Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
0Vovan0



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
в шапке есть два правила - DNS и DHCP - а для какого приложения их прописывать надо?

Всего записей: 2370 | Зарегистр. 15-07-2005 | Отправлено: 00:36 29-08-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
0Vovan0
Многие firewall'ы ведь позволяют внести общие правила?

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 02:18 29-08-2007
0Vovan0



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
т.е. это общее для всех приложений?

Всего записей: 2370 | Зарегистр. 15-07-2005 | Отправлено: 02:28 29-08-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
0Vovan0
Да. Хотя, для отдельных можно и варьировать (см. предыдущую страницу).

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 03:00 29-08-2007
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет.
есть такой вопросик. решил зарубить доступ к rapidshare.com
 
>nslookup rapidshare.com
 
Server:  xxx
Address:  xxx
 
Name:    rapidshare.com
Addresses:  195.122.131.9, 195.122.131.10, 195.122.131.11, 195.122.131.12
          195.122.131.13, 195.122.131.14, 195.122.131.15, 195.122.131.250, 195.122.131.2
          195.122.131.3, 195.122.131.4, 195.122.131.5, 195.122.131.6, 195.122.131.7
          195.122.131.8
 
и этого оказалось недостаточно, смотрю тянут:
 
80.239.151.62    207.138.168.33    82.129.39.51
 
как сие понимать ?
 

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 13:38 04-09-2007 | Исправлено: slech, 13:40 04-09-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech  
Бессмысленно такие популярные сервисы блокировать таким способом (негибко). Что мешает по доменному имени? Если firewall, то на свалку такую.

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 14:01 04-09-2007
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TeXpert
а почему бессмысленно ? хотелось бы понимать.
не хотелось бы излишне нагружать железяку - видимо придётся.
 
Добавлено:
если отсеивать отлько по имени тода по IP можно ходить.
Поэтому нужно в савокупности.
Но откуда берутся новые адреса ?
Чёто не могу понять.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 15:30 04-09-2007
pikvvik



Мастер-библиотекарь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 slech

Цитата:
откуда берутся новые адреса ?
 
физически используются различные сервера, расположенные так:
Подробнее...
Не проверял, но предполагаю, вместо последней цифирки, в каждой из сетей,  может быть еще порядка сотни вариантов...

----------
Google - страшная сила!

Всего записей: 3706 | Зарегистр. 30-11-2004 | Отправлено: 23:30 04-09-2007 | Исправлено: pikvvik, 00:14 05-09-2007
NicMicola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята подскажите пожалуйста.
Подключился к PEOPLEnet и перестали открываться сайты. Когда отключаю Outpost Firewall все работает. В описании они пишут что для корректной работе модема надо в (Firewall)  вести выходные соединения 1.1.1.1:33333, входные соединения : localhost:33333. Как это сделать.

Всего записей: 42 | Зарегистр. 13-08-2007 | Отправлено: 20:17 05-09-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech
Вариант есть всегда. Берешь Zone Alarm - у нее на сегодняшний день самый лучший резольвинг DNS (или мне так кажется  ). Там есть опция Blocked Server.
Туда вносишь DNS только имена из сообщения от pikvvik,
те rapidshare.com  customer.teliacarrier.com. + дипазон IP адресов через маску.
Вот только это все бесполезно, люди придут сюда и найдут ответ,
как найти наложенные тобой ограничения.
Гораздо эффективнее метод ограничения трафика для юзвера или метод денег.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 18:23 06-09-2007 | Исправлено: KUSA, 18:23 06-09-2007
MkttSS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго времени суток!
Проблема в следующем:
Стоял у меня ZA Pro. Всем устраивал, отлично справлялся с задачами, но тут при попытке установки НОД32 он очень сильно заглючил и обновлялся каждый раз при попытке соединения с интернетом!Выход-снёс НОД в надежде что всё станет на свои места-ХРЕН!Переустановка ЗонАларм: При открытии сетапника вылетают 2 ошибки потом появляется надпись что из-за встроенного брендмауэра нем ожет подключиться!НО брендмауэр виндоус выключен!ТОЧНЕЕ там поставлено что я сам слежу за настройками стенки!
Ну не устанавливается хоть ты тресни!
Аутпост исключился самым первым,т.к. наслышано сложностях в чистке реесттра после его удаления-установки!
Стал искать по форумам нашёл КОМОДО!
И 2.хх и 3.хх бета работают отлично!
только проблема в том что не пускают уторрент в сеть!точнее пускают но в уторенте горит что не пукают!И скорость на уторренте упала и раздача ведётся только при скачивании!
В итоге не выдержал и снёс Комодо!
Вот теперь сижу голой жопой к нету без фаера и брендмауэр выключен!
Понимаю наскольок это опасно, но всё же дайте свою оценку ситуации!
ДА, совсем забыл-антивирус AVIRA!
 
Заранее всем больше спасибо!

Всего записей: 181 | Зарегистр. 28-06-2006 | Отправлено: 14:44 10-09-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MkttSS

Цитата:
 Вот теперь сижу голой жопой к нету без фаера и брендмауэр выключен!  
 
Трогательная история, правь свое сообщение и бегом в топик Лучший файрволл firewall  
При помощи Ctrl+C & Ctrl+V там рассказать, а здесь не оффтопить.
Догадаешься, что могут сделать с голым местом из плюсомета за оффтоп?

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 22:29 10-09-2007 | Исправлено: KUSA, 22:31 10-09-2007
MkttSS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
пасиб

Всего записей: 181 | Зарегистр. 28-06-2006 | Отправлено: 23:08 10-09-2007
latin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

MkttSS
Не знал, что вы уже здесь запостили. В разделе который вам посоветовал KUSA дал ссылки где помогут по конкретным файрволам.
Главное не расстраивайтесь, прикройтесь, и вперёд на покорение различных стенок.


----------
Помни, правильно заданный вопрос это половина ответа
Те, кто жили до нас, многое свершили, но ничего не завершили. Сенека

Всего записей: 781 | Зарегистр. 01-03-2006 | Отправлено: 13:28 11-09-2007
HSWT



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Извините может за глупый вопрос. Надо ли запрещать выход в интернет D:\WINDOWS\system32\svchost.exe и системе по портам 135 и 445 эти предложения выходят сами в интернет по этим портам.

Всего записей: 370 | Зарегистр. 19-12-2004 | Отправлено: 19:30 16-09-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HSWT
Цитата:
...и системе по портам 135 и 445 эти предложения выходят сами в интернет по этим портам
Ты это на каком языке? Какие предложения могут выходить и куда? И ещё -- запятые существуют не для красоты.
По портам этим, как правило, можно смело запрещать. Неясно конфигурация сети у тебя, чтобы точнее ответить, но ты тут сам виноват.

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 23:47 16-09-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HSWT

Цитата:
Надо ли запрещать выход в интернет D:\WINDOWS\system32\svchost.exe и системе по портам 135 и 445 эти предложения выходят сами в интернет по этим портам.
 
В интернет - ни в коем случае. В интранет -
Цитата:
Неясно конфигурация сети у тебя, чтобы точнее ответить, но ты тут сам виноват.

В случае разрешения для интернета этих портов - возможны серьезные проблемы.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 09:47 17-09-2007
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Покопавшись в топике, заметил одобрение такого разрешающего правила : TCP> epmap (135)> 1024-65535> Any> Generic Host Process for Win32 Services (svchost)
 У меня доступ к svchost.exe разрешён только по UDP , и последнее блокируещее правило отменяет вышеприведённое. Когда иногда запускаю в И-нет новое приложение, то вижу непреодолимое желание svchost.exe выйти по  TCP(135) , но я его всегда временно блокирую (пока отключено конечное блок. правило). Проблем за 5 лет не замечал. Работаю по DSL.  Что я теряю ценного, не разрешая такую коммутацию ?  

Всего записей: 3472 | Зарегистр. 26-03-2006 | Отправлено: 09:47 21-09-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vitsat

Цитата:
то вижу непреодолимое желание svchost.exe выйти по  TCP(135) , но я его всегда временно блокирую (пока отключено конечное блок. правило). Проблем за 5 лет не замечал. Работаю по DSL.  Что я теряю ценного, не разрешая такую коммутацию ?  

Ничего.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 12:35 21-09-2007
borisvid

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос настройки стенки роутера 3COM OfficeConnect 3crwer100-75 для работы с сервером подтверждения DRM.
Когда я включаю видео трансляцию с защитой DRMэ появляется окно “ license acquisition”
для ввода пароля, если firewall роутера включен то это окно не загружается и окошко пароля не появляется, если выключить   firewall то все ОК.
 
Как настроить? Какой порт нужен для DRM?
 
 

Всего записей: 685 | Зарегистр. 23-05-2003 | Отправлено: 00:35 04-10-2007 | Исправлено: borisvid, 00:36 04-10-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru