Динамическая фильтрация пакетов dr web

Обновлено: 06.07.2024

Устройство фильтра iptables

Для iptables в общем виде правила выглядят так:

Не обязательно ставить описание действия (target/jump) последним в строке, но лучше придерживаться именно такой нотации для удобочитаемости правил.

Если в правило не включается спецификатор [-t table], то по умолчанию предполагается использование таблицы filter, если же предполагается использование другой таблицы, то это требуется указать явно. Спецификатор таблицы также можно указывать в любом месте строки правила, однако, более или менее, стандартом считается указание таблицы в начале правила.

Далее, непосредственно за именем таблицы должна стоять команда управления фильтром. Если спецификатора таблицы нет, то команда всегда должна стоять первой. Команда определяет действие iptables, например: вставить правило, или добавить правило в конец цепочки, или удалить правило и т.п. Тело команды в общем виде выглядит так:

Ключ указывает на то, что нужно сделать с правилом, например, команда -А указывает на то, что правило нужно добавить в конец указанной цепочки.

Когда пакет приходит на сетевое устройство, он обрабатывается соответствующим драйвером и далее передается в фильтр в ядре ОС. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.

Встроенные таблицы фильтра iptables

По умолчанию используется таблица filter. Опция -t в правиле указывает на используемую таблицу. С ключом -t можно указывать следующие таблицы: nat, mangle, filter.

Таблица nat

Таблица nat используется, главным образом, для преобразования сетевых адресов Network Address Translation. Через эту таблицу проходит только первый пакет из потока. Преобразование адресов автоматически применяется ко всем последующим пакетам. Это один из факторов, исходя из которых, не нужно осуществлять какую-либо фильтрацию в этой таблице.

Цепочка PREROUTING используется для внесения изменений в пакеты на входе в фильтр.

Цепочка OUTPUT используется для преобразования пакетов, созданных приложениями внутри компьютера, на котором установлен фильтр, перед принятием решения о маршрутизации.

Цепочка POSTROUTING используется для преобразования пакетов перед выдачей их в сеть.

Таблица mangle

Таблица mangle используется для внесения изменений в заголовки пакетов. Примером может служить изменение поля TTL, TOS или MARK.

В действительности поле MARK не изменяется, но в памяти ядра заводится структура, которая сопровождает данный пакет все время его прохождения через машину так, что другие правила и приложения на данной машине (и только на данной машине) могут использовать это поле в своих целях. Таблица имеет две цепочки PREROUTING и OUTPUT.

Цепочка PREROUTING используется для внесения изменений на входе в фильтр перед принятием решения о маршрутизации.

Таблица mangle не должна использоваться для преобразования сетевых адресов (Network Address Translation) или маскарадинга (masquerading), поскольку для этих целей имеется таблица nat.

Таблица filter

Таблица filter используется, главным образом, для фильтрации пакетов. Для примера, здесь мы можем выполнить DROP, LOG, ACCEPT или REJECT без каких-либо сложностей, как в других таблицах. Имеется три встроенных цепочки FORWARD, INPUT, OUTPUT.

Цепочка FORWARD используется для фильтрации пакетов, идущих транзитом через фильтрующий компьютер.

Цепочка INPUT предназначена для обработки входящих пакетов, направляемых локальным приложениям фильтрующего компьютера.

Цепочка OUTPUT используется для фильтрации исходящих пакетов, сгенерированных локальными приложениями фильтрующего компьютера.

Команды утилиты iptables

Добавляет новое правило в конец заданной цепочки.

iptables -D INPUT -dport 80 -j DROP, iptables -D INPUT 1

iptables -R INPUT 1 -s 192.168.0.1 -j DROP

Данная команда заменяет одно правило другим. В основном она используется во время отладки новых правил.

Вставляет новое правило в цепочку. Число, следующее за именем цепочки, указывает номер правила, перед которым нужно вставить новое правило, другими словами, число задает номер для вставляемого правила. В примере указывается, что данное правило должно быть 1-м в цепочке INPUT.

Вывод списка правил в заданной цепочке, в данном примере предполагается вывод правил из цепочки INPUT. Если имя цепочки не указывается, то выводится список правил для всех цепочек. Формат вывода зависит от наличия дополнительных ключей в команде, например -n, -v, и пр.

Удаление всех правил из заданной цепочки (таблицы). Если имя цепочки и таблицы не указывается, то удаляются все правила, во всех цепочках.

Обнуление всех счетчиков в заданной цепочке. Если имя цепочки не указывается, то подразумеваются все цепочки. При использовании ключа -v совместно с командой -L, на вывод будут поданы и состояния счетчиков пакетов, попавших под действие каждого правила. Допускается совместное использование команд -L и -Z. В этом случае будет выдан сначала список правил со счетчиками, а затем произойдет обнуление счетчиков.

Создается новая цепочка с заданным именем в заданной таблице. В выше приведенном примере создается новая цепочка с именем allowed. Имя цепочки должно быть уникальным и не должно совпадать с зарезервированными именами цепочек и действий (DROP, REJECT и т.п.)

Удаление заданной цепочки из заданной таблицы. Удаляемая цепочка не должна иметь правил и не должно быть ссылок из других цепочек на удаляемую цепочку. Если имя цепочки не указано, то будут удалены все цепочки, определенные командой -N в заданной таблице.

Определяет политику по умолчанию для заданной цепочки. Политика по умолчанию определяет действие, применяемое к пакетам, не попавшим под действие ни одного из правил в цепочке. В качестве политики по умолчанию допускается использовать DROP, ACCEPT и REJECT.

Команда -E выполняет переименование пользовательской цепочки. В примере цепочка allowed будет переименована в цепочку disallowed. Эти переименования не изменяют порядок работы, а носят только косметический характер.

Команда должна быть указана всегда. Список доступных команд можно просмотреть с помощью команды iptables -h или, что то же самое, iptables -help. Некоторые команды могут использоваться совместно с дополнительными ключами. Ниже приводится список дополнительных ключей и описывается результат их действия.

Ключи утилиты iptables

Данный ключ используется для повышения информативности вывода и, как правило, используется совместно с командой -list. В случае использования с командой -list, в вывод этой команды включаются также имя интерфейса, счетчики пакетов и байт для каждого правила. Формат вывода счетчиков предполагает вывод кроме цифр числа еще и символьные множители K (x1000), M (x1,000,000) и G (x1,000,000,000). Для того чтобы заставить команду -list выводить полное число (без употребления множителей), требуется применять ключ -x, который описан ниже. Если ключ -v, -verbose используется с командами -append, -insert, -delete или -replace, то на вывод будет выдан подробный отчет о произведенной операции.

Основные действия над пакетами в фильтре iptables

Пакет прекращает движение по цепочке (и всем вызвавшим цепочкам, если текущая цепочка была вложенной) и считается принятым; тем не менее, пакет продолжит движение по цепочкам в других таблицах и может быть отвергнут там.

Отбрасывает пакет и iptables «забывает» о его существовании. Отброшенные пакеты прекращают свое движение полностью.

Прекращает движение пакета по текущей цепочке правил и производит возврат в вызывающую цепочку, если текущая цепочка была вложенной, или, если текущая цепочка лежит на самом верхнем уровне (например INPUT), то к пакету будет применена политика по умолчанию.

Служит для журналирования отдельных пакетов и событий. В системный журнал могут заноситься заголовки IP-пакетов и другая интересующая вас информация.

Используется для преобразования сетевых адресов (Source Network Address Translation), т.е. изменение исходящего IP-адреса в IP-заголовке пакета.

Destination Network Address Translation используется для преобразования адреса места назначения в IP-заголовке пакета.

В основе своей представляет то же самое, что и SNAT, только не имеет ключа -to -source. Причиной в том, что маскарадинг может работать, например, с dialup-подключением или DHCP, т.е. в тех случаях, когда IP-адрес присваивается устройству динамически. Если используется динамическое подключение, то нужно использовать маскарадинг, если же используется статическое IP-подключение, то лучшим выходом будет использование действия SNAT.

Основные критерии пакетов в фильтре iptables

Использование фильтра iptables

РЕД ОС уже включает в себя предустановленный iptables. Для его настройки рекомендуется использовать возможности системы настройки сети /etc/netconfig и /etc/networks.

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

Time Online: 2 Months 1 Day 9 Hours 26 Minutes 40 Seconds

Ответы на экзамен по лицензированию DrWeb

Вынос мозга от Dr.Web.
Публикую ответы (правильные и неправильные) на экзамен DrWeb'а.

Последний раз редактировалось Genuine Savenger; 09.07.2013 в 16:47 .

Acid (19.11.2013), Ale (04.12.2015), alik (08.07.2013), dimasus (19.01.2016), Ильсур (09.07.2013), Гортор (09.09.2013), Find Server (15.02.2016), Graf (19.11.2015), GUFI*BASSCLUB* (08.07.2013), iga (08.07.2013), Nonlinear equation (08.07.2013), Rigiy (24.11.2016), rust17 (20.02.2017), Sadvakas Phantomov (08.07.2013), Segodnya (08.07.2013), SERGant1407 (26.11.2018), The Hamster (12.07.2013)

Time Online: 2 Months 1 Day 9 Hours 26 Minutes 40 Seconds

Последний раз редактировалось Genuine Savenger; 17.07.2013 в 11:34 .

Time Online: 2 Weeks 6 Days 23 Hours 12 Minutes 41 Seconds

Смотрите в новом сезоне "Dr.Web возвращается". Никто не уйдёт больным.
При успешных кассовых сборах планируется выпустить ещё две части: "Dr.Web. Начало" и "Превосходство Dr.Web-а".

Последний раз редактировалось Segodnya; 09.07.2013 в 20:04 .

Добавка правильных 27 из 30

1 В состав какой лицензии на продукты Dr.Web включены веб-антивирус SpIDer Gate™ и модуль Родительского контроля?
2. Dr.Web для Windows (Комплексная защита) 00:36 Да

2 Сколько базовых лицензий предусмотрено для программного продукта Dr.Web для Linux в составе Dr.Web Desktop Security Suite?
1.Одна — только антивирус 00:16 Да

3 Какой продукт Dr.Web может восстановить работоспособность ПК, когда запуск зараженной системы невозможен?
1. Dr.Web LiveCD 00:21 Да

4 Сколько серийных номеров к критографу Atlansys Bastion поставляется в коробочном продукте Dr.Web Бастион?
2.2 01:49 Да

5 Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для почтовых серверов Unix?
3. Центр управления 02:01 Нет

6 При покупке каких продуктов Dr.Web пользователь получает право бесплатного использования Dr.Web Mobile Security?
• Любых продуктов Dr.Web для защиты домашних ПК 00:17 Да

7 В случае новой покупки срок лицензии на Dr.Web Desktop Security Suite с Центром управления может составить
3. 12, 24 или 36 месяцев 00:13 Да

8 Укажите базовые лицензии, доступные при покупке продукта Dr.Web Desktop Security Suite для ОС Windows
5. Варианты 1 и 4 00:50 Да

9 Покупатель приобрел лицензию на Dr.Web Security Space для продления лицензии на Антивирус Dr.Web.
1.Покупатель сможет пользоваться дополнительными компонентами защиты начиная с момента активации серийного номера на Dr.Web Security Space. 00:20 Да

10 Антивирус Dr.Web поддерживает следующие ОС:
1. Windows 8/7/Vista/XP 00:40 Да

11 Коробочные продукты Dr.Web Security Space и Dr.Web Антивирус: 1.Можно использовать для защиты рабочего компьютера. 01:37 Да

12 Кто является правообладателем антивируса Dr.Web?
3. Компания «Доктор Веб» 01:22 Нет

13 Покупатель владеет лицензией на продукт Dr.Web сроком более 6 месяцев. Если вместо лицензии продления он приобретает новую лицензию по полной стоимости, предусмотрено ли увеличение срока ее использования?
2. Да, на 30 дней 02:21 Нет

14 Какой модуль использует онлайн-сервис Dr.Web Cloud для мгновенной антивирусной проверки веб-ссылок?
3.SpIDer Gate 02:36 Нет

15 Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для серверов Unix (Samba)?
4. Все ответы неверны 01:50 Нет

16 Дополнительный компонент Центр управления в продукте Dr.Web Desktop Security Suite лицензируется
3. для Windows, Mac OS X и Linux 01:18 Да

17 Какие варианты лицензий возможны для программного продукта Dr.Web для Linux
3. Антивирус + Центр управления 00:14 Да

18 После установки программ Dr.Web из коробочных продуктов их можно использовать даже без регистрации, однако:
2.Возможность обращаться за бесплатной поддержкой становится доступна только после регистрации. 00:53 Нет

19 Какие базовые лицензии предусмотрены для Dr.Web Desktop Security Suite?
4. Антивирус и Комплексная защита 00:36 Да

20 В какую группу продуктовой линейки Dr.Web Security Suite входит Dr.Web Office Shield?
4. Программно-аппаратные комплексы 00:15 Да

21 Dr.Web SelfPROtect — это:
4. Модуль самозащиты 00:13 Да

22 При количественной дозакупке стоимость дозакупаемых лицензий рассчитывается:
• из диапазона суммарного количества защищаемых объектов без какой-либо скидки 01:06 Да

23 При продуктовой дозакупке стоимость дозакупаемых лицензий рассчитывается:
• из диапазона суммарного количества защищаемых объектов без какой-либо скидки. 01:16 Да

24 Кто является потенциальными потребителями Dr.Web AV-Desk™? 6.верны ответы 1,2 01:07 Да
25 Если пользователь имеет право на несколько видов скидок, то
1. Скидки не суммируются, предоставляется наибольшая 00:09 Да

26 Комплект Dr.Web «Универсальный» — экономичное предложение для организаций с числом ПК
1. От 1 до 50 01:14 Нет

27 Выберите верное утверждение: Антиспам Dr.Web…
4. Все ответы верны 01:04 Да

28 В качестве дополнительных компонентов к базовым лицензиям для бизнеса предусмотрены
3. Антиспам, SMTP proxy, Криптограф, Центр управления 00:14 Да

29 Наценка при дозакупке криптографа для пользователей Dr.Web Desktop Security Suite равна:
• 10% 01:48 Нет

30 Право бесплатного использования сетевой лечащей утилиты Dr.Web CureNet! предоставляется при покупке коммерческого продукта:
1. Dr.Web Desktop Security Suite — защита рабочих станций 00:19 Да

1 Сколько серийных номеров к критографу Atlansys Bastion поставляется в коробочном продукте Dr.Web Бастион?
2.2 00:07 Да

2 Какой дополнительный компонент не лицензируется с программным продуктом Dr.Web для интернет-шлюзов Kerio?
1. SMTP proxy 00:17 Нет

3 Базовая лицензия «Комплексная защита» предусмотрена для продуктов под управлением:
1. Windows 01:54 Да

6 При дозакупке стоимость дополнительных лицензий рассчитывается из диапазона, соответствующего:
2. Количеству приобретаемых дополнительно лицензий 00:32 Нет

8 Все скидки для продуктов и решений, в лицензиях на которые количество защищаемых объектов превышает количество, указанное в прайс-листе:
1. Согласуются с компанией «Доктор Веб» 00:17 Да

9 В состав коммерческого продукта Dr.Web Mobile Security Suite НЕ входит следующий программный продукт:
4. Все ответы верны 00:43 Нет

10 К числу преимуществ вирусной базы Dr.Web относится:
2. Способность определять множество вирусов одной вирусной записью 00:41 Да

11 Если пользователь имеет право на несколько видов скидок, то 1. Скидки не суммируются, предоставляется наибольшая 00:17 Да

12 Бонус 150 дней при продлении Dr.Web ОЕМ Универсальный будет предоставлен покупателю:
1.Если ОЕМ-лицензия будет продлена. 00:41 Да

13 Срок действия лицензионного соглашения при покупке коробочного продукта Dr.Web исчисляется с момента 2. Регистрации пользователем программы на сервере «Доктор Веб» 00:30 Да
14 В состав какой лицензии на продукты Dr.Web включены веб-антивирус SpIDer Gate™ и модуль Родительского контроля?
1. Dr.Web для Windows (Антивирус) 01:33 Нет

15 Право бесплатного использования сетевой лечащей утилиты Dr.Web CureNet! предоставляется при покупке коммерческого продукта: 1. Dr.Web Desktop Security Suite — защита рабочих станций 00:25 Да

16 Функция модуля Dr.Web SelfPROtect —
3. Самозащита 00:24 Да

18 При покупке электронной лицензии срок действия лицензионного соглашения исчисляется с момента
4. Регистрации серийного номера на сервере «Доктор Веб» 00:42 Да

19 Бонус в 150 дней предоставляется пользователю Dr.Web Security Space:
3.При продлении лицензии на Dr.Web Security Space или Антивирус Dr.Web, срок которой от 3 месяцев и больше. 00:28 Да

20 Выберите верное утверждение:
• Dr.Web Security Space — комплексная защита ОС Windows и Антивирус для Mac ОS X или Linux 01:28 Да

21 В состав Dr.Web Security Space входит:
8. В состав Dr.Web Security Space входят все перечисленные компоненты 00:16 Да

22 Согласно условиям лицензионного договора правообладатель передает конечному пользователю
3. Неисключительное право на использование ПО только тем способом и на тех условиях, которые указаны в тексте лицензионного договора 00:18 Да

23 Коробочный продукт Dr.Web Security Space:
1.Можно использовать и дома, и на работе — ограничений по месту использования в лицензировании нет. 01:26 Да

24 Какой модуль использует онлайн-сервис Dr.Web Cloud для мгновенной антивирусной проверки веб-ссылок?
4.Все ответы верные 00:11 Да

25 Кто является потенциальными потребителями Dr.Web AV-Desk™? 7.верны ответы 2,3,4 02:38 Нет

26 Какие компоненты защиты входят в базовую лицензию «Антивирус» для программного продукта Dr.Web для Windows в составе Dr.Web Desktop Security Suite?
3. Антивирус, Антишпион, Антируткит, Веб-антивирус 03:23 Нет

27 В состав коробочного продукта Dr.Web «Малый бизнес»:
2.Не входит защита для рабочих станций Mac OS X т.к. этот продукт не сертифицирован ФСТЭК России. 00:17 Да

28 Консольные сканеры Dr.Web лицензируются:
1. По количеству защищаемых ПК 01:04 Да

29 При приобретении Dr.Web Desktop Security Suite с Центром управления сроком на 24 месяца цена новой лицензии для НЕльготных категорий составляет:
3. 1,6 от цены соответствующего диапазона на 12 месяцев 00:18 Да

30 Для государственных учебных заведений предоставляется единая скидка на продукты Dr.Web в размере
1. 50% на все продукты и решения 00:59 Да

Бренды
Беспроводное оборудование
Комплектующие
Маршрутизаторы
Сетевые коммутаторы
Устройства Powerline
VoIP оборудование
Видеонаблюдение
IPTV приставки
Умный дом
Компьютерная техника

Ajax Systems

Alfa Network

Edge-Core

Edimax

M5Stack

Escene

GAOKE

HPE Aruba Networks

Info-Sys

ITElite

Keenetic

LigoWave

Точки доступа

Контроллеры для точек доступа

Wi-Fi антенны

Материнские платы

Радиокарты

Беспроводные USB адаптеры

Усилитель сигнала Wi-Fi (репитер)

GPS-трекеры

Блоки питания, РОЕ, инжекторы

Грозозащита

Кабель UTP, FTP, коннекторы

Патч-корды

Патч-Панели

Сетевые компоненты и инструмент

Корпуса

Крепежная фурнитура

Переходники и кабели USB, HDMI, DVI, SATA, 3RCA

Пигтейлы

Удлинители и сетевые фильтры

SFP, SFP+ - модули/патч-корды/DAC-кабель

Неуправляемые коммутаторы

Управляемые коммутаторы

IP телефоны

VoIP шлюзы

IP-ATC

Аксессуары для VoIP-оборудования

IP-камеры

Регистраторы

Аксессуары для видеонаблюдения

Видеодомофоны

Аналоговые видеокамеры

Контроллеры

Датчики

Сетевые карты и адаптеры

Принт-серверы

Сетевые накопители (NAS, DAS)

USB-концентраторы

Универсальные внешние аккумуляторы

Маршрутизаторы MikroTik предоставляют достаточно гибкие возможности для настройки фильтрации и распределения трафика. В первой части данной статьи мы рассмотрим, какие возможности RouterOS позволят вам лучше настроить ваш роутер.

Введение

"Сетевая безопасность бывает хай и нехай".
Фраза, найденная в сети Интернет

С момента своего появления сеть Интернет многократно выросла. Также многократно увеличились такие показатели сети, как предоставляемые ресурсы, скорости обмена информацией, скорости подключения. Однако вместе с ростом полезных ресурсов, многократно выросли риски кражи информации, использования ресурсов не по назначению и другие опасности.Таким образом, каждый системный администратор ежедневно сталкивается с вопросами защиты обслуживаемых ресурсов.

Данная статья написана с целью описать функционал фильтрации трафика в операционной системе RouterOS, производства компании MikroTik.

Особенности работы файрвола

Для базового понимания работы файрвола, необходимо ознакомиться с понятиями цепочки (chain), состояния соединения (connection state), условия и действия (action).

Цепочки (chain)

При фильтрации трафик, в зависимости от своего предназначения попадает в одну из цепочек (chain) обработки трафика. В фильтре предопределены три основные цепочки:

input входящий трафик предназначенный для маршрутизатора. Например, когда вы подключаетесь к маршрутизатору при помощи приложения winbox, трафик как раз попадает в эту цепочку.
output Исходящий трафик. Трафик, создаваемый самим маршрутизатором. Например, если вы выполните команду ping непосредственно с самого маршрутизатора, трафик попадет в эту цепочку.
forward Трафик, идущий через маршрутизатор. Например, если компьютер из локальной сети, установил соединение с внешним сайтом, данный трафик попадает в цепочку forward.

Таким образом мы видим, что для защиты самого маршрутизатора необходимо использовать цепочку input, а для защиты и фильтрации трафика между сетями необходимо использовать цепочку forward.

Кроме того, администратор имеет возможность создавать свои собственные цепочки обработки трафика, к которым можно обращаться из основных цепочек. Данная возможность будет рассмотрена в дальнейшем.

Состояние соединения (connection state)

Каждое из сетевых соединений MikroTik относит к одному из 4 состояний:

New – Новое соединение. Пакет, открывающий новое соединение, никак не связанное с уже имеющимися сетевыми соединениями, обрабатываемыми в данный момент маршрутизатором.
Established – Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
Related – Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.
Invalid – Маршрутизатор не может соотнести пакет ни с одним из вышеперечисленных состояний соединения.

Исходя из вышеизложенного, мы видим, что хорошим вариантом настройки фильтрации пакетов будет следующий набор условий:

Обрабатывать новые соединения (connection state = new), принимая решение об пропуске или блокировке трафика.
Всегда пропускать соединения в состоянии established и related, так как решение о пропуске этого трафика было принято на этапе обработки нового соединения.
Всегда блокировать трафик, для которого состояние соединения равно invalid, потому что этот трафик не относится ни к одному из соединений и фактически является паразитным.

Условие

При прохождении пакета через фильтр, маршрутизатор последовательно проверяет соответствие пакета заданным условиям, начиная от правила, расположенного первым. и последовательно проверяя пакет на соответствие правилам номер два, три и так далее, пока не произойдет одно из двух событий:

Пакет будет соответствовать заданному условию. При этом сработает соответствующее правило, в котором это условие было задано, после чего обработка пакета будет завершена.
Закончатся все условия и пакет не будет признан соответствующим ни одному из них. При этом, по умолчанию он будет пропущен дальше.

Исходя из п.2, нельзя не отметить, что есть две стратегии построения фильтра пакетов:

Нормально открытый файрвол. Данный тип настройки можно определить как «Все разрешено, что не запрещено». При этом мы запрещаем прохождение только некоторых типов трафика. Если пакет не соответствует этим типам – он будет пропущен. Обычно данный тип файрвола характерен для мест, где не предъявляется высоких требований к безопасности пользователей, а трафик может быть самым разнообразным и не поддающимся жесткой квалификации. Такая настройка характерна для операторов связи (Интернет-провайдеров), открытых точек доступа, домашних маршрутизаторов.
Нормально закрытый файрвол. Данный тип настройки можно определить как «Все запрещено, что не разрешено». При этом разрешается прохождение только определенных типов трафика, а последним правилом в файрволе стоит правило, запрещающее прохождение любого типа трафика. Такой тип настройки файрвола характерен для корпоративного использования, где существуют жесткие требования к безопасности.

Не могу сказать, что какая-то из стратегий является правильной, а какая-то неправильной. Обе стратегии имеют право на жизнь, но каждая — в определенных условиях.

Теперь подробнее распишем все варианты условий, на основании которых мы можем принимать решение о действии.

Закладка general

Наименование

Описание

Цепочка (см. выше).
Варианты в списке: input, output, forward.

Если ввести свое название – получим свою цепочку.

Адрес источника пакета. Варианты заполнения поля:

Один адрес. Например, 192.168.0.5

Подсеть. Например, 192.168.0.0/24

Диапазон адресов. Например, 192.168.0.5-192.168.0.15

Обратите внимание: если вам надо задать несвязанный диапазон адресов, то это нельзя сделать в этом поле, но можно сделать через Src. Address List на закладке Advanced

Адрес назначения пакета. Варианты заполнения поля см. выше

Протокол соединения. TCP, UDP, ICMP и т.п.

Порт, с которого пришел пакет. Поле можно заполнить только если протокол соответствует TCP или UDP.
Варианты заполнения поля:

Один порт. Например, 22.

Диапазон портов. Например, 10000-20000.

Несколько портов. Например ,22,23,25.

Несколько диапазонов портов. Например, 5060-5070,10000-20000 .

Диапазон и несколько портов. Например, 22,23,10000-20000.

Порт, на который пришел пакет. Поле можно заполнить, только если протокол соответствует TCP или UDP.
Варианты заполнения поля см. выше.

Любой порт. Например, или Src. Port, или Dst. Port
Варианты заполнения поля см. выше.

Peer-to-Peer протокол. Пакет относится к одному из P2P протоколов. Например, edonkey или BitTorrent.
Обратите внимание, что шифрованные сессии не идентифицируются посредством данного поля.

Интерфейс, с которого пришел проверяемый пакет. (Не работает, если chain=output, т.к. источник трафика - сам маршрутизатор)

Интерфейс, куда будет передан пакет. (Не работает, если chain=input, так как трафик предназначен для маршрутизатора и дальше передан быть не может).

Пакет имеет определенную маркировку, полученную ранее через Mangle.

Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports

Состояние соединения. Описывалось выше.

Обратите внимание, что перед частью полей можно поставить флаг восклицательного знака. Этот флаг будет обозначать отрицание. Например:

обозначает что адрес источника любой, кроме 192.168.0.0/24 . Также обратите внимание, что если поле не заполнено, оно должно быть серым. Если вы передумали заполнять поле, чтобы его исключить и сделать серым – нажмите стрелку «вверх», справа от поля.

Закладка Advanced

На этой закладке собраны расширенные опции выбора пакета.

Наименование

Описание

Src. Address List

Адрес источника пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Dst. Address List

Адрес назначения пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Layer 7 Protocol

При проверке пакета L7-фильтром, заданным на закладке Firewall/Layer 7 Protocols, он был отнесен к одному из определенных на этой закладке протоколов.

Внутри пакета содержится определенная строка символов.

Количество байт, прошедших через соединение. При этом 0 обозначает бесконечность.

Например, 1000000-0 = более 1МБ.

Скорость соединения. Например, 0-128000. Это правило сработает, если скорость подключения менее 128 килобит в секунду. (Поставив флаг [!] перед таким правилом, мы заставим срабатывать правило на соединение более 128kbps)

Per Connection Classifier

Src. MAC Address

MAC-адрес сетевой карты источника. Сработает, только если источник пакета находится в одном Ethernet-сегменте с маршрутизатором.

Out Bridge Port

Порт назначения интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

Порт источника интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

Приоритет пакета. Может быть получен из VLAN, WMM или MPLS ext. bit

Определяет DSCP, заданный в заголовке пакета.

Размер MSS (Maximum segment size) TCP пакета.

Случайное срабатывание правила. Число задается в диапазоне 1-99, что соответствует вероятности срабатывания правила от 1 до 99 процентов. Обычно используется при тестировании сервисов, когда надо изобразить случайную потерю пакетов на нестабильном канале.

Флаги TCP соединения.

В заголовке пакета имеется заданная опция протокола Ipv4.

Time To Live – Время жизни пакета соответствует …

Закладка Extra

Эта закладка продолжает список расширенных опций, не поместившихся на закладку Advanced.

Наименование

Описание

Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).

Предназначено для ограничения количества передаваемых пакетов:

Rate – количество пакетов в секунду (минуту/час).

Burst – Количество неучитываемых пакетов (пакетов не входящих в packet rate).

Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций.
Поля rate и burst соответствуют таковым в опции Limit.

Limit By – по какому критерию (src|dst address | address/port) учитывать пакеты.

Expire - через какой промежуток времени запомненный адрес/порт будут удалены.

Every – из какого числа пакетов.

Например Every=3, packet=2 Обозначает «Каждые 2 из 3 пакетов или проще 2/3 пакетов).
Опцию часто используют при балансировке нагрузки между каналами.

Время действия правила. Позволяет ограничить действие правила во времени и по дням недели. Так как у маршрутизатора нет аппаратно-независимых часов, для корректной работы опции требуется настроенный SNTP-клиент (System/SNTP-Client) и часовой пояс (System/Clock)

Src. Address Type

Тип IP-адреса источника (Local, Unicast, Broadcast, Multicast)

Dst. Address Type

Тип IP-адреса назначения (Local, Unicast, Broadcast, Multicast)

Port Scan Detect. Опция позволяющая настроить определение события сканирования портов. Поля:

Weight Threshold = При каком значении сработает.

Delay Threshold = Максимальная задержка между пакетами с разными портами назначения, пришедшими с одного адреса.

Low Port Weight = сколько при подсчете стоит каждый порт в диапазоне 0-1023.

High Port Weight = сколько при подсчете стоит каждый порт в диапазоне 1024-65535.

Например, на скриншоте правило сработает, если будет просканировано 7 и более портов в привилегированном диапазоне; Или 21 и более портов в непривилегированном диапазоне. При этом пауза между поступающими пакетами с одного источника, направленного на разные порты будет не более 3 секунд.

Опции, связанные с работой хотспот, если он настроен на маршрутизаторе.

Пакет является фрагментом другого пакета.

Как мы видим, в маршрутизаторе существует достаточно большое количество правил выбора пакетов, которые позволяют очень гибко и тонко настраивать работы с трафиком.

Теперь, когда мы поняли, на основании каких правил мы можем найти интересующий нас пакет, давайте посмотрим, что можно сделать после срабатывания правила.

Действия при фильтрации пакетов

Действия задаются на закладке Action сформированного правила.

Разрешить прохождение пакета. Дальнейшие действия по фильтрации прекращаются, пакет передается на следующий этап обработки.

add-dst-to-address-list

Добавить адрес назначения пакета в именованный список адресов (address list).

Address-List – Имя списка адресов. Выбирается из списка или задается новое.
Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.

add-src-to-address-list

Добавить адрес источника пакета в именованный список адресов (address list).

Address-List – Имя списка адресов. Выбирается из списка или задается новое.
Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.

Обратите внимание, что динамические списки адресов являются очень мощным инструментом. Так как мы можем учитывать списки адресов в правилах выбора пакета на закладке Advanced, фактически, таким образом мы можем динамически менять правила фильтрации трафика.

Drop

Удалить пакет. Пакет уничтожается и никуда дальше не передается.

Jump

Перейти на собственную цепочку (chain) обработки пакетов.

Опция – наименование цепочки.

Log

Занести информацию о пакете в Log-файл маршрутизатора. При этом пакет будет передан на следующее правило. Данная опция часто используется при отладке.

Passthrough

Ничего не делать. Передать пакет на следующее правило. Однако при этом счетчики работают, показывая сколько пакетов соответствовало этому правилу. Обычно используется для статистики.

Reject

Return

Досрочно прервать обработку собственной цепочки (chain) и вернуться на следующее правило за правилом с Action=jump, которое передало пакет в эту цепочку.

Tarpit

Очень интересная опция. Может использоваться только с протоколом TCP. Суть в том, что маршрутизатор дает разрешение на создание соединения, при этом выставляя нулевое окно передачи (т.е. скорость соединения = 0). Позволяет «завесить» атакующий хост на этом соединении.

Заключение

В этой части мы разобрались с основными опциями файрвола. Обратите внимание, что условия выбора пакетов одинаковы для всего файрвола и будут нам требоваться в дальнейшем при изучении NAT и расширенной обработки трафика (Mangle). А вот названия цепочек и действия там будут совершенно другими.

Вероятно, вы приобрели продление для Антивируса Dr.Web, в который эти компоненты не входят, или просто скачали не тот дистрибутив.

В первом случае вам необходимо приобрести лицензию Dr.Web Security Space или обменять лицензию Антивирус Dr.Web на нужный продукт, доплатив разницу в стоимости или получив новую лицензию на несколько меньший срок.

В состав антивируса Dr.Web для Windows входят много программ. Какая из них защищает меня от вирусов, а какие только вспомогательные программы?

Антивирус Dr.Web — это целый комплекс программ, каждая из которых обеспечивает защиту своего "участка обороны" Вашего компьютера. Удаление (неустановка) или отключение хотя бы одного компонента защиты значительно снижают надежность антивирусной охраны в целом, поэтому мы настоятельно советуем не отключать без крайней надобности ни один из компонентов программы.

Вспомогательными программами комплекса являются Утилита автоматического обновления и Планировщик.

Dr.Web только удаляет троянские программы? Он их не лечит?

Для ответа на этот вопрос следует понимать, в чем разница между вирусом и троянской программой. Как правило, вирус добавляет (дописывает свой код) к заражаемому им файлу, и таким образом, инфицированный вирусом файл состоит собственно из «здорового» файла и добавленной к нему зараженной вирусом части. Вместе они представляют собой инфицированный вирусом файл. Большинство таких файлов антивирус Dr.Web может лечить (и лечит). Причем, речь идет не о «лечении вируса», а об «излечении файла», инфицированного вирусом.

Троянская программа - вредоносная по всей своей сути целиком. Троянец не дописывает себя к файлам, он живет самостоятельной жизнью полноценной компьютерной программы, поэтому для него не существует лечения - только удаление. Некоторые троянские программы портят различные системные объекты, например, реестр Windows. В таком случае можно говорить о возможности лечения системы (но не троянской программы), которое заключается, в частности, в удалении самого троянца, а также в восстановлении испорченных им объектов.

Для чего предназначен сканер? Разве недостаточно антивирусного монитора SpIDerGuard, всегда контролирующего все обращения к файлам?

Сканер Dr.Web для Windows производит проверку файлов либо по команде пользователя, либо по расписанию, заданному в Планировщике. Проверяются не все файлы (разве что если такой очень ресурсоемкий режим проверки не задан самим пользователем), а только указанные в настройках сканера. Посмотреть текущие настройки сканера можно через панель меню главного окна программы, выбрав пункт "Настройки" через опцию "Изменить настройки". По умолчанию (т.е. по настройкам, заданным разработчиками антивируса) проверяются файлы по формату — файлы в архивах, упакованные файлы и почтовые файлы, а также оперативная память и все файлы автозапуска. При желании, можно задать проверку отдельных логических дисков, каталогов, проверку по типам файлов, по заданной маске или сканирование всех файлов.

У меня есть подозрение, что ко мне на компьютер пробрался вирус. Как можно запустить сканер?

Есть несколько способов запуска сканера.

При установке программы Dr.Web на компьютер на Рабочем столе появилась иконка с паучком на темно-зеленом фоне — иконка сканера. Щелкните по ней мышкой, и сканер запустится.
В правом нижнем углу дисплея (системном лотке) находится иконка антивируса в виде черного паучка на сером фоне. Щелкните по ней левой или правой кнопкой мыши. В появившемся контекстном меню выберите пункт «Сканер», затем выберите нужный режим проверки: быстрая, полная или выборочная.
Через Проводник Windows для проверки конкретного объекта (файла или папки). Щелкните по выбранному объекту правой кнопкой мыши. В открывшемся контекстном меню выберите пункт «Проверить Dr.Web» с иконкой в виде черного паучка на сером фоне. Сканер немедленно запустится, и файл будет проверен.

В настройках сканера есть действие над подозрительными и неизлечимыми файлами — «Перемещать в карантин». Такие файлы перемещаются куда-то на моем же компьютере? То есть он остается зараженным вирусом?

Действие «Переместить» для подозрительных и неизлечимых объектов означает следующее. Файл физически перемещается в специальную карантинную папку. Помимо перемещения, файл теряет свое расширение. Такие действия означают фактическое «разоружение» вируса, делают его недееспособным и, следовательно, абсолютно безопасным. В дальнейшем вы можете открыть Менеджер карантина и удалить файлы, если они вам не нужны.

Можно ли отключить антивирусный почтовый монитор SpIDerMail, ведь сканер тоже поверяет почтовые файлы?

Сканер действительно проверяет почтовые файлы, но только по запросу пользователя или по расписанию, заданному в планировщике. А что делать, когда сканер не запущен на выполнение сканирования? Пропускать вирусы? Вот для этого и создан почтовый монитор SpIDerMail, который ПОСТОЯННО "на лету" осуществляет проверку входящей и исходящей почты.

Я пользуюсь очень редкой почтовой программой. Защищает ли меня в таком случае один из компонентов антивируса — SpIDerMail?

Безусловно да! Независимо от того, каким почтовым клиентом Вы пользуетесь, почтовый монитор SpIDerMail, благодаря его особой реализации, будет проверять как входящую, так и исходящую с вашего компьютера почту.

Настройки

Антивирус блокирует доступ в Интернет, без антивируса доступ есть

Одной из вероятных (но не единственной!) проблем являются некорректные настройки компонента Брандмауэр Dr.Web. Вы можете самостоятельно их изменить или сбросить настройки в значения по умолчанию. Чтобы сбросить настройки:

Войдите в Центр безопасности. Для этого:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана). Если значок отсутствует в трее, нажмите на кнопку “стрелка вверх”

и на открывшейся панели нажмите на значок Dr.Web .

Внимание! Внешний вид кнопки “стрелка вверх” может отличаться в зависимости от версии операционной системы и ее настроек. Так, например, он может выглядеть как или .

Нажмите на пункт Центр безопасности

Откроется окно Центра безопасности. Список пунктов может отличаться в зависимости от используемой версии продукта.

Разрешите изменение настроек (перейдите в административный режим работы):

По умолчанию возможность изменения настроек заблокирована. Для разблокировки нажмите на значок замка (Административный режим) в левом нижнем углу окна. Если у вас установлен пароль для доступа к изменению настроек – укажите его.

Значок в левом нижнем углу окна изменит вид на .

Нажмите на значок шестеренки справа вверху окна. В разделе Общие кликните на кнопку Изменить под пунктом Управление настройками. В открывшемся списке действий выберите Восстановить настройки по умолчанию.

Если сброс настроек изменит язык интерфейса антивируса, в том же разделе настроек Общие (General) кликните на список Language и выберите язык интерфейса.

Закройте окно настроек.

В связи со сбросом настроек при попытке программ выйти в сеть Интернет могут появляться запросы на создание правил доступа (создать правило, запретить однократно, разрешить однократно) от компонента Брандмауэр Dr.Web. Необходимо создать разрешающее правило для нужных приложений, нажав на кнопку Создать правило, затем выбрав действие Разрешить и нажав OK.

Как сбросить настройки антивируса?

Войдите в Центр безопасности. Для этого:

и на открывшейся панели нажмите на значок Dr.Web .

! Внешний вид кнопки “стрелка вверх” может отличаться в зависимости от версии операционной системы и ее настроек. Так, например, он может выглядеть как или .

Нажмите на пункт Центр безопасности

Разрешите изменение настроек (перейдите в административный режим работы):

Значок в левом нижнем углу окна изменит вид на .

Если сброс настроек изменит язык интерфейса антивируса. В том же разделе настроек Общие (General) кликните на список Language и выберите язык интерфейса.

Закройте окно настроек.

Как настроить Dr.Web для обеспечения удаленного доступа к защищаемой системе

Для версии Dr.Web для Windows 11.5:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Нажмите значок замка (Административный режим), разрешите запуск приложения.
Нажмите значок шестерёнки (Настройки), затем выберите пункт Основные → Самозащита.
Переведите в положение Откл. переключатель Запрещать эмуляцию действий пользователя.

Для версии Dr.Web для Windows 12:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Выберите Центр безопасности, затем значок замка (Административный режим), чтобы разрешить изменение настроек.
Нажмите значок шестерёнки (Настройки) в правом верхнем углу открывшегося окна, затем выберите пункт Самозащита.
Переведите в положение Откл. переключатель Запрещать эмуляцию действий пользователя.

Также снять опцию можно в момент установки антивируса в разделе Параметры установки, закладке Дополнительные опции.

Как сбросить настройки программы в состояние по умолчанию?

Для версии Dr.Web для Windows 11.5:

Нажмите на значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Нажмите на значок замка (Административный режим), разрешите запуск приложения.
Нажмите на значок шестерёнки (Настройки), далее нажмите на кнопку Изменить, выберите пункт Сбросить настройки. Нажмите OK, чтобы подтвердить сброс.
После сброса настроек язык интерфейса антивируса изменится на английский. Чтобы вернуть русский язык интерфейса, выберите Main→ Advanced. В списке Language нажмите пункт English, выберите пункт Russia (Русский), закройте окно.

Для версии Dr.Web для Windos 12:

Нажмите на значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Выберите Центр безопасности, затем нажмите на значок замка (Административный режим), разрешите запуск приложения.
Нажмите на значок шестерёнки (Настройки), затем в разделе Управление настройками нажмите на кнопку Изменить и выберите пункт Восстановить настройки по умолчанию. Нажмите OK, чтобы подтвердить сброс.

Включение отправки уведомлений о событиях на почту

Могу ли я отключить уведомления о необходимости перезагрузки после получения обновлений?

Без перезагрузки работа полученных обновлений антивируса невозможна, поэтому отключать такие уведомления не стоит, и сделать это через интерфейс антивируса невозможно.

Компания «Доктор Веб» отслеживает появление новых угроз и оперативно добавляет защиту от них в свои продукты в виде обновлений. Каждое обновление — это усиление защиты от тех угроз, которых ранее не существовало и которые ранее Dr.Web не мог определять.

Обновлять антивирус нужно сразу после поступления обновлений. Для этого достаточно не отключать настройки обновлений, заданные разработчиком Dr.Web, — антивирус будет обновляться самостоятельно и вовремя.

Но еще очень важно ПРОВОДИТЬ ПЕРЕЗАГРУЗКУ ПК после обновлений, требующих такой перезагрузки, — как бы часто Dr.Web ни просил вас это делать. Потому что только после перезагрузки устанавливаются новые драйверы перехвата и исправления потенциальных уязвимостей защиты Dr.Web.

И это только один пример того, как специалисты компании «Доктор Веб» заботятся о защите своих пользователей.

Если перезагрузка не убирает такие уведомления, то это может быть связано с особенностями действующей операционной системы. В этом случае следует оформить письменный запрос в службу технической поддержки и следовать полученным указаниям специалистов.

Причиной вашей ситуации является использование функции быстрого запуска в операционной системе Windows 10 на вашем ПК.

Как вы знаете, обновлять антивирус нужно сразу после поступления обновлений. Для некоторых самых важных обновлений обязательно необходимо проводить ПЕРЕЗАГРУЗКУ ПК. Потому что только после перезагрузки устанавливаются новые драйверы перехвата и исправления потенциальных уязвимостей защиты Dr.Web. Подробнее.

Быстрый запуск в ОС Windows 10 не позволяет выгружать ядро системы и драйверы полностью. Это создает проблему для некоторых приложений, в частности антивирусов, когда требуется полная выгрузка/загрузка модулей/драйверов при обновлении.

Пожалуйста, отключите быстрый запуск.

Находясь на рабочем столе, нажмите на сочетание клавиш Win+S, в строке поиска введите слово: Электропитание или Выбор схемы управления питания.
Нажмите на надпись Электропитание.
В левой части выберите любой из пунктов (например, Действие кнопки питания).
Снимите флажок с пункта Включить быстрый запуск (рекомендуется). Если данный пункт не активен, тогда в верхней части нажмите Изменение параметров, которые сейчас недоступны.
Выполните именно перезагрузку системы (не выключение), так как в Windows 10 это не одно и то же и имеет разный результат.

Включение проверки шифрованного трафика

Как восстановить пароль к антивирусу Dr.Web?

Инструкция предназначена для пользователей Dr.Web Security Suite и Антивируса Dr.Web актуальных версий для платформы Windows.

Используемые в продуктах Dr.Web технологии рассчитаны на то, чтобы пользовательские данные, в том числе пароль, не могли быть получены злоумышленниками. Пароль нигде не хранится в открытом виде, поэтому восстановить его нельзя.

Компания «Доктор Веб» также не собирает личные данные пользователей и поэтому не может восстановить ваш пароль через обращение в службу поддержки.

Для того чтобы вы могли получить доступ к настройкам антивируса, используемый вами продукт необходимо переустановить . При этом сделанные вами настройки, включая пароль, будут потеряны.

Dr.Web не поддерживает версии ниже Windows XP.

Скачайте дистрибутив Dr.Web.

Зайдите в Панель управления, последовательно выбрав Пуск → Найти → Панель управления и далее в зависимости от вида Панели управления — Программы и компоненты либо Удаление программы.

Выберите в списке программ Антивирус Dr.Web или Dr.Web Security Space, нажмите Удалить и следуйте указаниям мастера удаления.

Во время удаления в окне Сохраняемые параметры снимите флажок Настройки.

После завершения удаления используемого вами решения перезагрузите компьютер и снова установите Dr.Web. Ваш ключевой файл будет загружен автоматически.

Если ключевой файл не будет загружен автоматически во время установки, укажите его вручную. Для этого выберите в меню антивируса Лицензии. В открывшемся окне Менеджера лицензий нажмите на кнопку Купить или активировать новую лицензию, далее кликните на надпись или укажите ключевой файл, выберите ранее сохраненный ключевой файл — файл с именем, начинающемся на SL и имеющий расширение .key с рабочего стола.

Читайте также: