Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
palamars



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, вот ищу такой файерволл, в котором можно было бы вообще отключить фильтр пакетов и защиту от атак, но при этом работал бы контроль приложений, т.е. приложения из черного списка он в интернет не пускал. Пробовал Comodo, он так не может

Всего записей: 93 | Зарегистр. 10-11-2006 | Отправлено: 11:25 27-10-2008
CocKain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
palamars

Цитата:
контроль приложений

BlackICE Defender. Используется компонента "Application Protection", движок отключается.

----------
всегда начеку

Всего записей: 1453 | Зарегистр. 15-11-2004 | Отправлено: 12:43 27-10-2008
palamars



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо, попробую. А бесплатного нет?

Всего записей: 93 | Зарегистр. 10-11-2006 | Отправлено: 13:15 27-10-2008
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Народ, вот ищу такой файерволл, в котором можно было бы вообще отключить фильтр пакетов и защиту от атак, но при этом работал бы контроль приложений, т.е. приложения из черного списка он в интернет не пускал. Пробовал Comodo, он так не может  
palamars, можно и в COMODO это настроить:
 
1. В третьей версии:
• В General Rules поставить одно правило (или же его в начало поставить и остальные правила перестанут работать):
Allow IP In/Out From IP Any To IP Any Where IP Protocol Is Any
• Также снять все галочки в Attack Detection Settings, а в графах по флуду поставить дурацкие цифры (предел срабатывания побольше за период времени поменьше).
 
2. А во второй версии можно отключить Сетевой монитор и снять все галочки по атакам в настройкам и цифры глупые поставить по флуду.

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 15:25 27-10-2008 | Исправлено: WIGF, 15:27 27-10-2008
palamars



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
за период времени поменьше

Спасибо! (Я думал время тоже надо ставить большое)

Всего записей: 93 | Зарегистр. 10-11-2006 | Отправлено: 01:21 28-10-2008
acro



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
осле KB951748 с локальных портов 49152-65535 лезет только svchost и только на DNS.

Есть такая проблема:
почему-то локальный порт для DNSа стал в диапазоне 27000-42000

Всего записей: 716 | Зарегистр. 24-07-2003 | Отправлено: 22:28 14-11-2008
solstice

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Есть такая проблема:  
почему-то локальный порт для DNSа стал в диапазоне 27000-42000

такая ж фигня, теперь на днс порт (53) локальные берет из диапазона выше 30 000. Хотя по правилам надо 1024-4999. Как это побороть?
 

Всего записей: 728 | Зарегистр. 27-07-2006 | Отправлено: 14:17 21-12-2008
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
solstice
acro

Цитата:
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  

Вроде в шапке понятно написано и на предыдущих страницах обсуждалось.

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 10097 | Зарегистр. 18-04-2007 | Отправлено: 16:41 21-12-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
acro
Если в системе есть антивирус (антиспай с мониторингом) c Web проверкой трафика - то после KB951748 возможен сдвиг всех прописанных настроек. Вариант - или увеличиваем ширину с 1024:65535 или не ставим этот KB951748.
Но вот если KB951748 нету, а запросы DNS идут выше порта 10000 - внимательно проверяем систему, желательно разными антивирусами    

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 23:41 29-12-2008
VikLabel

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Система W7b1, Firefox теперь работает через диапазон портов в районе 49500.
Теперь установка 1024-5000 не катит. Как узнать какой диапазон выставить, а то поставил 49000-65535 - дюже широко. Спасибо!

Всего записей: 674 | Зарегистр. 05-03-2003 | Отправлено: 11:01 25-01-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VikLabel

Цитата:
49000-65535 - дюже широко
Можно оставить, портов петли это не широко.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 23:35 25-01-2009
Seregik_AS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В шапке темы указаны порты для браузеров, диапазон портов заканчивается на 5000. Посмотрел в списке исходящих подключений в Comodo IS у большинства подключений порты в районе 50000-55000, в том числе и у брайзера. Вопрос - если я ограничу диапазон портов до 5000 не будет ли блокироваться вся моя сетевая активность или браузер сам переключится в предложенный диапазон портов?  
Если такой вопрос был не ругайте, просмотреть 45 страниц дело не малое.

Всего записей: 35 | Зарегистр. 12-03-2009 | Отправлено: 19:49 12-03-2009
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Seregik_AS, если речь о локальных (Закладка "Source Port" в CIS), то достаточно Exclude A Set of Ports : Privileged Ports (любые, кроме  Privileged Ports). А если без загогулин, то разрешить Non-Privileged Ports (1024-65535) - тогда галка "Exclude" конечно не нужна.

Цитата:
...или браузер сам переключится в предложенный диапазон портов?

 Я думаю, что это предположение верно. Но смысла в такой маниакальности (1024-5000) нет никакого. В CIS хватает других более важных ньюансов (правил), так что не зацикливайся на данной мелочи.

Всего записей: 3472 | Зарегистр. 26-03-2006 | Отправлено: 22:24 12-03-2009 | Исправлено: vitsat, 22:29 12-03-2009
Sympathy



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На сколько опасен системный порт 443? Стоит ли его закрывать а постоянной основе?

----------
Is it me You're looking for?

Всего записей: 8449 | Зарегистр. 13-10-2008 | Отправлено: 16:11 13-03-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sympathy
443? Вы не путаете с 445?
Если не путаете - вы SSL пользуетесь?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 16:16 13-03-2009
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sympathy
Цитата:
На сколько опасен системный порт 443? Стоит ли его закрывать а постоянной основе?
Конечно, опасен. Это https, если он у тебя открыт, значит у тебя сервер висит, твой, или вражеский, с шифрованием трафика. Спамерством не увлекаешься?

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 16:37 13-03-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TeXpert
Чего вы девушку пугаете? Вряд ли троян будет держать оригинальный 443-й порт.
 
А вообще рекомендую разрешить все исходящие на порт 443 и запретить все входящие, если, конечно, у вас нет на машине сервера с SSL-шифрованием.
 
И сильно подозреваю, что речь шла о печально известном кидошном 445-м....

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 16:59 13-03-2009
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
Чего вы девушку пугаете?
Вряд ли её напугаешь -- у неё Макафья
Цитата:
Вряд ли троян будет держать оригинальный 443-й порт
Это ещё почему? А что, бывает и поддельный 443-й?
Цитата:
А вообще рекомендую разрешить все исходящие на порт 443 и запретить все входящие
А я о чём говорю? Я про открытый у неё порт, а исходящий на этот порт нормальный человек не станет блокировать

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 17:34 13-03-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TeXpert
Потому что это легко вскрывается. Легче открыть порт 23456, чем пастись на 443.
И уйдём от фантазий: вам известен хоть один вирус, использующий 443-й порт?

Цитата:
Вряд ли её напугаешь -- у неё Макафья

И что дальше? Каспер до сих пор до конца не поборол кидо - и что? На данный момент лучшим и самым надёжным антивирусом официально признана кнопка Power off.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 17:48 13-03-2009
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
Потому что это легко вскрывается
Ты думаешь, вирусописатели такие лохи?
Цитата:
Легче открыть порт 23456, чем пастись на 443
Как раз это легче обнаружить
Цитата:
И уйдём от фантазий: вам известен хоть один вирус, использующий 443-й порт?
То что мне неизвестно -- не означает, что таких нет, это раз. Второе -- при наличии у неё легального сервера, использующего порт 443, и следовательно, разрешённого, такой троян просто внедрится в адресное пространство сервера, и никакой firewall уже ему не страшен. И не говори, что это опять фантазии -- несмотря на бесконечные заплатки, дыры почему-то не уменьшаются. Кстати, Wzor-то упал как-то по-детски -- а ведь его хозяева вовсе не новички
Цитата:
И что дальше?
Это был намёк на то, что барышня кое-что умеет
Цитата:
Каспер до сих пор до конца не поборол кидо - и что?
Начхать мне на этого чудовищного тормоза
Цитата:
На данный момент лучшим и самым надёжным антивирусом официально признана кнопка Power off
Мне жаль придерживающихся этой точки зрения -- при грамотной политике (прямых руках) девушке нечего особо опасаться, а при твоих страхах -- вообще-то достаточно лишь отрубиться от сети (не питания) -- уж Power off-то зачем?)

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 18:05 13-03-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru