Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена. Предыдущий вид шапки в отдельном файле.- общая информация, советы. Таблица настройки правил брандмауэров Application or Service what is it? TCP UDP _local_ remote dire-ction _зачем_? Specific rules, ICMP _ _______________________ _ ___________ ____________ _ _________________ _________________ DHCP Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров UDP 68 67 both settings request +answer DNS Сервис соответствия доменного имени IP-адресу (RU-Board.com -> 207.44.160.93) TCP, UDP 1024-5000 53 both IP request + response ntoskrnl .exe Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки TCP UDP 1024..5000 137. 138 139 137. 138 out both NetBIOS session service NetBios overTCP/IP comment: 137 - browsing request 138 - browsing responses ntoskrnl .exe оно же через CIFS (Common Internet File System) TCP, UDP 445 445 both win2k+ аналог NetBIOS/TCP поправьте меня, если я не прав browser IE, Opera, Mozilla TCP 1024..5000 80, 443, 8080, 8100 out http(s) web-servers   FTP-clients active mode TCP TCP 1024-65535 1024-65535 20 1-65535 21 in out data transmission ftp requests FTP-clients passive mode. Соединения для данных инициируются клиентом TCP 1024-65535 21, 2121, 1024-65535 out FTP requests+ transmission ICQ internet messenger TCP 1024-5000 443 or 5190 out 443 - с шифрованием можно обозначить IP login.icq.com = 64.12.161.153 IRC internet messenger TCP ? 113 6660-6670 ? out in IRC connection IRC AUTH connection E-mail почтовая программа-клиент (Outlook, The Bat и др.) TCP 1024-5000 25, 80, 110, 143, 443, 993, 995 out 25 - SMTP-сервер (отправка) 110 - POP3-сервер (прием) 143 - IMAP (замена POP3) 993 - secure IMAP 995 - secure POP3 comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM Emule & Co файлообменник TCP 4662,4711, 4712 any any 1025-65535 in out response (?) request (?) поправьте меня, если я не прав Emule & Co файлообменник UDP 4665,4672, 4673 any any 1025-65535 in out response (?) request (?) поправьте меня, если я не прав Bittorent качалка, hispeed Р2Р, с центральным сервером (трекер) TCP 80, 443, 1024-65535 6881-6889 any (?) any (?) out in (?) (?) Radmin Viewer Remote Administrator TCP any 4899 (or server-defined. RTFM) out connect to Radmin-server Radmin Server Remote server TCP 4899 (or serv-defined. RTFM) any both connect to client Languard & Co сканеры сетей TCP, UDP UDP any any any any out in скан - Allow ICMP out Novel client NetWare application (инфо) TCP, UDP 1024-65535 427 524 427 out both NCP Requests SLP Requests MSN Windows Messenger TCP 1024-65535 1863,6891-6901 out - Block Incoming Fragment, Block Incoming Conection Time Sync синхронизация времени UDP 123 123 both - Block incoming fragment LAST RULE Block any other connection TCP UDP any any any все остальные пусть не лазят в сеть ICMP block *относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено   ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534   Дополнительная информация по портам (Спасибо bredonosec) ports.txt   ports.html http://www.it.ru/reference/ports.html http://www.iss.net/security_center/advice/Exploits/Ports/ (eng) http://portforward.com/cports.htm (Port Forwarding Ports List, eng) http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr) http://www.iana.org/assignments/port-numbers (Спасибо Tim72) Special Application Port  List New   Немного теории по протоколам (Спасибо bredonosec) UDP: http://book.itep.ru/4/44/udp_442 TCP: http://book.itep.ru/4/44/tcp_443.htm  Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec   KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535   Или просто не ставить/удалить     Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание. Подобные и соответствующие топики на форуме: Microsoft Windows » Тонкая настройка брандмауэра Windows Microsoft Windows » Disable Telemetry Windows 7 and next Тестирование » Бесконтрольность Windows 10 . . . . Рабочая копия-архив шапки # Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022

ladutsko Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Цитата: Что это за служба?  На персоналках идет? DCC сервер идет в составе IRC Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 10:24 15-04-2004

miasnikov andrew Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eika Цитата: Андрей, читайте сообщения внимательнее, ей богу надоедает повторять одно и тоже!   приехали... Тогда давай(те) по порядку (хотя мы тут все на ты...) какие серверы подняты? список в студию. F то мы до бесконечности будем обсуждать, использует ли какой-то гипотетический процесс RPC и как быстро он загнется, если svchost прикрыть файерволом.   Цитата: А вы пробовали закрыть svсhost'у доступ в интернет? Попробуйте, что ли на досуге...   Специально из духа экспериментаторства закрыл файром на уровне глобальных правил и поставил запись фильтруемых пакетов (Sygate Pers.Pro 5.5 build 2525). Перезагрузился. Подключился к SMB-серверу в локалке, прочитал e-mailы и сейчас пишу сюда.   Фантастика? или файервол не работает?   TILK Цитата: Что-то не пойму твоей логики : ты закрываешь "исходящие" порты для того, чтобы было "безопаснее", хотя они (я имею ввиду нестандартные) открываются только на момент связи ...   Если FTP-клиент открыл соединение, скажем, по 12345-му порту, то злоумышленник уж никак не свалит DCOM через 12345-й порт, потому что это события никак не связанные между собой, а на FTP-клиенты, на сколько я знаю, опсных уязвимостей нет. По-моему, имеется в виду, что надо ограничивать порты, на которые ходят приложения. Т.е. браузеру при прочих равных условиях совсем не нужно подключаться на удаленный порт 4899 (обычно это radmin server слушает), верно?   А если порт web-сервера не 80 или 443, а 4899. Что делать? Соответственно, такие послабления надо вводить как временную меру. Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 12:13 15-04-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TILK Цитата: Что-то не пойму твоей логики : ты закрываешь "исходящие" порты для того, чтобы было "безопаснее", - Именно. Вы не поняли. У меня в настройках стены порты не делятся на входящие и исходящие. Правило может запретить соединение на тот или иной локальный порт, или с тем или иным удаленным портом любого адреса ,или конкретного их диапазона. То есть, если тот или иной порт открыт, то он открыт и на вход и на выход. И пользоваться им может не только прога, для которой правило сделано, но и любое другое. (оговорюсь, контроль приложений (ЗА)в данный момент не пользую). Теперь смысл ясен?  Разумеется, есть в стенке страховка - stateful inspection, - проверка, был ли мой запрос, по которому должно отвечать с этого адреса по этому порту/диапазону, но предпочитаю явно указывать запрещенные и разрешенные диапазоны.   ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 13:22 15-04-2004 | Исправлено: bredonosec, 13:27 15-04-2004

Spectr Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть ли у кого какие соображения по-поводу в каких случаях стоит включать Statefull Inspection? (Я полагаю это есть во всех фаерах не тольеко в аутпосте) По умолчанию это включено только для FTP clients and Download Manager (FTP section).   Есть ли еще случаи когда это стоит делать?   Раз уж мы ужесточили правила для всего остального (svchost,DNS, eMule)по сравнению с дефолтными, может и здесь есть резервы.   Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 19:24 15-04-2004 | Исправлено: Spectr, 19:25 15-04-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком. Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:02 15-04-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Spectr Цитата: Категорически нет.  Все намного хуже.   Вcе те кто стучался  ко мне по 1025 одновременно стучались на SSDP Discovery (5000), Radmin (4899)  и еще на 2 или 3 порта из (3127, 2745, 6129).   И выглядит все это очень некрасиво. 4899 это как раз то через что можно получить полное управление моим компьютером. И когда человек стучится ко мне все по 3-5 портам и три из них могут дать remote access (1025,4899,5000) я одназначно воспринимаю как недружелюбный акт. С этим вопросом все понятно. Будем наблюдать за этими   Спасибо за инфу.   Добавлено miasnikov andrew Цитата: F то мы до бесконечности будем обсуждать, использует ли какой-то гипотетический процесс RPC и как быстро он загнется, если svchost прикрыть файерволом.   Я говорил, что для начала пойду другим путем. Что собсно и сделал -- закрыл 1025 порт, пока полет нормальный. Цитата: Специально из духа экспериментаторства закрыл файром на уровне глобальных правил и поставил запись фильтруемых пакетов (Sygate Pers.Pro 5.5 build 2525).   Перезагрузился. Подключился к SMB-серверу в локалке, прочитал e-mailы и сейчас пишу сюда.   Фантастика? или файервол не работает?   Все фаеры работают по разному. Не знаю как Seagate, но Outpost руководствуется правилом для приложения, даже если иное оговорено в глобальных правилах.   Без svchost.exe не будет работать, например, DNS-резолвинг для IE. Т.е. если вы правильно запретили сетевую деятельность для svchost.exe, то хосты будут недоступны при обращении к ним по DNS-именам (ессно, что предшествующие обращения к этим же DNS-именами не должны быть закэшированы к.л. способом).   Для проверки предлагается такая последовательность действий:   Запретить сетевую деятельность для svchost.exe, перегрузить ОС, открыть браузер и обратиться по HTTP к к.л. хосту по DNS-имени, например, http://www.whitehouse.gov Если сайт откроется, то вы неверно настроили фаер и наоборот.   Ессно, что потом не помешает проверить лог фаера, чтобы не допустить никаких ошибок. ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 23:44 15-04-2004 | Исправлено: eika, 23:47 15-04-2004

Spectr Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Karlsberg Цитата: А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.   Нашел но только на английском. Sorry!     http://www.outpostfirewall.com/forum/showthread.php?s=&threadid=7443 Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 00:41 16-04-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Spectr Ничего, это мы могем Спасибо!   Прикольно, что Statefull Inspection, оказывается, запатентована чекпоинтом, значит другие файеры делают или что-то похожее, или что-то другое. Цитата:   Applications where SPI could be used Any file transfer protocol (FTP) application; Internet telephony and teleconferencing; Internet Relay Chat (for distributed client connections - DCC);   Я так понимаю, что во всех других случаях Statefull Inspection бесполезен. Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 01:09 16-04-2004

miasnikov andrew Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eika вообще-то у меня (судя по логам Sygate) svchost ходит (пытается ) на time.windows.com:123, на сервак на 1900 порт, и (что очень странно!) по локалке на 80е порты...   вот последнее - фигня какая-то. Может, кто знает, зачем ему веб-сервера?   a DNS сверяется (резолвится) сетевым драйвером ndisuio.sys возможно поэтому все не обломалось при отключении svchost.exe от сети. Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 10:00 16-04-2004

spike Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору по поводу RPC   видел в инете прогу (вроде есть у меня) от мелкософта, она делает так, чтобы работать RPC мог только с localhost     по воводу DHSP и DNS   у знакомой остановил службы эти и нормально она работает в инете на динамическом ip Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 10:54 16-04-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору spike Цитата: по воводу DHSP и DNS Судя по описанию, DNS service нужен только для локалки. А как она подключена к интернету? Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:02 16-04-2004

spike Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору через модем   а на работе я тоже DNS остановил, DHCP тоже   у нас в сети у всех статический ip адрес Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 11:05 16-04-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору spike Модем и dialer? Чтобы интернет заработал нужно запустить что-то? Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:56 16-04-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.   - Цитата из хелпа Цитата: Stateful Packet Inspection VisNetic  Firewall uses stateful packet inspection to help detect malicious traffic and ensure that onlycorrect data is passed. Every packet in a connection is checked to see if it is valid. TCP header flags,sequence numbers and other packet contents are used to monitor the "state" of the connection and any packet that does not conform is blocked. This allows VisNetic Firewall to catch malicious activitysuch as port scans, certain DoS (denial of service) attacks and fragment attacks. Перевожу:   ВФ пользует СИ для обнаружения подозрительного траффика и обеспечить пропускание только корректной инфы. Каждый пакет соединения проверяется на виладность (ака правильност, легальность). Флажки ТСР заголовка, номера серий (очевидно, имеется в виду совпадение размера, чексуммы, типа сервиса, с заявленными, номера портов, номера адресов с данными из (а фиг знает, откуда) ), и другое содержимое пакета используется для наблюдения за состоянием соединения, и любой пакет, не проходящий по параметрам, блокируется. Это позволяет ВФ вылавливать вредную активность наподобие скана портов, ДОС (атаки с целью вызвать отказ в обслуживании), фрагментированные атаки (кста, последнее - частый случай у меня - выглядит как мощный поток(до 50шт/сек) фрагментов) (комменты другим шрифтом).   Цитата: Судя по описанию, DNS service нужен только для локалки.   - А при прямом подключении откуда комп берет айпи серва? У меня, например, по 53 порту запросы идут на местного прова (его серв). На локальные адреса по этому порту у меня блок/бан. Цитата: Есть ли у кого какие соображения по-поводу в каких случаях стоит включать Statefull Inspection - Везде. Хотя, может у поста она как-то по-другому функционирует, у меня ко всему относится. Цитата: Control of All Protocols While many firewalls filter only the IP protocols, ignoring others such as NETBEUI and IPX, VisNetic Firewall intercepts them all and can be configured to allow or block this type of traffic.  VisNetic Firewall can also control the less commonly used IP protocols such as GRE, which is required for VPN traffic. Цитата: Stateful Inspection Firewall   VisNetic Firewall falls into a class of firewalls called Stateful Inspection Firewalls.  Stateful inspection firewalls overcome the limitations of packet filter firewalls and application-proxy servers.  They examine more than just the "to" and "from" addresses, and do not require a proxy for every application being accessed. Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses.  For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host.  Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic, making them inherently fast. - лень переводить.. или надо? ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 19:58 16-04-2004 | Исправлено: bredonosec, 20:05 16-04-2004

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Цитата: Цитата: Судя по описанию, DNS service нужен только для локалки. Я об сервисе в NT/2K/XP, не об сервере провайдера.   Цитата: Stateful Packet Inspection Давай разберемся вместе чтобы не было всеобщих заблуждений о полезности этой фичи Цитата:  Every packet in a connection is checked to see if it is valid Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.   Цитата: stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host Чем может грозить поддельный response packet? Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:18 16-04-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Я об сервисе в NT/2K/XP, не об сервере провайдера.   - понял.   Цитата: Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.   - Хм.. залез на сайт, в факе то-же, что и в файле помощи (чуть другими словами)   Q. What is Stateful Inspection?   A. Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses. For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host. Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic. This makes them inherently fast.  - Ни слова о том, к каким пакетам относится. .. А, вот, нашел - в настройка правил - настройка действий, для пакетов, не предусмотренных никаким правилом - там действительно указано, что Stateful Inspection относится только к ТСР протоколу (и можно малость рехтовать эту самую инспекцию). Выходит, я ошибался.   Цитата: Чем может грозить поддельный response packet?   - Для АРП - знаю точно   1)спуфинг - ака перехват всего траффика жертвы методом подмены на его машине арп таблицы и перенаправления траффика через машину атакующего - ака создание "ложного АРП-сервера"   2) флуд - забивка машины жертвы АРП пакетами с ложными данными о соответствии айпи и МАС других машин сети, в результате чего создается иллюзия полного отключения сети (ни к кому пробиться не может)  Далее - предполагаемое Для ТСР - всякие варианты нюков - или неправильно сформированные пакеты, создающие ошибки выполнения прог и т.д. (точно сказать не могу) далее - т.н. тарпиты   - Tarpits. A "tarpit" is a trap for troublesome outsiders. Your system accepts connections but never replies and ignores disconnect requests. This can leave spammers, worms and port scanners stuck for hours, even days. Now, entries in the Ban List can be set to be tarpits. Also, block rules can become tarpits:   When "Ban" and "Tarpit" are chosen, the rule creates a tarpit for all IPs that try to connect and match this rule. It tarpits all ports for these IPs   When "Tarpit" is chosen but not "Ban", the rule creates a tarpit only for matching connections. It tarpits all IPs for just the selected port range.    Действие:  Нормальный обмен пакетами идет так:   STATE   EXPLANATION     LISTEN (Server) port is open and ready to receive traffic     SYN_SENT (Client) the client machine wishes to open a connection with the server, so sends a SYN packet to request that communication begin     SYN_RCVD (Server) the server has received the SYN packet and acknowledges, sending back a signal (SYN|ACK) to tell the client that the packet has been received and a connection is possible     ESTABLISHED (Client)   the client has received the SYN|ACK signal from the server and sends back an acknowledgement to the server to let it know that it considers the connection to be established     ESTABLISHED (Server)   the server has received an acknowledgement back from the client, completing the three-way handshake and establishing the connection     FIN_WAIT_1 the side wishing to close the connection (this could be client or server) has sent a signal, and is awaiting a response     FIN_WAIT_2   The side wishing to close the connection (client or server) has received an acknowledgement (ACK) and is awaiting the final FIN signal from the other side     CLOSE_WAIT   the other side has sent a request to close the connection, but the connection has not been fully closed yet     TIME_WAIT   the side that initiated the close request is waiting for acknowledgement that the connection has been closed     LAST_ACK   the side that received the close request has sent back it’s own close request and is waiting for acknowledgement that the connection is closed     CLOSED   after receiving a final acknowledgement (or waiting the required amount of time) the connection is considered closed при тарпите ответ приходит, что соединение установлено, и запрашивающий может слать инфу. На дальнейшие запросы не отвечает, и закрыть связь запрашивающий не может. В результате соединение висит часами, отьедая память. Если таких соединений много - нет места для новых.     Насчет UDP - попробуй выжать что-нить из инфы по тому, что этот протокол вообще делает, на тему извращения - типа каждую функцию извратить. (в шапке ссылка на итеп.ру). Из "общей образованности" знаю, что в локалках немалая часть нюков идет по УДП, но т.к. сам никогда этим не занимался - с фантазией туго. (      ICMP - например, ложные сообщения об ошибках - типа ,получатель/сеть/порт/протокол недостижим, всевозможные требования фрагментации, переадресовки - в общем, всё, что реализуется данным протоколом. Полный список того, что им реализовано - на итеп.ру ICMP протокол ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 00:45 17-04-2004 | Исправлено: bredonosec, 00:48 17-04-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору miasnikov andrew Цитата: вообще-то у меня (судя по логам Sygate) svchost ходит (пытается ) на time.windows.com:123, на сервак на 1900 порт, и (что очень странно!) Ну это ж Time Synchronizer Цитата: (что очень странно!) по локалке на 80е порты Он много куда ходит. Вы за ним понаблюдайте побольше и поймете, что полноценное функционирование рабочей станции в сети невозможно. Цитата: a DNS сверяется (резолвится) сетевым драйвером ndisuio.sys   возможно поэтому все не обломалось при отключении svchost.exe от сети. Ну не знаю, не знаю... у меня резолвинг идет через svchost.exe. Да и не только у меня -- не даром ведь Agnitum создал правила по-умолчанию для обращения к DNS. Да и люди частенько жалуются на проблемы с сетью, когда нечаянно запрещают сетевую активность для svchost.exe.   Кстати, в svchost.exe не числится компонент по имени ndisuio.sys.   spike Цитата: по воводу DHSP и DNS   у знакомой остановил службы эти и нормально она работает в инете на динамическом ip Wow! Я даже никогда бы не додумался останавливать их   А машину перегружали? ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 20:00 17-04-2004

miasnikov andrew Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: по локалке на 80е порты ... Он много куда ходит. Вы за ним понаблюдайте побольше и поймете А на 80-то зачем? Это же web-server?   ndisuio.sys - это Sygate так определяет сетевой интерфейс. Пользующихся другими файрами - просьба не беспокоиться Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 21:17 17-04-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору miasnikov andrew Цитата: А на 80-то зачем? Это же web-server?   Это для того, чтобы вы могли пользоваться WU. Цитата: 11:01:18 svchost.exe TCP OUT wustat.windows.com 80 1146 HTTP connection 11:01:08 svchost.exe TCP OUT windowsupdate.microsoft.com 80 1141 HTTP connection 11:01:14 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1143 HTTP connection 11:01:15 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1144 HTTP connection   Добавлено Цитата: ndisuio.sys - это Sygate так определяет сетевой интерфейс.   Сетевой интерфейс в вашем случае вообще-то не должен заниматься резолвингом DNS. Не его это дело. ---------- http://eika.narod.ru Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 22:20 17-04-2004

miasnikov andrew Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: WU хорошо бы Windows Update... Но вот я не могу объяснить тот факт, что svchost пробует 80й порт каждого IP, на который я выхожу по smb-протоколу (файл-сервер мой, локалки и т.д.) 172.21.29.92:80 192.168.0.my:1414 Outgoing Blocked C:\WINDOWS\system32\svchost.exe 172.21.29.105:80 192.168.0.my:1425 Outgoing Blocked C:\WINDOWS\system32\svchost.exe 172.21.29.152:80 192.168.0.my:1552 Outgoing Blocked C:\WINDOWS\system32\svchost.exe и так далее... троян что-ли? (вроде KAV, SAV, Spybot молчат) есть идеи?   А про DNS и сетевой интерфейс давай замнем для ясности Разные машины, разный софт - мало ли чего бывает. У меня сеть работает, чего и всем остальным желаю. Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 01:01 18-04-2004

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование