Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
smurnoff
Это в программы - любой прокси-сервер который сам может с проксей работать (по-моему, все должны)
rashit
Тебе нужен варезник, сделай там фильтр по твоему файерволу

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:28 26-04-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Если про файервол речь - то согласен.
Однако вспомним, что есть одна веселая программка - AdMuncher (банерорезка). Так она проверяет данные регистрации на своем сервере admuncher.com . Самым простым лекарством от проверки (без коверканья программы) является блок в файерволе IP-адреса 207.44.251.118. И все... Точно так же "обманывается" Lingvo и прочий софт, ходящий по сети.
Совет исключительно теоретический (просьба не кидать помидорами!).

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 22:30 26-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Я в своих правилах перед тем как кого-нибудь выпустить в интернет, закрываю евойный хомяк
Правда, есть один помидор - адреса иногда меняются.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:21 26-04-2004
spike



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
нет, просто встроенный имхо как-то не так сильно будет грузить тачку, просто комп на работе 800 сел
 
а пакетный я думаю будет грузить вообще сильно, т.к. надо каждый пакет проверить, а лучше просто отсекать не нужно вот и всё - ИМХО

Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 23:40 26-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
нужно переправить запросы софтины с её специфического порта на порт прокси корпоративки. что-то типа туннеля сквозь существующий прокси.
- А разве это вопрос не в тему о HttpTunnel (в прогах или подземке) или подобном софте?  

Цитата:
Сос! Как  снять регистрацию, осталось 20 дней
- Опять же, вопрос в тему о данной проге. А мы не медиумы, названия Вашей проги не знаем.  
 
 
Добавлено
Сорь, до меня ответили.. spike

Цитата:
встроенный имхо как-то не так сильно будет грузить тачку, просто комп на работе 800 сел  
- У меня атлон 550. (ага, именно такая древность! ) И памяти кот наплакал. Сетевой фильтр под названием аутпост мне грузил (хоть и не чрезмерно), теперь стоит виснетик - вообще никакого груза. (только если многое в логи пишется, надо время от времени - раз в 2 месяца - архивировать или вытирать старые- чтоб место не занимали. (это если на многих правилах поставишь указатель записывать в лог пакет целиком).  
 

Цитата:
а пакетный я думаю будет грузить вообще сильно
- Ответил выше примером. А если по теории - то (ИМХО) создавать виртуальный броузер, в котором запускать трафф и смотреть, что получится - нет ли неположенных действий приложений или системы, и лишь потом пропускать отфильтрованный на таком принципе траф в реальный броузер - системе будет потяжелее, чем проверять на совпадение от одного (флажок) до 6 (МАС), 12 (- Айпи), или еще скольки-нить байтов пакета с тем или иным правилом.  
 (у меня уже мелькала мысля сварганить хардварный файер  на таком принципе (не универсал, а решающий несколько конкретных задач - как дополнение к софту), идею обрисовал другу близко знакомому с паянием микросхем - сошлись на том, что в пределах поставленной задачи хватит микроконтроллеров (- цена получится приемлемая). А вы говорите, что проверка пакетов перегрузит процессор..   )
 
 Кста, вопрос есть к знакомым с сетевым железом:
Насколько знаю, МАС адрес сетевушки является её своего рода номером. То есть, содержит информацию и производителе, возможно, модели, т.д.  
По крайней мере, что знаю:
00 - первые пока не заняты,  
далее - 2 байта - производитель (02-Compaq, также есть С0, 20, 03-вроде интел, 30,40,50,08, Е0,D0, 01.. )точно уже не помню, как-то делал список соотношений производителя и третьего-червертого байтов МАСа, куда-то затерял..  
 Вопрос вот в чем: недавно заметил один интересный МАС - 02 01 00 00 00 00  
Причем, в некоторых случаях, относящийся к разным айпи. Никто не знает, может это некий тип сетевых устройств с таким номером? Ибо на обычный МАС это совсем не похоже.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 00:25 27-04-2004
Topcrust



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike

Цитата:
...встроенный имхо как-то не так сильно будет грузить тачку...
...а пакетный я думаю будет грузить вообще сильно...

Собственно, могу лишь подтвердить сказанное bredonosec. Как и он, я тоже outpost пробовал. Чувствовалась некая инертность. Закачки, судя по ReGet'y, в виде гребенки были да и скорость 5500 б/с. Выгружаю outpost - закачки ровные и 5900-6000 б/с. После этого на VisNetic пересел - его не видно, не слышно. Безглючный, закачки ровные - 5900-6000 б/с, проц не грузит, память не жрет и честно делает свое грязное дело, только логи да бан-листы успевай проверять . Правила из шапки, при наличии рук и головы, к нему прикручиваются за секунды (такое чувство, что их с VisNetic'a и писали , а где-то кто-то говорил, что это, типа, сложный в плане конфигурирования FireWall). Эх, ну побыстрее бы к нему App Detect прикрутили - цены б ему не было!

Всего записей: 236 | Зарегистр. 05-01-2004 | Отправлено: 05:09 27-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
недавно заметил один интересный МАС - 02 01 00 00 00 00

На 2к/ХР мак адрес может быть изменен прямо в реестре, вполне возможно это один из таких клиентов.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:01 27-04-2004 | Исправлено: Karlsberg, 17:20 27-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
На 2к/ХР мак адрес может быть изменен прямо в реестре,  
- Вообще-то на любой оси он может быть изменен (и на моей 98 тоже - сам пробовал)
 НО:  
это делать поволяют лишь карточки некоторых производителей - (Интел, реалтек8029, WinBond, 3com). На остальных такая возможность отсутствует.  
То есть, в рестре можешь менять все, что угодно, но просканировав, убедишься, что система отдает твой настоящий МАС. Это раз.  
2, Если менять с целью сокрытия, глупо ставить такой заметный адрес - это тоже самое, что на краденую тачку поставить номер 00 01 фсб Гораздо выгоднее поставить любой адрес, не совпадающий с адресами своей локалки (чтоб не было HW конфликтов), или один из адресов машин своей же локальной сети (кого-нить, кто редко выходит в онлайн) - если есть привязка айпи к МАСу для доступа в инет.  
3. Такие клиенты, что меняют свой адрес, у нас есть, но они достаточно умны, чтоб поступать вышеуказанно. (и первый (даже под меня косили - лог есть), и второй способ).
 
 Хотя, вероятность, конечно, есть.  
 
 
Добавлено
Вот, кста, нашел соотношения производителей карточек и первых байтов МАС адреса. ((мысль мелькнула, а не этим ли способом сканеры типа того же лангарда узнают тип устройства? )  
MAC Card Producer    
00 05 1C ** ** ** Xnet    
00 50 22 ** ** ** Zonet    
00 D0 59 ** ** ** AnBit    
00 08 A1 ** ** ** Cnet    
00 03 47 ** ** ** Intel    
00 50 FC ** ** ** Edimax    
00 30 4F ** ** ** Planet    
00 01 29 ** ** ** DFI    
00 04 F4 ** ** ** Cameo    
00 02 C7 ** ** ** Compaq

 
 Проверено на примерно сотне МАС адресов. Если из-за малой величины базы есть ошибки - уточняйте. (AnBit и Cameo - не уверен за точное написание названия - корявым почерком накалякано было наспех )

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 16:16 27-04-2004
denis1234

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
Совет исключительно теоретический (просьба не кидать помидорами!)

Совет хороший.У меня таким образом заблокирована не одна прога (речь идет только о нескольких IP-сами проги имеют доступ в нет)
 
bredonosec

Цитата:
- У меня атлон 550. (ага, именно такая древность! )

у меня PIII-600@800(тоже давно мерку для гроба снимаю) Outpost выдает не более 1-3%-и это при банлисте в 6 тыс. адресов

Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 22:08 27-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234
А что за банлист такой? Может стоит сделать его достоянием общественности?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:27 27-04-2004
denis1234

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А что за банлист такой?

трояны,черви,диалеры,реклама,spy и подобный мусор
неужели не пользуешся Outpost AD&Content-filter.есть еще Blockpost,Admuncher....
-боюсь страшного ответа -ADSL
 
сейчас около 6 тыс. но много дублей,однотипных записей... он еще в процессе разработки. Думаю в финальной версии будет не более 3-4 тыс. Если после всего появится желание - обязательно выложу
 
spike

Цитата:
встроенный имхо как-то не так сильно будет грузить тачку

Не ошибается то, что не работает (c) Windows (не грузит-тоже)
 
 
 

Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 00:14 28-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234

Цитата:
неужели не пользуешся Outpost AD&Content-filter.есть еще Blockpost,Admuncher....

Насчет рекламы - ADSL А все остальное - не думаю что оутпостовский самый лучший, но по готовности можно выложить.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:07 28-04-2004
rashit

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто скажет есть ли возможность пролезть из локальной сети в инет, минуя все фриволы, и защиту, доступы, что бы закачать файлы из фтп серверов и из серверов Ed2k. Помогите, плз, СОС !!!

Всего записей: 283 | Зарегистр. 03-02-2004 | Отправлено: 11:58 28-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rashit
Вот в этом топике как раз решается эта проблема
http://forum.ru-board.com/topic.cgi?forum=55&topic=0457#1

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:36 28-04-2004
denis1234

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
благодаря imho вспомнил про пару правил - предлагаю добавить в таблицу(хотя бы первое)
 
процесс=drwebupw.exe(DrWeb Update)
протокол=TCP,направление=исходящие,
удал.адрес=81.211.104.10(updates.drweb.ru)
порт=80,действие=разрешить
 
процесс=outpost.exe(Outpost main)
протокол=TCP,напрaвление=исходящие,
удал.адрес=207.44.236.84(agnitum.com-зачем ему там быть)
порт=80,действие=блокировать
 
bredonosec
 
Цитата:
(даже под меня косили - лог есть)

Где? Как узнал?(как у тебя может быть лог,если твоего компа в сети не было(или был HW конфликт ?)  
 
Объясни,пожалуйста,человеку с опытом работы в ЛВС=0. извиняюсь что не по теме
 
 
 
Добавлено
Karlsberg

Цитата:
не думаю что оутпостовский самый лучший

я говорил про Blockpost - Outpost AD&Content-filter не поддерживает более 2 тыс. при превышении Outpost вылетает   !!!  
по этому поводу отправил bug-report в agnitum.com ждем-с  результатов

Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 14:11 28-04-2004 | Исправлено: denis1234, 14:13 28-04-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
- Возможно, не так выразился, имел в виду те, что создают некое подобие виртуального промежуточного серва с броузером, и если там начинают происходить всякие пакости - не пускают траф дальше (это если я правильно понял принцип их работы) - как, например, тот же аутпост -  

Бредовенькое какое-то выражение Без обид только
 
Фаеры, относящиеся к классу сетевых фильтров -- это маршрутизаторы, обрабатывающий пакеты на основании информации, содержащейся в заголовках пакетов (т.е. работающие на уровне 3 по OSI). Из этого вытекает, что все фаеры данного класса работают с пакетами.
 
Может все же вы хотели сказать

Цитата:
Для локалки предпочтительнее считаю фаер с фильтрацией пакетов на уровне приложений

???
 

Цитата:
- оутпост персональный фаер, а не серверный,  

Неверное утверждение. В теме о Outpost кратенько обсуждалось.

Цитата:
оутпост есть анализатор сетевой активности приложений, а не пакетный фаер, хотя в ядре это и реализовано

ИМХО не до конца верное утверждение, т.к. реализация пакетной фильтрации без привязки к приложениям реализована. По крайней мере я пользуюсь ей, заходя в System > Settings в OF 2.1.
 
По-моему Ильич Рамирас немного погорячился когда это писал (если мне не изменяет память, то это написал именно он).
 
Добавлено
denis1234

Цитата:
процесс=outpost.exe(Outpost main)  
протокол=TCP,напрaвление=исходящие,  
удал.адрес=207.44.236.84(agnitum.com-зачем ему там быть)  
порт=80,действие=блокировать  

А зачем процессу outpost.exe вообще куда-то ходить? Так что правило можно заметно упростить без к.л. ущерба. То же самое касается aupdrun.exe.
 
Особенно актуально, если вы ходите в форум 35

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 19:01 28-04-2004
denis1234

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
А зачем процессу outpost.exe вообще куда-то ходить?  

через outpost.exe работает,например,плагин WhoEasy
а обновлять Аутпост действительно проще через 35 чем через aupdrun.exe
в запрещенных у меня и так 23 приложения куда уж больше.

Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 19:46 28-04-2004
Vik2



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
нарвался на прикол http://www.nnm.ru/porn_nen.jpg
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

Всего записей: 188 | Зарегистр. 04-03-2002 | Отправлено: 01:41 29-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
работающие на уровне 3 по OSI

Предлагаю в этой теме вместо номера уровня называть конкретный протокол, чтобы было понятно и тем, кто не знает что такое OSI
Vik2
Правилами эту фичу закрыть невозможно, это относится к веб-контенту и общей защищености самого оутпоста.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 08:47 29-04-2004
gsmania



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vik2

Цитата:
нарвался на прикол http://www.nnm.ru/porn_nen.jpg  
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

Правило для этого бага ты не создашь. Это проблема не оутпоста, а браузера IE.  

Всего записей: 553 | Зарегистр. 07-01-2002 | Отправлено: 17:46 29-04-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru