Добрый день.
Интересует правильность настройки Фаервола.Имеется локальная сеть с выходом в Интернет через DFL-800. К локалке цепляются несколько VPN-клиентов.Т.е DFL-800 является ещё и PPTP-Сервером. Маршруты прописаны, всё работает.По умолчанию в папке lan_to_wan1 созданы 4 правила. И ещё правило для Интернет:
NAT lan-lannet-inet-all_nets all_services
inet- название PPTP-клиента к провайдеру через которого получаем Интернет
Вместо группы all_services можно создать свою и включить в неё только то, что нужно.
Теперь собственно и вопрос выполняет ли фаервол свои функции.
скачал несколько тестов проверки фаервола и.... ни один не прошёл. Программа свободно отправляет рекурсивный DNS запрос и т.д. к примеру программный фаервол в таком случае вовсю вопит.А тут типа всё в порядке.
Может у меня он неправильно настроен? Подскажите пожалуйста.
Использовал программы проверки: DNSTest 1.0, Jumper 1.0, CPILSuite

Програмные решения контролируют большинство трафика на уровше приложений. Вы настройте Firewall жестко, например настройте функцию DNS relay и укажите нормальный DNS. К тому же разрешая выход любому типу трафика вы снижаете безопастность вашей сети. Разрешите ТОЛЬКО необходимый трафик. Везде гже можно используйте ALG, что позволит анализировать трафик на уровне приложений, не забывайте так же про IDS(платное обновление), там уже есть фильтры отсекающие не корректные DNS запросы.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо.
Всё понятно кроме DNS-Relay какую функцию в плане безопасности он выполняет?

Выполнил практически все рекомендации.
Настроил DNS-Relay, вместо all_services оставил только необходимые, получил пробную лицензию на Advanced IDP Update Service, скачал обновлённые сигнатуры, выбрал нужные, создал IDP-Rules на входящий и исходящий трафик. тестирую....
ничего не изменилось. По-прежнему тесты провалены, 20 минут веб-сёрфинга по гадючникам и помойкам типа www.astalavista.com , результат- пара троянов,несколько червей и куча разной малвари.смотрю лог IDP/IDS Status - чисто! не фаервол, а защита из одуванчиков!

Есть интересный момент.Читал статью (журнал "Железо" №48, доступен на www.wisesoft.ru) где сравнивались софтовые и аппаратные фаерволы в частности D-Link DI-604. Так вот по словам автора статьи DI-604 с настройками ПО_УМОЛЧАНИЮ легко справился с перечисленными выше тестами. Владельцы DI-604! Проверьте, пожалуйста, и отпишитесь. Оч хочется знать кто врёт.

DFL не антивирус. Это firewall. IDP сигнатуры накладывать надо не на весь трафик, а только на определенный на тот для которого предназначена сигнатура. Они не защищают от вирусов, позволяют предотавращать популярные атаки и блокируют НЕКОТОРЫЕ миханизмы используемые вирусами. Вы используйте устройство по назначению. нужно устройство с антивирусом, тогда это DFL-260 или 860

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.