Файрвол для сотого первопня...

[AlnZ]

Решил собрать Proxy-сервер на компьютере с процессором Pentium100. Операционку поставил WindowsNT4.0 SP6. Сам Proxy - 3Proxy. Работает, пока все нормально, но я не поставил файрвол, так что, думаю, это не надолго...
Попробовал ZoneAlarm и SygateFirewall, но с ними скорость ощутимо падала. Дажи сеть пинговалась на 8, 10, >10 мс. Считаю, что без файрвола никак нельзя...
Outpost тормозит даже на 400Celeron'e, так что его не пробовал...

Может кто подскажет быстрый, простой и удобный файрвол... Фичи вроде базы вирусов и спама мне не нужны... И что бы даже на первопне он не грузил машину...

[mikle]

gpedit.msc -> конфигурирование компьютера -> Конфигурация Windows -> политики безопасности IP
по крайней мере, так в 2000, НТ 4 под рукою нет ;)

З.Ы. Для чего прокся? Если для кеширования, то будут ощутимые тормоза на таком процессоре.

З.З.Ы. А на фига на проксе фаервол?

З.З.З.Ы. На таких дровах сервер лучше бы под линуксами собирать.

[OdinASB]

kerio winroute 425 (русский и английский) прекрасно работали на НТ 4 на 1-м пне (300МГц 64Мб ОЗУ). Кроме надежного фаервола там есть прокси и простенький почтовый сервер.
К недостаткам можно отнести только то что не встроена система ротации логов и при большом размере лог-файла (более 30Мб) начинаются глюки - теряются цепочки правил в фаерволе. Но это легко избежать написав небольшой скриптик примерно такого содержания (rezerv_log.bat):

net stop winroute
move *.log history\
net start winroute
cd history
rar a -df -ag_dd_mm_yy log.rar *.log
net start winroute

В служебной папке винроутера logs (собсно где он хранит логи) создаётся папка history. Сам скрипт (rezerv_log.bat) кладется в папку logs и запускается, например, раз в неделю любым планировщиком задач. В результате имеем каждую неделю чистые логи и архив.

ЗЫ Присоединяюсь к мнению mikle по поводу UNIXа. Не представляю где сейчас можно откопать такой антиквариат как P100 Там винт наверное уже плесенью покрылся, а нарыть новый винт на 15Гб ( а больший вряд ли мама держит) невозможно...

[AlnZ]

2mikle - *.msc появились только начинаю с 2000, что, для меня, одна из основных вишек итих систем... Но на NT всего этого небыло... С линуксами разбираться надо, да и получу, в итоге то-же, но изрядно намучившись. Например, не знаю, как к такому комьпютеру подключиться через телефон с обратным дозвоном. Да, и лучше уж тогда не Linux, а FreeBSD...
Обычный прокси, не кешируемый. Что бы через мою выделенку могли ещё пяток человек сидеть. Один, причем, через телефонное подключение с обратным дозвоном. А файрвол, что бы вирей в сети не нахватать. Для этого его и ставять вообще-то...

2OdinOSB - спасибо, посмотрю. Только -
1. первнопни были максимум до 233... Дальше проци их конкурентов от AMD, Ciryx и др. Это уже не первопень. Учитывая, что у тебя 300mgz, то явно это второпень, у него производительность в расчете за такт выше, так что твоя система раз в пять производительней моей.
2. Linux (лучше, наверное FreeBSD, к чему я склоняюсь) надо ещё настроить. Если для просто прокси, это ещё не проблема, то обратный вызов по телефону для меня встало непреодолимой преградой. Тем более, что под NT и так все летает... Только файера подходящего не найти...

Железо ругать не стоит. У нас не Питер и не Москва. В глубинке ещё и на 486х сидят... При зарплатах в 3-4 тыс. многим нормальный комп себе не позволить.

[OdinASB]

Цитата: Сообщение от AlnZ 2OdinOSB - спасибо, посмотрю. Только - 1. первнопни были максимум до 233... Дальше проци их конкурентов от AMD, Ciryx и др. Это уже не первопень. Учитывая, что у тебя 300mgz, то явно это второпень, у него производительность в расчете за такт выше, так что твоя система раз в пять производительней моей. 2. Linux (лучше, наверное FreeBSD, к чему я склоняюсь) надо ещё настроить. Если для просто прокси, это ещё не проблема, то обратный вызов по телефону для меня встало непреодолимой преградой. Тем более, что под NT и так все летает... Только файера подходящего не найти... Железо ругать не стоит. У нас не Питер и не Москва. В глубинке ещё и на 486х сидят... При зарплатах в 3-4 тыс. многим нормальный комп себе не позволить.

Да, запамятовал... давно это было. Значит это был 233-й пень. И еще вспомнил что винроутер 425 у меня работал и на x486 133МГц ОЗУ было 32Мб или 64Мб (опять точно не помню) Система NT4.
В винроутере прокси есть, можно даже создать простейшие правила запретов (нипример для скачивания .exe, *porno* и прочее). Кэширование правда кривоватое (кэширует иногда то что не надо), но его можно отключить.
Железо я в общем то не ругал... просто запчасти новые уже не найти.

По поводу freebsd. Уверен, что быстродействие будет лучше. А обратный звонок там тоже можно организовать.

[mikle]

Цитата: *.msc появились только начинаю с 2000, что, для меня, одна из основных вишек итих систем... Но на NT всего этого небыло...

ога. На NT4 это называлось TCP/IP Filtering. И для данной задачи он самое то.

Цитата: С линуксами разбираться надо, да и получу, в итоге то-же, но изрядно намучившись. Например, не знаю, как к такому комьпютеру подключиться через телефон с обратным дозвоном. Да, и лучше уж тогда не Linux, а FreeBSD...

Вполне логично. Но по бедности сисадминам иной раз и не такое делать приходится ;)

Цитата: Обычный прокси, не кешируемый. Что бы через мою выделенку могли ещё пяток человек сидеть. Один, причем, через телефонное подключение с обратным дозвоном.

Почему тогда прокси, а не НАТ?

Цитата: А файрвол, что бы вирей в сети не нахватать. Для этого его и ставять вообще-то...

Да вроде бы пакетные фаерволы на серверах ставят не совсем для этого, а других фаерволов на них не ставят вовсе ;) Или на этой машине еще кто-то интерактивно работает? :кто там

[AlnZ]

2Mikle

Цитата: Почему тогда прокси, а не НАТ?

http://www.eserv.ru/WhatIsProxyServer

RTFM, батенька, блин... Надеюсь, понятно почему не NAT? Мне надо трафик резать, пользвателей ограничивать.... И пускать только по тем портам, что желаю... Сейчас это у меня и работатет...

Цитата: Да вроде бы пакетные фаерволы на серверах ставят не совсем для этого, а других фаерволов на них не ставят вовсе ;) Или на этой машине еще кто-то интерактивно работает?

"Вроде бы" А "anti-mac spoofing", "anti-mac spoofing", "режим невидимости"? Не говоря уже о том, что уязвимости в сервисах винды находят постоянно, а со сторонними прогами разбираються не так часто... Увольнять надо тех чайников, кто на конторский комп для доступа к инету даже фаер не ставят...
Кстате, "кто-то интерактивно работает?", а разница?

МОЖЕТ КТО-НИБУТЬ ПОМОЖЕТ?

[LT9LTV]

WinRoute Pro 4.1
System requirements
To install and run WinRoute Pro 4.1 we recommend at least:

Pentium class PC (single or dual processor)

Windows 95/98/NT4.0/2000 OS

32MB memory

1MB of free disk space

at least 2 interfaces available. These might be: Ethernet, RAS, TokenRing,
DirecPC

[LeXXiK]

Цитата: Сообщение от OdinASB И еще вспомнил что винроутер 425 у меня работал и на x486 133МГц ОЗУ было 32Мб или 64Мб (опять точно не помню)

Боюсь спрашивать, а такое возможно? :xe
486-е были тока до 100 МГц, и назывались они i486DX-4...
Для первопня идеально подойдет любая версия Линя с грамотно настроенной фильтрацией, и, при необходимости, настроенный СтарГейзер. У меня в одной организации работает на ура.

[AlnZ]

Для LT9LTV - Мне бы просто файрвол. Как прокси меня вполне устроил 3proxy... У тебя ещё не написаны минимальные требования по процессору. Сегодня, думаю, буду пробовать этот WinRoute...

Добавлено через 2 минуты
Для LeXXiK - 486 можно было ещё и гнать. А AMD выпускала процы под Socket3 и под более высокие частоты... Ну ладно, это не в тему...

[OdinASB]

Цитата: Сообщение от LeXXiK Боюсь спрашивать, а такое возможно? :xe 486-е были тока до 100 МГц, и назывались они i486DX-4...

Были 133МГц AMD. Интел останорвился на 100МГц (или на 80МГц... не помню уже) и дальше уже называл камни пентиумами... и сокет новый придумали. Там мама еще была PCI первая и единственная мама с PCI для x486. Эх, было время когда все делали камни под один сокет и мамы держали и интел и амд....

[Ali_Rashid]

Как вариант FreeBSD. Ставил на второй пень, памяти 64 метра было, много чего было накручено и все летало.

[AlnZ]

Ali_Rashid. Я уже указывал на FreeBSD. Согласен, что для Proxy это самое то. Но у меня просто нет времени на изучение этой системы. Кстати, ты указал конфигурацию в разы выше, чем у меня. Лучше-бы простенький файрвольчик назвал...

OdinASB. Зато не было такой дикой конкуренции. Вот запатентовали интели SSE, и пришлось АМДу 3DNow изобретать, а интелям в ответ SSE2... То же с сокетами. Ведь старенькие дюрончики и атлончики обганяли второ\третепни имено за счет того, что контролер памяти там был интегрирован прямо в процессор (да и сейчас так же), в отличии от интеля, где он на северном мосту. А эта фича напримую связано с сокетом. (Поэтому при появлении новой памяти им приходиться менять сокет.) А у интелей такого гемора нет, зато и проц чаще простаивал...
Я к тому, хуже не стало. Только разношерстней. Тяжело запутаться.

[_Seltes]

wipfw (порт ipfw из FreeBSD), у меня как раз с 3proxy стоит, но незнаю будет ли на NT4 работать. Инфа на русском. Пример конфига если надо вышлю.

У меня занимает в памяти 552Kb, Время ЦП 0:00:02 из 1:16:00

[qvd]

Есть замечательный файрвол - wipfw - аналог nix'ового ipfw.

Ищите поиском. Работает отлично. Консолен, не тормозит ничего на NT 4 работать будет.