Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Если аутпост то все в порядке. Он должен держать, и он у меня держит все тесты.
еще раз проверь: нужно убрать explorer в запрещенные (ну зачем ему выход в интерент??? для этого есть iexplorer)  и поставить максимум в component control.
До меня тут вдруг  дошло а что ты называл броузером (IE6 или что-то еще?)

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 13:43 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Opera
С чего ты решил что все в порядке, я же говорю что через браузер проходит свободно.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 13:54 04-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
У меня тоже через оперу выходит. Но мне кажется дело не в настройках файервола
Spectr
А когда ты тест проводил, у тебя бежали все проги которым разрешен выход в инет? Потому что для чистоты эксперимента надо чтобы все

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:05 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
У меня еще через меденжер закачек проходит, но проходит по стандартным разрешенным портам в опере кстати тоже.
 
Никто не подскажет, как узнать что ломится в мой комп под процессом System причем удаленные порты совершенно разные. Примерно раз в минуту, это мне не нравится.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 14:17 04-04-2004 | Исправлено: wezir, 14:37 04-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
А на какой локальный порт ломится?
У меня каждые несколько секунд такое

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:42 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Локальные порты тоже совершенно разные, никакой системы не замечено. Как впрочем и протоколы.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 14:56 04-04-2004 | Исправлено: wezir, 15:04 04-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
А почему тогда "под процессом System"? Это в логах файервола написано? Может быть он это пишет когда приходит что-то на неспользуемый порт?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:47 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Если б я знал, то не спрашивал Да в логах. Что может приходить на неиспользуемый порт?

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 17:44 04-04-2004 | Исправлено: wezir, 17:49 04-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Ладно, я неправильно спросил - это файервол сам придумал назвать его System или у тебя действительно какой-нибудь системный процесс висит на этих портах?
Дело в том, что обычно приходит просто куча левого трафика, разные кулхацкеры пытаются сканировать инет, и т.д. так что я бы не очень волновался

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:56 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нет реальных системных процессов на этих портах нет (по крайней мере оутпост их не видит), но на нервы это действует, потому как детектор атак сканирования портов не видит.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 18:41 04-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Не обращай внимания... Есть куча р2р систем, которые так делают поиск - тыкаются куда не попадя. Опять-же, кулхацеры тоже

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:50 04-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А когда ты тест проводил, у тебя бежали все проги которым разрешен выход в инет? Потому что для чистоты эксперимента надо чтобы все

 
Хорошо я одновремнно  запустил  все чему разрешен у меня  выход в интернет и на что есть правила (список внизу) - что упустил - поправьте.
pcaudit все перебрал но аутпост все таки ловил изменения в dll  и меня запрашивал пускать или не пускать  
Так что тест прошел успешно
--------
winWordXP
IE6
Remote administror viewer
Serv-U (admin +server)
FTP voyager
FlashGet
Eudora
Putty
Netinfo
Курсы валют ЦБ
TVprog
--
Spybot
TrojanRemover update
aI  
DrWeb
Ad-aware
--
Winamp
CDex
ExactAudioCopy
TagRename
eMusic Tag Editor
--

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 19:44 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Максимальный контроль компонентов Outposta помогает, тест пройден успешно.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 20:58 04-04-2004
miasnikov andrew



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
1. вообще-то все входящие TCP-соединения надо игнорировать, если на машине никаких серверов не висит.
 
2.
Цитата:
реальных системных процессов на этих портах нет
 
ну и что, что пытаются соединиться с портами... если их никакая программа не слушает (listen), то это "тыканье пальцем в небо".  
 
3. скорее всего ничего страшного тут нет.  
вполне возможно p2p ((с) Karlsberg) или чат сетевой или еще что-то (зависит от твоего соединения с интернет).
у меня соединение по локальной районной сети. так там вообще входящих запросов немеряно. и ничего - держим оборону
 
4.
Цитата:
детектор атак сканирования портов не видит

файервол под сканированием портов понимает то, что заложено в него создателями.
если программа просто проверяет 2-3 порта подряд, считать это действие сканированием - паранойя. а если 100+ - тут уже надо бить тревогу. а где грань между "нормальным перебором" и "сканированием"? судьи кто?..
поэтому разные файры по-разному реагируют на последовательные запросы по портам. тут вообще ничего страшного нет.

Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 20:58 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сорри, а изменения в dll как нибудь запретить можно? Ведь файер предполагает только правила для уже измененных компонентов, хотя вполне нормально работает с ними при перезапуске приложения, это что значит dll при перезапуске возвращается к прежнему состоянию?
 
Еще новости, в логах файрвола присутствуют соединения браузера на определенные адреса по стандартным портам 80 к примеру но при попытке открытия адреса происходит ошибка доступа, как к этому относится. к примеру два адреса постоянно присутствуют в логах http://static.exaccess.ru/  http://2003.novayagazeta.ru/ у когонибудь мысли по этому поводу есть? Соединение происходит и пакеты пересылаются при открытии определенного адреса с совершено отличным доменом.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 22:07 04-04-2004 | Исправлено: wezir, 22:23 04-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
 
Так это же не изменения в реальном файле с dll а добавления в список dll components для каждой программы учтенной в оутпосте. Если я выбирал заблокировать приложение до перезапуска то никаких изменений в списке не происходило.
Это список меняется только тогда когда я сам собственнноручно разрешил обновить его (я это проверил пару раз)  и тогда в этом спсике возникали всякие фантомные dll с именами-абракадарами  вроде  Gljkjdaujs.dll (переименованный pcaudit). Пришлось потом их вычищать из списка (реальные dll pcaudit на диске не оставлял).
 
Поэтому то важно чтобы в первоначальном списке были только легеальные dll провернные антивирусом, и в дальнейшем обновлять этот список контролируя а что там добавляется.
 
 
Добавлено
wezir

Цитата:
 два адреса постоянно присутствуют в логах http://static.exaccess.ru/   http://2003.novayagazeta.ru/  у когонибудь мысли по этому поводу есть?  

 
http://2003.novayagazeta.ru/ не нашел у себя
   
А вот http://static.exaccess.ru/  нашел (больше 200 раз за последние 4 дня) вместе
с http://www.exaccess.ru/  - какая-то "Универсальная торгова  
 я площадка с мгновенной доставкой товара"  
 
Хотя туда не разу не заходил По-видимому это опять аналог spylog,
регистирующий статистику посещений или чтения рекламы  
Что не понравилось так это что у меня помимо IE  и система туда что-то в 40 байт посылала по  80 порту Вывод выключаю Web access for SVCHOST.
а exaccess.ru в блокировку.
Экая гадость - до сих пор не проверял Web логи

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 22:36 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
А я о чем, мне тоже не нравится что моя тачка туда килобайты отправляет притом по стандартным портам, если бы вживую за соединениями не следил в оутпосте то долго еще был в неведении. Интересно а что я туда отсылаю?
 
Ты в блокпост адреса записал?

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 23:20 04-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
В блокпост
 
и за минуту он блокировал уже 10 соединений пока я писал в форум,  
Нашел - это банер внизу страницы
Ложная паника

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 00:22 05-04-2004 | Исправлено: Spectr, 00:27 05-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Что то блокпост настроить не могу, создаю фильтр и в поле to вношу адреса, в логах ничего не вижу.
 
Кстати про скрипты, у меня в правилах по максимуму все блокировано файером а видать что то все равно пропускает (опять же в логах есть некоторые скрипты с этих адресов) почему такая избирательность не понимаю.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 00:27 05-04-2004 | Исправлено: wezir, 00:31 05-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir

Цитата:
Что то ч блокпост настрить не могу, создаю фильтр и в поле to вношу адреса, в логах ничего не вижу

 
А галочку в Enable logging to DB  поставил?

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 00:29 05-04-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru