Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
там никто не заморачивался про порты и сокеты. Один участник создает текстовый файл на расшареном диске, а другие по сети его открывают.  
- Им и не надо Это тебе придется  
ЗЫ. А раздобыть экземпляр проги и попробовать запустить со своего компа, предварительно поставив пакетный файер (или сниффер) - тогда по посылаемым пакетам можно будет точнее оперделить, чего она шлет, на какие порты, если что-то необычное - можно сразу это закрывать. Если стандартные 137/138- тады или не закрывать, или мириться с тем, что "computer brousing" пахать не будет.  

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 21:36 11-04-2005
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Именно что физически его открывают, сеть только локалка.
 
bredonosec
Удалось раздобыть даже исходники на VisualBasic. И там ничего военного. Наверно придется отрубать локалку.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 21:01 22-04-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
даже исходники на VisualBasic. И там ничего военного.  
- Дык не про исходники, а про саму прогу, чтоб запустить её и поглядеть, через куда стучится на практике.
 Если все порты обычные, то тогда средствами выни - сомневаюсь. Но файер с контролем приложений - вполне поможет.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 02:53 23-04-2005
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Какой сниффер посоветуешь? Все таки хочется докопаться до истины.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 07:17 23-04-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Какой сниффер посоветуешь?  
- А почему бы не посочетать приятное с полезным? Поставить пакетный файер - в нем лог пакетов идет вживую (+ широкие настройки по сохранению - большой выбор условий, по которым сохранять в лог соединение, весь пакет, или ничего не сохранять)  
 
 Кста, еще одно преимущество, что запретив или разрешив тот или иной порт (или адрес, или вид пакета), тут же, в той же проге - увидишь, достиг результата, или нет.
///Тема в программах о ней есть
 
Просто снифер тож можно, но я с ними мало (и давно) работал, боюсь что советовать

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 09:02 23-04-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
Для начала можно взять TcpView от Sysinternals, показывает коннекты на уровне приложений, инсталляции не требует: _http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:21 23-04-2005
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
bredonosec
Karlsberg
Если стоит Windows XP/2003, то никаких прог и сниферов не нужно... Запускаешь у себя чаталку - смотришь в Диспечере задач ID процесса. Открываешь консоль и набираешь:

Код:
netstat -a -o -n > c:\open_port.txt

И ищещь в текстовике по ID процесса открытые порты

Всего записей: 565 | Зарегистр. 11-03-2003 | Отправлено: 15:59 28-04-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yourbill

Цитата:
Если стоит Windows XP/2003,  
Не у всех они стоят
Но за инфу спасибо.  

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 07:38 29-04-2005
HeT BonpocoB



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
интересное дело у меня произошло после переустановки системы:
 
раньше к DNS серверам обращалось каждое приложение самостоятельно (в Аутпосте было видно, да и в настройках приложений прописывал как учат на оффоруме), а теперь к DNS для всех приложений обращается только один SVCHOST.
 
Есть какие нибудь идеи, что я в прошлой системе "настроил", и вообще - как "правильнее"?

Всего записей: 1342 | Зарегистр. 30-03-2003 | Отправлено: 18:51 04-05-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HeT BonpocoB

Цитата:
как "правильнее"

На сайте мелкософта утверждается что DNS Client имплементирован в DHCPSvc.dll, а она грузится SvcHost-ом как сервис, так что после переустановки система выглядит правильнее.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:27 06-05-2005
ForceSpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
получается, что для Bittorent надо разрешить только TCP  ?
т.е запретить любой коннект по UDP ?

----------
Я не злопамятный,но память у меня плохая и никуда я не записываю.
Могу отомстить,забыть, потом снова отомстить...

Всего записей: 1324 | Зарегистр. 30-12-2002 | Отправлено: 14:50 15-05-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ForceSpb
Официальный BitTorrent работает только с TCP. В последнее время к торренту пытаются приделать DHT (аналог - Kademlia в ослике), возможно он использует UDP, мне еще не удалось посмотреть доки. Но DHT пока реализован только в последней версии Azureus.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:42 15-05-2005
Widok



Moderator-Следопыт
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ForceSpb
отключи плагин  Distributed DB, и для Outpost настройки можно посмотреть здесь

----------
Тень превращается в фантазии, таящиеся в глубине вашей души.
Пока идёшь ты среди теней, да не будет зла с тобой.

Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 21:53 29-05-2005 | Исправлено: Widok, 21:55 29-05-2005
modzilla

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажие пожалуйста правила для Vypress Chat

Всего записей: 8 | Зарегистр. 17-01-2005 | Отправлено: 18:34 05-06-2005
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не подскажете, почему The Bat! постоянно запрашивает исходящее соединение TCP с удаленным портом 1027, причем если это заблокировать, то он не соединяется ни с одним почтовым серваком - пришлось создать дополнительное правило для рарешения этих даных. Версия мыша - 3.5, фаер - Outpost 2.7.

Всего записей: 1029 | Зарегистр. 25-10-2003 | Отправлено: 22:48 11-06-2005
Minoz



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Stass1977
C удалённым портом под номером 1027 он не может соединятся. Это скорее локальный порт, и лучше выложе лог что он конкретно пишет, что бы было понятнее в чем проблемма.

Всего записей: 794 | Зарегистр. 22-11-2004 | Отправлено: 23:03 11-06-2005
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Stass1977
Антивирусный монитор присутствует? Если да то настройки почтовика придется ему отдать а для мыша сконфигурировать дополнительно еще пару правил.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 00:00 12-06-2005
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
"простите, профессор", а о чем вы ?
Если про loopback (антивирус как "прокси" почтовик используется) то я согласен - можно разрешать.
А если у человека троян завелся? Тут действительно логи нужны.

----------
Новый ИЖ-кабриолет стал мощнейшим ударом по машиностроению Германии: лопнул от смеха директор концерна BMW

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 11:07 12-06-2005
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Minoz
wezir
imho
11.06.2005 22:33:26 thebat.exe ИСХ БЛОКИРОВАНО TCP localhost 1027 Режим обучения - полно вот таких записей в журнале, где localhost - "удаленный адрес", антивирус висит - Norton со включенными e-mail scanner и autoprotect

Всего записей: 1029 | Зарегистр. 25-10-2003 | Отправлено: 20:52 12-06-2005
Minoz



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Stass1977

Цитата:
где localhost - "удаленный адрес"
что то я не понял что ты этим имел в виду localhost 1027 это адрес твоей машины. А конектится он сто пудова к DNS серверу. Сделай правило в котором разреши: локалхост по любым портам конектится к любым IP с портом 53 и протокол как TCP, так и UDP. (Правило DNS в шапке)

Всего записей: 794 | Зарегистр. 22-11-2004 | Отправлено: 21:50 12-06-2005 | Исправлено: Minoz, 21:56 12-06-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru