Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.
- Это верно. И если ты смотришь иногда в лог реального времени, то может насторожить обилие пакетов на днс. А может и не насторожить. Обычно вижу 2 пакета при начале работы или входе на новый серв (один туда, другой - обратно). В остальное время их нет. Если начали окромя этого появляться - можно заинтересоваться.
 
Looking

Цитата:
Решение: Установите следующие значения в файле конфигурации outpost.ini:    
HideIcmpActivity=yes  
HideIpActivity=yes  
- Если в журнале не отображать активность по ИПу и ICMP, то как в реальном времени следить за этим траффиком? Или полагаться целиком на автомат?  

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 22:37 09-07-2004
Velimir



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec,Karlsberg,All

Цитата:
Цитата:
но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.
- Это верно. И если ты смотришь иногда в лог реального времени, то может насторожить обилие пакетов на днс. А может и не насторожить. Обычно вижу 2 пакета при начале работы или входе на новый серв (один туда, другой - обратно). В остальное время их нет. Если начали окромя этого появляться - можно заинтересоваться.  

Я знаю IP своих DNS - можно попробовать настроить на них монитор какой нибудь.
Предлагается всем кому интересно это так и сделать. Трафик через них совсем махонький, так что отличить резкое его увеличение, или количество запросов наверно не сложно. Ежели чего выйдет сразу пишите в топик не затягивайте.

Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 08:16 11-07-2004
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Классный топ...
Вот вопросец - вижу динамический диапазон стоит 1024..5000 в большинстве случаев вместо 1024-65535 - это точно, что эти службы используют именно до 5000 или это только в теории!?

----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:07 12-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox

Цитата:
это точно, что эти службы используют именно до 5000 или это только в теории!?

Все параметры вытащены из соответствующих мануалов и то чем пользуюсь, конфигурил именно так, проблем с сетью не замечено. Кроме того, прямо под шапочкой есть место в реестре, где это дело меняется (чиста если вдруг пропустил )

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:44 12-07-2004
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
соответствующих мануалов
те типа так в мануале и написано, что именно до 5000 и не шагу выше!?
ps мануал перечитаю, может просто запамятовал я...


----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:10 12-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox

Цитата:
что именно до 5000 и не шагу выше!?

Типа того... Кое-где было 4999. А в каком сервисе проблема, если она есть?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:21 12-07-2004
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А в каком сервисе проблема, если она есть?
да нет проблем... просто я после прочтения этих мануалов (наверно невнимательно читал ) для служб требующих динамического адресса в файере открывал все порты выше 1023... а тут оказ-ся и до 5000 хватает...    


----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:33 12-07-2004 | Исправлено: greenfox, 17:34 12-07-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
До 5000 хватает. Но есть и специфические ОС/программы/требования.
Они, кстати, могут использовать и 1024-65534 независимо от указанных в шапке настроек реестра. Тут только RTFM спасает

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 19:09 16-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет использования DNS для левого траффика - в сети появилась Power Point от самого автора, можно легко найти в Гугле по "ssh over dns".
В общем, в DNS-запросах должны появляться всякие странные записи типа 00000001.doxpara.com или <timestamp>.server.com. Понятное дело, что в конкретной реализации это может быть все что угодно, но принцип обращения к доменам больше второго уровня должен остаться. Как и адреса серверов которые вы сами не запрашивали.
 
У кого есть идеи, как это можно фильтровать файером?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:15 20-07-2004
gavana



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Насчет использования DNS для левого траффика  


Цитата:
У кого есть идеи, как это можно фильтровать файером?

С момента появления инфо про левый  DNS-траффик начал пристально наблюдать за поведением своего файера по части DNS. У меня настроенно стандартное правило :
send receive datagrams_port53_moy server.
Так вот,действительно в последнее время файер выявлял не типовые запросы-
то на moy DNS server  уже svchost.exe запрашивал outbound connection (вместо только send receive datagrams),то уже даже и мой браузер просился на moy DNS server .
Естественно все попытки одним движением навечно заблокировал.
А фаейр у меня Jetico,который еще много интересного и уникального умеет дополнительно.

Всего записей: 1532 | Зарегистр. 14-03-2003 | Отправлено: 12:56 20-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gavana

Цитата:
svchost.exe запрашивал outbound connection

Насколько я понимаю, файер имеет в виду запрос TCP соединения, который может использоваться для длинных запросов, который не влазят в стандартный UDP-шный пакет. Интересно посмотреть внутрь, куда это он там хотел попасть.
 

Цитата:
браузер просился на moy DNS server  

Может быть он сам по себе пытается адреса резолвить?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:11 20-07-2004
gavana



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Цитата:svchost.exe запрашивал outbound connection  
 
Насколько я понимаю, файер имеет в виду запрос TCP соединения, который может использоваться для длинных запросов, который не влазят в стандартный UDP-шный пакет. Интересно посмотреть внутрь, куда это он там хотел попасть.  
 
 
Цитата:браузер просился на moy DNS server  
 
Может быть он сам по себе пытается адреса резолвить?  

Теоретически как бы твоя правда,НО......
Во-первых,идея создания и трактовки правил в Jetico несколько отличается от стандартных.
Во-вторых,в последних версиях разработчиками очень сильно доработан вопрос безопастности DNS и др. запросов.соответстенно ЛЮБЫЕ доп.запросы трактуются как левые.
В-третьих,данный файер делает много упреждающих действий еще до выхода любого
приложения в сеть.(и в этом его неповторимость)
Попробуйте чего-нибудь утянуть любым способом с машины,на которой установлен настроенный Jetico.
 

Всего записей: 1532 | Зарегистр. 14-03-2003 | Отправлено: 13:50 20-07-2004
VladPa

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Протестил KPF 4.0.16, казались открытыми порты 135 и 5000. Залез в настройки, закрыл оба наглухо - броузер перестал коннектиться с интернетом. Как бы из так закрыть, чтобы еще и жить можно было?
 
WinXP SP1
 
Настройки Керио по умолчанию + правила на стандартные программы, которые стоят в компе.
 
Заранее благодарен

Всего записей: 39 | Зарегистр. 23-05-2003 | Отправлено: 14:37 20-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gavana

Цитата:
Попробуйте чего-нибудь утянуть любым способом с машины,на которой установлен настроенный Jetico.

Ну если у твоей почтовой програмки есть API, то наверное все могут
 
VladPa

Цитата:
закрыл оба наглухо - броузер перестал коннектиться с интернетом.

Как именно закрыл, в какой таблице?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:02 20-07-2004
Urk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подмогните новичку. Имею выход в инет через районную локальную сеть. Хочу закрыться от соседей по сети, которая мне совсем не нужна. Отключил все сетевые службы макрософт. Нетбиос через TCP/IP отключил. Поставил KPF 4. Просканировался тут http://www.pcflank.com/scanner1.htm. Порт 139 открыт. В файере на 139 порт поставил  Application - any Local -139 remote -any direction -both. Еще раз сканируюсь -139 открыт. Где что не так делаю?? И попутно вопрос. 135 открытый порт есть смысл закрыть?? Пользую в основном Opera IRC ICQ Бат.

Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 10:28 22-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
Измени правило - Local = 139, Remote = all. Главное, чтобы был закрыт локальный порт, а заходить на него могут пытаться с любого другого порта. 135 тоже закрой.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:27 22-07-2004
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
Пользую в основном Opera IRC ICQ Бат.
так можно и все порты служебные (<1000) закрыть на входящих....


----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:50 22-07-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
А зачем тебе 139 порт? Если тебе сеть нужна только для интернета - ну его нафиг.
В интернет ты ходишь через шлюз/прокси провайдера. Туда и давай доступ. А остальных отрезай на корню.

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 16:32 22-07-2004
Urk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Измени правило - Local = 139, Remote = all

Так у меня так и стоит. На 135 поставил аналогично Local -135 remote -all direction -both. Сканируюсь - оба открыты. Или руки кривые или файер.

Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 09:51 23-07-2004
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
Сканируюсь - оба открыты. Или руки кривые или файер.
а ты сканишь то снаружи или изнутри сети свой шлюз!? И правило это стоит на первом месте в списке!?

----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 11:23 23-07-2004 | Исправлено: greenfox, 11:23 23-07-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru