Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
speakerr, я об этом же и написал, только очень простым языком. Физически ведь ответ на запрос по http - это входящие соединения, только в другом состоянии, нежели, например, входящие соединения p2p-трафика. В виндосе в обычных персональных фаерволах для обычного пользователя достаточно и такого понимания процесса, это ведь не настройка iptables. И по большому счёту ответ от браузера - это ведь ожидаемое входящее, т.к. браузер ждёт ответа на том же порту с того же адреса, куда он отправил запрос. Так что как не называй это, а смысл не меняется.

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 13:20 03-08-2009 | Исправлено: WIGF, 13:21 03-08-2009
speakerr



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF

Цитата:
ведь ответ на запрос по http - это входящие соединения

ну нету у браузера входящих соединений, нету! ты хотя бы шапку посмотри вмимательно, а? соединений много, но они все исходящие, по которым идет трафик в обоих направлениях. и не нужно фантазировать и путать "очень простым языком" других.

Всего записей: 423 | Зарегистр. 09-02-2004 | Отправлено: 14:15 03-08-2009 | Исправлено: speakerr, 14:16 03-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF,speakerr, если позволите как инициатор вопроса привиду понятное мне сравнение пришедшие на ум в ходе ваших дебатов.

Цитата:
соединений много, но они все исходящие, по которым идет трафик в обоих направлениях.
Это можно сравнить с звонком по телифону, я набираю номер "исходящее соединение", на том конце поднимают трубку и теперь мы можем разговаривать, говорю я "исходящий трафик" говорят на том конце "входящий трафик".
Верно?

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 14:45 03-08-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015
Не будет дебатов -
Цитата:
ну нету у браузера входящих соединений, нету!

Входящий трафик на браузер будет только в том случае, если он заражен вирусом.

Цитата:
DNS служба не работала, включил теперь всё ok
- ЗРЯ!

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 14:54 03-08-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015, не совсем. Если брать ваш пример, то стоит исходить из принципа "платит звонящий", т.е.  
в фаерволе надо прописывать инициатора соединения (звонящего).
А нет, верно всё вы поняли. Я невнимательно ваш пост прочитал первый раз (соединение/трафик).
 
speakerr, читайте внимательно, что я написал. И причём здесь шапка ? Есть входящий трафик, запустите сниффер и увидите, что данные вам от сайта передаются в виде входящих соединений, а вы их запрашиваете в виде исходящих. Только входящий в данном случае будет уже по установленному соединению. Что я не так написал ? Скажите, что вы от сайтов не получаете трафик ? Вы просто инициатором соединения выступаете, но трафик то есть входящий по этим соединениям. Фаер следит за инициатором соединений и дальше разрешает все соединения между обеими сторонами или запрещает. Я назвал входящие по соединениям, в которых мы являемся инициатором (соединения браузера), ожидаемыми. Что в этом неправильного ?
Сами путаете только своими замечаниями.
А провайдер ваш не считает входящий трафик ? Так по вашему по сайтам можно лазить и трафик не тратить вообще ? О чём вы со мной спорите то ?
То что, вы соединения смотрите через какой-нить монитор соединений не означает, что все соединения вам показывает. Он показывает соединения с позиций инициатора, но на самом деле трафик идёт ведь в обе стороны.
sanni00015 как я понял, об этом и спросил: как это он разрешает только исходящие браузеру, если он открывает страницы. Они ведь как-то к нему попадают. Я и написал как.

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 15:25 03-08-2009 | Исправлено: WIGF, 15:42 03-08-2009
speakerr



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015

Цитата:
Это можно сравнить с звонком по телифону, я набираю номер "исходящее соединение", на том конце поднимают трубку и теперь мы можем разговаривать, говорю я "исходящий трафик" говорят на том конце "входящий трафик".  
Верно?  

да, верно, хорошее сравнение.

Всего записей: 423 | Зарегистр. 09-02-2004 | Отправлено: 15:31 03-08-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
speakerr, кажется я понял, что вам у меня не нравилось. Я слово "соединение" то в смысле "трафик" употреблял, а то в смысле "соединение". Из-за этого взаимное недопонимание произошло скорее всего.
Но не буду править, а то смысл дальнейших постов потеряется.

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 15:45 03-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А что у браузера входящего трафика разве нет? Опять я, что то не допонял...
На этот мой вопрос по сути ответилVerwolk,WIGF внёс пояснения которые помогли мне понять суть процесса
Цитата:
направление определяется инициатором. то есть входящий трафик у браузера есть, но он инициирован самим браузером

Цитата:
Т.е. если вы посылаете запрос сайту, то он в ответ вам отправляет свою страничку
,
Цитата:
speakerr соединений много, но они все исходящие, по которым идет трафик в обоих направлениях
коротко и ёмко, мне так понятней.

Цитата:
- ЗРЯ!
KUSA, как так, но до включения этой службы мне и вовсе приходилось разрешать соединение Проводнику, что как я понимаю быть не должно?
 

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 15:46 03-08-2009
speakerr



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF

Цитата:
Фаер следит за инициатором соединений  

это совершенно правильно.

Цитата:
и дальше разрешает все соединения между обеими сторонами или запрещает

а это нет. еще раз... браузеру разрешены только исходящие соединения. какие еще, блин, "все соединения между сторонами"? ты просто путаешь понятия соединение и трафик. открой в какой-нибудь программе таблицу текущих соединений и посмотри внимательно - как работает браузер. в том же Kerio 2.1.5, например, все расчудесно видно.

Всего записей: 423 | Зарегистр. 09-02-2004 | Отправлено: 15:49 03-08-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015, по поводу службы DNS-клиент: если её отключить, то все запросы будут посылаться самими приложениями. Поэтому при подключении vpn у вас и вышел запрос от эксплорера. Если включить службу, тогда запросы пойдут от лица svchost.exe. И так можно разрешить какой-то DNS-запрос программе, которой как бы незачем его делать, а вы и не поймёте, кто это на самом деле его производил.
 
Добавлено:
speakerr, написал выше:
Цитата:
Я слово "соединение" то в смысле "трафик" употреблял, а то в смысле "соединение". Из-за этого взаимное недопонимание произошло скорее всего.  
В этом вся причина. Где не в том смысле употребил, там, конечно, я не прав.
 

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 15:50 03-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
по поводу службы DNS-клиент: если её отключить, то все запросы будут посылаться самими приложениями. Поэтому при подключении vpn у вас и вышел запрос от эксплорера. Если включить службу, тогда запросы пойдут от лица svchost.exe. И так можно разрешить какой-то DNS-запрос программе, которой как бы незачем его делать, а вы и не поймёте, кто это на самом деле его производил.
Да так ясней, если позволите хотел бы в ПМ уточнить нюансы.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 16:17 03-08-2009
Skif_off

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015

Цитата:
если позволите хотел бы в ПМ уточнить нюансы.

а давайте не в ПМ, давайте здесь
 
так и не определился - стоит отключать DNS-клиент и разрешить DNS-запросы конкретным приложениям или же оставить как есть по-умолчанию, понаставить запретов..

Всего записей: 6595 | Зарегистр. 28-01-2008 | Отправлено: 13:49 04-08-2009
Zeesh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Skif_off

Цитата:
стоит отключать DNS-клиент и разрешить DNS-запросы конкретным приложениям или же оставить как есть по-умолчанию

DNS-клиент отключать, конечно, можно, но не нужно. Дело в том, что клиент хранит в памяти все IP-адреса, посещенные в текущем сеансе работы. Другие приложения этого могут не делать. Надеюсь, помните проблему с подключением к ru-board, когда было отказано в DNS-обслуживании за несвоевременную оплату — тогда подключиться могли только те, у кого работал DNS-клиент, уж потом, внеся соответствующие адреса в hosts, можно было подключаться в любое время…

----------
Всё, что вы скажете, будет исковеркано чужим больным разумом и использовано против вас!

Всего записей: 2364 | Зарегистр. 27-07-2006 | Отправлено: 14:46 04-08-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Skif_off, ничего секретного в личке не было. Если sanni00015 выложит эту инфу, то я не против, хотя там ничего особенного нет (по большому счёту, вопрос был индивидуального характера).
 
Особого смысла, чтобы отключать DNS-клиент, нет: памяти вы особо не сэкономите, проблемы могут быть (Zeesh написал), а вот запретить исходящие DNS-запросы на любые адреса, кроме DNS провайдера (или других используемых) не так и сложно. Для этого в глобальных правилах сначала разрешаем исходящие UDP на порт 53 серверов DNS, а следующим правилом запрещаем все прочие исходящие UDP на порт 53. Если фаер поддерживает создание групп адресов, тогда можно создать группу "DNS-серверы" и включить туда все используемые DNS-серверы. И уже эту группу подставлять в правилах для приложений как получателя в исходящих UDP на порт 53. Так организовать контроль исходящих DNS-запросов можно и при включенном, и при выключенном DNS-клиенте.
 
P.S. Я всю жизнь с ним сидел в виндосе и ничего страшного. Включив эту службу и разрешив исходящие DNS для svchost мы ведь не разрешаем все остальные исходящие, пусть даже DNS-запрос через svchost сделал вредонос.

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 15:28 04-08-2009
Zeesh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дополнительно о системе DNS-серверов и как все это работает, можно узнать здесь

----------
Всё, что вы скажете, будет исковеркано чужим больным разумом и использовано против вас!

Всего записей: 2364 | Зарегистр. 27-07-2006 | Отправлено: 15:56 04-08-2009
Skif_off

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zeesh
WIGF
спасибо, что разжевали
просто вспомнил свои метания, внятной инфы не было, в итоге разрешил svchost.exe только исходящие к конкретным DNS-адресам прова, запретив все остальное, но сомнения - а не было бы удобнее сделать так, чтобы прога сама делала DNS-запрос? - все равно иногда всплывали..

Всего записей: 6595 | Зарегистр. 28-01-2008 | Отправлено: 22:22 04-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот выложил.
ПМ переписочка "Настройки DNS". WIGF, sanni00015.
 
Как не настраивай Защиту, Skype прорвётся... "Skype: скрытая угроза. (08.06.2007 )" В который раз верна русская поговорка "Бесплатный сыр, в мышеловке" 10:36 10-08-2009

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 22:52 04-08-2009 | Исправлено: sanni00015, 10:55 10-08-2009
bobvis

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
В таблице настроек персональных фаерволов нет настроек для Skype. Может кто то подскажет? Или это не реально? Постоянно в Comodo вижу десятки соединений Skype с разными IP. Ни одна программа так себя не ведет. Но т.к. пользуюсь сносить не хочется-хочется ограничить, если можно.

Всего записей: 79 | Зарегистр. 17-02-2007 | Отправлено: 10:22 17-09-2009
Sympathy



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это нормальное поведение Скайп. Так он добивается надёжности связи при всех условиях.
Можно почитать про Скайп и файерволлы.
Там есть ссылки и про настройки для разных типов файерволлов.

----------
Is it me You're looking for?

Всего записей: 8449 | Зарегистр. 13-10-2008 | Отправлено: 10:37 17-09-2009
bobvis

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sympathy
 
Спасибо. Вот бы еще на русском...

Всего записей: 79 | Зарегистр. 17-02-2007 | Отправлено: 16:48 17-09-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru