Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Minoz

Цитата:
где localhost - "удаленный адрес"  
что то я не понял что ты этим имел в виду

Я имел в виду, что слово "localhost" стоит в колонке "удаленный адрес". Может, в натуре
Цитата:
loopback (антивирус как "прокси" почтовик используется)
- я про работу антивируса с почтой не шарю ваще ни фига.
 
 
Добавлено:
Короче, разрешил я Бату все исходящие на localhost:loopback, но, возможно, лучше было поставить "и где удаленный адрес совпадает с локальным" - но пока работает и не беспокоит.

Всего записей: 1029 | Зарегистр. 25-10-2003 | Отправлено: 23:17 12-06-2005
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Minoz
Цитата:
А конектится он сто пудова к DNS серверу

Причем здесь DNS?
У человека почтовик пытается выйти на POP-сервер через "прокси" антивируса.
Почему заговорил про троян - Stass1977 не указал удаленный адрес соединения в своем первом сообщении.

----------
Новый ИЖ-кабриолет стал мощнейшим ударом по машиностроению Германии: лопнул от смеха директор концерна BMW

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 05:57 13-06-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Stass1977
Для начала проверь в настройках Bat-а адреса и порты POP и SMTP серверов. Если там написано loopback или 127.0.0.1, то антивирус прописан как прокси, то есть почтовик соединяется с антивирусом как с почтовым сервером, а антивирусник передает запросы на настоящий почтовый сервер провайдера. Заодно стоит проверить настройки e-mail в антивируснике, что они указывают именно на свой почтовый сервер.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:53 13-06-2005
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Для начала проверь в настройках Bat-а адреса и порты POP и SMTP серверов. Если там написано loopback или 127.0.0.1

Да нет, адреса обычные - smtp.rambler.ru порт 25
pop.rambler.ru порт 110 оба соединения - "обычные". Галка проверки антивирусом не стоит.
Но тем не менее, похоже, что все-таки

Цитата:
антивирус прописан как прокси, то есть почтовик соединяется с антивирусом как с почтовым сервером, а антивирусник передает запросы на настоящий почтовый сервер провайдера
, потому что запрашивает Bat соединение именно с удал. адресом localhost:loopback для каждого ящика, а номера портов иногда меняет почему-то - за разъяснение спасибо.
 

Цитата:
 проверить настройки e-mail в антивируснике, что они указывают именно на свой почтовый сервер.

Полазил в настройках Нортона - никаких указаний на какие-либо адреса я не нашел, он,видать, автоматом подцепляет все POP и SMTP-соединения.

Цитата:
разрешил я Бату все исходящие на localhost:loopback
- хоть это-то я верно сделал?
 
PS: сложным каким-то стал Аутпост, вплоть до 2.6 версии я и проблем-то таких не знал . Правда, может, я просто "разрешал любые действия" - уже и не помню.

Всего записей: 1029 | Зарегистр. 25-10-2003 | Отправлено: 22:59 13-06-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Stass1977

Цитата:
Полазил в настройках Нортона - никаких указаний на какие-либо адреса я не нашел, он,видать, автоматом подцепляет все POP и SMTP-соединения.

Похоже на то... Разработчики утверждают, что он еще проверяет аттачменты мессенжеров.

Цитата:
хоть это-то я верно сделал?

Пока невозможно сказать. Проверь, плиз, кто слушает на том порту, к которому пытается приконнектиться BAT

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:12 14-06-2005
ULTRASPEED

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
По какому протоколу и портам работает встроеная служба сообщений ака net send ?

Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 17:42 15-06-2005
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Проверь, плиз, кто слушает на том порту, к которому пытается приконнектиться BAT

Порт 1030 TCP localhost:loopback держится процессом CCAPP.EXE - это один из компонентов Norton AntiVirus 2005 - похоже, все пучком.

Всего записей: 1029 | Зарегистр. 25-10-2003 | Отправлено: 21:01 15-06-2005
seg11

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Где-то видела пошаговую "инструкцию" как  закрыть порты в Оutpost - не могу найти где! Помогите пожалуйста.

Всего записей: 364 | Зарегистр. 09-04-2005 | Отправлено: 19:01 18-06-2005
SIMSR



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
seg11
Наверное самое главное закрыть порты TCP и UDP 135-140,445 на вход и на выход.
А вообще тема Agnitum тут    
http://forum.ru-board.com/topic.cgi?forum=5&topic=15976&start=120#lt

Всего записей: 1211 | Зарегистр. 27-11-2004 | Отправлено: 19:18 18-06-2005
Korchagin_Oleg

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В одном из первых постов  bredonosec предлагал заблокировать протокол ARP. Как это можно сделать?
Я имею в виду не создание правила в фаерволе, а сохранение возможности работы с локальной сетью, в которой адрасация, по идее, должна осуществляться по MAC.

Всего записей: 3 | Зарегистр. 19-06-2005 | Отправлено: 00:00 02-07-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
предлагал заблокировать протокол ARP. Как это можно сделать?  
Я имею в виду не создание правила в фаерволе, а сохранение возможности работы с локальной сетью, в которой адрасация, по идее, должна осуществляться по MAC.
- В этом случае есть несколько вариантов:  
Вариант 1: локалка не нужна: создаем правило, блокирующее весь диапазон (что маков, что ипов) - годится только, если инет имеете не через локалку
Вариант 2: есть несколько граждан, которые заслужили подозрение. Тогда правилом блокируется АРП от них (при этом обращение с любым другим пакетом - ТСР/УДП/ICMP/IGMP... от них пройдет, то есть, это не равнозначно бану адреса)
Вариант 3: нужен доступ к ограниченной части локалки, остальное - нет. - Блокируется диапазон адресов. (сам такое юзаю)
 
 Что касаемо работы с локалкой при отключенном АРП обмене - дело в том, что АРП - это всего лишь обмен запросами-ответами на тему, "хто тут?". То есть, если РС не находит другой по известным данным, он выдает АРП запрос "всем-всем-всем" и получает ответы от разных МАС (физических) адресов с сообщениями о своих ИП. Ответы заносятся в базу соответствия. Сама база динамическая, то есть, по дефолту устаревает каждые несколько минут (по моим опытам - примерно 10-15). Можно сделать статическую, тогда она устаревать не будет и ОСь будет всегда из нее значения первых 6 байт отправляемых пакетов (МАС получателя). Однако, по опытам на 98/НТ/2к/хр (не моим, в статьях было), даже при установке статической таблицы соответствий если некая машина в сети выдаст АРП ответ (в т.ч., не спровоцированный запросом, или ложный) - ОСь внесет изменения в базу. Таким образом вам могут устроить или "отключение сети", или поснифить, или вызвать нестабильность, тормоза, и прочие удовольствия методом АРП-флуда. (переполнение таблицы и сброс её, т.д.)
 Во избежание этого в сетях, где оборудование не меняется достаточно долгое время, рекомендуется поставить на ОСь статическую таблицу и запретить принятие АРП пакетов.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 03:37 09-07-2005 | Исправлено: bredonosec, 03:38 09-07-2005
SlaterWise



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Hi! Кто нить скажите плиз для чего нужен svchost.exe и стоит ли его пускать внет?  
Фаер- outpost pro последний
XP SP2 + все заплатки

Всего записей: 79 | Зарегистр. 08-05-2005 | Отправлено: 03:52 09-07-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
SVCHOST.EXE - базовый процесс для процессов, созданных из динамических библиотек (DLL), - не удивительно, что в списке процессов может быть несколько ссылок на svchost.exe. Для просмотра списка процессов, использующих svchost.exe, используйте программу Tlist.exe с диска Windows 2000 (синтакс строки tlist -s).  
Этот процесс нельзя завершить из менеджера задач.  

Что касаемо вопроса "пускать ли" - смотря что на нем висит.
 Более подробно - многократно повторялось в теме.  
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=20#7
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=20#21
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=40#9
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=60#9
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=60#11
и так далее.  
(метод: версия для печати -> search on this page -> svchost.exe )
а то на каждый пост ссылы кидать лень.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 04:17 09-07-2005 | Исправлено: bredonosec, 04:20 09-07-2005
DeeoniS

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не подскажите как запретить весь входящий трафик на локальный компьютер. Суть проблемы заключается вот в чем: имеется соединение по диалап.  Через него идет только исходящий трафик. Для входящего есть другой интерфейс (конект к спутнику через ВПН). ВПН падает и тогда трафик весь начинает идти по модему (не через спутник). Этого мне не нужно... как исправить???

Всего записей: 14 | Зарегистр. 17-08-2004 | Отправлено: 01:18 30-07-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
запретить весь входящий трафик на локальный компьютер
А то, что протокол TCP/IP требует подтверждений для проверки корректности передачи по каналу, и если надо - повтор передачи, помнишь?  
Запретить нетрудно - выбираешь правила для данного адаптора(модема) и указываешь в каждом отсеке запрет на входящие по всем портам /со всех адресов. Или, указываешь для этого адаптора только разрешающие правила на выход + "по умолчанию - если не подходит под правило - блокировать"
 
 Только вот с подтверждением ТСР как у тебя будет - вопрос открытый (а проверить не имею возможности - второе подключение не к чему делать)

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 07:38 30-07-2005
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разрешите спросить, при запуске приложения ломятся исходящим соединением или посылкой датаграммы на удаленный адрес 127.0.0.1 (firefox, thunderbird, skype) диапазон портов 1024-5000
 
Это трой или у меня паранойя.  Раньше токого не наблюдалось. The Cleaner проблем не видит. Аньивирус не мониторит.
 
Windows XP SP2, Jetico PF, Касперский персонал,офис и прочие.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 14:23 30-07-2005
ArtLonger



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Localhost, однака.

Всего записей: 1850 | Зарегистр. 06-10-2001 | Отправлено: 18:32 30-07-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
угу, локалхост. твоя машина в смысле многие сетевые приблуды его пользуют.. на него же ссылаются проги-локальные прокси, локальные рутеры и проч мусорень.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 18:39 30-07-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Из живущих у меня firefox лезет при старте на localhost, skype - нет, но это еще не причина для беспокойства. Проверь кто кому шлет запросы, и если это с обоих сторон один и тот-же процесс, то по-идее все ок.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 19:39 30-07-2005
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за рекомендации, я в принципе в курсе что это  Localhost, но хотелось бы более развернутый ответ получить. Skype естественно коннектится с различными адресами по 443 80 и назначаемому порту, лис если его не трогать вроде никуда неконнектится птица тоже, но еще пару дней назад ничего и в помине небыло, я в msconfig немного поковырял отключил каспера и еще пару служб, потом выяснил что отключил удаленное соединение и включил обратно, где еще глянуть может я службу какую запустил по неграмотности? Или всетаки кто то меня с кем-то подружил?
 
на локальную машину начал активно коннектится ССС от ATI сегодня установленный.
 
И еще вопрос, это нормально что Skype такое количество соединений создает по UDP что у меня вчера 8sings Firewall просто вывалился. (даже количество трудно подсчитать посчитал 135 соединений в секунду)
 
Знаю знаю пару файеров ставить это ...... но цельный месяц они вдвоем с Jetico исправно мне служили и мирно сосуществовали.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 02:18 31-07-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru