Проект wipfw (http://wipfw.sourceforge.net/) представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003.Из функциональности отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время.
URL: http://wipfw.sourceforge.net/
Новость: http://www.opennet.me/opennews/art.shtml?num=4914
Nakonec to budet pod windu normaljnij fw ;)
Этого давно следовало ожидать.
Эт ласт, можно сказать. Будет возможность правила писать по-человечески.
работает :)
эт всеволиш фронт енд к тому что там есть а не полноценный фаир волл, хоть прочли бы....
Хоть бы сами прочли до конца, уважаемый. Это есть _полноценный файрвол_.На машине, где до этого ни разу не было упоминания о стенке это чудо каким-то образом умудряется блокировать трафик, как же это, если не является оно стенкой?
Для тех кто не понял - в комплекте идет драйвер wip_fw.sys и тулза, на данный момент уже обученная ставиться в качестве службы, а уже к этим двум приблудам идет некий фронтенд (wipfw). Синтаксис полностью соответствует оригинальному, правда, имена девайсов подбираются по линуховому принципу (например, сетевые девайсы он определяет как eth*, а не как во фре, но это даже к лучшему).
из корыта лайнера не сделать
имхо извращение
Зато корыто должно стать удобнее для привыкших к лайнерам:)
Попал в самую точку:-)))
Ублюдки? Содрали??? Вы думаете, что говорите, Уважаемый meph? :)
Никакой выгоды с проекта мы не имеем, вся работа выполнена "за просто так и для всех". Читая такие посты, желание продолжать проект совсем отпадает.
Вообще то это позиционируется как порт ipfw, который в данный момент в альфа-бета-стадии, однако работает стабильно. Проект в еще начальной стадии развития, и не стоит сразу требовать многого. Можно было конечно писать свой файрвол со своим синтаксисом, но хотелось именно порт ipfw!
Перенос кода ipfw под Windows - нелегкая задача, и все ф-ии трудно реализовать сразу; В данный момент фильтрация в ядре идет на основе собственного filter-hook драйвера,который содержит ф-ии фильтрации портированные из ядра FreeBSD; и этот файрвол НЕ ИСПОЛЬЗУЕТ filtering api Windows! Сейчас в разработке ndis-драйвер, который позволит выполнять все ф-ии ip_fw(режим ядра).
Опции me и некоторые другие уже поддерживаются, динамические правила тоже,
в новом релизе появятся, сейчас на тестировании и не в паблике.За blueScreen спасибо
С уважаеним, разработчик wipfw Старицын Руслан.
>Ублюдки? Содрали??? Вы думаете, что говорите, Уважаемый meph? :)
Мдааа, выразился я крепко, за то и извиняюсь! Абоут я конечно не читал, как следствие грешил на Micro$oft developers. Еще раз извините.
[...skip...]> Перенос кода ipfw под Windows - нелегкая задача, и все
Согласен, но зачем???>За blueScreen спасибо
Nich zu Dank. 8-)>С уважаеним, разработчик wipfw Старицын Руслан.
Взаимно.
Не слушай злого meph'а, Руслан.
Проект нужный и будет востребован.Я, например, давно хотел подобную штуку.
2meph: для тебя повторное использование кода -- преступление?
Или тебе кажется, что разработчики нарушили условия лицензии кода ipfw? :)
1-е, субъективно, Руслан - толковый программер.
2-е, я не злой.
3-е, window$ не заслуживает таких феатуресов. (Это долгая и очевидная история)
4-е, что значит "повторное использование кода", если так обстоит дело, то мой первый пост имеет силу. Если верно утверждение: "портирование", то второй пост верен!
Спасибо за хороший и нужный продукт
Надо же, и правда работает.
Правда сразу заметил, что для правил deny счётчик пакеты не считает. И что такое me не знает, но всё равно здорово. Если бы эта штука развивалась и была бы достаточно надёжной, то я бы её взял на вооружение.
В анонсе сказано: "Из функциональности отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время". И зачем он такой нужен?
Зачем? Что, встроенный лучше?
Идея не плохая, но мне пока не нужна :-)
Ждем релиZZZa!
Респект автору! Буду тестировать. Наконец-то появился человеческий fw под win32. А то глюкала где только install весит 40Mb ;) и на каждое правило 20 движений мышкой достали ;((
Ребят,пасиб. Будем юзать. Понятно, что это из винды не сделает нормальную операционку, но они (винды) есть и надо с ними как-то жить =)
На самом деле я не пойму скептических реплик. Это действительно не окончательный релиз, работы предстоит наверняка еще на много месяцев. Я лично - использую винду, причем достаточно широко, относясь к UNIX-way без фанатизма некоторых товарисчей, и я буду использовать эту тулзу, поскольку могу использовать один файл правил фильтрации для разных машин... Зер гут.
Огромное спасибо за продукт - наконец-то появилась нормальная и удобная стенку под оффтопик.
А ему требуется wip_fw.sys в текущем каталоге всегда? Потому как если его нет, то на "wipfw list"
получаем ошибку:
error 71: read_io(IP_FW_GETN)
Ну да, сделали так. Разве так неудобно?
неа, неудобно.
было-б удобней вызывать его откуда угодно, если он лежит в path.
Эх, ещё-бы возможность deploy'ить его на воркстейшны и управление настройками через доменные политики!
как админ, поддерживаю в пожелании
БСДюшный файрвол очень неплох, и весьма наворочен... Иметь такую бойду в винде --- есть харасо... Более того Руслан возможно скоро пойдёт работать в Micto$soft лицензия то BSD... И это правильно... ХарошЫм людям харошую работу.... Если проект выгорит то возможно его включат в поставку виндов и будет всем счастье.... И это тоже хорошо... А кому захочится альтернативы пусть форкают.... Это к вопросу о том что лиценизия BSD правильная штука....
Обсирать никто не собитается. В винду это лишнее и напрасно,- ФАКТ.
Работать в micro$oft = был хороший программер - стал посредственный ремесленник. Корпорации сжирают творческую личность на раз - это однозначно.
ЗЫ: 2Руслан - пиши, твори, пробуй. И забей на мягкого, если дорожишь полетом мысли. 8-)
Меф... некоторые юзают мягкого. Вот приходится, под фрю игр не делают. Сейчас я сижу за фрёвым роутером. Это гут. Не гут - нат. Лень пробрасывать порты. Благодаря этой штуке я смогу спокойно выпускать винду в сеть. Это оч. хорошо в моем конкретном случае. Думаю таких случаев не один и не два. Так что скептицизм неуместен тут имхо.
Мдяяя, это данность от Б-гатеса,... согласен, ничего не поделать.
>Обсирать никто не собитается. В винду это лишнее и напрасно,- ФАКТ.
>Работать в micro$oft = был хороший программер - стал посредственный ремесленник. Корпорации
>сжирают творческую личность на раз - это однозначно.
перечитал Пелевина ?!
>ЗЫ: 2Руслан - пиши, твори, пробуй. И забей на мягкого, если дорожишь
>полетом мысли. 8-)
> Из функциональности отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные
>функции появившиеся в последнее время.для винды уже аналогов нет, как только появится dummynet точно оч. нужная штука будет!
Удачного развития!
А по-моему и Outpost Firewall Pro за глаза для выни хватит
>А по-моему и Outpost Firewall Pro за глаза для выни хватитотупост хорош для контроля сетевой активности приложений и неболее, я уже неговорю о правилах которые хрен составишь нормально. Кроме того попробуй запустить сканер портов, через минуту может 2, он жутко начинает тормозить (несправляется с количеством пакетов)... вообщем если честно гадость :)
незнаю грюк это или особености винды....XP про корпоративная EN+MUI_RUS SP2
C:\Wipfw\bin>wipfw show
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to any200 правило -- счетчик остается на нулях и несовсем срабатывает. т.е. сетевое окружение с дуплями и грюками продолжает работать..
это только у меня может так ?
пакеты которые drop'aются, специально не посчитываются в wipfw, в следующих версиях все будет как в ipfw тк база кода будет одна и та же. До опубликования пакет wipfw использовался коммерческой в биллинговой системе, которой не нужен был учет дропнутых пакетов, что и наложило свой оттенок :)
>окружение с дуплями и грюками продолжает работать..
>это только у меня может так ?вообщем прояснилось :), я совсем забыл что установлен протокол IPX, вот по нему то шары и были видны :)
кеш сетивого окружения почистил? он там совсем долбанутый, как и все остальное
>кеш сетивого окружения почистил? он там совсем долбанутый, как и все остальное
>
ага все почистил... вообщем по какойто причине SMB остается открытым, сеть раздупляет долго и невсю :), зато потом бегает быренько, я даже фильмец скачал :)... наверное на SMB ресурсы в винде отдельная фишка стоит которой плевать на фаеры :/
>наверное на SMB ресурсы в винде отдельная фишка стоит которой плевать на фаеры :/Сервак: samba
Клиент: WinXP+SP1+заплатки.wipfw add 1 deny ip from sambaserver to any
Все. Сервер отдыхает. Хотя, наверное, с одной из заплаток поставилась отучалка от "отдельной фишки, которой плевать на фаеры".
respect
Господи, неужели появится нормальный FW под виндами... Аж не верится... Автору ОГРОМНЫЙ РЕСПЕКТ и пожелание довести проект до релизного состояния.
P.S. и убрать потребность нахождения в каталоге с .sys ;-)
У меня сейчас стоит в качестве домашнего виндового файрволла CHX-I. Но после выхода полной версии wipfw, обязательно попробую. Когда, кстати? :-)
Udachi avtoru. Eto genial'no.
лучше-бы pf спортили под винду
Очеь хорошая штука. Спасибо. Чем можно помочь поекту?
как обычно, деньгами :-)
Руслан,
огромный респект!!!
Кстати, надо бы как-то изменить abstract на http://www.opennet.me/opennews/art.shtml?num=4914
"Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003."
можно поянть не как порт, а как фришный интерфейс к управлению виндовым файерволлом, что в корне не верно и не нужно :)
Что-то я не понимаю возгласов типа "ну наконец то появился фаервол под винду". Этих фаерволов десятки хороших. Я как минимум 4-мя пользовался и каждый мне удалось настроить полностью под свои нужды. Кроме того (поправте если ошибаюсь) wipfw это просто фильтрация пакетов. Так допустим ведет себя Look'n'Stop (находка для любителей писать правила вручную) или Winroute. Но большинство виндовых фаерволов уже давно ушли от обычной фильтрации и теперь отслеживают сетевую активность приложений. что под виндой гораздо актуальнее.
Мне например это отслеживание приложений никаким боком не уперлось - для этого tcpview есть, а вот нормального фаервола под винды _нету_, глючные монстрообразные поделия вроде аутпоста, керио, нортона и т.п. по сравнению с этой тулзой 30кб размером, да еще и бесплатной, под барабанный бой идут далеко и навсегда. Да и не сравниться ниодин из существующих в винде фаерволов по простоте настройки с wipfw.
не надо путать application blocker и IP-firewall. Совершенно разные вещи и для разных целей
Люди, а он умеет pass ip from $IP to any keep-state?
автору респект, юзаю 0.1.2b
на самом деле респект автору, надеюсь на этом не закончиться, ведь всё таки хочется иметь классный (бесплатный)фаер
поставил пока вместе с аутпостом :)
это то что нужно для винды!!!
>это то что нужно для винды!!!
эхх... еще бы винду к фаеру под стать сделать :)
Парни, не юзал пока wipfw, но посмотрите ниже.
inetip - наш внешний IP-Адрес, выданный провайдером..ipfw -w flush
ipfw add pass all from any to any via lo
ipfw add check-state
ipfw add pass from {$inetip} to any out keep-state
ipfw add deny all from any to any---
В итоге имеем отсутствие ДЫР WINDOWS... Что тоже неплохо и для рядовых пользователей интернета будет оптимально и бесстрашно... В такой конфигурации по умолчанию нужно просто спросить внешний IP, и ВСЁ...
Проекту требуются тестеры, если есть желание помочь в этом плане проекту - милости просим :)
# ping -f 192.168.0.4
PING 192.168.0.4 (192.168.0.4): 56 data bytes
........................................................................................^C
--- 192.168.0.4 ping statistics ---
88 packets transmitted, 0 packets received, 100% packet lossНормально работает вроде. Буду юзать.
на 192.168.0.4 (PPPoE)#!/bin/sh
#
#
# Config sample by dikIPFW="./ipfw"
$IPFW -f flush
"$IPFW" add pass all from any to any via lo0
"$IPFW" add pass all from any to any via eth0
"$IPFW" add deny icmp from any to any frag
"$IPFW" add deny icmp from any to any in via ppp0 icmptype 8
"$IPFW" add allow icmp from any to any via ppp0
"$IPFW" add pass all from any to me in
"$IPFW" add pass all from me to any out
"$IPFW" add deny all from any to anykeep-state убрал, это домашняя конфигурация, траффик экономлю.. :-)
кто нибудь подскажет, может где есть стандартные правила для IPFW под стандартный оффисный набор программ, боюсь, что если напишу все сам то проще вооще ничего не ставить.... глючить меньше будет. Спасибо.
Народ, а есть какие нить доки минимальные по нему, есть задача чтобы им фильтровать количество соединений с одного ИП адреса например чтоб не больше 500 а если больше бан 15 минут, вот сидел смотрел и не могу понять как это исполнить ... за любую инфу буду очень благодарен ...
а планируется ли включить поддержку форвардинга и ограничения трафа?
планируется
Когда будет проще инструкция?
А в W98 не будет работать?
В инструкции все подробно описано, вроде проще некуда :)
В win98 не будет работать, однако поддержка nt4 в новых релизах будет.
Когда же уже обновление поступит? Очень нужная и полезная прога! Аффтару респект! Оч. хочется поддержки nat и больше примеров конфигов (для типичных конфигураций, а-ля домашний комп и т.п. с описанием).
Только сейчас проснулся и узнал что есть ipfw:)Уникальная вещь,тем более когда компьютер по мощности не силён.Очень понравилось.
>Когда же уже обновление поступит? Очень нужная и полезная прога! Аффтару респект!
>Оч. хочется поддержки nat и больше примеров конфигов (для типичных конфигураций,
>а-ля домашний комп и т.п. с описанием).Чесно говоря, не могу назвать точных сроков - заняться проектом физически не успеваю.
Просто не бросайте проект. Это лучший фаер который я юзал под винду! думаю со мной очень МНОГИЕ согласятся. А если будет поддержка nat (ну и прочих фич оригинального ipfw ;) ) чтобы было реально поставить на шлюз винявый - то будет просто СУПЕР!
Пока бросать проект не собираюсь.Открыли русскоязычный форум поддержки проекта: http://virushelper.net/viewforum.php?f=3
люди, кто можешь бросить мануал для чайников к этой проге
>люди, кто можешь бросить мануал для чайников к этой прогена офсайте прекрасное руководство (даже на русском)
http://wipfw.sourceforge.net/doc-ru.html