Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jlmurat
Можно отключить службы IPSEC.

Всего записей: 8819 | Зарегистр. 08-06-2006 | Отправлено: 21:30 18-06-2010
Redisych



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Глядите, что творится:

Что это они ломятся на один порт?

Всего записей: 662 | Зарегистр. 15-04-2005 | Отправлено: 13:29 02-07-2010
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Redisych
Ломятся  на 27708 ? На нём P2P не висит ?

Всего записей: 8819 | Зарегистр. 08-06-2006 | Отправлено: 14:19 02-07-2010
Redisych



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Engaged Clown
Нету ничего.

Всего записей: 662 | Зарегистр. 15-04-2005 | Отправлено: 14:31 02-07-2010
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Redisych
А если CPorts посмотреть ?

Всего записей: 8819 | Зарегистр. 08-06-2006 | Отправлено: 14:59 02-07-2010
f14a

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А не надо смотреть. Адрес динамический, и до того как его Вам выдали - на нём наверняка висел чей-то uTorrent, и пиры его помнят какое-то время. Позже отвалятся.

Всего записей: 41 | Зарегистр. 15-12-2005 | Отправлено: 21:41 03-07-2010
DrDark

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я уже задал вопрос  в теме про Jetico, но продублирую и сюда, потому как общие принципы фильтрации тоже интересны. Подскажите правила для VMware.

Всего записей: 85 | Зарегистр. 06-09-2010 | Отправлено: 11:35 06-09-2010
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ситуация.
Есть такая цепочка.
Браузер - Резчик рекламы - Антивирус, через которую браузер выходит в инет.
Необходимо запретить Антивирусу исходящее (входящее) соединение по выбранным портам но с тем условием, что по этим портам было разрешено соединение только если оно инициируется браузером.
Т.е. необходимо рубануть служебные сеансы (по этим портам) для Резчика рекламы и Антивируса.
Это вообще реально?

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 23:38 08-09-2010 | Исправлено: cdrom2, 23:39 08-09-2010
Riell



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2
В файерволле Win7 можно запретить все исходящие/входящие подключения, а затем уже для каждого приложения вручную прописывать правила.

----------
Tre Kronor

Всего записей: 744 | Зарегистр. 19-04-2010 | Отправлено: 15:59 15-09-2010
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Riell
Речь идет о том, что многие программы-проксимизаторы (чистые проксимизаторы, антивирусы, резчики рекламы и т.п.) пускают трафик других приложений (браузеров и т.п.) через свой внутренний прокси. И транслируют их трафик в инет, например, от имени уже своего 80-го порта. По этому своему 80-му порту программа-проксимизатор может передавать свои данные.
И в конечном итоге никак нельзя различить и отфильтровать сеансы браузера и сеансы программы-проксимизатора их общего потока данных.

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 12:14 21-09-2010
Riell



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2
Вообще-то да. Когда я прописал правило для IE, то он ни в какую не хотел работать, пока я не выпустил Ad Muncher.

----------
Tre Kronor

Всего записей: 744 | Зарегистр. 19-04-2010 | Отправлено: 14:44 21-09-2010
niko7

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Надо чтобы с внешнего ip например 10.25.45.15 и только с этого ip порт 8000 осуществлялся проброс на порт 8000 на компьютер локальной сети, например 192.168.1.5. Не понимаю, как написать это правило? Реализовать это хочу с помощью adsl модема zyxel OMNI ADSL LAN EE. Здесь есть пример настройки доступа в Интернет по IP-адресу. Не понимаю, как мне реализовать мою задачу. Подскажите, где посмотреть.

Всего записей: 2429 | Зарегистр. 23-09-2004 | Отправлено: 14:29 17-12-2010 | Исправлено: niko7, 14:31 17-12-2010
Dm_itry

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настроил себе IPv6 через tunnelbroker.net, но вот незадача работает только когда выключен файервол в ESET Smart Security 4.2. И что в нём настроить чтобы не отключать понятия не имею. Может кто подскажет.

Всего записей: 24 | Зарегистр. 26-07-2010 | Отправлено: 17:39 16-01-2011
mahtanoronra



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
народ обьясните как избавиться(или почему так) что бы svchost.exe не лазил через 80 , 443 и сейчас нашёл какой то 3476 порты на внешние IP. как я вообще понял вроде это нормално но сижу на хп там с этим тишина ни куда не ломиться svchost.exe на 7 уже штук 100 разных ip заблочил комод

Всего записей: 3590 | Зарегистр. 01-03-2009 | Отправлено: 02:56 04-04-2011
mozgabyte



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec

ссылка не работает.. где еще можно посмотреть эту инфу?

Всего записей: 323 | Зарегистр. 19-03-2009 | Отправлено: 01:42 19-04-2011
acro



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
как избавиться(или почему так) что бы svchost.exe не лазил через 80 , 443 и сейчас нашёл какой то 3476 порты на внешние IP. как я вообще понял вроде это нормално но сижу на хп там с этим тишина ни куда не ломиться svchost.exe на 7 уже штук 100 разных ip заблочил комод

Как вариант- то винда за обновлениями лезла.

Всего записей: 716 | Зарегистр. 24-07-2003 | Отправлено: 20:59 02-05-2011 | Исправлено: acro, 21:00 02-05-2011
PMRaven666



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
acro а откуда такое окно, что за прога?


----------
Бомбы дуют с Севера, падает с Неба Ветер
Расскажи мне, Смерть, разве можно умереть

Всего записей: 876 | Зарегистр. 04-01-2007 | Отправлено: 12:51 26-12-2011
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2All
В Windows когда вы открываете файл содержащий цифровой сертификат, то отправляется запрос на определённый домен/IP, для проверки этого сертификата - поделитесь пожалуйста списком этих доменов/IP у кого какой есть!
 
Мой, пока небольшой, список:

Код:
Where the Protocol is TCP
    and Remote Address is CRL.VERISIGN.NET (199.7.48.190), CRL.VERISIGN.NET (199.7.51.190), CRL.VERISIGN.NET (199.7.59.190), CRL.VERISIGN.NET (199.7.71.190), CRL.VERISIGN.NET (199.7.52.190), TGV.ANYCAST-FO.CHI2.VERISIGN.COM (199.7.48.72), OCSP.MIA1.VERISIGN.COM (199.7.51.72), OCSP.LAX2.VERISIGN.COM (199.7.52.72), OCSP.AMS1.VERISIGN.COM (199.7.55.72), OCSP.FRA1.VERISIGN.COM (199.7.71.72), OCSP.SFO1.VERISIGN.COM (199.7.54.72), HOST-190.EDGE-FO.IAD3.VERISIGN.COM (199.7.59.190), OCSP.NYC3.VERISIGN.COM (199.7.50.72), OCSP.TKO2.VERISIGN.COM (199.7.57.72), ocsp.entrust.net (216.191.247.139), ocsp.entrust.net (216.191.247.203), OCSP.IAD3.VERISIGN.COM (199.7.59.72)
    and Remote Port is HTTP, HTTPS
    and Direction is Outbound
 Block It  
 

P.S. Это блокирующее правило для Аутпоста. Устанавливать его лучше в "Системные правила" - "Глобальные правила" - "До правил для приложений".

Всего записей: 32326 | Зарегистр. 15-09-2001 | Отправлено: 15:03 05-01-2012 | Исправлено: WildGoblin, 15:12 05-01-2012
Aliado



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
народ обьясните как избавиться(или почему так) что бы svchost.exe не лазил через 80 , 443 и сейчас нашёл какой то 3476 порты на внешние IP. как я вообще понял вроде это нормално но сижу на хп там с этим тишина ни куда не ломиться svchost.exe на 7 уже штук 100 разных ip заблочил комод

На svchost сидят различные службы W7  и если неуверенны точно лучше  их не блокировать. Удобней всего разобраться при помощи KillSwitch  

Всего записей: 1106 | Зарегистр. 23-09-2010 | Отправлено: 15:27 05-01-2012 | Исправлено: Aliado, 15:28 05-01-2012
nikson89

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что за сетевая активность?
 

Всего записей: 229 | Зарегистр. 09-11-2007 | Отправлено: 21:00 29-03-2012 | Исправлено: nikson89, 21:01 29-03-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru