Нужен ли файрвол на десктопе? (как считаете?)

[mudrik]

фаервол ни нужен нигде. даже в виндовсе. он бесполезен. для чего его вообще придумали? также как и антивирусы.

[Boboms]

Однако вы - шутник!

[Davinel]

Фильтрует пакеты. Перенаправляет. А что?

Перенаправляет - это NAT? Ну можно конечно, но не думаю, что это распространенный для десктопов вариант - зачем оно там?
А фильтрует - это что? В смысле от чего фильтрует и зачем?

При установке файервола начинающий пользователь пытается задумываться о закрытии портов и прочих вещах, связанных с безопасностью.

Понимаете, какой прикол. Порты по умолчанию и так закрыты. Открываются они только тогда, когда на этом порте "висит" какой то сервис.
А если там висит сервис - зачем этот порт закрывать то? Лучше сервис выключить, если не нужен.

Еще раз повторюсь, что речь идёт о ньюби, которых прибывает всё больше с каждой минутой.

С какой целью этот ньюби будет ставить себе ссх или телнет или там нгиникс? И не просто ставить, а еще и добавлять его в автозапуск? Ньюби, который это все делает, испортит систему и сам, без сторонней помощи.

[Bluetooth]

Перенаправляет - это NAT? Ну можно конечно, но не думаю, что это распространенный для десктопов вариант - зачем оно там?

А я и не говорил про распространенный вариант. Я сказал про то, что у меня дома. Нет, ната у меня нет,нат на роутере, на нем же и внешний фаер(хотя такие фаеры вообще практически бесполезны), а на дестопе просто форвардит пакеты, фильтруя нежелательные.

А фильтрует - это что? В смысле от чего фильтрует и зачем?

Отделяет песочницу, где крутится тестовый сервер, от всей внутренней зоны у меня дома.

Понимаете, какой прикол. Порты по умолчанию и так закрыты. Открываются они только тогда, когда на этом порте "висит" какой то сервис.
А если там висит сервис - зачем этот порт закрывать то? Лучше сервис выключить, если не нужен.

Лучше порты фильтровать. Чтобы никто не "повесил" на пустующий порт нехороший сервис. Другое дело, что не на десктопах это делать надо :)

С какой целью этот ньюби будет ставить себе ссх или телнет или там нгиникс? И не просто ставить, а еще и добавлять его в автозапуск?

Присоединяюсь к вопросу.

фаервол ни нужен нигде.

Пятница, 13 часов, а Вы уже навеселе. Нехорошо. Приличные люди до вечера терпят :)

В качестве защиты от "из-вне".

Но тогда-то он настроен и работает. Вы же говорили про ненастроенный. Я все это время фигел и думал - зачем он?

Начинающий пользователь (как правило) ставит всё "по дефолту", т.е. то, что производитель дистрибутива счёл нужным включить (а может и telnet !), то и будет установлено.

Ну и что такого опасного нам понаставили злые дистростроители?))

[diesel]

ЗЫ: не буду настаивать, но многие новички (имхо) ставят много софта "для проверки", т.е. посмотреть "что это такое и счем его едятъ".

угу, а если к этому чему-то поставленному на пробу нужен доступ из-вне, то самый простой(а новичку надо самый простой) способ его получить ... правильно - открыть порт для всех. А на зачем было тогда блокировать?

[altwazar]

Еще раз повторюсь, что речь идёт о ньюби, которых прибывает всё больше с каждой минутой.

Хочу увидеть ньюби настраивающего фаер под линуксом. Это даже под виндой выглядело бы весьма забавно.

[Flaming]

Я уже писал по-моему тут, но, видимо, это всё забыли.
Для тех, кто так активно против файрволла повторюсь.
Файрволл нужен в Windows. Причём стандартный не подходит, лучше какой-нить сторонний бесплатный использовать.
Да, гемора много с настройкой, с добавлением в исключения всяких портов... Но у меня с выключенным файрволлом периодически звук пропадал. %( Вирус?
Да, ещё наиполезнейшая штука, если оплата идёт по трафику (для меня уже неактуально, а раньше было полезно). Закрываешь все внешние ресурсы, за исключением пары портов, в идеале вообще разрешаешь в интернеты выходить только браузеры да im-клиенту (ну, и ещё чему надо) - в линуксе, кстати, не нашёл, как сие реализовать. И экономишь таким боком трафик.

[Bluetooth]

Хочу увидеть ньюби настраивающего фаер под линуксом. Это даже под виндой выглядело бы весьма забавно.

Да видел я таких. Действительно смешно. Установили варезный аутпост, тыкают случайным образом в его варнинги, и думают, что офигенные спецы по безопасности

Файрволл нужен в Windows.

Фаер на десктопах не нужен. А виндовс не нужен на серверах. Соотвественно, в виндовс фаер не нужен (:

Конечно, я не говорю про случаи, когда есть компьютер, который напрямую выходит в сеть. Такие случаи все реже и реже встречаются. Даже дома.

Да, гемора много с настройкой, с добавлением в исключения всяких портов...

Какой гемор? никакого гемора. Проблема в другом - нужно знать хоть что-то про основные сетевые технологии.

[altwazar]

Фаер на десктопах не нужен. А виндовс не нужен на серверах. Соотвественно, в виндовс фаер не нужен (:

В винде бывает иногда полезен. Иногда бывает тяжело держать в голове список программ, которые любят лазить в инет без твоего ведома. Но с распространением безлимитного интернета это уже практически не имеет значения.

[BURF]

В винде бывает иногда полезен. Иногда бывает тяжело держать в голове список программ, которые любят лазить в инет без твоего ведома. Но с распространением безлимитного интернета это уже практически не имеет значения.

а как же многочисленная вирусня, которая нередко лазает в инет за подкреплением?

[altwazar]

а как же многочисленная вирусня, которая нередко лазает в инет за подкреплением?

От этого он не особо хорошо спасает.

[mark]

BURF
не надо просто цеплять эту вирусню ))) фв имхо не нужен, если нет внешнего ip. А для вирусни и антивируса хватит, какого-нибудь бесплатного или "бесплатного" )))

[Bluetooth]

Фаер на десктопах не нужен. А виндовс не нужен на серверах. Соотвественно, в виндовс фаер не нужен (:

В винде бывает иногда полезен. Иногда бывает тяжело держать в голове список программ, которые любят лазить в инет без твоего ведома. Но с распространением безлимитного интернета это уже практически не имеет значения.

Не знаю такой софт, который я бы стал использовать, и который бы лазал куда не надо, да еще чтоб это отключить нельзя было

[mannequin]

Закрываешь все внешние ресурсы, за исключением пары портов, в идеале вообще разрешаешь в интернеты выходить только браузеры да im-клиенту (ну, и ещё чему надо) - в линуксе, кстати, не нашёл, как сие реализовать. И экономишь таким боком трафик.

Та же история)) Тут в соседнем разделе подсказали что для таких целей подойдёт SELinux O_o Но imho это будет как из пушки по воробьям... найти бы что-то более простое и элегантное

[/dev/random]

Закрываешь все внешние ресурсы, за исключением пары портов, в идеале вообще разрешаешь в интернеты выходить только браузеры да im-клиенту (ну, и ещё чему надо) - в линуксе, кстати, не нашёл, как сие реализовать. И экономишь таким боком трафик.

Та же история)) Тут в соседнем разделе подсказали что для таких целей подойдёт SELinux O_o Но imho это будет как из пушки по воробьям... найти бы что-то более простое и элегантное

В iptables есть фильтр по пользователю. Запускайте браузер, im-клиент и прочее от отдельного пользователя или пользователей (кстати, касательно браузера, это полезно и с точки зрения безопасности) и разрешаете выходить в сеть только им.

[Boboms]

Хочу увидеть ньюби настраивающего фаер под линуксом. Это даже под виндой выглядело бы весьма забавно.

Хотеть не вредно. Хотите дальше.

А что именно забавного? Ньюби под линукс [неравно] ньюби под виндой.

[drBatty]

Нет, ната у меня нет,нат на роутере, на нем же и внешний фаер(хотя такие фаеры вообще практически бесполезны)

почему-же? если больше одного компьютера, можно с одного рулить другим по SSH, при этом снаружи этого другого будет невидно(а виден будет например первый компьютер).

С какой целью этот ньюби будет ставить себе ссх или телнет или там нгиникс? И не просто ставить, а еще и добавлять его в автозапуск?

Присоединяюсь к вопросу.

почитайте темы: "поставил ламп, чё-дальше-то?!" и прочие на этом форуме.

Начинающий пользователь (как правило) ставит всё "по дефолту", т.е. то, что производитель дистрибутива счёл нужным включить (а может и telnet !), то и будет установлено.

Ну и что такого опасного нам понаставили злые дистростроители?))

вот в мандриве очень неплохой фаервол, имхо.
и если попытаться поставить тот-же апач, будет предупреждение - "потенциально опасно".

[Boboms]

Понимаете, какой прикол. Порты по умолчанию и так закрыты. Открываются они только тогда, когда на этом порте "висит" какой то сервис.
А если там висит сервис - зачем этот порт закрывать то? Лучше сервис выключить, если не нужен.

Т.е. новичек "по умолчанию" уже в курсе по ВСЕМ ! возможным сервисам (= портам), которые в его системе установлены? Это что же за новичек такой? Не Торвальдс часом?

[drBatty]

В iptables есть фильтр по пользователю. Запускайте браузер, im-клиент и прочее от отдельного пользователя или пользователей (кстати, касательно браузера, это полезно и с точки зрения безопасности) и разрешаете выходить в сеть только им.

...и запрещаете модификацию почти всех файлов этим "сетевым" юзерам...

Т.е. новичек "по умолчанию" уже в курсе по ВСЕМ ! возможным сервисам (= портам), которые в его системе установлены?

конечно! у него НИЧЕГО не должно быть установлено.
захотел торрент - открыл порт торренту,
захотел amule - открыл 2 порта этому мулу,
захотел апач - открыл порт 80,
и т.д..
а как иначе?

ЗЫЖ сервис != порт.

[Boboms]

Чёт я вас не понимаю? По какому тогда критерию вы определяете "новичек"?

[drBatty]

Чёт я вас не понимаю? wacko.gif По какому тогда критерию вы определяете "новичек"?

если человек поставил и запустил телнет, радмин, удалённый реестр, расшарил все свои диски в сеть, и ещё и купил себе внешний статический IP - он идиот, если считает, что у него "безопасная ос". причём от ос это не зависит. а в дистрибутивах вроде-бы нет каких-то уже работающих демонов, вроде "удалённый реестр" сами знаете где.

[Boboms]

... он идиот ИЛИ неопытный (начинающий) пользователь. А если дома не один комп, а несколько? А если это не "внешний ИП", а домашная сеть с пирингом на большое количество пользователей?

[Goodvin]

Чёт я вас не понимаю? По какому тогда критерию вы определяете "новичек"?

Ну я, например, так:
новичок (в контексте ОС) - человек, который недавно начала использовать <вписать название нужной ОС>.

Заметьте, "новичок" =! "безмозглый ламер, который ставит всё подряд, суёт руки куда не надо и совершает с компьютером действия, не представляя их последствий".

Ибо второе вообще не зависит от ОС, такой ламер будет сидеть верхмо на решете, обвешанном дырками и всякой дрянью, без малйшего понимания что вообще происходит, на любой ОС.

Если у новичка есть мозг, он обычно осознаёт, что компьютер это не кофемолка и для установки того или иного ПО, а тем более при использовании сети, надо трезво осознавать и понимать что делать, что не делать, как и что включать и выключать.
Либо вызвать за деньги специалиста, который "сделает ништяк".

А не заниматься надуванием щёк с бессмысленным нажиманием красивых непонятных кнопочек в некоем "файрволе" и считать себя при этом в безопасности от одного факта наличия "файрвола" с красивыми кнопочками и окошками.

[Boboms]

Мозг != наличие академических знаний по предмету "Линукс". Также это не означает то, что каждый присаживающийся за комп должен обладать искусством сетевой безопасности. Это вы чушь пишите.

Для новичков файеры и придуманы, а также убунту, мандрейки и аналогичные дистры.

Еще раз повторюсь (для особо понятливых) - речь идет о новичках.

ЗЫ: спорьте, спорьте, а солнце синего цвета.

[Goodvin]

... он идиот ИЛИ неопытный (начинающий) пользователь.

Наличие или отсутствие опыта в той или иной области знаний - вообще не коррелирует с атрофией мозга или нежеланием использовать его по назначению.

А если дома не один комп, а несколько? А если это не "внешний ИП", а домашная сеть с пирингом на большое количество пользователей?

Тогда НЕ-идиот должен понять, что ему либо придётся самому разобраться в грамотной настройке всего сетевого хозяйства, либо позвать специалиста, который сделает это за него.
Ни то, ни другое не смогут заменить красивые окошки с модным названием "файрвол для ламеров" и иллюзией безопасности.

Мозг != наличие академических знаний по предмету "Линукс". Также это не означает то, что каждый присаживающийся за комп должен обладать искусством сетевой безопасности. Это вы чушь пишите.

Это Вы мне лично или всем сразу ?
Если мне - то либо процитируйте мою якобы "чушь" и приведите аргументы, либо держите свою демагогию при себе.

[drBatty]

А если это не "внешний ИП", а домашная сеть с пирингом на большое количество пользователей?

Также это не означает то, что каждый присаживающийся за комп должен обладать искусством сетевой безопасности. Это вы чушь пишите.

это вы чушь пишете: как может новичок админить сеть на большОе кол-во юзеров?!

[Boboms]

Зачем ему сеть админить? Он "админит" 2 (два) ПК. Домашная сеть с пирингом - это провайдер. Доброе утро!

...
Это Вы мне лично или всем сразу ?
Если мне - то либо процитируйте мою якобы "чушь" и приведите аргументы, либо держите свою демагогию при себе.

Повторюсь, солнце - синего цвета.

Заметьте, "новичок" =! "безмозглый ламер, который ставит всё подряд, суёт руки куда не надо и совершает с компьютером действия, не представляя их последствий".

Новичек - это тот, кто либо пользуется компом недавно, либо (в данном случае) недавно перешел на Линукс. Не более того.

[drBatty]

Зачем ему сеть админить? Он "админит" 2 (два) ПК. Домашная сеть с пирингом - это провайдер. Доброе утро!

зависит от требований внутри вашей "сети". у нас в локалке тоже были доступные компьютеры забитые разной конфиденциальной информацией. и что?

Новичек - это тот, кто либо пользуется компом недавно, либо (в данном случае) недавно перешел на Линукс. Не более того.

новичок вовсе не освобождён от необходимости думать, когда ставит всякую непонятную ерунду... причём никакой фаервол ему не поможет в этом, как-бы вам не доказывали противное в рекламе.

[Boboms]

зависит от требований внутри вашей "сети". у нас в локалке тоже были доступные компьютеры забитые разной конфиденциальной информацией. и что?

И что "и что"? И что с конфиденциальной информацией? Я в качестве варианта привёл провайдера - домашную сеть. В пиринге несколько тысяч ПК. Чего плохого во включенном файерволе (от школьников-рукоблудов, например)?

новичок вовсе не освобождён от необходимости думать, когда ставит всякую непонятную ерунду... причём никакой фаервол ему не поможет в этом, как-бы вам не доказывали противное в рекламе.

Но он освобожден от необходимости быть предсказателем и предугадывать многие вещи, например что включено в состав "такого-то" дистрибутива, когда делается "full install".

[drBatty]

Чего плохого во включенном файерволе (от школьников-рукоблудов, например)?

ощущение ложной безопасности - типа "у мну есть фаер, и всё хорошо". на самом деле всё плохо.

новичок вовсе не освобождён от необходимости думать, когда ставит всякую непонятную ерунду... причём никакой фаервол ему не поможет в этом, как-бы вам не доказывали противное в рекламе.

Но он освобожден от необходимости быть предсказателем и предугадывать многие вещи, например что включено в состав "такого-то" дистрибутива, когда делается "full install".

мне не попадались такие кривые дистрибутивы, если знаете - расскажите. если в составе дистра и идёт скажем апач, так его ещё включить и настроить надо.

(не, ну есть конечно всякие сборки, но тут про них правила не дают рассказывать)