Собственно, сабж =)

хоть проект и нельзя пока что отнести к персональным файрволам, но, думаю, местным спецам он будет интересен.

URL:

http://wipfw.sourceforge.net

проект некоммерческий, пост за рекламу не считается =))
постите ваши комменты здесь или на форуме автора, ему будет приятно... =)

Автор говорит на русском?

Еще как говорит!

Уже совсем скоро обещан релиз с динамическими правилами и прочимим вкусностями, а также с гуем от FirewallBuilder'a

Позвал я разработчика на форум, но ответа никакого не получил :(

Это все хорошо, но виндовые файрволлы нужны больше для того чтобы блокировать программы со своего компьютера от доступа в инет. Например, разрешить на 25 порт ходить только на тот сервер, куда всегда пересылается почта (записанного в настройках программы), и, причем, только той программе, которую используем для почты. Той же почтовой программе запретить ходить на любые порты кроме стандартных почтовых, чтобы по ссылкам из письма картинки или странички с какой-нибудь гадостью не вытаскивала. Ну и так далее.

А wipfw, как я понимаю, блокирует или пропускает траффик глядя только на адреса и порты. Для гейтвея хорошо будет, наверное, если можно разные правила для разных интерфейсов писать, и если нет роутера.

Ага, он для этого и создавался, application blocking это немного не то

Не спора ради, а информации для, как говорилось раньше высоким штилем.

ipfw - серверная штука. ее нужно ставить на гейтвей, чтобы защищать клиентов. Эта программа может стоять и на клиентской машине, но тогда обязательно нужно иметь какую-то вторую программу, которая занимается именно управлением доступом приложений в интернет. Может быть, это проще сделать, чем стенку, я не знаю, и потестировал бы обе :). Но - вместе. Просто по отдельности ставить их на отдельно стоящий виндовый комп все равно смысла не вижу. А остальные, которые я знаю, как раз и дают обе функциональности - и стенку и блокирование приложений. Может быть, этот подход неправильный, может, лучше иметь две разные программы, это вопрос открытый, но пока такого бутерброда нету.

Опять же, надо бы знать, wipfw на виндовом компе с двумя интерфейсами - как себя вести будет? Попадет ли NAT в середину между ними, чтобы писать правила - до ната и после ната. Вот в чем вопрос.

Может быть, я и не прав, тогда будет повод для дальнейшего разговора :)

ЗЫ. А вообще, лучше всего файрволл как acl'ы на cisco. На каждый интерфейс свой набор правил, отдельно на in и out.

Кстати, у многих файрволлов есть такая нехорошесть (и юниксовые страдают этим). Даже если порт и не используется никем, отсылать сообщение (icmp, вроде, сам не программил, не помню), что Host Unreachable или Service not available. А это для людей с определенной наклонностью служит ответом - пробуй еще раз, другие порты пробуй. В-общем, закрывать надо то, что открыто, и закрывать так, чтобы без ответов, blackbox делать. И TTL менять, чтобы не думали, что это винда :D

Попробовал в деле - очень хорошо себя зарекомендовал. Для моей специфической задачи- торговые точки через инет соединяются с фтп сервером в офисе и отправляют/принимают файлы - так лучше ничего нет! Прописал ip адрес офисного сервера, все остальное закрыл - красота :) Вопросов не задает, ресурсы не жрет, работает без сбоев ....

Дальнейшее развитие wipfw и не только для windows.

http://info.iet.unipi.it/~luigi/dummynet/