Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
konik
EFS (Extended File Name Server) использует 520-й TCP порт, судя по куцым описаниям в интернете. 520-й UDP используется раутерами для связи по RIP-протоколу, а он использует броадкастинг, поэтому мне кажется самым вероятным именно этот вариант.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:49 25-11-2006
hanuman108



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да раутер у меня в системе действительно есть. Но если это он, то почему нет никаких на то указаний? Я так понимаю, что в таком случае адрес источника был бы 192.168.1.1

Всего записей: 77 | Зарегистр. 13-09-2006 | Отправлено: 14:43 27-11-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hanuman108
А какой адрес источника? Если он в локалке и есть большое желание разобраться, то легче поймать этот пакет сниффером и не гадать на кофейной гуще.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:59 27-11-2006
hanuman108



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Вот всё что выдаёт мне Kerio Personal Firewall в логах:

Цитата:
 Description: Unopened Port, Aplication: N/A, Direction: In, Local Point: 192.168.1.255:520, Protocol: UDP, Action: Denided.  

 
Т.е. совершенно не понятно кто это посылает. Может есть какая-то специальная программа, которая может отловить этот пакет и показать что в нём? По крайней мере мне такие инструменты не доступны. Никогда ничем подобным не пользовался...

Всего записей: 77 | Зарегистр. 13-09-2006 | Отправлено: 17:40 27-11-2006 | Исправлено: hanuman108, 17:43 27-11-2006
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hanuman108
А если в Kerio Personal Firewall разрешить broadcasts?
 
Добавлено.
У тебя похоже ADSL модем? Тогда добавь адрес модема в доверенную зону и разреши broadcasts для доверенной зоны.
Тяжело помогать, когда ты даже не удосужился написать как сделан интнрнет и какие программы используются.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:52 27-11-2006 | Исправлено: KUSA, 21:08 27-11-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hanuman108
Kerio 4-ка? Там во вкладке "Logs & Alerts" должна быть колонка "Remote point". Есть такая?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:06 27-11-2006
hanuman108



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Kerio 4-ка? Там во вкладке "Logs & Alerts" должна быть колонка "Remote point". Есть такая?

Извините, за долгое молчание - был в отъезде.
У меня точно 4-ка.
Да, действительно, есть такая штука - remote point. Обыскал сначала всё, но оказалась спрятана - свёрнута колонка была.
Пишет - 192.168.1.1:520. Адрес раутера, похоже. Чуть-чуть успокоило.
Predefined network security я отключил, так что broadcasts соотвесветственно тоже.

Всего записей: 77 | Зарегистр. 13-09-2006 | Отправлено: 12:02 01-12-2006
parovoZZ

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, не могу разобраться с svchost и system. NetBIOSа нет, а приходят запросы на соединение (и от меня уходят ту да же) с каких-то левых адресов (хоть и из моей подсети) на 135, 137, 138 и 445 порты. Жму на OK, но что-то подсказывает, что что-то делаю не так. К тому же IE всё время пытается отправить датаграммы на localhost (127.0.0.0). Я ему отказал. Инет есть, но какой-то тормознутый. Как бы их настроить, чтобы и интернет был, и время синхронизировалось и не было запросов с левых компов. Выход в инет через шлюз (по антенному кабелю), IP локальный.
 
У меня по умолчанию ("заводские настройки") на удалённый 53 порт может ломиться все, кому не лень. Это правильно?

Всего записей: 190 | Зарегистр. 06-04-2006 | Отправлено: 21:56 18-12-2006
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
NetBIOSа нет,
в смысле? Разве его можно вообще отключить (не запретить стеной, а именно отключить) и после этого в сети гулять?  

Цитата:
а приходят запросы на соединение (и от меня уходят ту да же) с каких-то левых адресов (хоть и из моей подсети) на 135, 137, 138 и 445 порты. Жму на OK, но что-то подсказывает, что что-то делаю не так.  
телепаты в отпуске. А присутствующие не знают, где вы чего нажимаете. И с чем соглашаетесь.  
По идее, если с локальной сетью не работаете, то данные порты следует держать закрытыми. Уж 135 и 445 в любом случае закрытыми.  

Цитата:
на удалённый 53 порт может ломиться все, кому не лень.
- точнее, с удаленного порта, я так понимаю? Я бы выставил разрешение ломиться за ДНС запросами и ответами только с ваших ДНС серверов. (а кто вам предоставляет днс услуги - это гляньте в сетевых настройках, какой ИП обозначен как днс-серв). И, кста, на ДНС разрешайте только с локального диапазона портов 1024-5000 лазить. НЕ с 137. (это уже несколько другое будет)  
 

Цитата:
и время синхронизировалось  
123=NTP - Network Time Protocol  
Знач открыть 123 порт. (в шапке, если вы заметили, есть несколько справочных ссылок - оттуда можно немало вопросов решить )  

Цитата:
и не было запросов с левых компов.  
- А вот это - смотря что вы имеете в виду.  
Если вопросы стенки к вам - то достаточно настроить полностью и выключить режим обучения.
Если именно запросы ака пакеты и попытки соединения - то, к сожалению, это неизбежно, иначе не надо было б пользовать стенки ;(

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 20:31 19-12-2006
Bakster



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, кто может помочь юзеру очно настроить Outpost Firewall Pro в Питере?

Всего записей: 46 | Зарегистр. 20-12-2006 | Отправлено: 03:09 20-12-2006
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
parovoZZ

Цитата:
Пока сижу с Jetico.
Может стоит твой вопрос задать в топике Jetico
 
Добавлено.
Для XP/2000 это 123 UDP порт для системных процессов ( но можно через другие)
 
bredonosec

Цитата:
Разве его можно вообще отключить
А разве нет?    
Сорри за офф.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 13:13 20-12-2006 | Исправлено: KUSA, 13:19 20-12-2006
Andrey32

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня такой вопрос. Jetico выдала запрос на receive datagrams для svchost.exe на локальный порт 1027. Я посмотрел во вкладке приложений, svchost.exe, слушающего порт 1027 там не увидел. Т.е. откуда известно, что эту датаграмму с порта 1027 должен принять именно svchost.exe?
Еще у меня system слушает порт 445 кто это и что это?

Всего записей: 245 | Зарегистр. 12-12-2006 | Отправлено: 19:59 13-01-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Еще у меня system слушает порт 445 кто это и что это?

Это -- SMB поверх TCP. Если локалку не используешь (разделение файлов и прочую чушь), отключи службу.

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 21:54 13-01-2007
Andrey32

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TeXpert, что-то я такую службу у себя не нашел.

Всего записей: 245 | Зарегистр. 12-12-2006 | Отправлено: 14:30 14-01-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andrey32
Надо отключить NetBIOS поверх TCP и разделение файлов и принтеров в сетях Microsoft, копайся в настройках сети.

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 14:42 14-01-2007
Andrey32

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TeXpert, уже давно все отключено.

Всего записей: 245 | Зарегистр. 12-12-2006 | Отправлено: 15:16 14-01-2007
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andrey32
Чтобы полностью отключить 445-й порт, нужно в реестре внести пустое значение в TransportBindName, сидящий в HKLM\\System\\CurrentControlSet\\Services\\NetBT\\Parameters и перегрузиться. Сейчас там сидит строчка "\Device\" (если вдруг захочешь вернуть обратно).

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 20:07 14-01-2007 | Исправлено: Karlsberg, 20:09 14-01-2007
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg, если не трудно, подскажите, правильно ли я применил ваше правило из шапки по отношению к McAfee Desktop Firewall 8.5 при использовании eMule ?  Просто новичку (в настройке файеров) никто не может помочь в этом вопросе :
   
 Проблема :  http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11256&start=180#lt
 
 
 Решение (?)№1 : http://vitsat.at.tut.by/emulefire.png
 
 Решение (?)№2 : http://vitsat.at.tut.by/fire.png
 
 P.S. А вот : методом "тыка" добился, чтобы не выскакивало окошко автоматич. настройки правила (когда идёт активность по неуказанным портам) :  http://vitsat.at.tut.by/superfire.png
 
 Не знаю, правильно это или нет, но "осёл" тоже велликолепно работает

Всего записей: 3472 | Зарегистр. 26-03-2006 | Отправлено: 01:05 06-02-2007 | Исправлено: vitsat, 14:18 06-02-2007
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
любопытные момент обнаружил:  
С разных адресов (причем, с обратным адресом крупных серверов, как 84.15.125.144, 74.103.198.151, 65.189.179.168, т.д. - можно похуизить, конторы, а не частники) идет стук на меня, на 4720 порт, с таких "локальных", как  
50513
44494
42785
24670
20965
17958
4468
Согласно списку иана http://www.iana.org/assignments/port-numbers все они попадают в "неназначенные", но выбор не случайный, стук идет по одному и тому же порту. Цифири повторяются.  
Вот любопытно, что это может быть?

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 00:35 08-02-2007
mwm



Маэстро
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Меня интересуют какие-то общие правила для наиболее распространенных приложений. Хотелось бы знать, какие приложения можно размещать в "доверенных" и почему. (напр., FAR, IE, TheBat!, D/L manager,eMule,Soulseek  и т.д.).
 
Дело в том, что мне нужно настоить "файер" для ламера, чтобы он не лез ко мне каждый раз с вопросом: "А чё он там хочет опять?".

Всего записей: 1179 | Зарегистр. 02-11-2001 | Отправлено: 20:01 09-03-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru