Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Verwolk



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
adronik спроси там:
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=25898&start=580#lt

Всего записей: 2167 | Зарегистр. 24-11-2005 | Отправлено: 14:04 28-04-2008
233



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уже несколько раз замечал UDP сканирование портов с IP провайдера (адрес DNS сервера). Comodo блокирует "временно атакующего"
В инет выхожу через роутер с NAT, никакого форвардинга портов не делал, всё закрыто. А провайдер-собака пробивается в домашнюю сеть и сканирует порты на моем компе 192.168.1.33, а может и на втором 192.168.1.34 - надо тоже туда Comodo поставить.
Подскажите знающие люди зачем моему провайдеру (O2 Germany) сканировать мои порты?
 
   

Всего записей: 145 | Зарегистр. 12-02-2007 | Отправлено: 05:29 02-05-2008 | Исправлено: 233, 01:44 21-06-2008
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
233  
А в твоём рутере (если это ADSL-модем с прибамбасами) нету firewall'а?

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 09:44 02-05-2008
233



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TeXpert

Цитата:
А в твоём рутере (если это ADSL-модем с прибамбасами) нету firewall'а?

Есть, и большую часть именно он блокирует, но как видно не на 100% Он ведь блокирует незапрошенные пакеты, а тут видимо какая то прога (или процесс... х.з.) обращается к серверу DNS провайдера, а в ответ сканирование портов

Всего записей: 145 | Зарегистр. 12-02-2007 | Отправлено: 14:27 02-05-2008 | Исправлено: 233, 16:59 02-05-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
233

Цитата:
Уже несколько раз замечал UDP сканирование портов с IP провайдера (адрес DNS сервера). Comodo блокирует "временно атакующего"  
Это провайдера?    
Надо меньше доверять таким "качественным" фаеволам
Максимум - у вас кто-то пользуется чем-то типа Torrent или Edonkey, но Comodo не может это точно увидеть...
Не волнуйся с этим особо - с нормальными правилами и нормальным фаером это все не стоит внимания. А вот некоторые твои правила могут тебе доставить массу проблем... Не стоит задавать один и тот-же вопрос в разных темах... Это

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 13:50 03-05-2008
233



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

Цитата:
Это провайдера?

И зачем переспрашивать По русски написано - провайдера. Если всё равно не верится - см. скриншот ниже.

Цитата:
кто-то пользуется чем-то типа Torrent или Edonkey, но Comodo не может это точно увидеть...  

Comodo точно не видит, потому что чем-то типа Torrent или Edonkey не пользуемся.

Цитата:
Не волнуйся с этим особо

Волнений нет, ведь заблокировал. А вопрос остался. И пока никто по существу не ответил, не считая общих рассуждений о нормальных правилах и фаерах... Это тоже наверное
Замечание по поводу двух тем принято, еще бы услышать нормальный совет по правилам в настройках (если уж что то не понравилось).
 
А вот тут можно убедиться, что это действительно DNS сервер назначаемый провайдером.
 
   

Всего записей: 145 | Зарегистр. 12-02-2007 | Отправлено: 03:15 04-05-2008 | Исправлено: 233, 06:24 04-05-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
233

Цитата:
И пока никто по существу не ответил, не считая общих рассуждений о нормальных правилах и фаерах...
:lol Я уже тебе ответил
Цитата:
с нормальными правилами и нормальным фаером это все не стоит внимания

Цитата:
еще бы услышать нормальный совет по правилам в настройках
А разве в шапке нету правил по настройке DNS?
 
 

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:12 04-05-2008
233



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
Нормальный совет "см. шапку" принят к сведению.
Больше ничего, кроме хихиканья насчет провайдера и высказываний в стиле Воробьянинского многозначительного "Да уж!!!", я не услышал. Если нечего ответить или лень, так и не отвечай.
 
Для всех остальных
Для чего провайдер сканирует порты, сталкивался ли кто нибудь с подобным?

Всего записей: 145 | Зарегистр. 12-02-2007 | Отправлено: 22:18 04-05-2008 | Исправлено: 233, 00:18 05-05-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
233

Цитата:
 Для чего провайдер сканирует порты, сталкивался ли кто нибудь с подобным?

В связи с тем, что длина заголовка UDP - чило постоянное , а приходящие к тебе IP адреса DNS (62.53.180.102 и 193.189.244.205) из разных классов  , то вполне реально, что твой фаервол просто ошибается в режиме демультиплексирования кадров дейтаграмм.  
 

Цитата:
и высказываний в стиле Воробьянинского многозначительного "Да уж!!!", я не услышал.
А здесь и не институт благородных девиц  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 17:59 10-05-2008
Sizif73



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2All
 
Кто нибудь настраивал спутниковый интернет. Интересуют настройки SlonAx и куда пущать или не пущать Sistem?
Для слона я кое какие правила из логов создал, но интересует не слишком ли широкая калитка.

----------
Я ленивый, но упрямый.

Всего записей: 3108 | Зарегистр. 22-03-2006 | Отправлено: 19:24 08-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sizif73

Цитата:
 Для слона я кое какие правила из логов создал, но интересует не слишком ли широкая калитка.
Может стоит их показать?  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 19:36 11-06-2008
Sizif73



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
Да честно сказать не хотел позорится Понимание у меня интуитивно экспериментальное.
Но вот таблица настроек для SlonAx. Фаер Jetico первая
 
Условие Протокол Событие Локальный адрес Удаленный адрес Локальный порт Удаленный порт    
Принять TCP/IP receive datagrams any 127.0.0.1 1024:5000 any    
Принять TCP/IP send datagrams any 127.0.0.1 any 1024:5000    
Принять TCP/IP inbound connection any 127.0.0.1 110 any    
Принять TCP/IP inbound connection any 127.0.0.1 1080 any    
Принять TCP/IP inbound connection any 127.0.0.1 8083 any    
Принять TCP/IP receive datagrams any 192.168.100.54/24 1024:5000 any    
Принять TCP/IP receive datagrams any 82.198.31.54 1024:5000 any    
Принять TCP/IP send datagrams any 82.198.31.54 any 1024:65535    
Принять TCP/IP send datagrams any 85.195.133.4 any 1024:65535    
Принять TCP/IP send datagrams any 212.44.92.18 any 1024:65535    
Принять TCP/IP send datagrams any 212.44.92.22 any 1024:65535    
Принять TCP/IP send datagrams any 212.44.92.246 any 1024:65535


----------
Я ленивый, но упрямый.

Всего записей: 3108 | Зарегистр. 22-03-2006 | Отправлено: 20:38 11-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sizif73
Снизу вверх-первые 5 нижних строчек и 11 строка -не страшно-ты отравляешь, а не принимаешь. 6 строка - прием датаграм на свой любой порт, но с определенного IP адреса - не страшно  
7 строка (192.168.100.54/24) - не знаю, нужно или нет?
8,9,10,12 - не широкая-ли калитка?
 
просто если работает - оставь, если не хочется проблем - нужно постараться сузить
 

Цитата:
Фаер Jetico первая  

Цитата:
receive datagrams

Что в понятиее Jetico - датаграмма? Если это то, что принято по стандарту, то ты разрешаешь в 11 правиле подключение по протоколу TFTP или RTP или другому,  прямой коннект к своей машине к петле localhost...
 
Для фаервола также важно наличие пароля на загрузку и выгрузку.  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 10:12 12-06-2008
Sizif73



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
Спасибо за разбор.

Цитата:
8,9,10,12 - не широкая-ли калитка?

первый запрос идет на 3444 порт, последующие запросы шли в область портов с номерами около 500000. Правила рисовал по аналогии с теме что в шапке.  
3, 4, и 5 строки, тут запросы на локальный прокси, слон именно так и работает.
1, 2 и 7  строки, тут я не очень понимаю. Просто идут запросы. А в случае запрета связь востанавливается только после перезагрузки проги.
Цитата:
192.168.100.54/24
Это, я так понимаю, адреса DVB карты. По крайней мере перебираются не только порты но и IP.
7-ю строку
Цитата:
any     82.198.31.54     1024:5000     any  
выключил. Пока работает нормально.
 

Цитата:
Что в понятиее Jetico - датаграмма?  
Честно говоря перечитывать топик по джетике лень, но кажется там это разбирали. А вот дальше я не все слова понял.
Цитата:
Если это то, что принято по стандарту, то ты разрешаешь в 11 правиле подключение по протоколу TFTP или RTP или другому,  прямой коннект к своей машине к петле localhost...
Если ты это про первое правило то я про него уже писал. В данном случае речь, мне кажется, скорее не о подключении, подключение
Цитата:
inbound connection
, а о приеме от того что уже присутствует на машине. Хотя повторюсь, понимание на интуитивном уровне.
 

Цитата:
Для фаервола также важно наличие пароля на загрузку и выгрузку.    

Учту   Вроде как Джетика при выносе за собой рубит сеть. Повторюсь. перечитывать лень.


----------
Я ленивый, но упрямый.

Всего записей: 3108 | Зарегистр. 22-03-2006 | Отправлено: 19:58 12-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sizif73

Цитата:
Это, я так понимаю, адреса DVB карты.

По практике  192.168.100.... получается, когда в сети отсутствует DHCP сервер.  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:33 14-06-2008
Sizif73



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

Цитата:
По практике  192.168.100.... получается, когда в сети отсутствует DHCP сервер.

Ну откуда он на одиноком компе    
Спутниковая DVB карта и GPRS модем для "земли" вся сеть.
И
Цитата:
7-ю строку

Цитата:
any     82.198.31.54     1024:5000     any
   
 
выключил. Пока работает нормально.

При переходе на этот айпишник пришлось включить.

Всего записей: 3108 | Зарегистр. 22-03-2006 | Отправлено: 23:43 16-06-2008
233



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

Цитата:
то вполне реально, что твой фаервол просто ошибается в режиме демультиплексирования кадров дейтаграмм

Вот ты пулю отлил размером разве что для Царь-пушки.

Всего записей: 145 | Зарегистр. 12-02-2007 | Отправлено: 01:55 21-06-2008 | Исправлено: 233, 01:55 21-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
233
А при чем тут пуля? Просто каждый фаервол по разному отрабатывает протокол итд.
Для обсуждения есть топик Лучший файерволл firewall  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 10:45 22-06-2008
233



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

Цитата:
А при чем тут пуля?

Пули лить (отливать) (разг.) лгать, рассказывать небылицы.
Это я по поводу
Цитата:
демультиплексирования кадров дейтаграмм
 

Всего записей: 145 | Зарегистр. 12-02-2007 | Отправлено: 16:28 22-06-2008 | Исправлено: 233, 16:29 22-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
233

Цитата:
 Пули лить (отливать) (разг.) лгать, рассказывать небылицы.

Тогда расскажи, от чего зависит длина дейтограммы    

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 23:18 23-06-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru