Здравтвуйте, недавно приобрели сей девайс , настроек практически никаких не менял: настроил как и полагается LAN и WAN, машины из внутренней сети нормально пошли в Инет. Через два дня начались проблемы в локалке: машины самопроизвольно перегружаются с одним сообщением "Lsass.exe завершил работу с кодом ошибки 128". Судя по сообщением в Инете это какой-то вирь. Как ни странно Symantec его не обнаружил (хотя всегда работал на ура) но суть не в этом, а в том, что я видимо чегото не донастроил на FW. И вопрос из этого такой: Как закрыть все порты на вход и выход кроме тех которые специально ему укажу?

на вход и так закрыты все порты. Вирус может быть подцеплен приложением. Кто-то скачал файл, распаковал и всё. Вирус распространяется на виндовые машины по NetBIOS портам 139/137/445

При распаковке любого файла или любой операции с ним происходит проверка на виры, в этом плане symantec не глючит (сам проверял неоднократно). Базы свежие. А вот еще один момент сразу как эта котовасия началась я обрубил инет, после этого произошло еще пару подобных перезагрузок и все закончилось.
И еще такой вопрос: если все порты закрыты, то почему выход в Инет есть? Ведь при таком раскладе FW не должен принимать ничего на 80 порт, да и почта работает.

Закрыты все порты на вход со стороны WAN. Ну а со стороны lan, всё ходит в интернет. Если бы symantec был хорошым антивирусом, он бы не пропустил lsass которому уже года 3...

Я так понимаю, что в "advanced settings > fw" lan>wan можно указать Default action = block и затем отдельными правилами открыть нужные порты? И такой вопрос: как классифицирует fw пакеты отправленные на некий порт при переходе по ссылке в нехорошем сайте, т.е. такое действие является ответом на запрос пользователя из lan и по идее должен пропустить?

Зараженный этим вирусом (Lovesan как я понимаю) комп никогда сам не перезагружается, он начинает по сетке перезагружать все остальные компы. Поставьте SP2 на WinXP, ну или если совсем в лом ставить, то хоть DCOM отключите... тут никакой фаерволл не спасет, этож дыры в самой винде....

Я вообще-то видел сообщения о вмре sasser это от него такие траблы с перезагрузкой, основная часть рабочих станций и так с sp2 а серваки нет, но я уже установил все обновы и на них. И все таки меня интересует ответ на мой последний вопрос (Ср Авг 30, 2006 8:26 am)

Запутанно сфорулирован вопрос...
Как FW может понять что сайт нехороший? Всё настраивается согласно правил FW, с разрешающими или запрещающими правилами. Просмотри осуществляется сверху вниз.

Тогда по другому: Имеется некий сайт в коде которого есть какая-то дрянь (скажем исполнение скрипта) при заходе на этот сайт выполняется скрипт по которому из Инета лезет атака на некий порт FW. В этом случае скрипт и сама страница пришли по запросу пользователя из lan и соответственно действия скрипта тоже ->значит FW должен их пропустить -> а также пропустить данные на некий порт которые приходят из Инета по запросу скрипта?
Этого по моему мнению можно избежать только запретив вообще любой трафик через ненужные порты в независимости от того являются ли эти данные ответом на запрос пользователя или пришли сами по себе.

Всё как раз так как Вы и сказали. По умолчанию запрещен вход трафика (незаказанного) Всё согласно примененной таблице.

Спасибо, скажите а при включении Content Filters fw отключается или как?

Нет, они работают в тандеме.

Но при включении CF выскакивает сообщение "Note that all LAN-to-WAN initiated WWW sessions are controlled by web filter now. Frewall will not block these sessions now on." И в подтверждение этому делаем такой эксперимент: Advanced settings > FW > Edit rules, добавляем новый фильтр lan>wan, service = HTTP, action = block, apply. И естественно никакой сайт нам не ответит, включаем CF и опять идем куда хотим. (кроме, кончно, того что запрещено в CF). Выходит что при таких настройках DFL-900 пропустит пакеты на любой порт если только запрос пришел из LAN и не противоречит фильтрам CF.

Они вместе работаеют. Правила FW выше CF если есть разрешающее правило, то просто весь WEB трафик будет проходить, НО фильтрация уже будет осущавлятся фильтрами CF

Поиграл тут с настройками и не понимаю эффекта:
Ситуация 1: lan>wan = block; wan>lan = block; wan>wan = block; lan>lan = forward. Результат: заходит на некоторые сайты, "ping ya.ru" = заданный узел не доступен.
Ситуация 2: все ставим в "block" недоступен ни один сайт, "ping ya.ru" = Превышен интервал ожидания для запроса.
не понимаю почему настрока lan>lan так влияет? Разъясните пожалуйста.