beállítani a programot. A Winsock Firewall meg... hááát... immature. Bár az új verzió jónak tűnik, de nem fogok vele szórakozni, asszem, marad a jó kis Outpost.

ZA - neked lehet, nem ismerem az igényeidet. Nekem kevés volt. Nem lehetett elég precízen finomhangolni pl. az itthoni LAN-ra.
Kerio - igen erősen gondolkodom rajta, hogy legyalulom úgy, hogy nyoma se maradjon. 3. éve megy gyakorlatilag elszállás nélkül a gépem (leszámítva a saját hülyeségemet, mellényúlásaimat), most meg a frissen installált XP (minden létező update telepítve) az ATI driver és a Kerio felpakolása után lelassult és három alkalommal döglött meg. (kékhalál, szimpla fagyás, stb)

--------------
Fel! Támadunk!

Nekem az ATI drájverei közül némelyik normálisam nüködött/működik, de volt olyan is, ami önmagában is szét...-te a w2k-t, meg a TV-tuner is csontra fagyott azokkal.
A 4.2.2-es Kerio viszont gyönyörűen működik, széépen hangolható. A "MIndenre rákérdez" is (Ki, kit indíthat el, ki hova mehet, stb.) Nekem egy-két hét alatt beállt, és csak néha kérdez, akkor is csak olyan dolgokat, amiket direkt úgy hagytam.
Az általa felügyelt indító/indított, illetve netet használó alkalmazásokról ráadásul egy hash-t is tárol/ellenőriz (indulás, illetve a kapcsolat kiengedése előtt), így a kritikus alkalmazások integritás-ellenőrzését is megoldja (Jó, a dll-ekét nem...)

Linux/UNIX alatt ilyen röptében működő integrit-jellegű cuccot pl. még nem nagyon láttam...

Ott nincs app-alapú szűrés (ill. van valami cucc iptables-hez, ami tudja, de sajna elfelejtettem a nevét). Szerintem fölösleges is, kifele mehet minden, a világ felé nyitott portokból meg úgysincs sok. A firestarter több, mint elég, főleg ha sokat nézegeted a logját, akkor be lehet lőni. :)

A Linux-os/BSD-s tűzfalakban _nincs_ futáskori integritás-ellenőrzés, és ha jól tévelygek, a kernelhez sincs ilyesmi integrálva (mert ott kellene ennek működni...)

A kifelé meget minden-re egy példa, mivelhogy ittenkérem windows-os környezet vagyon: Windows MediaPlayer... Mehet "büntetlenül" mindenhova kifelé...? Wendóz alatt ez nem annyira egyértelmű, hogy mi kaphat netet, és mi nem, mi mit indíthat, és mit nem, mi nem futhat, ha változott, és mi igen (nálam pl. az a.exe nyugodtan futhat szó nélkül, akkor is, ha változott :-)))

( Toomi | 2006. 04. 22., szo – 09:29 )

En routert, vettem :) Az mondjuk egy igen jo dolog. En win alatt vilag eletemben keriot/sunbelt-et hasznaltam, de nekem nem volt vele semmi bajom, na jo..1x elfelejtette hogy megkrekkeltem es ujra kellett csinalni ;))

Szerencsére a ZoneAlarm Suite-hez van keygen is :D

Én ZoneAlarmot használtam, amig közvetlen voltam a neten, de az volt az egyetlen bajom vele, hogy a www.kirako.hu csak akkor ment vele, ha addig trusted volt a Netkapcsolat, mert a flashnek nem engedett új socketet nyitni. De most vettem egy SMC Barricade routerkét, és azóta csak anivirus és -spyware van a gépemen, mert minden ló***t szűr. olyan router logokat kapok, hogy a szám az úgymarad néha.

Én töb okból is favorizálom a hw alapú védelmet:

- Nem a te gépeden fut ~ nem a te CPU idődön rágcsál (ez egy nagy gépnél nem, de egy 200-500 körüli gépen igenis kritikus)
- Mivel csak azt a bejövő kérést dobja át neked amit belőttél neki, téged nem fognak feltörni azaz semmilyen titkos/személyes/* dokumentumod nem kerül ki a netre.
- Nem fog segmentation fault/Kék halál/fagyás -al leállni. Ha mégis van ilyen pillanatok alatt frissíthető a firmware

"Mivel csak azt a bejövő kérést dobja át neked amit belőttél neki, téged nem fognak feltörni"

Ebben egészen biztos vagy? Abban a dobozban is valamilyen sw fut, annak is lehetnek távolról kihasználható nyűgjei, és a kifelé kommunikáló progijaidnak úgyszintén...

Nálam jelenleg Kerio van a w2k-ra rakva, eléggé szigorú policy-val, előtte egy nat-olós router/tűzfal dobozka, előtte meg az ADSL-NT (az is NAT-olni fog majd az új firmware-rel, ha fel tudom rá egyszer varázsolni, egyelőre azonban a konzolos user/pass kellene, mert a frissítő sw úgy műx, hogy belogol, elindítja a tftp-szervert, tftp-n feltolja, de az admin/admin mindenütt hangoztatott user/pass ezen a verzión nem műx :-/ )

Én bekapcsoltam rajta ezt a virtual server funkciót, egész jó. Sajnos így még a bittorrent se müx rendesen, mert ki kellene nyitni neki vmi portot, viszont meg kell adni, hogy a portot milyen IP-re lője át. Ám a kliensek olyan DHCP-sek akik ráadásul ,ég csak nem is tőle kapnak IP-t. Az meg elég gáz. hogy mindig át kellene írni. Reservacióra opció nincs. Szóval kifele még egy FTP se nagyon hallgat csak passzive.

Amúgy aki fix IPs az egyedül egy nagyon kis teljesítményű szerver. No azt nem irigylem aki képes kivárni mig feltöri... De kibukik, mert kevés a memje, cseszteti a virtuális memet (Win2k3) és a winyója meg nagyon hangos... Ha valami miatt sokáig hangoskodik, rá szoktam nézni. De olyan túl nagy titkok nincsenek rajta, inkább csak a levelezés ami kritikus, de az meg aztán igazán lassú. Nekem mondjuk jó, mert türelmes ember vagyok... :)

Ezzel együtt bizonyos szempontból igazad van. Sajnos őhozzá nem adtak firmware-t még azt se amelyiknek rajta kellene lennie, ugyanis néha fagy, sztem elbakták a firmware felírását. De mindd1 megtanultam már együttélni vele.

1. - bocs, de khm... másolt szoftvert nem használok. Én még ilyen kis ódivatú vagyok ;)
2. - lásd előző válaszom: elsősorban nem a bejövők ellen kell a tűzfal, hanem az illetéktelenül kifelé mászkálók ellen. Nomeg a hardveres tűzfalamat sem érzem 100%-osnak. :(
Rendszeresen találkozom bejövő broadcastokkal pl. Meg 24 órája kikapcsolt gépre címzett packetekkel. A support meg nem tudott mindeddig segíteni. (de ezt hagyjuk, nem akarok (ellen)reklámot csinálni a router gyártójának)

--------------
Fel! Támadunk!

De erre írtuk a ZoneAlarmot. Amúgy meg lehet őt vásárolni, asszem nem is drága dolog, a kis csomag csak tűzfal, a nagy pedig egy antivírus és mailscanner is egyben. Nekem csak a Flash alapú egyéni kommunikációjú játékok nem mentek vele, de ha munkához kell ez nem érdekes. Quake/UT/stb megy vele simán. van rajta kis lakat ikon is, le lehet zárni a gépet a külvilágtól egészen, semmit sem fogad a gép, olyan muntha kihúznád az UTP-t. Nézz körül a www.zonealarm.com helyen, most csak $50 ért vesztegetik, de gondolom van hazai forgalmazó is.

( uid_4672 | 2006. 04. 24., h – 15:12 )

van egy ilyen projekt, hogy wipfw. ipfw "mintára" készült, túl sokat nem lehet várni tőle, de az én igényeimet tökéletesen kielégítette... Baj van vele, pl. ha egy TCP kapcsolaton túl sok ideig nem történik semmi, akkor lezártnak tekinti. Nem teljesen stateful fw, de "próbál" az lenni, nem tud forwardolni, NAT-ot, nem tud conntracket (pl. ftp). (Ezeket más fw-vel sem csinálod meg szerintem vindozon).

Nekem azért tetszett, mert nagyon kicsi, tud logolni és azt csinálja amit én akarok (többé kevésbé :)). Persze ingyenes ;)

Ha neked kell program control is vagy komolyabb dologra kell, akkor ezt felejtsd el.