Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
Так у меня так и стоит

Сори, неправильно понял
Файер вроде нормальный. А где ты это правило прописываешь? Внутри Packet Filter? (спросил чисто чтоб небыло недоразумений).  
Тогда, думаю, стоит проверить где встречается svchost.exe (который слушает на этих портах), также может надо выкинуть Generic Host Applications из списка в Network Security.
Наверное, надо перебираться в тему про Керио, вроде это только его проблема.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:28 23-07-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
У тебя интернет через прокси или роутер стоит?  
Разница такая: если роутер, то сайт сканирует скорее всего твои порты. Если прокси у прова, то в инете "светится" его IP и сканируются порты сервера провайдера.
Проверь, совпадает ли IP, отражаемый на сайте перед сканом, с твоим (найти можно командой "ipconfig /all")

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 11:29 23-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Кстати, отличный вариант. Районная локалка - значит практически нет шансов что pcflank сканит сам компьютер
Urk
Попробуй посканить сам себя любым сканером безопасности.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:10 23-07-2004
Urk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А где ты это правило прописываешь? Внутри Packet Filter?

Да
imho

Цитата:
если роутер, то сайт сканирует скорее всего твои порты. Если прокси у прова, то в инете "светится" его IP и сканируются порты сервера провайдера.  
Проверь, совпадает ли IP, отражаемый на сайте перед сканом

Светится IP прокси, мой нет. Прокси в браузере отключал перед сканированием. Выходит я порты своего прова долбил на скане? Как тогда свои проверить??

Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 13:18 23-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
 Как тогда свои проверить??

Инсталируешь любой сканер безопасности (например xSpider), открываешь ему полный выход в интернет и даешь ему свой IP адрес (который видно в ipconfig).

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:44 23-07-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
Послушай, это уже паранойя. У тебя в локалке что, монстры сетевого фрикинга сидят?
Так... кулхацкеры .
 
Попробуй сделать как говорит Karlsberg (но я сам не пользовался локальными сканерами безопасности).
Хотя не факт, что поможет.
 
Попроси лучше кого-нибудь из администрации сети или из знакомых посканировать твой компьютер. (Собственно, это и делает pcflank)
Это верняк. Меня по первости учили свои же из локалки - что и как ставить. А администрация моя не помогла никак - они даже сказали, что используя файервол я лишаюсь их техподдержки по всяким глупостям с сетью... Хотя мер безопасности в сети - никаких (или я их не вижу).

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 17:06 23-07-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
они даже сказали, что используя файервол я лишаюсь их техподдержки по всяким глупостям с сетью...  
- Ну, это уже хамство! имхо, разумеется.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 17:38 23-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
лишаюсь их техподдержки по всяким глупостям с сетью

У нас когда звонишь в суппорт просто просят отключить файервол.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:44 23-07-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Не разводя лишнего флейма, скажу, что подключение к интернету у нас через VPN.
Соответственно, чтобы не вдаваться в лишние подробности по настройке конкретных файров и правил, администрация умыла руки. А могли бы и правило настройки файра написать... Ленивые они у нас... но сеть работает

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 17:46 23-07-2004
Urk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Инсталируешь любой сканер безопасности (например xSpider), открываешь ему полный выход в интернет и даешь ему свой IP адрес

Сделал по другому малость. Со старых времен остался модем. Через него и вышел в инет на  pcflank. Показал c десяток портов stealthed остальные закрыты. Все ок.  
Всем спасибо. Теперь я спокоен.
Сорри что напряг.  

Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 19:13 23-07-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
через VPN
- В смысле, каждый отдельно через ВПН, или вся локалка через ВПН, а внутри как получится?
 

Цитата:
чтобы не вдаваться в лишние подробности по настройке конкретных файров и правил, администрация умыла руки. А могли бы и правило настройки файра написать... Ленивые они у нас
- Хм. (вообще-то через ВПН не юзал, не знаком со спецификой, но пару слов..)
 Если первое (каждый отдельно), то вроде не вижу дыр особых.. (хотя мало ли)
А если второе, то стоит одному юзверю подхватить червя или еще какую дрянь - такая головная боль будет админу! (бо вся сеть чихать будет).
 Вон, не далее как сегодня админ позвонил, попросил проверить, появился ли инет (после грозы сеть упала) - врубил - и сразу флуд мощный: пакеты по 1496 байт сплошным потоком.

Цитата:
2004/07/23, 12:44:50
Adapter:*************
Packet was:Blocked
Device 1, Blocked incoming packet (unknown protocol)
 
Packet size = 1510 bytes
 
- - - - - - Ethernet header - - - - - -
 
Destination:   FF-FF-FF-FF-FF-FF (Broadcast)
Source:        02-01-C0-A8-01-44
Protocol Type: 88-6F
 
Packet contents:   1496 bytes
 
0000:  FF FF FF FF FF FF 02 01 C0 A8 01 44 88 6F BF 01   ........АЁ.D€oї.
0010:  DE C0 04 02 00 00 01 00 00 00 C0 A8 01 44 00 00   .А........АЁ.D..
0020:  00 00 00 00 00 00 01 00 02 00 43 11 40 40 A0 00   ..........C.@@ .
0030:  00 00 00 00 00 00 00 00 00 00 00 F0 FF 6F 00 00   .............o..
0040:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0050:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0060:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0070:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0080:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0090:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF   ................
00C0:  FF FF FF FF FF 0F FF FF FF FF FF FF FF 0F 00 00   ................
00D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0100:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0110:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0120:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0130:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0140:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0150:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0160:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0170:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0180:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0190:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01C0:  00 00 00 00 00 00 FF FF FF FF FF FF FF 0F FF FF   ................
01D0:  FF FF FF FF FF 0F 00 00 00 00 00 00 00 00 00 00   ................
01E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0200:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0210:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0220:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0230:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0240:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0250:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0260:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0270:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0280:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0290:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF   ................
02D0:  FF FF FF FF FF 0F FF FF FF FF FF FF FF 0F 00 00   ................
02E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0300:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0310:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0320:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0330:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0340:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0350:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0360:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0370:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0380:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0390:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0400:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0410:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0420:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0430:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0440:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0450:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0460:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0470:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0480:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0490:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 32 00   ..............2.
04E0:  00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0500:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0510:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0520:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0530:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0540:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0550:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0560:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0570:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0580:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0590:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05E0:  00 00 00 00 00 00                                 ......

 - Что за дела? - Говорит, хто-то опять червя схавал, зараза гуляет..

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 21:54 23-07-2004
Praetorian

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я уж право и не знаю толком куда мне со своей проблемой...
 
Столкнулся в последнее время с такой проблемкой - сайты типа pcflank.com и целый ряд других отказываются определять мой ip,давая отписку вроде(и следовательно отказывая в сервисах):
"The test has found that the IP address used by your computer cannot be scanned. This commonly occurs because of a firewall program on your computer and/or you are connected to the Internet through a proxy-server or your ISP uses Network Address Translation (NAT) to share IP addresses.  
 
This means the test cannot check your system as the results of the testing would be incorrect".
 
Проксями и ничем подобным никогда не пользовался, настройки никакие не менял, сроду стоит ZA и раньше таких проблем не было - спокойно все определялось. Может в насройках куда поглубже залесть надо (у меня сист. XP Home),чтобы ISP c NAT "пощупать"?
 
Грешу еще на прова - может же он с проксями или чем-то подобным начать мудрить?

Всего записей: 40 | Зарегистр. 23-04-2004 | Отправлено: 09:23 24-07-2004
coda

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
уважаемые, кто подскажет, какие порты открыть для работы аудио и видео с messenger 6.2?  
 
Добавлено
уважаемые, кто подскажет, какие порты открыть для работы аудио и видео с messenger 6.2?

Всего записей: 22 | Зарегистр. 06-05-2003 | Отправлено: 14:09 24-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Praetorian
Можно вполне официально позвонить провайдеру и спросить как у организована сеть.
А что говорит _http://www.myipaddress.com ? Он может определить твой внешний IP?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:14 25-07-2004
Praetorian

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Можно вполне официально позвонить провайдеру и спросить как у организована сеть.  
А что говорит _http://www.myipaddress.com ? Он может определить твой внешний IP?

 
В службу техподдержки был послан запрос по мылу (вот пока жду все ответа), по телефону сформулировать краткий и лаконичный вопрос мне банально не хватает знаний в данной области .
 
Myipaddress айпишник засекает, да.

Всего записей: 40 | Зарегистр. 23-04-2004 | Отправлено: 02:23 25-07-2004 | Исправлено: Praetorian, 02:37 25-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Praetorian
Возможно, что pcflank  и др. имеют свой собственный алгоритм определения что ты заходишь с чего-то, что лучше не сканировать. Если твоя цель - убедится в собственной безопасности, проще посканить себя локально тем-же xSpider-ом. А если понять почему скан снаружи невозможен - нужно посмотреть какой прокси прописан в интернет експлорере и посмотреть на ipconfig /all и сравнить адреса прокси и гейтвея. Если разные - покопать в сторону прокси. Более точно смогу сказать через недельку, друг вернется который сидит за NAT-ом.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:13 25-07-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
 В смысле, каждый отдельно через ВПН, или вся локалка через ВПН, а внутри как получится?

Нет. Локалка нормальная. Обычная... на 10 Мб/с.
Но по локалке в интернет выйти нельзя - нужно доп. подключение к т.н. "Виртуальной частной сети" по VPN (для компа - это как диалап с звонком по сети).  
Соответственно, помимо IP+MAC проверяется еще логин+пароль подключения к интернету. Что за сервер у прова это делает - не знаю, но скорее всего - Unix (FreeBSD).
Дыры - обычные: по сети могут увести пароль на VPN-подключение и, сэмулировав мои MAC/IP, пользоваться интернетом (пока не получат по шее от администрации)

Цитата:
 флуд мощный: пакеты по 1496 байт сплошным потоком
поговори с админом - он может источник физически вычислить и заблокировать на свиче (если свич управляемый). К тому же это же колоссальная нагрузка на сеть в общем.
 
Praetorian

Цитата:
Myipaddress айпишник засекает, да

Это действительно _твой_ IP? А не шлюза/прокси? (см мои посты чуть выше)
Если IP твой собственный, то тогда действительно сканер на сайтах тупит.
 
Karlsberg
А NAT здесь не при чем... Вернее, принцип работы NAT'a тот же, что у прокси (без кэша) + входящую связь (port mapping) можно настроить.  
Так что либо интернет-IP общий на сеть/сегмент (прокси/NAT, скан невозможен), либо у каждого свой собственный IP (и его можно сканировать из интернета).
 
Добавлено
блин... почти сочинение накатал

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 12:59 25-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
А NAT здесь не при чем... Вернее, принцип работы NAT'a тот же, что у прокси (без кэша) + входящую связь (port mapping) можно настроить.

Принцип работы мне известен, а вот тонкости - не очень. Может ли NAT выдавать один внешний IP адрес для нескольких юзеров, при том что только внешние порты NAT-а разные? Если да, то на месте pcflank-а я бы тоже отказался сканить

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:37 25-07-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Может ли NAT выдавать один внешний IP адрес для нескольких юзеров, при том что только внешние порты NAT-а разные?

Конечно же. Это как раз я и пытался объяснить
Network Address Translation отправляет запрос от своего имени (IP). Чтобы не запутаться кому чего, использует для каждого подключения отдельные исходящие порты в диапазоне 5000-65534. Соответственно, запросы могут быть не только HTTP (80 порт назначения, но и FTP и любые др.). Обратная связь должна быть жестко настроена (связка "порт внешнего IP - IP:port локалки). Сканирование всех портов сетевой машины, сидящей за NAT'ом - невозможно.
А если за машиной сидит такой гуру, что port mapping'ом на шлюзе занимается, то ему эти сканеры безопасности из интернета - нафиг не нужны...

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 14:18 25-07-2004
Praetorian

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ответа от техподдержки, в общем, я так и не дождался . Но вот сегодня приобрел карточку другого прова, на пробу - проблему как рукой сняло...

Всего записей: 40 | Зарегистр. 23-04-2004 | Отправлено: 20:04 29-07-2004 | Исправлено: Praetorian, 20:07 29-07-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru