Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
solstice

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Accessor
Tmeter'a нет. Может, принудительно запретить пассивный режим в самом Gene6

Всего записей: 728 | Зарегистр. 27-07-2006 | Отправлено: 08:17 24-12-2007
Accessor



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
solstice

Цитата:
Может, принудительно запретить пассивный режим в самом Gene6  

Попробуй, запрети. И ещё попробуй вообще отключить фаер и посмотреть, будет ли работать активный режим в FTP.

Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 11:24 24-12-2007
solstice

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ОК. с FTP вроде разобрался.  
Вопрос по консоли mmc: неужели нет типовых правил для нее?  
Запускал с отключенной стенкой но глядел в активные коннекты.
Вот порядок запуска:
Код:
1. UDP OUT lsass.exe [Host]:1024..5000 [Domain Controller]:389 (ldap)
 
2. UDP OUT svchost.exe  [Host]:1024..5000 [Domain Controller]:53 (dns)
 
3. UDP OUT mmc.exe  [Host]:1024..5000 [Internet Gateway]:1745
   TCP OUT mmc.exe  [Host]:1024..5000 [Domain Controller]:389 (несколько TCP соединений с разных портов в диапазоне 1024..5000)

при включенном файрволле - ни в какую!

Всего записей: 728 | Зарегистр. 27-07-2006 | Отправлено: 13:01 24-12-2007 | Исправлено: solstice, 13:02 24-12-2007
MuzikantshaMasha

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Товарищи учёные, объясните пожалуйстя мне пианистке, как в PC Tools Firewall разрешить TCP UDP  для eMule. Я, к сожалению, ничего не понимаю в ваших таблицах, ну прямо китайская грамота!!!  
У меня с этим фаэрволом все программы работают - и кип, и все другие чаты, и видео. У ослика Low ID, ну хоть застреллись!!! В фаэрволе я разрешила ослику full access. Но, при включённом фаэрволе, проверить порты через настройки в осле не удаётся. Если без фаервола - соединяет. Ослик качает только по одному файлу и ооочень меееедленно, это при моём 3 GB в секунду. Справочник по ослу, я прочла. Все галочки поставила. Кад включен. Попробовала отключить  на минутку фаэрвол, ослик показал High ID и статус Open вместо Firewalled, я подключила фаэрвол обратно, показатели в осле не изменились. Т.е., чисто визуально всё должно работать, но я то вижу, что не тянет!!! Просто ничего не качает... Даже то, что иногда начинает закачивать, через какое-то время останавливается, хотя и написано High ID и статус Open. У меня до вчерашнего дня ZoneAlarm стоял. Там я ослу доступ разрешила и все шикарно работало, а почему же здесь не получается?! Что за мудрёный фаэрвол? Вторые сутки фэйсом о манитор бьюсь! Ну, помогите пожалуйста!!!

Всего записей: 14 | Зарегистр. 06-01-2008 | Отправлено: 18:52 06-01-2008
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MuzikantshaMasha
раз без фаера работает значит у тебя всё прозрачно, т.е. мостом настроенно(это мысли вслух)
для работы осла нужно разрешить всего два порта:
1 TCP 1 UDP
Настройки--Соединение--Порты клиента - смотришь что там, либо сама вбиваешь либо оставляешь что там есть.
По умолчанию там вроде:
TCP 4662
UDP 4672
Вот эти самые порты нужно разрешить в твоём фаере и всё.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 19:07 06-01-2008 | Исправлено: slech, 19:08 06-01-2008
5555555



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
при моём 3 GB в секунду

круто, где ethernet-скую карту взяли на "3 GB в секунду"?

Всего записей: 2613 | Зарегистр. 01-04-2004 | Отправлено: 19:38 06-01-2008
MuzikantshaMasha

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
5555555
Вы знаете, у меня не интернетская карта, а финский кабельный интернет. Называется "Welho".
 
slech
 
Цитата:
Настройки--Соединение--Порты клиента - смотришь что там, либо сама вбиваешь либо оставляешь что там есть.
По умолчанию там вроде:
TCP 4662
UDP 4672  

Понимаете, в этом фаэрволе нет таких директорий. Там есть два варианта настроек:
1. закладка "Приложения", где указаны автаризованные и заблокированные программы. Ослу дан полный аксесс даже и через расширенные настройки.
2. Закладка "Правила", с двумя опциями:  
    а). Зона Интернета
    б). Доверенная зона
 
В Интернет Зоне заблокированы следующие опции:
 
ТСР: Land-атака, типа "отаз в обслуживании"
UDP: NetBios
UPnP TCP 5000
Универсальный самонастраеваеммый UDP 1900
ICMP: Заблокировать Запрос маршрута
ICMPv6: Запрос маршрута
ICMP: Запрос проверка связи
ICMPv6: Запрос проверка связи
ICMPv6: Запрос проверка связи 2
ICMP: Все тпы атак по протоколу ICMP
ICMPv6: Все тпы атак по протоколу ICMP
Все другие пакеты
 
В доверенной зоне заблокированы:
 
ТСР: Land-атака, типа "отаз в обслуживании"
ICMP: Заблокировать Запрос маршрута
ICMPv6: Блокировать Запрос маршрута
ICMP: Все тпы атак по протоколу ICMP
ICMPv6: Все тпы атак по протоколу ICMP
Все другие пакеты
 
3. В настройках фаэрвола есть 4 закладки:  
 
-Общие:
Показывать информацию о трафике на иконке
Запрашивать подтверждение на изменение статуса приложения
Автоматическиразрешать известные приложения
Автоматически проверять обновления
(Везде стоят галочки)
 
-Адаптеры:
Интернет - (галочка)
Надежные
Разрешить весь трафик
 
-Фильтрация:
Включить брандмауэр
Фильтрация приложений включена
Генерировать правила для приложений автоматически
Активировать защиту против инъекции кода
Фильтрация пакетов включена
Активировать скрытый режим
Аутивировать ситуационную фильтрацию пакетов
(Везде стоят галочки)  
 
-Пользователь:
Режим обыкновенного пользователя -(галочка)
Режим опытного пользователя
 
4. В осле у меня сейчас  High ID, соединение есть, но не открытое, а фаэрвольное, и ничего не качает вообще!!!
 
Karlsberg
Я ПРОШУ ПРОЩЕНИЯ, ЕСЛИ Я НЕСОВСЕМ В ТЕМУ ПИШУ! Я НЕ НАШЛА ТЕМУ КОНКРЕТНО о портах ПО МОЕМУ ФАЭРВОЛУ и ослу! СКИНТЕ ПЛИЗ ССЫЛКУ, если знаете куда писать - НАПИШУ ТУДА ТОЖЕ!

Всего записей: 14 | Зарегистр. 06-01-2008 | Отправлено: 22:00 06-01-2008
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MuzikantshaMasha
думаю нужно перебираться сюда PC Tools Firewall Plus™
тема по ослу у нас тут eMule или еМул

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 22:12 06-01-2008 | Исправлено: slech, 22:15 06-01-2008
5555555



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MuzikantshaMasha

Цитата:
Называется "Welho".

ага, слышал, знакомый на нем сидел, но еще полгода назад они более 10 Mb не давали (если не обманывает память - что-то за 50 евро).
 
по поводу настроек осла попробуйте здесь может поможет, хотя если есть highid теоретически должен работать

Всего записей: 2613 | Зарегистр. 01-04-2004 | Отправлено: 22:33 06-01-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
MuzikantshaMasha

Попробуй для eMule разрешить все входящие и исходящие по TCP и UDP протоколам по всем портам, разреши также ICMP соединения. Проверь что все работает и потом перезагрузки компьютер. Если скорость не увеличится - значит сам PC Tools Firewall не поддерживает работу с такой скоростью - попробуй другой например Look 'n' Stop.
 

Цитата:
где ethernet-скую карту взяли на "3 GB в секунду"

Видимо как всегда ... подарили    
 

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 22:36 06-01-2008
MuzikantshaMasha

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech  
 

Цитата:
MuzikantshaMasha
думаю нужно перебираться сюда PC Tools Firewall Plus™  

 
Ага, спасбочки, перенесла в фаэрвольную тему, т.к. проблема явно не в осле... Здесь модератор наверно может удалить...  
<a href="http://forum.ru-board.com/topic.cgi?forum=5&topic=22585&start=40" target="_blank">  А тут буду ждать ответов! </a>  Спасибо!
 
5555555
Нет, у меня уже 4 года тотже провайдер 59.50 евро - 3GB
А 1GB - 49.50 евро в месяц. А 10MB я и не знаю, что за скорость такая... :0)

Всего записей: 14 | Зарегистр. 06-01-2008 | Отправлено: 22:39 06-01-2008
5555555



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
TCP и UDP протоколам по всем портам

так там вроде и так:

Цитата:
Ослу дан полный аксесс даже и через расширенные настройки

 

Цитата:
также ICMP
а смысл?

Цитата:
Видимо как всегда ... подарили
10 Gigabit Ethernet оптику в комп?

Всего записей: 2613 | Зарегистр. 01-04-2004 | Отправлено: 22:45 06-01-2008
MuzikantshaMasha

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
 
Пойдёмте пожалуйста сюда: http://forum.ru-board.com/topic.cgi?forum=5&topic=22585&start=40
Я перенесла всю тему и комменты.
 
 
Цитата:
Попробуй для eMule разрешить все входящие и исходящие по TCP и UDP протоколам по всем портам, разреши также ICMP соединения. Проверь что все работает и потом перезагрузки компьютер. Если скорость не увеличится - значит сам PC Tools Firewall не поддерживает работу с такой скоростью - попробуй другой например Look 'n' Stop.  

 
Для осла у меня в фаерволе уже всё  разрешено. А ICMP соединения - какие именно? (Я выше описала все, которые есть) Если все разрешу, так зачем мне тогда фаэрвол?! Смотрите, я точно знаю, что тормозит фаэрвол, т.к. без него работает гениально. К тому же у осла и так Хай Ай Ди, только вдруг не качает ничего....

Всего записей: 14 | Зарегистр. 06-01-2008 | Отправлено: 22:54 06-01-2008
solstice

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто разбирался со StrongDC++? Входящее соединение ломится все время на разные порты - 5180, 21677, 12605 и т.д. Исходящие тоже. Но исходящие не проблема, разрешу. Как быть со входящими? неужели создать правило ALLOW TCP/UDP FROM ANY:ANY TO [MY_HOST]:[1024..65535]?

Всего записей: 728 | Зарегистр. 27-07-2006 | Отправлено: 20:03 10-01-2008 | Исправлено: solstice, 20:04 10-01-2008
5555555



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
solstice
попробуй tcp 55556, udp 55557

Всего записей: 2613 | Зарегистр. 01-04-2004 | Отправлено: 20:21 10-01-2008
solstice

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
5555555
не идет ((
соединения надо разрешить и для приложения, и в глобальных правилах - так?
 
все равно слишком много других левых портов

Всего записей: 728 | Зарегистр. 27-07-2006 | Отправлено: 21:26 10-01-2008 | Исправлено: solstice, 21:32 10-01-2008
5555555



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
solstice

Цитата:
соединения надо разрешить и для приложения, и в глобальных правилах - так
да, я не знаю что у тебя за стенка..

Цитата:
слишком много других левых портов

если ломяться на левые это может означать, что не получается занять условно "основные" т.е. дефолтные.

Всего записей: 2613 | Зарегистр. 01-04-2004 | Отправлено: 00:21 11-01-2008
solstice

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
5555555
стенка Comodo 3.0.14.276.  
на сайте стронгдс++ не нашел прямого указания рабочих портов.

Всего записей: 728 | Зарегистр. 27-07-2006 | Отправлено: 08:14 11-01-2008
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chern
 
Скайп - это одна большая дырка. Так что его либо можно зарезать полностью, либо с этим смириться. Подробности на http://www.xakep.ru/post/38543/default.asp

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 17:42 12-01-2008
solstice

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
все, разобрался... не знаю как у других, но у стронг дс++ так (v 2.06): File -> Settings -> Connection settings -> Блок Incoming connection settings -> радиобаттон ставим на Firewall with manual port forwarding, поле External / WAN IP пустое. Порты ТСР 3431, UDP 6134. Пишем в правила - ALLOW TCP/UDP IN FROM ANY:Any TO [Host]:3431,6134

Всего записей: 728 | Зарегистр. 27-07-2006 | Отправлено: 11:44 13-01-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru