Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.

Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)
(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534
 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.
Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .
Рабочая копия-архив шапки #
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При настройке сетевого экрана важен также и порядок правил.
Логика работы файервола такая: для каждого сетевого пакета просматриваются правила от №1 до последнего и проверяется соответствие пакета с шаблоном правила.
Если пакет удовлетворяет шаблону - выполняется действие, предписанное правилом и проверка заканчивается.
В противном случае проверяется дальше по списку правил.
 
Порой даже знающие люди допускают ошибки при настройке списка правил.
Будьте внимательны!
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 17:53 27-03-2004 | Исправлено: miasnikov andrew, 17:59 27-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
порядок правил

Уже, у сожалению, не у всех. Tiny, например, определяет только две группы правил, у одной группы приоритет выше, чем у другой, а внутри группы все правила равнозначны  
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:53 27-03-2004
SXP



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
дырки нужны? пажалуста... Outpost Firewall 1 / 2.0 can be terminated by any trojan or backdoor... независемо от установленного в нем пароля
Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 18:57 27-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Outpost Firewall 1 / 2.0 can be terminated by any trojan or backdoor
- Вроде как, против троев стенки не предназначены, или как? Стена по идее следит за сетевой активностью, а если пакость уже в машине - стена так же беззащитна, как и любой другой софт.  
 
 По сабжу вопрос: а не лучше ли обсуждать настройки каждого конкретного файера в теме, посвященной ему лично? А то ведь получим тут путаницу дикую.  
 Отдельная теме была бы оправдана, будь она своеобразной knowledgeBase, FAQ, уже собранный и структурированный,  
при просто обсуждении получим мешанку, в которой будет разобраться еще труднее, чем в стостраничных темах по каждому конкретно файеру.  
 
Karlsberg

Цитата:
у одной группы приоритет выше, чем у другой, а внутри группы все правила равнозначны  
- А как прога определяет порядок обхода правил? По алфавиту? Или времени создания?  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:59 27-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
против троев стенки не предназначены

зато ни один троян не сможет вылезти в инет, если файервол имеет фильтр приложений, а мы написали правила для своих.

Цитата:
а не лучше ли обсуждать настройки каждого конкретного файера в теме, посвященной ему лично?

правила в этом топике универсальны, и подходят к любому нормальному файерволу. максимум, они могут задаваться через 10 разных мест в меню, в особо накрученных экземплярах

Цитата:
А как прога определяет порядок обхода правил?

а вот это уже в топик по tiny
SXP
имелись в виду дырки в этих правилах, а не в файерволах
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 20:23 27-03-2004
SXP



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
имелись в виду дырки в этих правилах, а не в файерволах  

правим ини фаил Оутпоста и делаеи ресет.... жестко ребоотим систему... Оутпост ослеп
 

Цитата:
Вроде как, против троев стенки не предназначены, или как?

а какой тогда смысл в Аппликейшен контроле?
 

Цитата:
стена так же беззащитна

да нет же.... стена может заблокировать троян...
Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 21:52 27-03-2004
FromUa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я вооще в єтих вещах полній ноль. Вот люди сказали что нужно поставить себе firewall
Я установил себе WinRoute 2.1.5 (не самый свежий, но какой уж есть ) Но вот что дальше делать не знаю. Может кто раскажит как его настраивать необходимо. буду благодарен за любую помощ
Всего записей: 42 | Зарегистр. 25-01-2004 | Отправлено: 22:05 27-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SXP

Цитата:
правим ини фаил Оутпоста и делаеи ресет.... жестко ребоотим систему... Оутпост ослеп

Тема изначально задумывалась как набор правил для любого нормального файервола. Чтобы не надо было рыться в факах какой-нибудь одиги или Real7ime конвертера, а придти сюда и посмотреть, как настроить для него файервол. Проблемы оутпоста и других конкретных файерволов прошу постить в их собственном топике.
 
Добавлено
FromUa
Для начала реши, нужен ли тебе на твоем персональном компьютере файервол для корпоративных сетей, или стОит поискать файервол попроще.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:09 27-03-2004
FromUa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Подскажи тогда попроще фаирфол, я себе его скачаю. Мне просто для домашнего ПК.
Всего записей: 42 | Зарегистр. 25-01-2004 | Отправлено: 22:34 27-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FromUa
Для начала идем в тему Лучший Фаервол http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0044#1 потом ставим то, что понравилось, читаем его мануал и идем сюда читать первый пост.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:52 27-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а какой тогда смысл в Аппликейшен контроле?  
- В посте, как уже обсуждалось в его теме, -никакой, бо можно только запретить/не запрещать выход в сеть всего приложения после изменения компонента. Про зону - не знаю.

Цитата:
правила в этом топике универсальны, и подходят к любому нормальному файерволу. максимум, они могут задаваться через 10 разных мест в меню, в особо накрученных экземплярах  
- То есть, хочешь собрать основные принципы, какие порты закрыть, что разрешить? Неплохо. Но опять же, есть варианты: что подходит мне с выходом в сеть через локалку, то не пойдет для чела, сидящего на ДСЛ модеме напрямую (личный опыт), у каждого разные приложения, каждому надо что-то разное от стены, бывают разные направленяи угрозы...
 Далее, пакетные файеры имеют правила по фильтрации пакетов, просто фильтры их не имеют  
- опять же путаница: чел читает про рекомендованные правила без указания стены/др.условий, начинается крик - типа почему у меня этого нет, а то не работает - в результате - несколько страниц выяснения конкретного случая, обьяснения, недовольства и флейма. В остатке имеем - совершенно невразумительную и неудобную для юзанья тему в полсотни страниц.  
 
 Предложения - ограничиться портами (есть тема, точнее - 1 пост в подземке - перечисление всех портов с их функциями). В отношении остального - также - структурированный ФАК, а не обсуждение. Например, в шапке темы. Подправляемый при поступлении новой инфы.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:55 27-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
начинается крик

Тут два варианта - что-то делать, несмотря на крик, или не делать. Я сделал, посмотрим что выйдет...

Цитата:
что подходит мне с выходом в сеть через локалку, то не пойдет для чела, сидящего на ДСЛ модеме напрямую

Медицинский факт Но при минимуме знаний можно отобрать из этого топика то, что нужно в каждом конкретном случае.

Цитата:
 опять же путаница

Вот поэтому я и сделал в начале несколько оговорок по файерволам. Кроме того, невозможно нормально настроить файервол, не понимая основ и не зная протоколов. Хотя бы понятие и принцип работы знать необходимо.

Цитата:
Предложения - ограничиться портами

В общем и целом, именно так и предполагалось. Только инфа должна быть не по портам, а по приложениям. Если я ставлю овернет, меня интересует какие порты и протоколы он использует, а тот-же порт 4662 может использовать пара-тройка других. Новую проверенную инфу будем прибивать кверху.
 
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:15 27-03-2004
Sky hawk



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Karlsberg
Молодец открыл действительно стоящию тему, что касается портов и прочего, всё ок, только одно тормозит - тестирование ф-ов, готовы аутпост, сиагейт и макаф, с остальными пока работаю, как закончу обязательно выложу вероятно в пдф. )  

----------
Волгоград в Фейсбуке
АвтоТвиттер
© каждый имеет мнение как хочет.
Всего записей: 2153 | Зарегистр. 31-10-2003 | Отправлено: 04:28 28-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В общем и целом, именно так и предполагалось
ОК. Вот список. Оттуда.  

Цитата:
________________________________________________________________________________________________________
Список портов и их сервисов  
 
Описание основных портов  
 
21 - ФТП пртокол,может использоваться если открыт анонимный доступ или стоит кривая версия софта(WU 2.6.0(1)War FTPd и тд)  
23 - Телнет протокол.Используеться для входа в систему с удалённого компьютера.Так же может показать версию ОСь.  
25 - Протокол для отправки почты,может использоваться в основном когда стоит кривая версия sendmail(самое распространённое)так же имеют место команды EXPN и VRFY которые могут дать взломщику некторую дополнительную информацию.  
53 - Показывает установлен ли DNS.Может использоваться для так называемого DNS Spoofing.Т.е подменой объекта ДНС.  
79 - Это Finger.При должном везении и ошибках в программном обеспечении можно получить список всех пользователей залогиненых в систему.  
80 - WWW Сервер.показывает присутствует ли ВВВ сервер на машине.Использовать можно для проверки на ЦГИ скрипты,так же показывает версию и название программного обеспечения установленного на машине.  
110 - POP. протокол для просмотра почтовых сообщений.Может использоваться при кривой версии П.О как например всем известный QPOP.  
111 - Sun RPC. Может использоваться при наличии ответа на команду rpcinfo -d |grep bind - ypbind tcp и тд.  
119 - NNTP.Проткол для чтения и отправки новостей в новостные группы,используеться так же при наличии ошибок в П.О  
139 - NETBIOS.Пртокол для работы с локальной сетью.МОжет использовать для сканирования на расшаренные ресурсы и получение информации о сети.  
443 - HTTPS,SSL.Тоже самое что и HTTP но использует безопасный протокол.  
513 - rlogin.Если у хоста есть запись в файле .rlogin то вы коннектитесь на удалённый хост без использования логина и пароля.  
 
Описание всех портов  
 
1=TCP-MUX - TCP Port Service Multiplexer  
 
2=COMPRESSNET - Management Utility  
3=COMPRESSNET - Compression Process  
5=RJE - Remote Job Entry  
7=ECHO - Echo  
9=DISCARD - Discard  
11=SYSSTAT - System Status  
13=DAYTIME - Daytime  
15=NETSTAT - Network Status  
17=QOTD - Quote of the Day  
18=MSP - Message Send Protocol  
19=CHARGEN - Character Generator  
20=FTP-DATA - File Transfer Protocol [Default Data]  
21=FTP - File Transfer Protocol [Control]  
22=SSH - SSH (Secure Shell) Remote Login Protocol  
23=TELNET - Telnet  
24=PMS - Private Mail System  
25=SMTP - Simple Mail Transfer Protocol  
27=NSW-FE - NSW User System FE  
29=MSG-ICP - Messege ICP  
31=MSG-AUTH - Messege Authentication  
33=DSP - Display Support Protocol  
35=PPS - Private Printer Server  
37=TIME - Time  
38=RAP - Route Access Protocol  
39=RLP - Resource Location Protocol  
41=GRAPHICS - Graphics  
42=NAMESERVER - Host Name Server  
43=WHOIS - Who Is  
44=MPM-FLAGS - MPM FLAGS Protocol  
45=MPM - Message Processing Module [recv]  
46=MPM-SND - MPM [default send]  
47=NI-FTP - NI FTP (File Transfer Protocol)  
48=AUDITD - Digital Audit Daemon  
49=BBN-LOGIN - Login Host Protocol (TACACS)  
50=RE-MAIL-CK - Remote Mail Checking Protocol  
51=LA-MAINT - IMP Logical Address Maintenance  
52=XNS-TIME - XNS Time Protocol  
53=DOMAIN - Domain Name Server  
54=XNS-CH - XNS Clearinghouse  
55=ISI-GL - ISI Graphics Language  
56=XNS-AUTH - XNS Authentication  
57=MTP - Private terminal access  
58=XNS-MAIL - XNS Mail  
59=PFS - Private File System  
60=Unassigned  
61=NI-MAIL - NI MAIL  
62=ACAS - ACA Services  
63=WHOIS++ - whois++  
64=COVIA - Communications Integrator (CI)  
65=TACACS-DS - TACACS-Database Service  
66=SQL*NET - Oracle SQL*NET  
67=BOOTPS - Bootstrap Protocol Server  
68=BOOTPC - Bootstrap Protocol Client  
69=TFTP - Trivial File Transfer Protocol  
70=GOPHER - Gopher  
71=NETRJS-1 - Remote Job Service  
72=NETRJS-2 - Remote Job Service  
73=NETRJS-3 - Remote Job Service  
74=NETRJS-4 - Remote Job Service  
75=PDOS - Private dial out service  
76=DEOS - Distributed External Object Store  
77=RJE - Private RJE (Remote Job Entry) service  
78=VETTCP - vettcp  
79=FINGER - Finger  
80=WWW-HTTP - World Wide Web HTTP (Hyper Text Transfer Protocol)  
81=HOSTS2-NS - HOSTS2 Name Server  
82=XFER - XFER Utility  
83=MIT-ML-DEV - MIT ML Device  
84=CTF - Common Trace Facility  
85=MIT-ML-DEV - MIT ML Device  
86=MFCOBOL - Micro Focus Cobol  
87=LINK - Private terminal link  
88=KERBEROS - Kerberos  
89=SU-MIT-TG - SU/MIT Telnet Gateway  
90=DNSIX - DNSIX Securit Attribute Token Map  
91=MIT-DOV - MIT Dover Spooler  
92=NPP - Network Printing Protocol  
93=DCP - Device Control Protocol  
94=OBJCALL - Tivoli Object Dispatcher  
95=SUPDUP - SUPDUP  
96=DIXIE - DIXIE Protocol Specification  
97=SWIFT-RVF - Swift Remote Virtural File Protocol  
98=TACNEWS - TAC News  
99=METAGRAM - Metagram Relay  
100=NEWACCT - [unauthorized use]  
101=HOSTNAMES - NIC Host Name Server  
102=ISO-TSAP - ISO-TSAP Class 0  
103=X400 - x400  
104=X400-SND - x400-snd  
105=CSNET-NS - Mailbox Name Nameserver  
106=3COM-TSMUX - 3COM-TSMUX  
107=RTELNET - Remote Telnet Service  
108=SNAGAS - SNA Gateway Access Server  
109=POP - Post Office Protocol - Version 2  
110=POP3 - Post Office Protocol - Version 3  
111=SUNRPC - SUN Remote Procedure Call  
112=MCIDAS - McIDAS Data Transmission Protocol  
113=IDENT - Authentication Service  
114=AUDIONEWS - Audio News Multicast  
115=SFTP - Simple File Transfer Protocol  
116=ANSANOTIFY - ANSA REX Notify  
117=UUCP-PATH - UUCP Path Service  
118=SQLSERV - SQL Services  
119=NNTP - Network News Transfer Protocol  
120=CFDPTKT - CFDPTKT  
121=ERPC - Encore Expedited Remote Pro.Call  
122=SMAKYNET - SMAKYNET  
123=NTP - Network Time Protocol  
124=ANSATRADER - ANSA REX Trader  
125=LOCUS-MAP - Locus PC-Interface Net Map Ser  
126=UNITARY - Unisys Unitary Login  
127=LOCUS-CON - Locus PC-Interface Conn Server  
128=GSS-XLICEN - GSS X License Verification  
129=PWDGEN - Password Generator Protocol  
130=CISCO-FNA - cisco FNATIVE  
131=CISCO-TNA - cisco TNATIVE  
132=CISCO-SYS - cisco SYSMAINT  
133=STATSRV - Statistics Service  
134=INGRES-NET - INGRES-NET Service  
135=RPC-LOCATOR - RPC (Remote Procedure Call) Location Service  
136=PROFILE - PROFILE Naming System  
137=NETBIOS-NS - NETBIOS Name Service  
138=NETBIOS-DGM - NETBIOS Datagram Service  
139=NETBIOS-SSN - NETBIOS Session Service  
140=EMFIS-DATA - EMFIS Data Service  
141=EMFIS-CNTL - EMFIS Control Service  
142=BL-IDM - Britton-Lee IDM  
143=IMAP - Interim Mail Access Protocol v2  
144=NEWS - NewS  
145=UAAC - UAAC Protocol  
146=ISO-TP0 - ISO-IP0  
147=ISO-IP - ISO-IP  
148=CRONUS - CRONUS-SUPPORT  
149=AED-512 - AED 512 Emulation Service  
150=SQL-NET - SQL-NET  
151=HEMS - HEMS  
152=BFTP - Background File Transfer Program  
153=SGMP - SGMP  
154=NETSC-PROD - NETSC  
155=NETSC-DEV - NETSC  
156=SQLSRV - SQL Service  
157=KNET-CMP - KNET/VM Command/Message Protocol  
158=PCMAIL-SRV - PCMail Server  
159=NSS-ROUTING - NSS-Routing  
160=SGMP-TRAPS - SGMP-TRAPS  
161=SNMP - SNMP (Simple Network Management Protocol)  
162=SNMPTRAP - SNMPTRAP (Simple Network Management Protocol)  
163=CMIP-MAN - CMIP/TCP Manager  
164=CMIP-AGENT - CMIP/TCP Agent  
165=XNS-COURIER - Xerox  
166=S-NET - Sirius Systems  
167=NAMP - NAMP  
168=RSVD - RSVD  
169=SEND - SEND  
170=PRINT-SRV - Network PostScript  
171=MULTIPLEX - Network Innovations Multiplex  
172=CL/1 - Network Innovations CL/1  
173=XYPLEX-MUX - Xyplex  
174=MAILQ - MAILQ  
175=VMNET - VMNET  
176=GENRAD-MUX - GENRAD-MUX  
177=XDMCP - X Display Manager Control Protocol  
178=NEXTSTEP - NextStep Window Server  
179=BGP - Border Gateway Protocol  
180=RIS - Intergraph  
181=UNIFY - Unify  
182=AUDIT - Unisys Audit SITP  
183=OCBINDER - OCBinder  
184=OCSERVER - OCServer  
185=REMOTE-KIS - Remote-KIS  
186=KIS - KIS Protocol  
187=ACI - Application Communication Interface  
188=MUMPS - Plus Five's MUMPS  
189=QFT - Queued File Transport  
190=GACP - Gateway Access Control Protocol  
191=PROSPERO - Prospero Directory Service  
192=OSU-NMS - OSU Network Monitoring System  
193=SRMP - Spider Remote Monitoring Protocol  
194=IRC - Internet Relay Chat Protocol  
195=DN6-NLM-AUD - DNSIX Network Level Module Audit  
196=DN6-SMM-RED - DNSIX Session Mgt Module Audit Redir  
197=DLS - Directory Location Service  
198=DLS-MON - Directory Location Service Monitor  
199=SMUX - SMUX  
200=SRC - IBM System Resource Controller  
201=AT-RTMP - AppleTalk Routing Maintenance  
202=AT-NBP - AppleTalk Name Binding  
203=AT-3 - AppleTalk Unused  
204=AT-ECHO - AppleTalk Echo  
205=AT-5 - AppleTalk Unused  
206=AT-ZIS - AppleTalk Zone Information  
207=AT-7 - AppleTalk Unused  
208=AT-8 - AppleTalk Unused  
209=QMTP - The Quick Mail Transfer Protocol  
210=Z39.50 - ANSI Z39.50  
211=914C/G - Texas Instruments 914C/G Terminal  
212=ANET - ATEXSSTR  
213=IPX - IPX  
214=VMPWSCS - VM PWSCS  
215=SOFTPC - Insignia Solutions  
216=CAILIC - Computer Associates Int'l License Server  
217=DBASE - dBASE Unix  
218=MPP - Netix Message Posting Protocol  
219=UARPS - Unisys ARPs  
220=IMAP3 - Interactive Mail Access Protocol v3  
221=FLN-SPX - Berkeley rlogind with SPX auth  
222=RSH-SPX - Berkeley rshd with SPX auth  
223=CDC - Certificate Distribution Center  
242=DIRECT -  
243=SUR-MEAS - Survey Measurement  
244=DAYNA -  
245=LINK - LINK  
246=DSP3270 - Display Systems Protocol  
247=SUBNTBCST_TFTP -  
248=BHFHS -  
256=RAP -  
257=SET - Secure Electronic Transaction  
258=YAK-CHAT - Yak Winsock Personal Chat  
259=ESRO-GEN - Efficient Short Remote Operations  
260=OPENPORT -  
261=NSIIOPS - IIOP Name Service Over TLS/SSL  
262=ARCISDMS -  
263=HDAP -  
264=BGMP -  
280=HTTP-MGMT -  
281=PERSONAL-LINK -  
282=CABLEPORT-AX - Cable Port A/X  
308=NOVASTORBAKCUP - Novastor Backup  
309=ENTRUSTTIME -  
310=BHMDS -  
311=ASIP-WEBADMIN - Appleshare IP Webadmin  
312=VSLMP -  
313=MAGENTA-LOGIC -  
314=OPALIS-ROBOT -  
315=DPSI -  
316=DECAUTH -  
317=ZANNET -  
321=PIP -  
344=PDAP - Prospero Data Access Protocol  
345=PAWSERV - Perf Analysis Workbench  
346=ZSERV - Zebra server  
347=FATSERV - Fatmen Server  
348=CSI-SGWP - Cabletron Management Protocol  
349=MFTP -  
350=MATIP-TYPE-A - MATIP Type A  
351=MATIP-TYPE-B - MATIP Type B or bhoetty  
352=DTAG-STE-SB - DTAG, or bhoedap4  
353=NDSAUTH -  
354=BH611 -  
355=DATEX-ASN -  
356=CLOANTO-NET-1 - Cloanto Net 1  
357=BHEVENT -  
358=SHRINKWRAP -  
359=TENEBRIS_NTS - Tenebris Network Trace Service  
360=SCOI2ODIALOG -  
361=SEMANTIX -  
362=SRSSEND - SRS Send  
363=RSVP_TUNNEL -  
364=AURORA-CMGR -  
365=DTK - Deception Tool Kit  
366=ODMR -  
367=MORTGAGEWARE -  
368=QBIKGDP -  
369=RPC2PORTMAP -  
370=CODAAUTH2 -  
371=CLEARCASE - Clearcase  
372=ULISTSERV - Unix Listserv  
373=LEGENT-1 - Legent Corporation  
374=LEGENT-2 - Legent Corporation  
375=HASSLE - Hassle  
376=NIP - Amiga Envoy Network Inquiry Proto  
377=TNETOS - NEC Corporation  
378=DSETOS - NEC Corporation  
379=IS99C - TIA/EIA/IS-99 modem client  
380=IS99S - TIA/EIA/IS-99 modem server  
381=HP-COLLECTOR - HP Performance Data Collector  
382=HP-MANAGED-NODE - HP Performance Data Managed Node  
383=HP-ALARM-MGR - HP Performance Data Alarm Manager  
384=ARNS - A Remote Network Server System  
385=IBM-APP - IBM Application 386=ASA - ASA Message Router Object Def.  
387=AURP - Appletalk Update-Based Routing Pro.  
388=UNIDATA-LDM - Unidata LDM Version 4  
389=LDAP - Lightweight Directory Access Protocol  
390=UIS - UIS  
391=SYNOTICS-RELAY - SynOptics SNMP Relay Port  
392=SYNOTICS-BROKER - SynOptics Port Broker Port  
393=DIS - Data Interpretation System  
394=EMBL-NDT - EMBL Nucleic Data Transfer  
395=NETCP - NETscout Control Protocol  
396=NETWARE-IP - Novell Netware over IP  
397=MPTN - Multi Protocol Trans. Net.  
398=KRYPTOLAN - Kryptolan  
399=ISO-TSAP-C2 - ISO Transport Class 2 Non-Control over TCP  
400=WORK-SOL - Workstation Solutions  
401=UPS - Uninterruptible Power Supply  
402=GENIE - Genie Protocol  
403=DECAP - decap  
404=NCED - nced  
405=NCLD - ncld  
406=IMSP - Interactive Mail Support Protocol  
407=TIMBUKTU - Timbuktu  
408=PRM-SM - Prospero Resource Manager Sys. Man.  
409=PRM-NM - Prospero Resource Manager Node Man.  
410=DECLADEBUG - DECLadebug Remote Debug Protocol  
411=RMT - Remote MT Protocol  
412=SYNOPTICS-TRAP - Trap Convention Port  
413=SMSP - SMSP  
414=INFOSEEK - InfoSeek  
415=BNET - BNet  
416=SILVERPLATTER - Silverplatter  
417=ONMUX - Onmux  
418=HYPER-G - Hyper-G  
419=ARIEL1 - Ariel  
420=SMPTE - SMPTE  
421=ARIEL2 - Ariel  
422=ARIEL3 - Ariel  
423=OPC-JOB-START - IBM Operations Planning and Control Start  
424=OPC-JOB-TRACK - IBM Operations Planning and Control Track  
425=ICAD-EL - ICAD  
426=SMARTSDP - smartsdp  
427=SVRLOC - Server Location  
428=OCS_CMU - OCS_CMU  
429=OCS_AMU - OCS_AMU  
430=UTMPSD - UTMPSD  
431=UTMPCD - UTMPCD  
432=IASD - IASD  
433=NNSP - NNSP  
434=MOBILEIP-AGENT - MobileIP-Agent  
435=MOBILIP-MN - MobilIP-MN  
436=DNA-CML - DNA-CML  
437=COMSCM - comscm  
438=DSFGW - dsfgw  
439=DASP - dasp  
440=SGCP - sgcp  
441=DECVMS-SYSMGT - decvms-sysmgt  
442=CVC_HOSTD - cvc_hostd  
443=HTTPS - HTTPS (Hyper Text Transfer Protocol Secure) - SSL (Secure  
Socket Layer)  
444=SNPP - Simple Network Paging Protocol  
445=MICROSOFT-DS - Microsoft-DS  
446=DDM-RDB - DDM-RDB  
447=DDM-DFM - DDM-RFM  
448=DDM-BYTE - DDM-BYTE  
449=AS-SERVERMAP - AS Server Mapper  
450=TSERVER - TServer  
451=SFS-SMP-NET - Cray Network Semaphore server  
452=SFS-CONFIG - Cray SFS config server  
453=CREATIVESERVER - CreativeServer  
454=CONTENTSERVER - ContentServer  
455=CREATIVEPARTNR - CreativePartnr  
456=MACON-TCP - macon-tcp  
457=SCOHELP - scohelp  
458=APPLEQTC - Apple Quick Time  
459=AMPR-RCMD - ampr-rcmd  
460=SKRONK - skronk  
461=DATASURFSRV - DataRampSrv  
462=DATASURFSRVSEC - DataRampSrvSec  
463=ALPES - alpes  
464=KPASSWD - kpasswd  
465=SSMTP - ssmtp  
466=DIGITAL-VRC - digital-vrc  
467=MYLEX-MAPD - mylex-mapd  
468=PHOTURIS - proturis  
469=RCP - Radio Control Protocol  
470=SCX-PROXY - scx-proxy  
471=MONDEX - Mondex  
472=LJK-LOGIN - ljk-login  
473=HYBRID-POP - hybrid-pop  
474=TN-TL-W1 - tn-tl-w1  
475=TCPNETHASPSRV - tcpnethaspsrv  
476=TN-TL-FD1 - tn-tl-fd1  
477=SS7NS - ss7ns  
478=SPSC - spsc  
479=IAFSERVER - iafserver  
480=IAFDBASE - iafdbase  
481=PH - Ph service  
482=BGS-NSI - bgs-nsi  
483=ULPNET - ulpnet  
484=INTEGRA-SME - Integra Software Management Environment  
485=POWERBURST - Air Soft Power Burst  
486=AVIAN - avian  
487=SAFT - saft  
488=GSS-HTTP - gss-http  
489=NEST-PROTOCOL - nest-protocol  
490=MICOM-PFS - micom-pfs  
491=GO-LOGIN - go-login  
492=TICF-1 - Transport Independent Convergence for FNA  
493=TICF-2 - Transport Independent Convergence for FNA  
494=POV-RAY - POV-Ray  
495=INTECOURIER -  
496=PIM-RP-DISC -  
497=DANTZ -  
498=SIAM -  
499=ISO-ILL - ISO ILL Protocol  
500=ISAKMP -  
501=STMF -  
502=ASA-APPL-PROTO -  
503=INTRINSA -  
504=CITADEL -  
505=MAILBOX-LM -  
506=OHIMSRV -  
507=CRS -  
508=XVTTP -  
509=SNARE -  
510=FCP - FirstClass Protocol  
511=PASSGO -  
512=EXEC - Remote Process Execution  
513=LOGIN - Remote Login via Telnet;  
514=SHELL - Automatic Remote Process Execution  
515=PRINTER - Printer Spooler  
516=VIDEOTEX -  
517=TALK -  
518=NTALK -  
519=UTIME - Unix Time  
520=EFS - Extended File Server  
521=RIPNG -  
522=ULP -  
523=IBM-DB2 -  
524=NCP -  
525=TIMED - Time Server 526=TEMPO - newdate  
527=STX - Stock IXChange  
528=CUSTIX - Customer IXChange  
529=IRC-SERV -  
530=COURIER - rpc  
531=CONFERENCE - chat  
532=NETNEWS - readnews  
533=NETWALL - Emergency Broadcasts  
534=MM-ADMIN - MegaMedia Admin  
535=IIOP -  
536=OPALIS-RDV -  
537=NMSP - Networked Media Streaming Protocol  
538=GDOMAP -  
539=APERTUS-LDP - Apertus Technologies Load Determination  
540=UUCP - UUCPD (Unix to Unix Copy)  
541=UUCP-RLOGIN - uucp (Unix to Unix Copy) - rlogin (Remote Login)  
542=COMMERCE -  
543=KLOGIN -  
544=KSHELL - krcmd  
545=APPLEQTCSRVR - Apple qtcsrvr  
546=DHCP-CLIENT - DHCP (Dynamic Host Configuration Protocol) Client  
547=DHCP-SERVER - DHCP (Dynamic Host Configuration Protocol) Server  
548=AFPOVERTCP - AFP over TCP  
549=IDFP -  
550=NEW-RWHO - new-who  
551=CYBERCASH - CyberCash  
552=DEVICESHARE - deviceshare  
553=PIRP - pirp  
554=RTSP - Real Time Stream Control Protocol  
555=DSF -  
556=REMOTEFS - rfs (Remote File System) server  
557=OPENVMS-SYSIPC - openvms-sysipc  
558=SDNSKMP - SDNSKMP  
559=TEEDTAP - TEEDTAP  
560=RMONITOR - rmonitord  
561=MONITOR -  
562=CHSHELL - chcmd  
563=SNEWS - snews  
564=9PFS - plan 9 file service  
565=WHOAMI - whoami  
566=STREETTALK - streettalk  
567=BANYAN-RPC - banyan-rpc  
568=MS-SHUTTLE - Microsoft Shuttle  
569=MS-ROME - Microsoft Rome  
570=METER - demon  
571=METER - udemon  
572=SONAR - sonar  
573=BANYAN-VIP - banyan-vip  
574=FTP-AGENT - FTP Software Agent System  
575=VEMMI - VEMMI  
576=IPCD -  
577=VNAS -  
578=IPDD -  
579=DECBSRV -  
580=SNTP-HEARTBEAT -  
581=BDP - Bundle Discovery Protocol  
582=SCC-SECURITY -  
583=PHILIPS-VC - PHilips Video-Conferencing  
584=KEYSERVER -  
585=IMAP4-SSL - IMAP4+SSL  
586=PASSWORD-CHG -  
587=SUBMISSION -  
588=CAL -  
589=EYELINK -  
590=TNS-CML -  
591=HTTP-ALT - FileMaker, Inc. - HTTP Alternate  
592=EUDORA-SET -  
593=HTTP-RPC-EPMAP - HTTP RPC Ep Map  
594=TPIP -  
595=CAB-PROTOCOL -  
596=SMSD -  
597=PTCNAMESERVICE - PTC Name Service  
598=SCO-WEBSRVRMG3 - SCO Web Server Manager 3  
599=ACP - Aeolon Core Protocol  
600=IPCSERVER - Sun IPC server  
606=URM - Cray Unified Resource Manager  
607=NQS - nqs  
608=SIFT-UFT - Sender-Initiated/Unsolicited File Transfer  
609=NPMP-TRAP - npmp-trap  
610=NPMP-LOCAL - npmp-local  
611=NPMP-GUI - npmp-gui  
628=QMQP - Qmail Quick Mail Queueing  
633=SERVSTAT - Service Status update (Sterling Software)  
634=GINAD - ginad  
635=MOUNT - NFS Mount Service  
636=LDAPSSL - LDAP Over SSL  
640=PCNFS - PC-NFS DOS Authentication  
650=BWNFS - BW-NFS DOS Authentication  
666=DOOM - doom Id Software  
674=PORT  
704=ELCSD - errlog copy/server daemon  
709=ENTRUSTMANAGER - EntrustManager  
729=NETVIEWDM1 - IBM NetView DM/6000 Server/Client  
730=NETVIEWDM2 - IBM NetView DM/6000 send/tcp  
731=NETVIEWDM3 - IBM NetView DM/6000 receive/tcp  
737=SOMETIMES-RPC2 - Rusersd on my OpenBSD Box  
740=NETCP - NETscout Control Protocol  
741=NETGW - netGW  
742=NETRCS - Network based Rev. Cont. Sys.  
744=FLEXLM - Flexible License Manager  
747=FUJITSU-DEV - Fujitsu Device Control  
748=RIS-CM - Russell Info Sci Calendar Manager  
749=KERBEROS-ADM - kerberos administration  
750=KERBEROS-SEC -  
751=KERBEROS_MASTER -  
752=QRH -  
753=RRH -  
754=KBR5_PROP -  
758=NLOGIN -  
759=CON -  
760=NS -  
761=RXE -  
762=QUOTAD -  
763=CYCLESERV -  
764=OMSERV -  
765=WEBSTER -  
767=PHONEBOOK - phone  
769=VID -  
770=CADLOCK -  
771=RTIP -  
772=CYCLESERV2 -  
773=SUBMIT -  
774=RPASSWD -  
775=ENTOMB -  
776=WPAGES -  
780=WPGS -  
781=HP-COLLECTOR - HP Performance Data Collector  
782=HP-MANAGED-NODE - HP Performance Data Managed Node  
783=HP-ALARM-MGR - HP Performance Data Alarm Manager  
786=CONCERT - Concert  
799=CONTROLIT -  
800=MDBS_DAEMON -  
801=DEVICE -  
808=PORT  
871=SUPFILESRV = SUP Server  
888=CDDATABASE - CDDataBase  
901=PORT  
911=Dark Shadow  
989=FTPS-DATA - FTP Over TLS/SSL  
990=FTP Control TLS/SSL  
992=TELNETS - telnet protocol over TLS/SSL  
993=IMAPS - Imap4 protocol over TLS/SSL  
995=POP3S - Pop3 (Post Office Protocol) over TLS/SSL  
996=VSINET - vsinet  
997=MAITRD -  
998=BUSBOY -  
999=PUPROUTER -  
1000=CADLOCK -  
1001=Silence  
1008=UFSD - UFSD  
1010=Doly-Trojan  
1011=Doly-Trojan  
1012=Doly-Trojan  
1015=Doly-Trojan  
1023=RESERVED - Reserved  
1024=OLD_FINGER - old_finger  
1025=LISTEN - listen  
1026=NTERM - nterm  
1027=NT  
1028=NT  
1029=NT  
1030=IAD1 - BBN IAD  
1031=IAD2 - BBN IAD  
1032=IAD3 - BBN IAD  
1033=NT  
1034=NT  
1035=NT  
1036=NT  
1037=NT  
1038=NT  
1039=NT  
1040=NT  
1041=NT  
1042=Bla  
1043=NT  
1044=NT  
1045=Rasmin  
1046=NT  
1047=NT  
1048=NT  
1049=NT  
1058=NIM - nim  
1059=NIMREG - nimreg  
1067=INSTL_BOOTS - Installation Bootstrap Proto. Serv.  
1068=INSTL_BOOTC - Installation Bootstrap Proto. Cli.  
1080=SOCKS - Socks  
1083=ANSOFT-LM-1 - Anasoft License Manager  
1084=ANSOFT-LM-2 - Anasoft License Manager  
1090=Xtreme  
1103=XAUDIO - Xaserver  
1109=KPOP - kpop  
1110=NFSD-STATUS - Cluster Status Info  
1112=MSQL - Mini-SQL Server  
1127=SUPFILEDBG - SUP Debugging  
1155=NFA - Network File Access  
1167=PHONE - Conference Calling  
1170=Psyber Stream Server, Streaming Audio trojan, Voice  
1178=SKKSERV - SKK (Kanji Input)  
1212=LUPA - lupa  
1222=NERV - SNI R&D network  
1234=Ultors Trojan  
1241=MSG - Remote Message Server  
1243=BackDoor-G, SubSeven, SubSeven Apocalypse  
1245=Voodoo Doll  
1248=HERMES - Multi Media Conferencing  
1269=Mavericks Matrix  
1330=PORT  
1346=ALTA-ANA-LM - Alta Analytics License Manager  
1347=BBN-MMC - Multi Media Conferencing  
1348=BBN-MMX - Multi Media Conferencing  
1349=SBOOK - Registration Network Protocol  
1350=EDITBENCH - Registration Network Protocol  
1351=EQUATIONBUILDER - Digital Tool Works (MIT)  
1352=LOTUSNOTE - Lotus Note  
1353=RELIEF - Relief Consulting  
1354=RIGHTBRAIN - RightBrain Software  
1355=INTUITIVE EDGE - Intuitive Edge  
1356=CUILLAMARTIN - CuillaMartin Company  
1357=PEGBOARD - Electronic PegBoard  
1358=CONNLCLI - CONNLCLI  
1359=FTSRV - FTSRV  
1360=MIMER - MIMER  
1361=LINX - LinX  
1362=TIMEFLIES - TimeFlies  
1363=NDM-REQUESTER - Network DataMover Requester  
1364=NDM-SERVER - Network DataMover Server  
1365=ADAPT-SNA - Network Software Associates  
1366=NETWARE-CSP - Novell NetWare Comm Service Platform  
1367=DCS - DCS  
1368=SCREENCAST - ScreenCast  
1369=GV-US - GlobalView to Unix Shell  
1370=US-GV - Unix Shell to GlobalView  
1371=FC-CLI - Fujitsu Config Protocol  
1372=FC-SER - Fujitsu Config Protocol  
1373=CHROMAGRAFX - Chromagrafx  
1374=MOLLY - EPI Software Systems  
1375=BYTEX - Bytex  
1376=IBM-PPS - IBM Person to Person Software  
1377=CICHLID - Cichlid License Manager  
1378=ELAN - Elan License Manager  
1379=DBREPORTER - Integrity Solutions  
1380=TELESIS-LICMAN - Telesis Network License Manager  
1381=APPLE-LICMAN - Apple Network License Manager  
1382=UDT_OS -  
1383=GWHA - GW Hannaway Network License Manager  
1384=OS-LICMAN - Objective Solutions License Manager  
1385=ATEX_ELMD - Atex Publishing License Manager  
1386=CHECKSUM - CheckSum License Manager  
1387=CADSI-LM - Computer Aided Design Software Inc LM  
1388=OBJECTIVE-DBC - Objective Solutions DataBase Cache  
1389=ICLPV-DM - Document Manager  
1390=ICLPV-SC - Storage Controller  
1391=ICLPV-SAS - Storage Access Server  
1392=ICLPV-PM - Print Manager  
1393=ICLPV-NLS - Network Log Server  
1394=ICLPV-NLC - Network Log Client  
1395=ICLPV-WSM - PC Workstation Manager software  
1396=DVL-ACTIVEMAIL - DVL Active Mail  
1397=AUDIO-ACTIVMAIL - Audio Active Mail  
1398=VIDEO-ACTIVMAIL - Video Active Mail  
1399=CADKEY-LICMAN - Cadkey License Manager  
1400=CADKEY-TABLET - Cadkey Tablet Daemon  
1401=GOLDLEAF-LICMAN - Goldleaf License Manager  
1402=PRM-SM-NP - Prospero Resource Manager  
1403=PRM-NM-NP - Prospero Resource Manager  
1404=IGI-LM - Infinite Graphics License Manager  
1405=IBM-RES - IBM Remote Execution Starter  
1406=NETLABS-LM - NetLabs License Manager  
1407=DBSA-LM - DBSA License Manager  
1408=SOPHIA-LM - Sophia License Manager  
1409=HERE-LM - Here License Manager  
1410=HIQ - HiQ License Manager  
1411=AF - AudioFile  
1412=INNOSYS - InnoSys  
1413=INNOSYS-ACL - Innosys-ACL  
1414=IBM-MQSERIES - IBM MQSeries  
1415=DBSTAR - DBStar  
1416=NOVELL-LU6.2 - Novell LU6.2  
1417=TIMBUKTU-SRV1 - Timbuktu Service 1 Port  
1418=TIMBUKTU-SRV2 - Timbuktu Service 2 Port  
1419=TIMBUKTU-SRV3 - Timbuktu Service 3 Port  
1420=TIMBUKTU-SRV4 - Timbuktu Service 4 Port  
1421=GANDALF-LM - Gandalf License Manager  
1422=AUTODESK-LM - Autodesk License Manager  
1423=ESSBASE - Essbase Arbor Software  
1424=HYBRID - Hybrid Encryption Protocol  
1425=ZION-LM - Zion Software License Manager  
1426=SAIS - Satellite-data Acquisition System 1  
1427=MLOADD - mloadd monitoring tool  
1428=INFORMATIK-LM - Informatik License Manager  
1429=NMS - Hypercom NMS  
1430=TPDU - Hypercom TPDU  
1431=RGTP - Reverse Gossip Transport  
1432=BLUEBERRY-LM - Blueberry Software License Manager  
1433=MS-SQL-S - Microsoft-SQL-Server  
1434=MS-SQL-M - Microsoft-SQL-Monitor  
1435=IBM-CICS - IBM CICS  
1436=SAISM - Satellite-data Acquisition System 2  
1437=TABULA - Tabula  
1438=EICON-SERVER - Eicon Security Agent/Server  
1439=EICON-X25 - Eicon X25/SNA Gateway  
1440=EICON-SLP - Eicon Service Location Protocol  
1441=CADIS-1 - Cadis License Management  
1442=CADIS-2 - Cadis License Management  
1443=IES-LM - Integrated Engineering Software  
1444=MARCAM-LM - Marcam License Management  
1445=PROXIMA-LM - Proxima License Manager  
1446=ORA-LM - Optical Research Associates License Manager  
1447=APRI-LM - Applied Parallel Research LM  
1448=OC-LM - OpenConnect License Manager  
1449=PEPORT - PEport  
1450=DWF - Tandem Distributed Workbench Facility  
1451=INFOMAN - IBM Information Management  
1452=GTEGSC-LM - GTE Government Systems License Man  
1453=GENIE-LM - Genie License Manager  
1454=INTERHDL_ELMD - interHDL License Manager  
1455=ESL-LM - ESL License Manager  
1456=DCA - DCA  
1457=VALISYS-LM - Valisys License Manager  
1458=NRCABQ-LM - Nichols Research Corp.  
1459=PROSHARE1 - Proshare Notebook Application  
1460=PROSHARE2 - Proshare Notebook Application  
1461=IBM_WRLESS_LAN - IBM Wireless LAN  
1462=WORLD-LM - World License Manager  
1463=NUCLEUS - Nucleus  
1464=MSL_LMD - MSL License Manager  
1465=PIPES - Pipes Platform  
1466=OCEANSOFT-LM - Ocean Software License Manager  
1467=CSDMBASE - CSDMBASE  
1468=CSDM - CSDM  
1469=AAL-LM - Active Analysis Limited License Manager  
1470=UAIACT - Universal Analytics  
1471=CSDMBASE - csdmbase  
1472=CSDM - csdm  
1473=OPENMATH - OpenMath  
1474=TELEFINDER - Telefinder  
1475=TALIGENT-LM - Taligent License Manager  
1476=CLVM-CFG - clvm-cfg  
1477=MS-SNA-SERVER - ms-sna-server  
1478=MS-SNA-BASE - ms-sna-base  
1479=DBEREGISTER - dberegister  
1480=PACERFORUM - PacerForum  
1481=AIRS - AIRS  
1482=MITEKSYS-LM - Miteksys License Manager  
1483=AFS - AFS License Manager  
1484=CONFLUENT - Confluent License Manager  
1485=LANSOURCE - LANSource  
1486=NMS_TOPO_SERV - nms_topo_serv  
1487=LOCALINFOSRVR - LocalInfoSrvr  
1488=DOCSTOR - DocStor  
1489=DMDOCBROKER - dmdocbroker  
1490=INSITU-CONF - insitu-conf  
1491=ANYNETGATEWAY - anynetgateway  
1492=STONE-DESIGN-1 - stone-design-1  
1493=NETMAP_LM - netmap_lm  
1494=ICA - ica  
1495=CVC - cvc  
1496=LIBERTY-LM - liberty-lm  
1497=RFX-LM - rfx-lm  
1498=WATCOM-SQL - Watcom-SQL  
1499=FHC - Federico Heinz Consultora  
1500=VLSI-LM - VLSI License Manager  
1501=SAISCM - Satellite-data Acquisition System 3  
1502=SHIVADISCOVERY - Shiva  
1503=IMTC-MCS - Databeam  
1504=EVB-ELM - EVB Software Engineering License Manager 1505=FUNKPROXY - Funk Software Inc.  
1506=UTCD - Universal Time daemon (utcd)  
1507=SYMPLEX - symplex  
1508=DIAGMOND - diagmond  
1509=ROBCAD-LM - Robcad Ltd. License Manager  
1510=MVX-LM - Midland Valley Exploration Ltd. Lic. Man.  
1511=3L-L1 - 3l-l1  
1512=WINS - Microsoft's Windows Internet Name Service  
1513=FUJITSU-DTC - Fujitsu Systems Business of America Inc  
1514=FUJITSU-DTCNS - Fujitsu Systems Business of America Inc  
1515=IFOR-PROTOCOL - ifor-protocol  
1516=VPAD - Virtual Places Audio data  
1517=VPAC - Virtual Places Audio control  
1518=VPVD - Virtual Places Video data  
1519=VPVC - Virtual Places Video control  
1520=ATM-ZIP-OFFICE - atm zip office  
1521=NCUBE-LM - nCube License Manager  
1522=RNA-LM - Ricardo North America License Manager  
1523=CICHILD-LM - cichild  
1524=INGRESLOCK - ingres  
1525=PROSPERO-NP - Prospero Directory Service non-priv  
1526=PDAP-NP - Prospero Data Access Prot non-priv  
1527=TLISRV - oracle  
1528=MCIAUTOREG - micautoreg  
1529=COAUTHOR - oracle  
1530=RAP-SERVICE - rap-service  
1531=RAP-LISTEN - rap-listen  
1532=MIROCONNECT - miroconnect  
1533=VIRTUAL-PLACES - Virtual Places Software  
1534=MICROMUSE-LM - micromuse-lm  
1535=AMPR-INFO - ampr-info  
1536=AMPR-INTER - ampr-inter  
1537=SDSC-LM - isi-lm  
1538=3DS-LM - 3ds-lm  
1539=INTELLISTOR-LM - Intellistor License Manager  
1540=RDS - rds  
1541=RDS2 - rds2  
1542=GRIDGEN-ELMD - gridgen-elmd  
1543=SIMBA-CS - simba-cs  
1544=ASPECLMD - aspeclmd  
1545=VISTIUM-SHARE - vistium-share  
1546=ABBACCURAY - abbaccuray  
1547=LAPLINK - laplink  
1548=AXON-LM - Axon License Manager  
1549=SHIVAHOSE - Shiva Hose  
1550=3M-IMAGE-LM - Image Storage license manager 3M Company  
1551=HECMTL-DB - HECMTL-DB  
1552=PCIARRAY - pciarray  
1553=SNA-CS - sna-cs  
1554=CACI-LM - CACI Products Company License Manager  
1555=LIVELAN - livelan  
1556=ASHWIN - AshWin CI Tecnologies  
1557=ARBORTEXT-LM - ArborText License Manager  
1558=XINGMPEG - xingmpeg  
1559=WEB2HOST - web2host  
1560=ASCI-VAL - asci-val  
1561=FACILITYVIEW - facilityview  
1562=PCONNECTMGR - pconnectmgr  
1563=CADABRA-LM - Cadabra License Manager  
1564=PAY-PER-VIEW - Pay-Per-View  
1565=WINDDLB - WinDD  
1566=CORELVIDEO - CORELVIDEO  
1567=JLICELMD - jlicelmd  
1568=TSSPMAP - tsspmap  
1569=ETS - ets  
1570=ORBIXD - orbixd  
1571=RDB-DBS-DISP - Oracle Remote Data Base  
1572=CHIP-LM - Chipcom License Manager  
1573=ITSCOMM-NS - itscomm-ns  
1574=MVEL-LM - mvel-lm  
1575=ORACLENAMES - oraclenames  
1576=MOLDFLOW-LM - moldflow-lm  
1577=HYPERCUBE-LM - hypercube-lm  
1578=JACOBUS-LM - Jacobus License Manager  
1579=IOC-SEA-LM - ioc-sea-lm  
1580=TN-TL-R1 - tn-tl-r1  
1581=VMF-MSG-PORT - vmf-msg-port  
1582=TAMS-LM - Toshiba America Medical Systems  
1583=SIMBAEXPRESS - simbaexpress  
1584=TN-TL-FD2 - tn-tl-fd2  
1585=INTV - intv  
1586=IBM-ABTACT - ibm-abtact  
1587=PRA_ELMD - pra_elmd  
1588=TRIQUEST-LM - triquest-lm  
1589=VQP - VQP  
1590=GEMINI-LM - gemini-lm  
1591=NCPM-PM - ncpm-pm  
1592=COMMONSPACE - commonspace  
1593=MAINSOFT-LM - mainsoft-lm  
1594=SIXTRAK - sixtrak  
1595=RADIO - radio  
1596=RADIO-SM - radio-sm  
1597=ORBPLUS-IIOP - orbplus-iiop  
1598=PICKNFS - picknfs  
1599=SIMBASERVICES - simbaservices  
1600=ISSD -  
1601=AAS - aas  
1602=INSPECT - inspect  
1603=PICODBC - pickodbc  
1604=ICABROWSER - icabrowser  
1605=SLP - Salutation Manager (Salutation Protocol)  
1606=SLM-API - Salutation Manager (SLM-API)  
1607=STT - stt  
1608=SMART-LM - Smart Corp. License Manager  
1609=ISYSG-LM - isysg-lm  
1610=TAURUS-WH - taurus-wh  
1611=ILL - Inter Library Loan  
1612=NETBILL-TRANS - NetBill Transaction Server  
1613=NETBILL-KEYREP - NetBill Key Repository  
1614=NETBILL-CRED - NetBill Credential Server  
1615=NETBILL-AUTH - NetBill Authorization Server  
1616=NETBILL-PROD - NetBill Product Server  
1617=NIMROD-AGENT - Nimrod Inter-Agent Communication  
1618=SKYTELNET - skytelne  
1619=XS-OPENBACKUP - xs-openbackup  
1620=FAXPORTWINPORT - faxportwinport  
1621=SOFTDATAPHONE - softdataphone  
1622=ONTIME - ontime  
1623=JALEOSND - jaleosnd  
1624=UDP-SR-PORT - udp-sr-port  
1625=SVS-OMAGENT - svs-omagent  
1636=CNCP - CableNet Control Protocol  
1637=CNAP - CableNet Admin Protocol  
1638=CNIP - CableNet Info Protocol  
1639=CERT-INITIATOR - cert-initiator  
1640=CERT-RESPONDER - cert-responder  
1641=INVISION - InVision  
1642=ISIS-AM - isis-am  
1643=ISIS-AMBC - isis-ambc  
1644=SAISEH - Satellite-data Acquisition System 4  
1645=DATAMETRICS - datametrics  
1646=SA-MSG-PORT - sa-msg-port  
1647=RSAP - rsap  
1648=CONCURRENT-LM - concurrent-lm  
1649=INSPECT - inspect  
1650=NKD -  
1651=SHIVA_CONFSRVR - shiva_confsrvr  
1652=XNMP - xnmp  
1653=ALPHATECH-LM - alphatech-lm  
1654=STARGATEALERTS - stargatealerts  
1655=DEC-MBADMIN - dec-mbadmin  
1656=DEC-MBADMIN-H - dec-mbadmin-h 1657=FUJITSU-MMPDC - fujitsu-mmpdc  
1658=SIXNETUDR - sixnetudr  
1659=SG-LM - Silicon Grail License Manager  
1660=SKIP-MC-GIKREQ - skip-mc-gikreq  
1661=NETVIEW-AIX-1 - netview-aix-1  
1662=NETVIEW-AIX-2 - netview-aix-2  
1663=NETVIEW-AIX-3 - netview-aix-3  
1664=NETVIEW-AIX-4 - netview-aix-4  
1665=NETVIEW-AIX-5 - netview-aix-5  
1666=NETVIEW-AIX-6 - netview-aix-6  
1667=NETVIEW-AIX-7 - netview-aix-7  
1668=NETVIEW-AIX-8 - netview-aix-8  
1669=NETVIEW-AIX-9 - netview-aix-9  
1670=NETVIEW-AIX-10 - netview-aix-10  
1671=NETVIEW-AIX-11 - netview-aix-11  
1672=NETVIEW-AIX-12 - netview-aix-12  
1673=PROSHARE-MC-1 - Intel Proshare Multicast  
1674=PROSHARE-MC-2 - Intel Proshare Multicast  
1675=PDP - Pacific Data Products  
1676=NEFCOMM1 - netcomm1  
1677=GROUPWISE - groupwise  
1723=PPTP - pptp  
1807=SpySender  
1812=RADIUS - RADIUS Authentication Protocol  
1813=RADACCT - RADIUS Accounting Protocol  
1827=PCM - PCM Agent  
1981=Shockrave  
1986=LICENSEDAEMON - cisco license management  
1987=TR-RSRB-P1 - cisco RSRB Priority 1 port  
1988=TR-RSRB-P2 - cisco RSRB Priority 2 port  
1989=MSHNET - MHSnet system  
1990=STUN-P1 - cisco STUN Priority 1 port  
1991=STUN-P2 - cisco STUN Priority 2 port  
1992=IPSENDMSG - IPsendmsg  
1993=SNMP-TCP-PORT - cisco SNMP TCP port  
1994=STUN-PORT - cisco serial tunnel port  
1995=PERF-PORT - cisco perf port  
1996=TR-RSRB-PORT - cisco Remote SRB port  
1997=GDP-PORT - cisco Gateway Discovery Protocol  
1998=X25-SVC-PORT - cisco X.25 service (XOT)  
1999=TCP-ID-PORT - cisco identification port  
2000=CALLBOOK -  
2001=DC -  
2002=GLOBE -  
2003=CFINGER - cfinger  
2004=MAILBOX -  
2005=BERKNET -  
2006=INVOKATOR -  
2007=DECTALK -  
2008=CONF -  
2009=NEWS -  
2010=SEARCH -  
2011=RAID-CC - raid  
2012=TTYINFO -  
2013=RAID-AM -  
2014=TROFF -  
2015=CYPRESS -  
2016=BOOTSERVER -  
2017=CYPRESS-STAT -  
2018=TERMINALDB -  
2019=WHOSOCKAMI -  
2020=XINUPAGESERVER -  
2021=SERVEXEC -  
2022=DOWN -  
2023=XINUEXPANSION3 -  
2024=XINUEXPANSION4 -  
2025=ELLPACK -  
2026=SCRABBLE -  
2027=SHADOWSERVER -  
2028=SUBMITSERVER -  
2030=DEVICE2 -  
2032=BLACKBOARD -  
2033=GLOGGER -  
2034=SCOREMGR -  
2035=IMSLDOC -  
2038=OBJECTMANAGER -  
2040=LAM -  
2041=INTERBASE -  
2042=ISIS - isis  
2043=ISIS-BCAST - isis-bcast  
2044=RIMSL -  
2045=CDFUNC -  
2046=SDFUNC -  
2047=DLS -  
2048=DLS-MONITOR - dls-monitor  
2064=DISTRIB-NETASSHOLES - A group of lamers working on a closed-source  
client for solving the RSA cryptographic challenge  
2065=DLSRPN - Data Link Switch Read Port Number  
2067=DLSWPN - Data Link Switch Write Port Number  
2080=Wingate Winsock Redirector Service  
2103=ZEPHYR-CLT - Zephyr Serv-HM Conncetion  
2104=Zephyr Host Manager  
2105=EKLOGIN - Kerberos (v4) Encrypted RLogin  
2106=EKSHELL - Kerberos (v4) Encrypted RShell  
2108=RKINIT - Kerberos (v4) Remote Initialization  
2111=KX - X Over Kerberos  
2112=KIP - IP Over Kerberos  
2115=Bugs  
2120=KAUTH - Remote kauth  
2140=Deep Throat, The Invasor  
2155=Illusion Mailer  
2201=ATS - Advanced Training System Program  
2221=UNREG-AB1 - Allen-Bradley unregistered port  
2222=UNREG-AB2 - Allen-Bradley unregistered port  
2223=INREG-AB3 - Allen-Bradley unregistered port  
2232=IVS-VIDEO - IVS Video default  
2241=IVSD - IVS Daemon  
2283=HVL Rat5  
2301=CIM - Compaq Insight Manager  
2307=PEHELP - pehelp  
2401=CVSPSERVER - CVS Network Server  
2430=VENUS -  
2431=VENUS-SE -  
2432=CODASRV -  
2433=CODASRV-SE -  
2500=RTSSERV - Resource Tracking system server  
2501=RTSCLIENT - Resource Tracking system client  
2564=HP-3000-TELNET - HP 3000 NS/VT block mode telnet  
2565=Striker  
2583=WinCrash  
2592=NETREK[GAME] - netrek[game]  
2600=Digital Rootbeer  
2601=ZEBRA - Zebra VTY  
2602=RIPD - RIPd VTY  
2603=RIPNGD - RIPngd VTY  
2604=OSPFD - OSPFd VTY  
2605=BGPD - BGPd VTY  
2627=WEBSTER -  
2638=Sybase Database  
2700=TQDATA - tqdata  
2766=LISTEN - System V Listener Port  
2784=WWW-DEV - world wide web - development  
2800=Phineas Phucker  
2989=(UDP) - RAT  
3000=UNKNOWN - Unknown Service  
3001=NESSUSD - Nessus Security Scanner  
3005=DESLOGIN - Encrypted Symmetric Telnet  
3006=DESLOGIND -  
3024=WinCrash  
3049=NSWS -  
3064=DISTRIB-NET-PROXY - Stupid closed source distrib.net proxy  
3086=SJ3 - SJ3 (Kanji Input)  
3128=RingZero -  
3129=Masters Paradise -  
3130=SQUID-IPC -  
3141=VMODEM - VMODEM  
3150=Deep Throat, The Invasor  
3155=HTTP Proxy  
3264=CCMAIL - cc:mail/lotus  
3295=PORT  
3306=MYSQL  
3333=DEC-NOTES - DEC Notes  
3421=BMAP - Bull Apprise portmapper  
3454=MIRA - Apple Remote Access Protocol  
3455=PRSVP - RSVP Port  
3456=VAT - VAT default data  
3457=VAT-CONTROL - VAT default control  
3459=Eclipse 2000  
3700=Portal of Doom  
3791=Eclypse  
3801=(UDP) - Eclypse  
3871=PORT  
3900=UDT_OS - Unidata UDT OS  
3905=PORT  
3908=PORT  
3920=PORT  
3921=PORT  
3922=PORT  
3923=PORT  
3925=PORT  
3975=PORT  
3984=MAPPER-NODEMGR - MAPPER network node manager  
3985=MAPPER-MAPETHD - MAPPER TCP/IP server  
3986=MAPPER-WS_ETHD - MAPPER workstation server  
3996=PORT  
4000=UNKNOWN - Unknown Service  
4001=PORT  
4008=NETCHEQUE - NetCheque accounting  
4045=LOCKD - NFS Lock Daemon  
4092=WinCrash  
4132=NUTS_DEM - NUTS Daemon  
4133=NUTS_BOOTP - NUTS Bootp Server  
4321=RWHOIS - Remote Who Is  
4333=MSQL - Mini SQL Server  
4343=UNICALL - UNICALL  
4444=NV-VIDEO - NV Video default  
4500=SAE-URN - sae-urn  
4501=URN-X-CDCHOICE - urn-x-cdchoice  
4557=FAX - fax  
4559=HYLAFAX - HylaFAX cli-svr Protocol  
4567=File Nail  
4590=ICQTrojan  
4672=RFA - remote file access server  
4899=RAdmin - Remote Administrator  
5000=UNKNOWN - Unknown Service  
5001=COMMPLEX-LINK -  
5002=RFE - radio free ethernet  
5003=CLARIS-FMPRO - Claris FileMaker Pro  
5004=AVT-PROFILE-1 - avt-profile-1  
5005=AVT-PROFILE-2 - avt-profile-2  
5010=TELELPATHSTART - TelepathStart  
5011=TELELPATHATTACK - TelepathAttack  
5031=NetMetro  
5050=MMCC - multimedia conference control tool  
5075=IISADMIN = IIS Administration Web Site  
5145=RMONITOR_SECURE -  
5190=AOL - America-Online  
5191=AOL-1 - AmericaOnline1  
5192=AOL-2 - AmericaOnline2  
5193=AOL-3 - AmericaOnline3  
5232=SGI-DGL - SGI Distributed Graphics  
5236=PADL2SIM  
5300=HACL-HB - HA Cluster Heartbeat  
5301=HACL-GS - HA Cluster General Services  
5302=HACL-CFG - HA Cluster Configuration  
5303=HACL-PROBE - HA Cluster Probing  
5304=HACL-LOCAL  
5305=HACL-TEST  
5308=CFENGINE -  
5321=Firehotcker  
5376=MS FTP  
5400=Blade Runner, Back Construction  
5401=Blade Runner, Back Construction  
5402=Blade Runner, Back Construction  
5432=POSTGRES - Postgres Database Server  
5500=Hotline Server  
5510=SECUREIDPROP - ACE/Server Services  
5512=Illusion Maker  
5520=SDLOG - ACE/Server Services  
5530=SDSERV - ACE/Server Services  
5540=SDXAUTHD - ACE/Server Services  
5550=Xtcp  
5555=ServeMe  
5556=Bo  
5557=Bo  
5569=Robo-Hack  
5631=PCANYWHEREDATA -  
5632=PCANYWHERESTAT -  
5650=MS FTP PORT  
5680=CANNA - Canna (Jap Input)  
5713=PROSHAREAUDIO - proshare conf audio  
5714=PROSHAREVIDEO - proshare conf video  
5715=PROSHAREDATA - proshare conf data  
5716=PROSHAREREQUEST - proshare conf request  
5717=PROSHARENOTIFY - proshare conf notify  
5742=WinCrash  
5800=VNC - Virtual Network Computing  
5801=VNC - Virtual Network Computing  
5858=NETREK[GAME] - netrek[game]  
5900=VNC - Virtual Network Computing  
5901=VNC-1 - Virtual Network Computing Display  
5902=VNC-2 - Virtual Network Computing Display  
5977=NCD-PREF-TCP - NCD Preferences  
5978=NCD-DIAG-TCP - NCD Diagnostics  
5979=NCD-CONF-TCP - NCD Configuration  
5997=NCD-PREF - NCD Preferences Telnet  
5998=NCD-DIAG - NCD Diagnostics Telnet  
5999=NCD-CONF - NCD Configuration Telnet  
6000=X11 - X Window System  
6001=X11:1 - X Window Server  
6002=X11:2 - X Window Server  
6003=X11:3 - X Window Server  
6004=X11:4 - X Window Server  
6005=X11:5 - X Window Server  
6006=X11:6 - X Window Server  
6007=X11:7 - X Window Server  
6008=X11:8 - X Window Server  
6009=X11:9 - X Window Server  
6110=SOFTCM - HP SoftBench CM  
6111=SPC - HP SoftBench Sub-Process Control  
6112=DTSPCD - dtspcd  
6141=META-CORP - Meta Corporation License Manager  
6142=ASPENTEC-LM - Aspen Technology License Manager  
6143=WATERSHED-LM - Watershed License Manager  
6144=STATSCI1-LM - StatSci License Manager - 1  
6145=STATSCI2-LM - StatSci License Manager - 2  
6146=LONEWOLF-LM - Lone Wolf Systems License Manager  
6147=MONTAGE-LM - Montage License Manager  
6148=RICARDO-LM - Ricardo North America License Manager  
6149=TAL-POD - tal-pod  
6400=The Thing  
6455=SKIP-CERT-RECV - SKIP Certificate Receive  
6456=SKIP-CERT-SEND - SKIP Certificate Send  
6558=XDSXDM -  
6660=IRC-SERV - irc-serv  
6661=IRC-SERV - irc-serv  
6662=IRC-SERV - irc-serv  
6663=IRC-SERV - irc-serv  
6664=IRC-SERV - irc-serv  
6665=IRC-SERV - irc-serv  
6666=IRC-SERV - irc-serv  
6667=IRC - irc  
6668=IRC - irc  
6669=Vampyre  
6670=DeepThroat  
6671=IRC-SERV - irc-serv  
6771=DeepThroat  
6776=BackDoor-G, SubSeven  
6912=Shit Heep  
6939=Indoctrination  
6969=ACMSODA - acmsoda  
6970=GateCrasher, Priority, IRC 3  
7000=AFSSERV - file server itself  
7001=UNKNOWN - Unknown Service  
7002=UNKNOWN - Unknown Service  
7003=AFS3-VLSERVER - volume location database  
7004=AFS3-KASERVER - AFS/Kerberos authentication service  
7005=AFS3-VOLSER - volume managment server  
7006=AFS3-ERRORS - error interpretation service  
7007=AFS3-BOS - basic overseer process  
7008=AFS3-UPDATE - server-to-server updater  
7009=AFS3-RMTSYS - remote cache manager service  
7010=UPS-ONLINET - onlinet uninterruptable power supplies  
7100=FONT-SERVICE - X Font Service  
7120=IISADMIN = IIS Administration Web Site  
7121=VIRPROT-LM - Virtual Prototypes License Manager  
7200=FODMS - FODMS FLIP  
7201=DLIP - DLIP  
7300=NetMonitor  
7301=NetMonitor  
7306=NetMonitor  
7307=NetMonitor  
7308=NetMonitor  
7309=NetMonitor  
7326=ICB - Internet Citizen's Band  
7648=CUCME-1 - CucMe live video/Audio Server  
7649=CUCME-2 - CucMe live video/Audio Server  
7650=CUCME-3 - CucMe live video/Audio Server  
7651=CUCME-4 - CucMe live video/Audio Server  
7770=IRC  
7777=CBT - cbt  
7789=Back Door Setup, ICKiller  
8000=Generic - Shared service port  
8001=Generic - Shared service port  
8002=Generic - Shared service port  
8003=Generic - Shared service port  
8004=Generic - Shared service port  
8005=Generic - Shared service port  
8006=Generic - Shared service port  
8007=Generic - Shared service port  
8008=Generic - Shared service port  
8009=Generic - Shared service port  
8010=Generic - Shared service port  
8080=Generic - Shared service port  
8081=Generic - Shared service port  
8082=Generic - Shared service port  
8083=Generic - Shared service port  
8084=Generic - Shared service port  
8085=Generic - Shared service port  
8086=Generic - Shared service port  
8087=Generic - Shared service port  
8088=Generic - Shared service port  
8100=Generic - Shared service port  
8101=Generic - Shared service port  
8102=Generic - Shared service port  
8103=Generic - Shared service port  
8104=Generic - Shared service port  
8105=Generic - Shared service port  
8106=Generic - Shared service port  
8107=Generic - Shared service port  
8108=Generic - Shared service port  
8109=Generic - Shared service port  
8110=Generic - Shared service port  
8167=?  - Chat (some kinds)
8181=Generic - Shared service port  
8383=Generic - Shared service port  
8450=NPMP - npmp  
8765=Ultraseek  
8807=DEMOS NNTP  
8888=SiteScope - SiteScope Remote Server Monitoring  
8892=SEOSLOAD - eTrust ACX  
9000=UNKNOWN - Unknown Service  
9001=UNKNOWN  
9010=SERVICE  
9090=ZEUS-ADMIN - Zeus Admin Server  
9095=SERVICE  
9100=JETDIRECT - HP JetDirect Card  
9200=WAP - Wireless Application Protocol  
9201=WAP - Wireless Application Protocol  
9202=WAP - Wireless Application Protocol  
9203=WAP - Wireless Application Protocol  
9400=InCommand  
9535=MAN -  
9872=Portal of Doom  
9873=Portal of Doom  
9874=Portal of Doom  
9875=Portal of Doom  
9876=SD - Session Director  
9989=iNi-Killer  
9998=DEMOS SMTP  
9999=DISTINCT - distinct  
10005=STEL - Secure Telnet  
10067=(UDP) - Portal of Doom  
10080=AMANDA - Amanda Backup Util  
10082=AMANDA-IDX - Amanda Indexing  
10083=AMIDXTAPE - Amanda Tape Indexing  
10101=BrainSpy  
10167=(UDP) - Portal of Doom  
10520=Acid Shivers  
10607=Coma  
11000=Senna Spy  
11223=Progenic trojan  
11371=PKSD - PGP Pub. Key Server  
12067=Gjamer  
12223=Hackґ99 KeyLogger  
12345=NB - NetBus  
12346=GabanBus, NetBus, X-bill  
12361=Whack-a-mole  
12362=Whack-a-mole  
12631=Whackjob  
13000=Senna Spy  
13326=CROSSFIRE[GAME] - crossfire[game]  
16660=Stacheldraht Master Serverd  
16969=Priority  
17007=ISODE-DUA -  
17300=Kuang2 The Virus  
18000=BIIMENU - Beckman Instruments Inc.  
20000=Millennium  
20001=Millennium backdoor  
20005=BTX - Xcept4  
20034=Netbus 2 Pro  
20203=Logged  
21544=Girlfriend  
21845=WEBPHONE - webphoned 21846=INFO SERVER - info server  
21847=CONNECT SERVER - connect server  
22222=Prosiak  
22273=WNN6 - Wnn6 (Jap. Input)  
22289=WNN6_CN - Wnn6 (Chi. Input)  
22305=WNN6_KR - Wnn6 (Kor. Input)  
22321=WNN6_TW - Wnn6 (Tai. Input)  
23456=Evil FTP, Ugly FTP , Whack Job  
23476=Donald Dick  
23477=Donald Dick  
24326=Netscape Server  
25000=ICL-TWOBASE1 - icl-twobase1  
25001=ICL-TWOBASE2 - icl-twobase2  
25002=ICL-TWOBASE3 - icl-twobase3  
25003=ICL-TWOBASE4 - icl-twobase4  
25004=ICL-TWOBASE5 - icl-twobase5  
25005=ICL-TWOBASE6 - icl-twobase6  
25006=ICL-TWOBASE7 - icl-twobase7  
25007=ICL-TWOBASE8 - icl-twobase8  
25008=ICL-TWOBASE9 - icl-twobase9  
25009=ICL-TWOBASE10 - icl-twobase10  
26000=QUAKEXX  
26001=QUAKEXX  
26002=QUAKEXX  
26208=WNN6_DS - Wnn6 (Dserver)  
26274=(UDP) - Delta Source  
27119=QUAKEXX  
27444=TRINOO_BCAST - Trinoo Attack Tool  
27500=QUAKEXX  
27501=QUAKEXX  
27502=QUAKEXX  
27665=TRINOO_MASTER - Trinoo Attack Tool  
27910=QUAKEXX  
27911=QUAKEXX  
27912=QUAKEXX  
27913=QUAKEXX  
27920=QUAKEXX  
27960=QUAKE3SERVER - Quake 3 Arena Server  
29891=(UDP) - The Unexplained  
29970=PORT  
30029=AOL Trojan  
30100=NetSphere  
30101=Netsphere  
30102=NetSphere  
30303=Sockets de Troie  
30999=Kuang2  
31335=TRINOO_REGISTER - Trinoo Attack Tool  
31336=Whack  
31337=BO - BackOrifice  
31338=NetSpy DK  
31457=TETRINET (Tetris GAME)  
31666=BO Whack  
31785=HackґaґTack  
31787=HackґaґTack  
31788=HackґaґTack  
31789=HackґaґTack (udp)  
31791=HackґaґTack (udp)  
31792=HackґaґTack  
32000=Generic - Shared service port  
33333=Prosiak  
33911=Spirit 2001a  
34324=BigGluck, TN  
40193=NetWare  
40412=The Spy  
40421=Agent 40421, Masters Paradise  
40422=Masters Paradise  
40423=Masters Paradise  
40426=Masters Paradise  
43188=REACHOUT -  
44333=WinRoute  
47262=(UDP) - Delta Source  
47557=DBBROWSE - Databeam Corporation  
50505=Sockets de Troie  
50766=Fore , Schwindler  
53001=Remote Window Shutdown  
54320=BO 2K  
54321=SchoolBus  
60000=Deep Throat  
61466=TeleCommando  
65000=Devil  
65301=PCANYWHERE -


Цитата:
Только инфа должна быть не по портам, а по приложениям. Если я ставлю овернет,
- Приолжений всяческих много больше, чем портов, хотя ФАК по основным - тож полезно.

Цитата:
Только инфа должна быть не по портам, а по приложениям. Если я ставлю овернет,
- Приолжений всяческих много больше, чем портов, хотя ФАК по основным - тож полезно.

Цитата:
Новую проверенную инфу будем прибивать кверху
- Или сделать в шапке ссылку на файл ФАК. Бо тот же список портов для шапки длинноват, не находишь?
 Если имеешь постоянное место (сайт/серв) - положи, если нет - я на ньюмыле выложу.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 10:12 28-03-2004 | Исправлено: bredonosec, 10:15 28-03-2004
ivanovand



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может есть у кого готовое правило для программ отправки смс с компа?
 
bredonosec
А чего список такой маааленький?

----------
... и точка.
Всего записей: 1003 | Зарегистр. 29-01-2003 | Отправлено: 10:22 28-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Чисто ради спортивного интереса и не смотря в первый пост, попробуй отконфигурить обычный не пассивный ФТП только с этой табличкой
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:29 28-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
попробуй отконфигурить обычный не пассивный ФТП только с этой табличкой
- В смысле? Клиент? сервер? Если второе - ни с табличкой, ни с верхним постом не отконфигурю, бо никогда этого не делал. Зато по логам в стенке с помощью этой таблицы можно выяснить, что к тебе стучится (и/или куда попасть хочет, что сделать) и подправить правила соответственно.  
 Если по приложениям (наиболее часто пользуемым) подобную табличку нароешь - свистни, буду рад поиметь.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 10:54 28-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Если по приложениям (наиболее часто пользуемым) подобную табличку нароешь - свистни

Так я ее и собрался собрать в этом топике
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:14 28-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Так я ее и собрался собрать в этом топике  
- Ок. Клади инфу, по каким имеешь, на ходу придумаем структуру сетки.  
 Закинь вверх (первый пост - пока шапки нет) линк на список портов  
Кроме того, как справочный материал по протоколам (что важно в настройке стены) подойдут ссылы  
Построение сетей -> Протокол UDP  
/->Протокол TCP  
 
И еще такую http://www.it.ru/reference/ports.html  
 
 
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 11:25 28-03-2004 | Исправлено: bredonosec, 18:48 28-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К вопросу о протоколах, которые обязательно перекрыть, если желаешь безопасно жить, особенно в локалке:
ICMP - существуют нюки, неправильно сформированным пакетом можно подвесить (хотя, вроде патчами это лечится), всякие броадкасты (вещание всем) могут использоваться для сбора инфы об уязвимостях системы, + флуд, переполнение буфера, как следствие - всякие неприятности от нестабильности системы до возможности выполнения произвольного кода злоумышленника. (точно уж не вспомню)
ARP - обычно служит как связь МАС адреса с IP, данным компу в сети. Комп посылает запросы, получает АРП ответы, полученную инфу сводит а таблицу, которой пользуется при работе в сети. Таким образом, тут тоже есть 2 потенциальные пакости. Первая - флуд- (машина не сможет обрабатывать запросы, возможно, еще что-то) -заброска кучей АРП пакетов
второе - подмена АРП данных. Варианты (в примерах): если на РС послать АРП ответ, что серв (10,7,0,1) имеет МАС не 00 02 22 22 22 22, а, скажем, 00 05 55 55 55 55, то данные в таблице вашей машины подменятся, и при работе с сервом она будет запрашивать не серв, а указанный адрес. Таким образом с вами могут быть сделаны 2 вещи: имитация отказа сети - если подменить данные о всех компах в той локалке (ни пинг, ничего не дойдет, ибо отправлено в никуда), либо организовать ложный АРП сервер, с помощью которого злоумышленник может прогонять весь ваш траффик через свою машину, а на досуге поковыряться там на тему паролей, сервисов, проч.
 Сответственно, эти протоколы должны быть перекрыты. Если необходимо какой-нить из них открыть для кого-то, тогда закрыть их для адресов, не входящих в число этих кого-то.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:48 28-03-2004
estimated



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew совершенно резонно заметил:

Цитата:
важен также и порядок правил.  
Логика работы файервола такая: для каждого сетевого пакета просматриваются правила от №1 до последнего и проверяется соответствие пакета с шаблоном правила.  
Если пакет удовлетворяет шаблону - выполняется действие, предписанное правилом и проверка заканчивается.  
 
Предлагаю точно выяснить, какие файрволы работают по данному алгоритму.
(поскольку рекомендации из первого поста и далее основываются на этом)
 
Я знаю только один - Kerio PF 2.1.x.
McAfee Desktop уже имеет 1 исключение.
Всего записей: 1088 | Зарегистр. 15-02-2002 | Отправлено: 00:33 29-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated
Tiny имеет две группы правил, плюс запрет на траффик не указанный в этих двух группах, то есть какое-никакое подобие.

Цитата:
рекомендации из первого поста

Это просто список программ и протоколы+порты+направления которые они используют, которые необходимо знать чтобы настроить любой файервол. Чтобы открыть ровно настолько, насколько необходимо.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 01:13 29-03-2004
estimated



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
OK, т.е. мы говорим об общей методике построения защиты без привязки к конкретным фарйволам? Но, наверное, все таки неплохо было бы обобщить алгоритмы обработки правил в разных фарволах, чтобы легче было сориентироваться, как правильно применить потом эти методы...
Всего записей: 1088 | Зарегистр. 15-02-2002 | Отправлено: 01:37 29-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated
Согласен. К сожалению, производители не всегда дают ясно понять это даже в документации...
Sygate - в Advanced Rules порядок важен, судя по примерам в его документации
Look'n'Stop - в Internet Filtering тоже, опять-же судя по их примерам
Я думаю, во всех файерволах в части правил где используеться statefull packet inspection, порядок правил важен.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 02:36 29-03-2004
Net_man

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди, такой вопрос. Как правильно настроить в файерволе правило для файла "svchost.exe"? Насколько я понял, полностью запретить ему любую сетевую активность нельзя. Во всяком случае Outpost в этом случае не пускает разрешенные проги (даже IE блокирует); F-secure'ный фаер работать дает, но проблемно - например FTP-Voyager'у он дает соединиться с сервером, но upload идет проблемно - блокирует какой-то траф с сервера. Траблы происходят именно при попытке блокировать "svchost.exe". Полчается, что чего-то разрешить ему все же надо, но интуиция подсказывает, что не все. Кто-нибудь может пролить свет на эту проблему?

----------
Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн
Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 05:24 29-03-2004
Dieduks



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Net_man

Цитата:
Полчается, что чего-то разрешить ему все же надо, но интуиция подсказывает, что не все

Разреши ему (Generic Host Process for Win32 Services E:\WINDOWS\system32\svchost.exe 5.1.2600.0 (xpclient.010817-1148 12,5 KB (12.800 bytes)) только быть клиентом и хватит (в смысле доступ).

----------
Ваш IP
Всего записей: 555 | Зарегистр. 04-06-2002 | Отправлено: 08:50 29-03-2004 | Исправлено: Dieduks, 08:54 29-03-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Друзья, а давайте определимся для кого этот топик!
 
Я по началу понял, что для новичков.  
Ведь те, у кого уже есть опыт общения с сетевыми экранами  
а) прикипели к одному из них и  
б) знают, чем программы пользуются и что кому разрешать
 
Может, имеет смысл прибить верхний пост, объяснить для общественности, что файры бывают разные и по особенностям - RTFM.
 
Предлагаю структурировать его так:
 
Radmin клиент Remote adminitration
TCP: 4899|out (4899 - порт Radmin-сервера)
UDP: нет
 
ntoskrnl.exe ядро системы, получени/обмен файлами из расшареных папок
TCP: 139|out (NetBIOS-сессия)
UDP: 137,138|both (NetBIOS over TCP/IP)
 
Прошу не кидать помидорами - это лишь предложение. В противном случае, imho мы можем очень далеко зайти в обсуждении, а серьезного материала для newbie и себя не нароем.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 10:11 29-03-2004 | Исправлено: miasnikov andrew, 10:20 29-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Net_man
svchost используеться операционкой для разных целей, и для каждой грузиться в память своя новая копия. Это как-раз то, что обычно называют "системными" правилами. Он обслуживает DHCP, DNS, PnP, NetBIOS (тут могу быть неточным), поэтому нужно посмотреть куда он хочет попасть и исходя из этого понять, какую фичу он выполняет, а потом отконфигурить. Напиши, с какого порта на какой он пытается зайти...
miasnikov andrew

Цитата:
Предлагаю структурировать его так

Не в бровь, а в глаз, как говорится.

Цитата:
Radmin

А еще он не работает при отсутствии пинга на сервак
 
Если речь пошла об Radmin, и у вас стоит его сервак, не открывайте его в файерволе для всего инета, откройте только для адреса, с которого заходите, или для диапазона адресов. Во избежание возможного взлома и использовния для DDOS атак.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:05 29-03-2004 | Исправлено: Karlsberg, 14:00 29-03-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Цитата:
А еще он не работает при отсутствии пинга на сервак  
Позвольте, коллега, с вами не согласиться. Работает!  
 
2. Вообще любые серверные приложения не стоит открывать для всяких там ... в интернете. 7 раз отмерь - 1 раз отрежь
 
3. На мой взгляд, нет особого смысла ограничивать клиентские программы по локальным портам (т.е. с порта 1024 на ...), если только в описании к проге четко не прописано, каким диапазоном она пользуется.  
Начинающим нет смысла пудрить мозги подобным буквоедством.
А вот на какой порт она коннектится - гораздо важнее.

Цитата:
Не в бровь, а в глаз
Рад, что понравилось. Ждем-с улучшений.
Хотя теперь тему скорее в В Помощь Сисадмину надо переносить
 
 
AdMuncher популярная баннерорезка
TCP: 80, 8080, 8100|out (80, 8080 - web-серверы, 8100 - разновидность с SSL, возможны другие порты - смотрите, куда коннектится браузер)
Block IP: 207.44.251.118 (сервер разработчиков. проверяет валидность лицензии)
 
GFI Languard и другие сканеры локальных сетей
TCP, UDP, ICMP: все|outgoing (это же сканер )
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 15:39 29-03-2004 | Исправлено: miasnikov andrew, 16:12 29-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет порядка применения правил:  
 насколько помню из обсуждения Аутпоста, там официально этот порядок не важен, реально вроде вывели, что имеет значение порядок создания правил (т.е., время создания) Первым проверяется совпадение с первым созданным правилом, потом вторым, т.д. Так что, сначала есть смысл на бумажке написать весь список правил, чтоб вводить в нужном порядке и не ошибаться.
 В зоне (почти год уж не юзаю, подзабыл) вроде как порядок значения не имеет.  
 В Deerfield Visnetic правила проверяются в порядке нумерации. Правило можно передвигать по 1 пункту вверх или вниз до нужной позиции, потом нажимается кнопка "renumber rules". Неудобство - новое правило добавляется вверх и при очередной смене нумерации его номер с последнего меняется на первый, если не слить его вниз руками.  
miasnikov andrew

Цитата:
Предлагаю структурировать его так:
- Предлагаю таблицу - больше наглядность. Хотя о структуре стОит еще подумать.  
Name what is TCP rules UDP rules Specific rules    
Radmin клиент Remote adminitration 4899|out (4899 - порт Radmin-сервера) нет    
ntoskrnl.exe ядро системы, получени/обмен файлами из расшареных папок 139|out (NetBIOS-сессия) 137,138|both (NetBIOS over TCP/IP)    
AdMuncher популярная баннерорезка 80, 8080, 8100|out (80, 8080 - web-серверы, 8100 - разновидность с SSL, возможны другие порты - смотрите, куда коннектится браузер) Block IP: 207.44.251.118 (сервер разработчиков. проверяет валидность лицензии)    
GFI Languard и другие сканеры локальных сетей outgoing outgoing ICMP: все|outgoing    
 


Цитата:
GFI Languard и другие сканеры локальных сетей  
TCP, UDP, ICMP: все|outgoing (это же сканер  
- А как насчет ответов? Или ответы на те же пинги, ИСМП и прочие мульки не интересуют? Насколько понимаю, там разрешить, но повесить stateful policy - проверка того, запрашивался ли ответ по тому протоколу и с того адреса, откуда приходит.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:49 29-03-2004 | Исправлено: bredonosec, 23:00 29-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Лепота... Тогда придется все тебе в таблицу сводить, я так не умею

Цитата:
 разрешить, но повесить stateful policy

Здесь надо разрешать все, так как например вряд-ли файервол сможет корректно определить что пришедший UDP пакет на самом деле чей-то ответ...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:57 29-03-2004
SXP



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
после изменения компонента

Sygate Personal Firewall can block only new component / dll... not all Application... thats why Sygate is cool
Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 23:06 29-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Лепота... Тогда придется все тебе в таблицу сводить, я так не умею  
- Не впервой (см.подпись)

Цитата:
так как например вряд-ли файервол сможет корректно определить что пришедший UDP пакет на самом деле чей-то ответ...
- Deerfield умеет. Ж) Только, прошу прощенья, не stateful policy, a stateful inspection.  
//для новичков - не спешите его себе ставить - он из разряда тупых - без проблеска интеллекта - т.е., все правила надо самому ставить, а не полагаться на автомат. //
 
 
Добавлено
SXP

Цитата:
can block only new component / dll... not all Application... thats why Sygate is cool  
Спасибо за новость!  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 23:11 29-03-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
cool! даже не ожидал такого развития своего дизайна
 
а можно четные строки таблички сделать желтыми?  
или создатели движка форума до такого изврата не додумались
 
еще вопрос: будем прибивать и редактить первый пост?
туда можно поместить только жизненно необходимые программы.  
для экономии времени и места.
а то я с Languard загнул малость
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 00:00 30-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SXP

Цитата:
 thats why Sygate is cool

Да-да, как хрюк касперского Кричал мне на интернет эксплорер вместе с подгрузкой каждой новой dll-ки
bredonosec
Может стОит засунуть в табличку DNS, DHCP, фтп и почт. правила из первого поста?
miasnikov andrew

Цитата:
будем прибивать и редактить первый пост

Вообще-то надо...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:09 30-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Name What is How it works Rules Notes    
_______ __________ ______________________________ _______________________________ _________    
Browser (IE, Opera, Mozilla..) Использует TCP для подключения на порт 80(HTTP), 8080, 443(HTTPS), и реже много других. Можно написать: TCP local_port=<1024..5000> remote_address=all remote_port=all outgoing_direction    Если используеться абсолютно стандартно, то remote_port=<80, 443>    
FTP active клиент,+ качалки FTP работает так: клиент (мы) коннектится с порта N (из диапазонана 1024..5000) на 21-й порт сервера, а сервер коннектится с 20-го порта на наш N+1 (второй порт - для передачи данных, первый - управляющий) TCP local_port=<1024..5000> remote_address=all remote_port=21 outgoing_direction   TCP local_port=<1024..5000> remote_address=all remote_port=20 incoming_direction[/s]    
Passive FTP Специально для клиентов, кот-е не хотят/могут принимать коннекты снаружи Клиент коннектится со своего порта N (из диапазонана 1024..5000) на 21-й порт сервера, а сервер сообщает клиенту порт для данных из диапазона (1024..65535). Тогда клиент открывает второй коннект на него со своего порта N+1. TCP local_port=<1024..5000> remote_port=all remote_address=all outgoing_direction   + можно написать remote_port=<21, 1024..65535> Кстати, качалка будет работать и с HTTP, так как порт 80 входит в список разрешенных    
ICQ Клиент чата/нетфона+сюда же mIRC, etc. TCP local_port=<1024..5000> remote_address=all remote_port=5190 outgoing_direction Неплохо бы проверить адрес icq сервера и вместо remote_address=all написать только его    
E-mail Почтовые клиенты-Outlook,Mozilla,.. POP3 используется для коннекта на почтовый сервер для проверки и закачки почты.   SMTP используется для коннекта на почтовый сервер для посылки почты.   Кроме этих двух, у продвинутых провов есть более защищенные протоколы для почты. В крайнем случае можно разрешить для e-mail клиента любые действия, но только для своего почтового сервера. TCP local_port=<1024..5000> remote_address=<почтовый сервер> remote_port=110 outgoing_direction   TCP local_port=<1024..5000> remote_address=<почтовый сервер> remote_port=25 outgoing_direction[/s] Пишите, разберемся.    
Emule & co    [TCP и UDP local_port=<1024..5000> remote_address=all remote_port=all outgoing_direction    TCP и UDP local_port=<clientport, выбранный в муле> remote_address=all remote_port=all incoming_direction    
Bittorrent    TCP local_port=<1024..5000> remote_address=all remote_port=all outgoing_direction    TCP local_port=<6881..6889> remote_address=all remote_port=all incoming_direction Помните, что он коннектится не только к другим торрентам, а еще и на трекер  

 
Добавлено

Цитата:
Может стОит засунуть в табличку DNS, DHCP, фтп и почт. правила из первого поста?  
- Опять же, инфу надо к одному формату привести. Я попробовал с той, что была - вот так коряво получилось. Если есть время - хоть в ворде попробуй раскидать, чтоб удобочитаемо было. Я уж перекину в нужный формат как-нить.  
 Или же, разделять обьяснения и структурированную инфу, бо в таком виде как сейчас (табл.2) инфа по правилам менее понятна(удобочитаема,перевариваема), чем в виде просто текста. ((  

Цитата:
а можно четные строки таблички сделать желтыми?  
или создатели движка форума до такого изврата не додумались  
- Стандартные скрипты форума не дадут. (можно позвать такого спеца по хакам, как xntx -он много чего делал, но это уже не одобрят наверху )
 Также, стандартные скрипты не дают способа делать абзац внутри ячейки (заметно в столбце правил), так что это "произведение" еще править и править.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 04:36 30-03-2004 | Исправлено: bredonosec, 05:11 30-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Круто!
А в каком виде правила будут удобочитаемы? У нас есть протокол, локальный порт(ы),  ремоут порт(ы) и направление
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:15 30-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Плавно перетекаем в ПМ, чтоб не урвать по кумполу за флейм/оффтоп.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 12:04 30-03-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Net_man

Цитата:
Люди, такой вопрос. Как правильно настроить в файерволе правило для файла "svchost.exe"?  

 
Лучшее изложение предмета я нашел на  
 
http://www.outpostfirewall.com/forum/showthread.php?s=320a3672de400f34b871004cbde489e9&threadid=9858
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 23:32 30-03-2004
Net_man

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Спасибо - посмотрю на днях. Кстати, все никак не мог понять, что это за адрес такой 255.255.255.255 (часто в логах попадается) - теперь бум знать.

----------
Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн
Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 03:24 31-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
что это за адрес такой 255.255.255.255  
-  Запрос "всем" Всем" всем! (если не находит искомую страницу, точнее, серв, на котором это лежит, ишшо точнее, при проблемах со связью перепроверяет установки сети, посылает запрос на адрес 255,255,255,255, на который по идее должны откликнуться все сидящие в этой сети компы.  
 То же происходит при включении компа (или какой-нить установленной проги, например, локального чата) в сеть. (пример логов - тема про Деерфилд)
 
 
Добавлено
Насчет таблиц: я тут, в тесте поигрался на тему слияния/разбиения ячеек, от какого варианта дальше плясать стОит?  
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=80#2
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=60#20
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 03:59 31-03-2004
korn32



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Первый вариант лучше, во втором - перебор с рамочками.
Всего записей: 5233 | Зарегистр. 31-10-2001 | Отправлено: 09:10 31-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Согласен - первый хорош
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:55 31-03-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
korn32
Karlsberg
 - Первый который? (там по 2 табл в каждом) 1,1? или 1,2
Далее, формат, скорее всего будет сменен ближе к цифрам (мне тут Андрей красивый вариант кинул). Сегодня-завтра воткну. //сорри, в офф ухожу.//
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 11:24 31-03-2004
korn32



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
1,2 - тот, который более строгий, без лишних бордюров в таблице.
Всего записей: 5233 | Зарегистр. 31-10-2001 | Отправлено: 11:40 31-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
1,2 - тот, который более строгий

Он самый
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:05 31-03-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Nep, Widok
Прибейте плиз первый пост кверху, а мы там табличку организуем...
 
Добавлено
 
Немного информации об svchost.exe с сайта мелкософта:

Цитата:
Svchost.exe is a generic host process name for services that run from dynamic-link libraries (DLLs).

То есть любая DLL-ка, которая хочет бежать как сервис, использует этот экзешник для своего запуска. Например, обслуживает RPC запросы на 135-м порту или UPnP (Universal Plug and Play) на 5000-м порту TCP и 1900-м порту UDP.
Из-за своей универсальности может использоваться любым трояном, так что провертьте свои правила - выпускать ее в интернет может оказаться опасно.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:58 31-03-2004
Net_man

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Это-то меня и обеспокоило. В логе аутпостовского запрета Svchost.exe упоминаетсядовольно часто, причем с разными айпи-шниками, разным направлением (inbond/outbond). Но самое неприятное то, что в журнале наряду с записями "Запретить любую активность приложения" (что естественно и нормально) довольно много записей "Block Remote Procedure Call (TCP)"!!! И все эти "ремоут процедуры" блокируются именно на Svchost.exe. Может я чего не понимаю, но по-моему это попытки получить удаленный доступ к моему компу. Или я не прав?

----------
Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн
Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 04:44 01-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Итак, я тут поработал над табличкой, но не все еще баги снял.
 ща начались тормоза - перегрузки с форумом - страница 10м грузится - доредактирую завтра.  
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=80#3

Итак, вот последний на данный момент вариант.
______Application_or_Service_____ _________with explanation______
TCP and UDP rules
Specific rules, ICMP
______________________________________ ___________________________________________________ ______________________
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ _ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
_____comment:_____
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CFIS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
   
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP, UDP
1024-5000
user-defined client port
any (?)
any (?)
out
in
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)
(?)
Radmin
Remote Administrator
TCP
?
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 08:28 01-04-2004 | Исправлено: bredonosec, 10:27 01-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тормоза не заметил. Табличку подредактировал.
Думаю, в таком виде она лучше читается.
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=80#4
 
Добавлено
bredonosec
опередил на 9 минут
 
 
Добавлено
В любом случае, теперь уже нормально читается.
Прошу Karlsberg'а или Nep'а (по ПМ) прибить верхний пост  
и засунуть туда табличку вместо текстового описания правил.
 
На будущее: для однотипных данных можно разбивать ячейку линией (см. Bittorent), а если размеры не совпадают (напр, в Emule) - лучше добавлять строку без первых двух ячеек (см. мой вариант - ссылка выше)
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 10:01 01-04-2004 | Исправлено: miasnikov andrew, 10:18 01-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Net_man

Цитата:
попытки получить удаленный доступ к моему компу

Да, это попытка выполнить код на твоем компьютере
 
bredonosec

Цитата:
Bittorent

Это качалка, которая стала популярной в последнее время из-за высокой скорости скачки. Р2Р, но с центральным сервером (трекер). Пример - www.kinozal.com
 
miasnikov andrew
Не умею прибивать посты кверху
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:17 01-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Посмотри, какой вариант таблиц тебе больше нравится (от bredonosec или с моими исправлениями)
Можешь помещать в свой первый пост.

Цитата:
Не умею прибивать

Направил письмо Nep'у с копией тебе - надеюсь, объяснит или поможет.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 10:22 01-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
опередил на 9 минут  
- Заметил  

Цитата:
На будущее: для однотипных данных можно разбивать ячейку линией (см. Bittorent), а если размеры не совпадают (напр, в Emule) - лучше добавлять строку без первых двух ячеек (см. мой вариант - ссылка выше)
- ИМХО, лучше один вариант, чтоб не вносить путаницы - что к чему относится. Однако, согласен, иногда так читается лучше.  

Цитата:
прибить верхний пост  
Непычу отправил.  
Karlsberg

Цитата:
Не умею прибивать  
это можно модерам.  

Цитата:
Это качалка,  
- ща сменю инфу.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 10:23 01-04-2004
Nep



Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
шапку включил


----------
на форуме редко.Модером не являюсь.Татл обман :)
Всего записей: 41940 | Зарегистр. 24-06-2001 | Отправлено: 11:36 01-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
 
Поправки в табличку
 
Стоит отдельно указать для Radmin правила для R-server и Radmin viewer
 
Для R-server  
TCP,  
Local port: 4899 (or server-defined. RTFM),  
Remote port: any,  
Direction: Inbound,Oubound.
 
Добавления для Radmin viewer:
 для local port поставить "any" вместо ?
 
Я посмотрел свои логи для Radmin за 2 недели ( > 60 соединений) и вижу что
local ports  пока в диапазоне 1027-3600. Причем  в один и тот же день каждая новая сессия соединяется  со строго последовательными портами а на следующий день опять случайный порт.
Так что у меня в Outpost rules  указан явно только remote port and для пущей безопасности IP for Radmin server
 
 
Что касается правил для eMule на форуме Outpost после долгих обсуждений было предложен следующий пресет ( хочу подчеркнуть что в таблице указан для портов верхний диапазон 5000 а у меня часто встречаются в логах порты около 5500 и   >7000
 
[eMule]
VisibleState: 1
Exe:
eMule, eMule.exe
DefaultState: 1
RuleName: eMule Connections from Clients, Webserver, MobileMule
Protocol: TCP
LocalPort: 4662, 4711, 4712
Direction: Inbound
AllowIt
 
DefaultState: 1
RuleName: eMule Connections to Server & Clients
Protocol: TCP
RemotePort: 1025-65535
Direction: Outbound
AllowIt
 
DefaultState: 1
RuleName: Extended eMule Protocol Outbound, Queue Rating, File Reask Ping
Protocol: UDP
RemotePort: 1025-65535
Direction: Outbound
AllowIt
 
DefaultState: 1
RuleName: eMule Queue Rating, File Reask Ping, Source- & Filesearch from Servers
Protocol: UDP
LocalPort: 4665, 4672, 4673
Direction: Inbound
AllowIt
 
DefaultState: 1
RuleName: eMule Connections to Server & Clients
Protocol: TCP
RemotePort: 1-1024
Direction: Outbound
BlockIt
 
DefaultState: 1
RuleName: Extended eMule Protocol Outbound, Queue Rating, File Reask Ping
Protocol: UDP
RemotePort: 1-1024
Direction: Outbound
BlockIt
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 12:58 01-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Цитата:
для пущей безопасности IP for Radmin server
Вообще с точки зрения безопасности
для любых приложений желательно указывать IP-адрес или диапазон адресов.
Увы не всегда это возможно/хочется делать.
 
Чтобы избежать в будущем такого плана высказываний, давайте забьем это в верхний пост.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 13:58 01-04-2004 | Исправлено: miasnikov andrew, 13:59 01-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По причине занятия шапки таблицей, общие рекомендации и советы будут вынесены в отдельный файл со ссылкой в шапке на него (аля ФАК или наподобие того). Что туда закинуть, а что выкинуть во избежание ненужного дублирования с таблицей (или пусть дублирует? какие мнения/советы?  
Nep пасиб  
Spectr - ОК, cделаю.  
miasnikov andrew

Цитата:
давайте забьем это в верхний пост.
- теперь вы и сами можете его редактить, потому как шапочка  
Чтож, пока советов нет, тупо кину какой есть.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 14:41 01-04-2004 | Исправлено: bredonosec, 15:25 01-04-2004
ladutsko



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
относительно диапазона локальных TCP портов (1024-5000)
5000 это значение по умолчанию и может быть легко изменено в реестре
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
параметр MaxUserPort
тип DWORD
допустимые значения 5000-65534
Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 16:35 01-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Net_man

Цитата:
но по-моему это попытки получить удаленный доступ к моему компу. Или я не прав?

 
Еще как прав!
После того как я сделал очень жесткие правила для svchost запретив все кроме необходимого (смотри http://www.outpostfirewall.com/forum/showthread.php?s=320a3672de400f34b871004cbde489e9&threadid=9858  )
 и в логах сделал фильтр на blocked svchost  то обнаружил много такого что раньше не регистрировалось  напримеря за неделю обнаружил 5 попыток соединится  ко мне черт знает откуда   прикидываясь ДНС (53 порт).
 
bredonosec
Еще предложение:  
Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для  
svchost
Во многих форумах svchost  вызывает макимум вопросов
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 16:45 01-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
эх, хорошо быть member'ом...
а вот я - junior - не могу редактировать шапку
 
мы забыли главное правило в конце BLOCK/DROP ALL!
LAST RULE
Block any other connection
TCP,UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

возьмите у меня в посте, прибейте в шапку please!
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 16:59 01-04-2004 | Исправлено: miasnikov andrew, 17:09 01-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Цитата:
Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для  
svchost  
- С радостью. Только сформулируйте их достаточно четко, чтоб можно было запихнуть в тэйбл ))  
ladutsko
Цитата:
может быть легко изменено в реестре  
- В любой вЫни? или только НТ/2к/..?
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:01 01-04-2004
ladutsko



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
В любой вЫни? или только НТ/2к/..?  

с NT 3.51 Service Pack 5
_http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/net/sur_tcp2.mspx
Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 20:21 01-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
с NT 3.51 Service Pack 5  
- понял, исправил.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:37 01-04-2004
ladutsko



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
а почему вместо 1024-5000 нельзя писать any?
Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 21:10 01-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ladutsko
Потому что в any входит и системный диапазон, в котором программе делать нечего, и если она туда пытаеться залезть, это должно быть знаком что что-то не в порядке, может вирус, троянец, или просто шпион....
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:22 01-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Изменены правила для Емула. Замечания?  
Ну раз нет, тогда спокойной.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 00:16 02-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Цитата:Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для    
svchost  
- С радостью. Только сформулируйте их достаточно четко, чтоб можно было запихнуть в тэйбл ))  

 
Вот правила для Svchost.exe  
 
TCP;  Allow;  Outgoing;  Remote 53 , 80, 443, 389;
UDP;  Allow;  Local: 68;  Remote: 67 ;
UDP;  Allow;  Local: any;  Remote: 53, 123;
 
Далее в оутпосте настоятельно рекомендуется прописать явно  
UDP;  Block;  Incoming Local:all;  
UDP;  Block;  Ougoing Remote: all  
TCP;  Block;  Incoming; Local: all;  
TCP;  Block;  Ougoing;  Remote: all  
Это заблокрует  всплывание многочисленных окошек для неуказанных сервисов.
 Как в остальных фаейволах я не знаю.
 
 НО на ноутбуке я предпочитаю прописывать несколько отдельных правил для каждой службы (DNS, DHCP, SSDP,UPnP, RPC, LDAP, Time synch).  Тогда при переходе из среды в среду легко включать или выключать блокировку небходимых служб (например RemoteDesktop или DHCP)
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 00:23 02-04-2004 | Исправлено: Spectr, 00:27 02-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Давай немножко поподробнее...

Цитата:
TCP;  Allow;  Outgoing;  Remote 53 , 80, 443, 389

53-й - это DNS для длинных запросов... А зачем его на остальные порты выпускать?

Цитата:
UDP;  Allow;  Local: 68;  Remote: 67

Это DHCP, я считаю что он просто обязан быть выпущен только на свой DHCP сервер

Цитата:
UDP;  Allow;  Local: any;  Remote: 53, 123

53 - обычный DNS, с ним понятно. А кто живет на 123-м порту? any тоже под вопросом, RFC локальный порт ограничен с 1024 до 5000
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:40 02-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
ну вот так и знал что укороченная под таблицу версия вызовет только вопросы и никакой пользы
Хорошо - вот полная версия того что стоит у меня (скопированная с outpost forum)
И в виде пригодном для гибкого включения выключения блокировок разных служб под Outpost.
 
===============
Allow DNS (UDP): Protocol UDP, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Allow DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Possible Trojan DNS (UDP): Protocol UDP, Remote Port 53, Block & Report
Possible Trojan DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Block & Report  
---
Block (or Allow) DHCP Request: Protocol UDP, Remote Address <ISP DHCP Server address>, Remote Port BOOTPS, Local Port BOOTPC, Allow  
---
Allow Time Synchronisation: Protocol UDP, Remote Port 123, Remote Address time.windows.com, time.nist.gov, Allow  
---
Allow LDAP connection: Protocol TCP, Outgoing, Remote Port 389 Allow
---
Allow Help Web Access: Protocol TCP, Outgoing, Remote Port 80, 443, Allow  
---
Allow( or Block) RemoteDesktop connection: Protocol TCP, Outgoing, Remote Port 3389 Allow (or Block)
---
Block  RPC (TCP): Protocol TCP, Incoming, Local Port 135, Block
Block  RPC (UDP): Protocol UDP, Local Port 135, Block  
---
Block Other TCP Traffic: Protocol TCP, Outoing, Block
Block Other TCP Traffic: Protocol TCP, Incoming, Block
Block Other UDP Traffic: Protocol UDP, Block
==================================
 
 
Цитата:
 А кто живет на 123-м порту?  

 
123 порт = Time Synchronisation
 

Цитата:
 any тоже под вопросом, RFC локальный порт ограничен с 1024 до 5000

 
Хороший вопрос!
Во-первых у меня eMule очень часто использует порты 5500-7000
во вторых почему то в оутпосте в пресетах ( да и в базе  на http://www.pcflank.com/fw_rules_db.htm   )
никогда не указывают одновремнно  local and remore ports.
Если указан remote ports  то local port  как бы может быть любой
Точного ответа не знаю сам.
 
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 01:54 02-04-2004 | Исправлено: Spectr, 14:12 02-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Спасибо, в общем и целом понятно... Кроме странной логики Оутпоста. Может поэтому их и в пресетах нет потому что он просто физически не дает задать их одновременно.. Кстати страничка не открывается, проверь пожалуста линк.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:29 02-04-2004
nickddd

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть фтп. Требует открыть открыть порты не совсем такие, как в таблице:
inbound remote ~61000 и local ~12000.
Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 12:11 02-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
проверь пожалуста линк.

 Поправил (там скобка вконце захватывалась)
 
nickddd

Цитата:
Есть фтп. Требует открыть открыть порты не совсем такие, как в таблице:  
inbound remote ~61000 и local ~12000

 
О том и говорю, что я везде в фтп клиентах, емул указываю 1025-65535
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 14:15 02-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не, ну всегда есть исключения... А у меня ослик седет себя как приличный
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:27 02-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Кроме странной логики Оутпоста. Может поэтому их и в пресетах нет потому что он просто физически не дает задать их одновременно

 
Да нет только что проверил, Outpost позволяет задать одновременно ограничения и на remote и local ports  в application settings
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 15:04 02-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Я предпочитаю максимально ограничивать любую сетевую деятельность. Если в RFC или в комментах к самой проге определен диапазон, всегда определяю где зя, а где низя.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:13 02-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Интересная подборка! 123-коррекция времени, так?  
А Бут РС - дистанционно с компом работаешь?
 
 Хотел уточнить одну деталь: мы сильно уклоняемся в сторону именно аутпоста. А по нему уже есть немаленькая тема. Может стоит как-то равновесие с другими распространенными стенками сохранять? Или там, отдельно рекомендованные наборы для поста, зоны, других ставить, а в основу - только сами дыры, которые наддо закрывать, без примеси технологии той или иной стены?  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 16:28 02-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
А Бут РС - дистанционно с компом работаешь?  

 
Да нет - BootPs, BootPC  это 67, 68 и нужно если  стоит динамическая раздача IP адресов. Так что дома эту службу отключаю а на работу прихожу с ноутом и включаю.
 

Цитата:
Хотел уточнить одну деталь: мы сильно уклоняемся в сторону именно аутпоста. А по нему уже есть немаленькая тема. Может стоит как-то равновесие с другими распространенными стенками сохранять? Или там, отдельно рекомендованные наборы для поста, зоны, других ставить, а в основу - только сами дыры, которые наддо закрывать, без примеси технологии той или иной стены?

 
Полностью согласен что необходима общая направленность по дырам.
Именно поэтому и нашел эту тему. В теме по аутпосту как то много постов про   мелкие технические детали не имеющие ничего общего с сетевой безопасностью.
Но примеры могу давать только для аутпоста, хотя как мне кажется, правила  универсальные, смотри например как я уже приводил   базу данных
 
http://www.pcflank.com/fw_rules_db.htm  
 
Кстати мне кажется  эту ссылку стоит поместить в шапку
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 19:30 02-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Согласен, база стОящая. Добавил.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 19:47 02-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
динамическая раздача IP адресов.  
- Понял.  

Цитата:
http://www.pcflank.com/fw_rules_db.htm
- Классная штука! Чем-то напоминает нашу шапочку, только вот что точно знаю, так это, что наша шапка никогда не станет такой же информативной, ибо места не хватит для распечатки всего, что необходимо для хотя бы большинства распространенных приложений.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:55 02-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Слишком она популистская и неточная у них. Не обьясняет, как что работает, а это полезно только если есть определенный уровень знаний. У нас шапочка точнее и есть обьяснения
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:24 02-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю общественности проверить настройку своих файерволов на leaktests
 
ссылки есть на  
http://www.pcflank.com/art41b.htm
 
Особенно рекомендую  
pcAudit
http://www.pcinternetpatrol.com/
 
Две недели назад меня очень напугал этот тест показав что все мои ухищрения по настройке аутпоста были легко обойдены и вся информация с моей клавиатуры и моего диска легко и без моего ведома ушла  с моего компьютера несмотря на жесткие правила на выпуск программ в интернет.
А ведь настройки были строго в соотвествии с рекомендациями производителя и общественности на форумах (и как в таблице в шапке).  Знаю решение проблемы но только для аутопоста, и там я уже писал об этом.
 
Любопытно было  бы знать как эти тесты проходят на других файерволах.
Кому не лень проверить свои файерволы?
 
Может быть стоит дать ссылку на тесты в шапке???
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 23:43 02-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
В принципе, такие ссылки уже есть в теме "Лучший файервол"... Там их целых два, но может быть это другой
У меня писиаудит не вылез.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:07 03-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
 
Sorry, не знал про эту тему, пойду читать
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 00:17 03-04-2004
estimated



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
У меня писиаудит не вылез

А у меня вылезает (под админом на XP)  
Насколько я помню, у тебя тоже Kerio 2.1.5, но для инета ты используешь юзера с ограниченными правами - может как раз из-за этого у тебя он не проходит?
 
Насколько я понял, этот pcAudit использует механизм DLL Injection (внедрение своей dll  в адресное пространство другой программы). В качестве этой "другой программы" pcAudit пытается использовать все запущенные процессы.
 
Если я ставлю первым правилом (наивысший приритет в Kerio 2.1.5) deny all <-->, то pcAudit не проходит. Но  если просто деактивирую все правила, разрешающие исходящие соединения (без первого deny all), а потом вручную жму "Deny" при каждом запросе - то pcAudit проходит. И почему это происходит - я пока не понял...  В чем может быть дело?
Всего записей: 1088 | Зарегистр. 15-02-2002 | Отправлено: 01:33 03-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated
Так с ходу сказать не могу. Только что опять запустил, в активных соединениях было видно как он "пробует" каждый активный процесс, так что наверное дело не в юзере который не админ. Ради интереса запустил из-под админа - тот-же результат, но он отработал секунды за 3, а из-под лимитед тужился минут 5. Единственная вещь, на которую можно обратить внимание - это чекбокс "Check MD5" - у тебя отмечен?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 02:25 03-04-2004
nickddd

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated

Цитата:
Если я ставлю первым правилом (наивысший приритет в Kerio 2.1.5) deny all <-->, то pcAudit не проходит. Но  если просто деактивирую все правила, разрешающие исходящие соединения (без первого deny all), а потом вручную жму "Deny" при каждом запросе - то pcAudit проходит. И почему это происходит - я пока не понял...  В чем может быть дело?

У меня ATGuard и то же самое. Дырку я нашел, но файрвол тут ни при чем. Стоит у меня локальный прокси - squid. Через него все и проходит. Что с этим делать пока не понял. Или в сквиде что-то настраивать (я его всего 2 недели юзаю, еще не разобрался) или в винде секурити крутить.
Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 13:18 03-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated
Утро вечера муд...
Когда писиаудит проходит по активным процессам, я заметил что они по порядку начинают слушать (listen). Поэтому можно предположить что он пытаеться сделать из каждого процесса прокси-сервер и через него выйти наружу. У меня loopback не разрешен, поэтому скорее всего сам писиаудит блокируется когда пытается подсоединиться к свежесозданным проксикам.
 
Добавлено
Разрешил loopback. Писиаудит вылез
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:04 03-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Можно поподробнее про  loopback?  
127.0.0.1 что ли прикрыть надо?
Результат плачевный, что с loopback что без него, все равно страничку выдает. Через оперу проскакивает остальные процессы оутпост блокирует.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 17:56 03-04-2004 | Исправлено: wezir, 18:29 03-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir

Цитата:
Можно поподробнее про  loopback?  
127.0.0.1 что ли прикрыть надо?  

 
 
 Вот рекомендации что я надыбал на форумах

Цитата:
 
Disable "Allow Loopback" Rule
 
The "Allow Loopback" global rule included in the default configuration presents a significant security risk to those using proxy servers (software like AnalogX Proxy, Proxomitron, WebWasher and some anti-spam/anti-virus software) since it allows any application not specifically blocked to access the Internet using the rules set up for the proxy. Disabling or deleting this rule removes this possibility.
 
Benefits: Prevents proxy server rules from being exploited by untrusted software.
Costs: Every application using a proxy server (e.g. web browser with Proxomitron, etc) will need an extra rule to allow access to the proxy (the one suggested by the Rules Wizard should be sufficient in most cases).
 

 
После того как я запретил loopback  в глобальных правилах, за 2 недели мне пришлось лишь дважды разрешить его для конкретных приложений (NERO and Serv-U administrator)
Другие пока не просятся. Но и прохи у меня нет.
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 18:37 03-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А просто в виндовс отключить данный сервис можно?
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 19:09 03-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir

Цитата:
А просто в виндовс отключить данный сервис можно?

 
А нет  такого сервиса !!!!  
Да и сам loopback нужен -  Достаточно просто разрешить тем кому он нужен а не всем подряд
Для Serv-U он жизненео нужен!!!
 
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 19:41 03-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
All
Так, дело не в loopback. После того, как он один раз вылез, я не смог вернуть систему в прежнее состояние, даже восстановив ее с имиджа. Принудительный запрет дела не меняет. Если кто знает почему - откликнитесь...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 20:40 03-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
А что с системой то?
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 23:04 03-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
После того, как он один раз вылез, я не смог вернуть систему в прежнее состояние, даже восстановив ее с имиджа.

 
А можно пожалуйста по-подробнее:
в какое такое прежнее состояние? Что поломалось то??
 
Уменя после многократных тестирований в том числе pcAudit  никаких необратимых последствий не было, да и невозможно это. Это же тест всего лишь.
Единственное что пришлось сделать так вычистить призраки-клоны  рсаудита из списка разрешенных (зарегистрированных) dll in components details
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 23:31 03-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Spectr
Дозапускал pcaudit... Решил поиграться и посмотреть, почему у меня все пучком, а у других нет. После разрешенного loopback он таки вылез на свой сайт, показал мой десктоп, в общем, все как у людей. После этого убрал loopback, а pcaudit продолжает спокойно проходить сквозь файервол. Восстановился с имиджа, та-же проблема. Теперь сижу и вспоминаю, что-же я такое натвикал с тех пор, как сделал этот имидж...
Из описания принципа работы pcaudit вообще не понятно, как файервол может ее поймать. Это скорее функция операционки, а не файервола. Вот такие пироги...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:44 04-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
 
Может оно и к лучшему, зато придется выяснить все-таки правильную настройку файервола.
К сожалению помочь не могу так как у меня аутпост - в нем  вся изюминка была в том чтобы запретить в правилах explorer.exe. Именно он позволял обойти component control.
После запрета explorer   даже при разрешонном loopback аутпост начинал предупреждать про ранее неизвестную dll  в составе хорошо известных и разрешенных к выходу программ
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 12:30 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня только через браузер проскакивает, остальные приложения файрволом блокируются независимо разрешен loopback или нет.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 12:41 04-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
а какая стена?
Потому что если проскакивает через броузер, то пора сливать воду (точнее менять стенку, если конечно она настроена правильно)
Прошу прощения за оффтоп, но
вот результаты тестирования стен
http://www.pcflank.com/art41c.htm
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 13:15 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Agnitum
Но во всех других тестах он держит все на ура, в чем причина не могу понять, пропускает только PCAaudit и что интересно контроль компонентов у меня даже не дергается.
 
http://www.pcflank.com/art41c.htm здесь никаких проблем не наблюдается.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 13:34 04-04-2004 | Исправлено: wezir, 13:42 04-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Если аутпост то все в порядке. Он должен держать, и он у меня держит все тесты.
еще раз проверь: нужно убрать explorer в запрещенные (ну зачем ему выход в интерент??? для этого есть iexplorer)  и поставить максимум в component control.
До меня тут вдруг  дошло а что ты называл броузером (IE6 или что-то еще?)
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 13:43 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Opera
С чего ты решил что все в порядке, я же говорю что через браузер проходит свободно.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 13:54 04-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
У меня тоже через оперу выходит. Но мне кажется дело не в настройках файервола
Spectr
А когда ты тест проводил, у тебя бежали все проги которым разрешен выход в инет? Потому что для чистоты эксперимента надо чтобы все
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:05 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
У меня еще через меденжер закачек проходит, но проходит по стандартным разрешенным портам в опере кстати тоже.
 
Никто не подскажет, как узнать что ломится в мой комп под процессом System причем удаленные порты совершенно разные. Примерно раз в минуту, это мне не нравится.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 14:17 04-04-2004 | Исправлено: wezir, 14:37 04-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
А на какой локальный порт ломится?
У меня каждые несколько секунд такое
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:42 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Локальные порты тоже совершенно разные, никакой системы не замечено. Как впрочем и протоколы.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 14:56 04-04-2004 | Исправлено: wezir, 15:04 04-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
А почему тогда "под процессом System"? Это в логах файервола написано? Может быть он это пишет когда приходит что-то на неспользуемый порт?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:47 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Если б я знал, то не спрашивал Да в логах. Что может приходить на неиспользуемый порт?
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 17:44 04-04-2004 | Исправлено: wezir, 17:49 04-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Ладно, я неправильно спросил - это файервол сам придумал назвать его System или у тебя действительно какой-нибудь системный процесс висит на этих портах?
Дело в том, что обычно приходит просто куча левого трафика, разные кулхацкеры пытаются сканировать инет, и т.д. так что я бы не очень волновался
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:56 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нет реальных системных процессов на этих портах нет (по крайней мере оутпост их не видит), но на нервы это действует, потому как детектор атак сканирования портов не видит.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 18:41 04-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Не обращай внимания... Есть куча р2р систем, которые так делают поиск - тыкаются куда не попадя. Опять-же, кулхацеры тоже
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:50 04-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А когда ты тест проводил, у тебя бежали все проги которым разрешен выход в инет? Потому что для чистоты эксперимента надо чтобы все

 
Хорошо я одновремнно  запустил  все чему разрешен у меня  выход в интернет и на что есть правила (список внизу) - что упустил - поправьте.
pcaudit все перебрал но аутпост все таки ловил изменения в dll  и меня запрашивал пускать или не пускать  
Так что тест прошел успешно
--------
winWordXP
IE6
Remote administror viewer
Serv-U (admin +server)
FTP voyager
FlashGet
Eudora
Putty
Netinfo
Курсы валют ЦБ
TVprog
--
Spybot
TrojanRemover update
aI  
DrWeb
Ad-aware
--
Winamp
CDex
ExactAudioCopy
TagRename
eMusic Tag Editor
--
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 19:44 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Максимальный контроль компонентов Outposta помогает, тест пройден успешно.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 20:58 04-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
1. вообще-то все входящие TCP-соединения надо игнорировать, если на машине никаких серверов не висит.
 
2.
Цитата:
реальных системных процессов на этих портах нет
 
ну и что, что пытаются соединиться с портами... если их никакая программа не слушает (listen), то это "тыканье пальцем в небо".  
 
3. скорее всего ничего страшного тут нет.  
вполне возможно p2p ((с) Karlsberg) или чат сетевой или еще что-то (зависит от твоего соединения с интернет).
у меня соединение по локальной районной сети. так там вообще входящих запросов немеряно. и ничего - держим оборону
 
4.
Цитата:
детектор атак сканирования портов не видит

файервол под сканированием портов понимает то, что заложено в него создателями.
если программа просто проверяет 2-3 порта подряд, считать это действие сканированием - паранойя. а если 100+ - тут уже надо бить тревогу. а где грань между "нормальным перебором" и "сканированием"? судьи кто?..
поэтому разные файры по-разному реагируют на последовательные запросы по портам. тут вообще ничего страшного нет.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 20:58 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сорри, а изменения в dll как нибудь запретить можно? Ведь файер предполагает только правила для уже измененных компонентов, хотя вполне нормально работает с ними при перезапуске приложения, это что значит dll при перезапуске возвращается к прежнему состоянию?
 
Еще новости, в логах файрвола присутствуют соединения браузера на определенные адреса по стандартным портам 80 к примеру но при попытке открытия адреса происходит ошибка доступа, как к этому относится. к примеру два адреса постоянно присутствуют в логах http://static.exaccess.ru/  http://2003.novayagazeta.ru/ у когонибудь мысли по этому поводу есть? Соединение происходит и пакеты пересылаются при открытии определенного адреса с совершено отличным доменом.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 22:07 04-04-2004 | Исправлено: wezir, 22:23 04-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
 
Так это же не изменения в реальном файле с dll а добавления в список dll components для каждой программы учтенной в оутпосте. Если я выбирал заблокировать приложение до перезапуска то никаких изменений в списке не происходило.
Это список меняется только тогда когда я сам собственнноручно разрешил обновить его (я это проверил пару раз)  и тогда в этом спсике возникали всякие фантомные dll с именами-абракадарами  вроде  Gljkjdaujs.dll (переименованный pcaudit). Пришлось потом их вычищать из списка (реальные dll pcaudit на диске не оставлял).
 
Поэтому то важно чтобы в первоначальном списке были только легеальные dll провернные антивирусом, и в дальнейшем обновлять этот список контролируя а что там добавляется.
 
 
Добавлено
wezir

Цитата:
 два адреса постоянно присутствуют в логах http://static.exaccess.ru/   http://2003.novayagazeta.ru/  у когонибудь мысли по этому поводу есть?  

 
http://2003.novayagazeta.ru/ не нашел у себя
   
А вот http://static.exaccess.ru/  нашел (больше 200 раз за последние 4 дня) вместе
с http://www.exaccess.ru/  - какая-то "Универсальная торгова  
 я площадка с мгновенной доставкой товара"  
 
Хотя туда не разу не заходил По-видимому это опять аналог spylog,
регистирующий статистику посещений или чтения рекламы  
Что не понравилось так это что у меня помимо IE  и система туда что-то в 40 байт посылала по  80 порту Вывод выключаю Web access for SVCHOST.
а exaccess.ru в блокировку.
Экая гадость - до сих пор не проверял Web логи
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 22:36 04-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
А я о чем, мне тоже не нравится что моя тачка туда килобайты отправляет притом по стандартным портам, если бы вживую за соединениями не следил в оутпосте то долго еще был в неведении. Интересно а что я туда отсылаю?
 
Ты в блокпост адреса записал?
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 23:20 04-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
В блокпост
 
и за минуту он блокировал уже 10 соединений пока я писал в форум,  
Нашел - это банер внизу страницы
Ложная паника
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 00:22 05-04-2004 | Исправлено: Spectr, 00:27 05-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Что то блокпост настроить не могу, создаю фильтр и в поле to вношу адреса, в логах ничего не вижу.
 
Кстати про скрипты, у меня в правилах по максимуму все блокировано файером а видать что то все равно пропускает (опять же в логах есть некоторые скрипты с этих адресов) почему такая избирательность не понимаю.
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 00:27 05-04-2004 | Исправлено: wezir, 00:31 05-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir

Цитата:
Что то ч блокпост настрить не могу, создаю фильтр и в поле to вношу адреса, в логах ничего не вижу

 
А галочку в Enable logging to DB  поставил?
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 00:29 05-04-2004
wezir



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А галочку в Enable logging to DB  поставил?

Это где?
Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 00:57 05-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Это в правом нижнем углу под списком адресов для блокировки
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 01:20 05-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет loopback - он необходим некоторым прогам. Например - offline explorer, или вышеупомянутым.
Цитата:
вот результаты тестирования стен  
http://www.pcflank.com/art41c.htm  
- Довольно интересные результаты. По ним выходит, что моя стенка ну просто мусор (Deerfield Visnetic), хотя она в силу того, что является пакетным файером, позволяет блокировать кой-чего, что неспособны перекрыть обычные сетевые фильтры, как тот же аутпост и подобные.  
 Тесты пробовал пройти - вроде говорит, ОК, но я не уверен, что проверяет именно меня: у меня нет внешнего IP (через локалку выхожу, её серв на FreeBSD). В общем, может ли кто, имеющий также виснетик, провериться?

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:00 05-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
моя стенка ну просто мусор  (Deerfield Visnetic)

Так ведь любая стена без контроля приложений будет в конце списка. Весь прикол этих всех тестов - как одна апликашка может замаскироваться под другую, которой выход разрешен... Кстати, сам жду когда дирфилд свой продукт дополнит этой необходимой штукой.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:42 05-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прикол в том, что пакетный попутно фильтрует сами пакеты, а не только адреса. То есть, если пакет не такой, кк ожидалось - он не проходит. Это правило по дефолту: если для такого пакета правила нет - он блокируется. Хочешь его пропустить - сделай правило.  
 Это было первое. Второе - кк упоминалось, stateful inspection.  - т.е., если вася пупкин эмулирует стук под ответы на якобы мои запросы, то пост может это и пропустить, а виснетик - фиг. Потому как идет проверка, посылался ли запрос на этот адрес по такому-то протоколу, на такое-то добро. И если нет - блок.  
 Далее. Часто идет фрагментация пакетов. (иногда законно, иногда используется для взлома) - моя стена такие пакеты, которые не содержат инфы о себе, или эта инфа не совпадает с действительностью - опять же - блок по дефолту. Кста, эта фича очень помогает - часто вижу флуд такими инвалидными пакетами. Пропустил бы - мог и повиснуть или в бсод. А так - работаю ))  
 Далее. Для ICMP можно по каждому конкретному типу настроить. И получится, что вы сами пинговать и сканить можете (с некоторыми ограничениями), а вас - нет.  
 Далее, про АРП флуд, АРП спуфинг я писал неоднократно. В посте не видел возможности блокировать эти пакеты. Точнее сказать, вообще не знал, что такие есть. ))  
 А именно это мне актуально, бо я работаю через локалку, а (вот не помню, кто приводил статистику, что) примерно 80% взломов/нюков идут как раз через локальную сеть, бо возможности многократно шире (и скорость, и разнообразие способов)
 
 Хотя, если приделают апп-контроль к нему - ругаться не буду, Может и пригодится. Покамест можно довесить апп. контроль от зоны.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 00:35 06-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
А как насчет более простого варианта - троян в почте или скачал трояна вместе с варезом (раз в год и на старуху бывает ... ). Он спокойно открывает соединение через 80-й ремоут порт, который обычно у всех открыт, и все.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 02:09 06-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
троян в почте  
- Клиентами не пользуюсь. Забираю сам с веб-интерфейса. Причем не кликаю на что-попало. Так что мне неактуально.

Цитата:
или скачал трояна вместе с варезом  
- А об этом должен антивирь думать.  
Тем более, что, как неоднократно упоминалось (например, SXP), тот же Пост беззащитен к троям.  
 Хотя если теоретически - есть угроза. Может, воткну апп-контроль от зоны, она не враждует с виснетиком.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 02:53 06-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Тем более, что, как неоднократно упоминалось (например, SXP), тот же Пост беззащитен к троям.  

  А нельзя ли по-подробнее про это или ссылку где про беззащитность Поста к троянам написано.
 Для меня самое главное в стенке чтобы без моего ведома не могла утечь наружу  информация в частности логины в банк (или программы не стучали на меня). Там где я бываю только за содержимое моего диска по совокупности украденных програм можно крупно пострадать. Из аспирантуры да еще с крупным штрафом выгоняли. А сотрудников просто заносили в черный список а потом он не смог получить работу ни в одном университете англии.  
 До сих пор я думал что Аутпост выигрывает именно по этому критерию
Если есть другие мнения буду благодарен если поделитесь. Потому что виденные до сих пор обзоры стенок поражают своим непрофессионализмом. Речь всегда идет о рюшечках да бантиках а не о функциональности.
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 05:07 06-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
об этом должен антивирь думать

Код любого трояна может быть модифицирован так что ни один антитроянец его не узнает.
Еще один вариант для собирания всякой нечисти - тот-же HTTP

Цитата:
тот же Пост беззащитен к троям

А как-же http://www.pcflank.com/art41c.htm ? Здесь он набрал максимальное количество очков именно из-за хорошей фильтрации компонентов.
Spectr

Цитата:
виденные до сих пор обзоры стенок поражают своим непрофессионализмом

За последние пару лет не видел ни одного профессионального обзора, хотя ищу регулярно. Спецы по сетям наверняка не учились на литературном
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:49 06-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
За последние пару лет не видел ни одного профессионального обзора, хотя ищу регулярно. Спецы по сетям наверняка не учились на литературном

 
Да черт с ним с языком, было бы профессиональное изложение сильных и слабых сторон работы и принципов работы а не обзор красивостей интерфейса.
Я напрмер понятия не имел про пакетные фаеры. Начинал с Atguard перешел на NIS и с в свое сремя с удовольствием  перешел на первую бету аутпоста.
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 18:20 06-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А нельзя ли по-подробнее про это или ссылку где про беззащитность Поста к троянам написано
- Впервые где-то с полгода назад в аутпостовской теме. Сейчас уже не найду, но точно помню, что было и повторялось неоднократно. Если попадется - дам ссылу.  

Цитата:
фильтрации компонентов
сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,
 или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных?  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:17 06-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Принципы работы иногда можно нарыть на сайтах производителей, или в книжечках, иногда проскакивают статейки на разных сайтах. Есть у меня пара е-буков, я так понимаю для тебя аглицкий не проблема, могу подкинуть...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 19:18 06-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
понятия не имел про пакетные фаеры.
- Значит - фильтрует отдельные пакеты. И правила можно применять не только к протоколам/адресам/.. но и к типам пакетов (установление соединения, транспорт, информация, выяснение настроек сети, пинги, рассылки, проч) Пример: logSample.txt
*** = прикрыл последний октет своего внутреннего айпи.
 Или можно посмотреть обсуждение в теме Deerfield VisNetic Firewall 2.0

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:31 06-04-2004
SXP



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
там много смешного.... например ZAP 3.7 free получил 5 баллов а ZAP 4.0.x.x Pro всего 3
да и врут они... сами ЗАП с максимальными настройками проверте на этих тестсх.... и результат вас удивит
Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 20:34 06-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Q: process termination?  
A:Outpost can be killed by any trojan.... dalse put svoboden.. blago OP ne soprotivlaetsa vigruzke
 
Q: izmenenie pravil outposta... i nasilnoy perezagruzke systemi
A: pravela pomenat mozno bat failov )) echo >> Oppostconfig.ini (ili kak on tam nazivaetsa... netu outposta)
 
Q: ili pro PCAudit... kotoriy obhodit outpost so standartnimi nastroikami?
A: PcAudit? v teme pro luboy FW esli linki na etot test
(C)SXP

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:37 06-04-2004 | Исправлено: bredonosec, 20:58 06-04-2004
SXP



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,  
 или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных?  

 
нетак... Оутпост в отличии от Сигейта неможет заблокировать определенную дллку а блокирует всё приложение
 
Outpost firewall process can be terminated by any lamers trojan... thats why Outpost is not secure....
 
Добавлено
кстати текущий Зоне Аларм обходит Оутпост по надежности против троянов
Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 20:39 06-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
текущий Зоне Аларм обходит Оутпост по надежности против троянов
- Сопротивляется выгрузке? Или какие-то процессы в системе контролирует, что ребутнуть нельзя насильно его?  

Цитата:
Оутпост в отличии от Сигейта неможет заблокировать определенную дллку  
- вроде кто-то говорил тут обратное..страницу назад что-ли..
 инфа относится и к последним версиям тоже?  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:10 06-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SXP

Цитата:
Оутпост в отличии от Сигейта неможет заблокировать определенную дллку а блокирует всё приложение

Так ведь в принципе, это правильный вариант... При подозрении на изменение кода надо блокировать все приложение

Цитата:
текущий Зоне Аларм обходит Оутпост по надежности против троянов

А как-же результаты на PC Flank? (не заметил предыдущий пост, понял - врут )
 
А вообще, кто-нибудь с Оутпостом, попробуйте убить его процесс... Чего-то не очень верится (не в обиду SXP)
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:15 06-04-2004 | Исправлено: Karlsberg, 21:17 06-04-2004
SXP



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
- Сопротивляется выгрузке? Или какие-то процессы в системе контролирует, что ребутнуть нельзя насильно его?  

и то и другое...
 

Цитата:
Так ведь в принципе, это правильный вариант... При подозрении на изменение кода надо блокировать все приложение  

а если это svchost.exe с дллкой от трояна.... Sygate в таком случае заблокирует дллку трояна а оутпост весь процесс что скажется на работе сети...
Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 21:18 06-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А вообще, кто-нибудь с Оутпостом, попробуйте убить его процесс... Чего-то не очень верится (не в обиду SXP)

 
Убил аутпост из TaskManager( из списка исчез), после чего запустил acrobat reader и сделал упешно update (а ведь он у меня стоит в запрещенных к выходу и при запущенном аутпосте это не проходит). Так что аутпост был действителено убит. Ну и дела.
Но убил то я его из TaskManager - вопрос как легко его убить какому-либо трояну??
Наверное пока таких случаев не было - иначе бы шум поднялся точно.
 
 

Цитата:
а если это svchost.exe с дллкой от трояна.... Sygate в таком случае заблокирует дллку трояна а оутпост весь процесс что скажется на работе сети...

 
Так как аутпост для рабочих станция а не для сервера то это не страшно. При подобной аварийной ситуации все равно лучше вырубить все.
 
bredonosec

Цитата:
сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,  
 или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных

 
Блокирует все приложение как уже сказали выше но реагирует как на изменение dll так и на новые dll. PcAudit  как раз и пытался прикинуться новой dll.
В то же время любое обновление IE6 или новая версия даже lingvo hook сразу вызывает предупреждение что изменились файлы.  
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 22:07 06-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Отзеркалил и кинул в шапочку инфу по сетям.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:09 06-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Принципы работы иногда можно нарыть на сайтах производителей, или в книжечках, иногда проскакивают статейки на разных сайтах. Есть у меня пара е-буков, я так понимаю для тебя аглицкий не проблема, могу подкинуть

 
Спасибо - бросить на емэйл в профиле удобно? Или лучше  дать фтп доступ?
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 22:19 06-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
См. ПМ
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:04 06-04-2004
nickddd

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Классический BitTorrent по умолчанию работает в диапазоне 6881-6889. Мой клиент (SHAD0W's experimental) по умолчанию настроен на 6881-6999. Во всех (скорее всего) клиентах порты конфигурируемы, но не думаю, что их кто-то меняет.
У меня в файрволе так:
 
BitTorrent IN: TCP, local 6881-6999, remote 1025-65535
BitTorrent OUT: TCP, local 1024-5000, remote HTTP, 6881-6999
 
По HTTP клиент связывается с трекером. В доках про это ничего не говорится, так что его в принципе можно отключить.
 
Сорри. Был неправ. HTTP отключать конечно нельзя.
Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 01:31 07-04-2004 | Исправлено: nickddd, 09:45 07-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nickddd
Я, кстати, до сих пор не проверил, какой порт используется для захода на трекер. Он, скорее всего, использует указанный в *.torrent, но кто знает...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:42 07-04-2004
nickddd

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Как раз HTTP и использует. Я вчера во время скачивания отключил HTTP, ничего не произлшло. Поэтому написал, что можно отключить. А сегодня запустил докачку, и получил <ERROR. Problem connecting to tracker>. Разрешил HTTP, подключился.
Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 16:24 07-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
по поводу svchost.exe  
2k/XP позволяют задавать в настройках сетевого подключения(также в групповых политиках) списки DNS-серверов (пример:194.87.0.9,158.43.240.4)=> можно запретить процессу  подключения ко всем адресам,кроме этих
еше можно поставить себе DNS-сервер(такой как ExtraDNS)
и все DNS-запросы разрешать только через него.
 
P.S.напишите что Аутпост считает "SYSTEM" и как это прикрыть
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 18:05 07-04-2004
Tim72



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
TCP and UDP Port Numbers
http://www.iana.org/assignments/port-numbers

Цитата:
PORT NUMBERS
 
(last updated 2004-04-06)  
 
The port numbers are divided into three ranges: the Well Known Ports,
the Registered Ports, and the Dynamic and/or Private Ports.
 
The Well Known Ports are those from 0 through 1023.
 
The Registered Ports are those from 1024 through 49151
 
The Dynamic and/or Private Ports are those from 49152 through 65535


----------
"Доктор Хаус", это "Бойцовский клуб" для "ботаников"?
Всего записей: 2480 | Зарегистр. 16-02-2002 | Отправлено: 20:48 07-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Tim72
Спасибо, добавил в шапочку.
 
denis1234

Цитата:
можно поставить себе DNS-сервер

А смысл? Все равно ему придется выходить в интернет за адресами. То есть вместо конфигурации одного соединения надо конфигурить два. Есть какие-нибудь положительные стороны?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:16 07-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
 
ExtraDNS испольует свой список DNS-серверов, все ответы на запросы хранит в своей базе

Цитата:
Есть какие-нибудь положительные стороны?

-svchost.exe можно вообще запретить
-все запросы будут идти только через один процесс
-не нужно создавать правила для 53 порта каждому приложению
команда Ipconfig /all выдаст не IP DNS провайдера ,а 127.0.0.1
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 02:18 08-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234
В принципе у меня нет причин не доверять DNS серверам провайдера. Скорее, я им буду доверять больше, чем большому списку неизвестного мне ExtraDNS сервера. А правило можно прописать один раз для всех. Мне кажется, так гораздо более безопаснее.
Для маньяков можно ручками пачить файл hosts
 
Добавлено
Да, и svchost.exe еще должен отрабатывать DHCP запросы, так что полностью запретить его не удастся
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:11 08-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
DHCP я запретил еще в службах и несмотря на это интернет работает (а сетки у меня нет)
svchost.exe у меня в запрещенных приложениях (в Outposte)  
общие правила я использую только для блокировки
список DNS-серверов задаешь сам. у меня в нем DNS- сервера всех ISP города
как правило эксплоит под ось (svchost.exe-2k-XP) найти легче чем под конкретное приложение (ExtraDNS)
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 17:25 08-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234

Цитата:
DHCP я запретил еще в службах и несмотря на это интернет работает

А откуда он берет IP адрес после ребута?

Цитата:
эксплоит под ось (svchost.exe-2k-XP) найти легче  

Есть рационалное зерно... Может немного не в тему, под это дело уже написали реальные эксплоиты?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 19:22 08-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А откуда он берет IP адрес после ребута?

не знаю ... может у меня пров особый(или комп) но в логах Outposta порты 68,67 вообще не упоминаются
-эксплоиты еще не искал
 
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 23:12 08-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
DHCP я запретил еще в службах и несмотря на это интернет работает  
А откуда он берет IP адрес после ребута?  
- Насколько помню, DHCP нужно разрешать только если у тебя динамический айпи. В остальных случаях его блокировка работе не мешает, а значит полезна, бо закрывает дырку в безопасности.  

Цитата:
еше можно поставить себе DNS-сервер(такой как ExtraDNS)  
- Какие порты/пакеты он использует в работе? (в смысле, чего еще открываешь, чтоб он пахал? )  

Цитата:
2k/XP позволяют задавать в настройках сетевого подключения(также в групповых политиках) списки DNS-серверов (пример:194.87.0.9,158.43.240.4)=> можно запретить процессу  подключения ко всем адресам,кроме этих  
- Это, получается, используешь встроенный файер оси? Вроде как все подобные "запрещения" относятся к нему..  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 13:03 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
DHCP нужно разрешать только если у тебя динамический айпи

А статический IP от провайдера денег стоит
Скажем так, я еще не слышал чтобы где-то интернет раздавали со статическими айпишниками. Он наверняка может его получать и любым другим способом, типа VPN или вариации PPP.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:53 09-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
из встроенной справки XP:

Цитата:
Поставщик услуг Интернета может использовать службу DHCP для назначения IP-адресов компьютерам, подключающимся к Интернету. Обычно такие IP-адреса называют динамическими
 (кто знает много по этому вопросу - поправьте)
в настройках сетевого подключения у меня:"получить IP автоматически"
 
мои правила Outpost 2.0 на ExtraDNS:
#1 TCP входящие по 53 - блокировать+отчет
#2 UDP входящие по 53 - блокировать+отчет
#3 UDP входящие по 53 - разрешать+динамич.фильтрация,
локальный порт 1024-5000,Удаленный адрес  DNS.ISP#1,DNS.ISP#2,....
#4 UDP исходящие по 53 - разрешать+динамич.фильтрация,
Удаленный адрес  DNS.ISP#1,DNS.ISP#2,....
#5 TCP исходящие по 53 - разрешать+динамич.фильтрация
Удаленный адрес  DNS.ISP#1,DNS.ISP#2,....
-правило №5 нужно т.к.ExtraDNS пингует сервера списка  
Для справки-службу DNS-клиент тоже отключил т.к не нужна
 
-встроеный файер не использую(исходящие пакеты он блокировать не умеет),списки
 DNS-серверов можно задать для того,чтобы создать постоянные правила и не менять их при смене ISP(это относится к правилам для svchost.exe- который я не использую)
 
ExtraDNS поставил около двух лет назад.С тех пор заметил только один недостаток
-прога с базой данных(ms access) стала кушать около 20 метров оперативки
 
 
Добавлено
Karlsberg

Цитата:
 под это дело уже написали реальные эксплоиты?

как я понял у тебя 2K(XP) -посмотри свойства служб  
- почти половина висит на svchost.exe
-я слышал что в сети по рукам ходят исходники Win2k.Думаю  
тонны свежих эксплоитов ждут нас в ближайшее время
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 15:44 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234

Цитата:
получить IP автоматически

Может, оутпост просто не закрывает DHCP потому что он где-то включен в настройках? Было у меня как-то с сигейтом, в настройках отключил, в правилах разрешил, все равно не работало.

Цитата:
 в сети по рукам ходят исходники Win2k.Думаю  
тонны свежих эксплоитов ждут нас в ближайшее время

Исходники ходят от 2k SP1, а сейчас уже 6-ой. Кроме того, мелкие недавно брали месяц таймаут и латали все дырки в секьюрити, так что наверняка проверок понатыкали на всякие переполнения.

Цитата:
почти половина висит на svchost.exe

У меня не половина у меня гораздо меньше

Цитата:
ExtraDNS

А как проги обращаются к нему? Тоже по UDP на 53-й порт?
 
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:17 09-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А статический IP от провайдера денег стоит  
Скажем так, я еще не слышал чтобы где-то интернет раздавали со статическими айпишниками.  
- 1. Если выход в сеть через ЛАН, то чаще всего (не хочу говорить всегда, вдруг какой админ гемор любит и прописал на серве своем?) адрес в этой сетке у тебя прописан жестко. Внешнего адреса у тебя при этом нет. DHCP не нужен.  
2. Если через ДСЛ модем - зависит от плана. Некоторые дают статический, некоторые - динамический айпи. Разница стоимости плана не сказать чтоб особо заметная. Ширина канала влияет больше.  
3. мопед - без понятия. здесь это дело почти вымерло как вид.  

Цитата:
в настройках сетевого подключения у меня:"получить IP автоматически"  
- А у меня прописан жестко. Как уже сказал, есть варианты.

Цитата:
встроеный файер не использую(исходящие пакеты он блокировать не умеет),
- может я что-то недопонимаю, но чем если не им ты делаешь
Цитата:
2k/XP позволяют задавать в настройках сетевого подключения(также в групповых политиках) списки DNS-серверов (пример:194.87.0.9,158.43.240.4)=> можно запретить процессу  подключения ко всем адресам,кроме этих  
?  

Цитата:
а сейчас уже 6-ой
- Где? Официально пока 4й висит. Для НТ4 6й вроде как. Для 2к даже 5й еще не оформлен (беты вроде где-то ходят)


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 17:11 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
 Где? Официально пока 4й висит

Обманул Перепутал с 6-м от VS6, вчера искал, и перемкнуло.

Цитата:
Если выход в сеть через ЛАН

Если выбросить скобки, то получается  

Цитата:
 Если выход в сеть через ЛАН, то чаще всего адрес в этой сетке у тебя прописан жестко. Внешнего адреса у тебя при этом нет. DHCP не нужен

Если это не описка, то я поспорю
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:36 09-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
то я поспорю  
- Слушаю вас.
//кста, темка появилась интересная - Подключение к Internet по DSL (PPPoE)


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 18:04 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Благодарю
Если мы говорим о сетке с большим количеством компьютеров, то DHCP обычно используют чтобы избежать конфигурирования всех станций ручками. Подключил - включил - работает.
Если сетка дома (2-3 компьютера) то скорее всего конфигурация статическая.
Но DHCP не имеет отношения к выходу в интернет, это всего-лишь способ сконфигурить компьютер в сети.
Возражения?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:17 09-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если мы говорим о сетке с большим количеством компьютеров,  
- Случай моей - не менее 134 компов. (судя по банлисту админ правда продолжает что-то врать про 50 )

Цитата:
DHCP обычно используют чтобы избежать конфигурирования всех станций ручками. Подключил - включил - работает.  
- А если админ желает точно знать, кто в сетке есть, кого нет, кто есть кто, то ему приходится делать жесткую привязку айпи к маку. (В нашей серв не обслуживает запросы компов, чьих айпи нет в списке юзеров, а также, если этот айпи не совпадает с прописанным в том же списке маком, соответствующим данному айпи) В случае динамических это мне не представляется реальным.  
 (к слову о хелпе виндовом: некоторые делают строго по нему, потому иногда ловлю пакеты с адресов типа 169.254.49.227, 169.254.187.157, подобных. Если правильно понял - хто-то после свежеинсталла пытается выйти в инет не сконфигурив нет-сеттинги - юзая по дефолту DHCP и не вьезжая, чего же связь пропала)
Цитата:
Но DHCP не имеет отношения к выходу в интернет, это всего-лишь способ сконфигурить компьютер в сети.  
- Абсолютно согласен. За исключением моментов, упомянутых вами ранее - стоимость статического айпи от прова и нежелание некоторых эту услугу предоставлять.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 18:29 09-04-2004 | Исправлено: bredonosec, 18:40 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
А если админ желает точно знать, кто в сетке есть, кого нет

Можно всякие SNMP тулы использовать, хотя я не представляю зачем такое может понадобиться. Кто наружу ходит - так это и проксик может репорт выдать. Странный у вас админ
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:36 09-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Странный у вас админ  
- Думаю, это для софтового отключения неплательщиков. Чтоб не бегать по всему кварталу и не резать кабеля.


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 18:42 09-04-2004
Topcrust



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Скажем так, я еще не слышал чтобы где-то интернет раздавали со статическими айпишниками.

 

Цитата:
3. мопед - без понятия.

 
В Питере PeterStar предлагает услугу "Фиксированный IP-адрес для диалап-соединения".
 
А по поводу DHCP и мопеда мы с bredonosec в теме по VisNetic'y говорили. У VisNetic'a в пресетах для модема есть правило DHCP (for dynamic IPs). Так вот, у меня оно выключено, а I-Net пашет (WinXP SP1 Corp + Modem, IP - динамический). При этом VisNetic постоянно показывает в логах блокированные UDP соединения с моего IP (68 порт) на 255.255.255.255 (67 порт). А недавно поставил VisNetic на Win98SE - там I-Net не заработал, пока я не прописал правило для DHCP.
Всего записей: 236 | Зарегистр. 05-01-2004 | Отправлено: 19:12 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Topcrust

Цитата:
UDP соединения с моего IP (68 порт) на 255.255.255.255 (67 порт)

Это он и есть - шлет броадкаст на 67-й порт со своего 68-го

Цитата:
 оно выключено, а I-Net пашет (WinXP SP1 Corp + Modem, IP - динамический)

Получается, что ХР использует какой-то другой способ конфигурить хост, если DHCP блокируется. Поищем...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 20:29 09-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А как проги обращаются к нему? Тоже по UDP на 53-й порт?

это шутка??? ExtraDNS  установлен на моем компе,работает по DNS API, и проги обращаются на 127.0.0.1 !!!

Цитата:
 мелкие недавно брали месяц таймаут и латали все дырки в секьюрити, так что наверняка проверок понатыкали на всякие переполнения.

не знаю кто как,а я не собираюсь своим 56к-модемом тянуть лишнюю сотню метров каждый раз когда мелкие начинают шевелиться

Цитата:
 DHCP не имеет отношения к выходу в интернет, это всего-лишь способ сконфигурить компьютер в сети.  
Возражения?

полностью согласен.я с самого начала придерживался этого мнения
bredonosec

Цитата:
- может я что-то недопонимаю, но чем если не им ты делаешь

смысл всего этого: задать конкретные(известные) адреса,чтобы потом по ним создать правило (Outpost)  
хоть как-то работающий встроеный файер мелкие обещают не раньше чем в конце этого года
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 20:41 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234

Цитата:
это шутка??? ExtraDNS  установлен на моем компе,работает по DNS API, и проги обращаются на 127.0.0.1 !!!

Это не шутка
Просто в этом случае надо еще добавлять правило для localhost:53 потому как есть куча троянов способных находить всякие проксики и через них вылезать.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 20:45 09-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Про слишком умные трояны не знал.Спасибо.Хорошо бы о них знал мой DrWeb...
Но что троян будет делать на внешнем DNS-сервере???,или заголовки пакетов они тоже умеют изменять (извиняюсь, получилось немного не в тему )
 
на применении Loopback(если речь идет о нем???) у меня были замечены только сканеры (еще недавно кто-то на форумах жаловался на Nero)больше ничего об этом не слышал.Судя по логам,процесс получение DNS-ответа проходит прозрачно для приложений
правило localhost:53 просто бы не работало
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 23:33 09-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234

Цитата:
что троян будет делать на внешнем DNS-сервере

Опасность тут, я думаю, стандартная для DNS - захочешь пойти на мойбанк.ру, а пойдешь на липовый сайт. Хотя в истории вроде не встречалось.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:56 09-04-2004
Sky hawk



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ребята я прошу прощения так как я обещал выложить тут мануал по настройки ф-ов, это был даже не слвсем мануал, а скорее обзор некотрых ф-ов с крат.оп. и скинами, типа как в каждом конкретном случаи закрыть например порт и т.д. но в силу последних событий т.к. я до сих пор не могу востоновить данные после краха винта, видимо я не сдержу своё обещание и не выложу сей труд вам на критику, ребята если кто знает как вытащить из неразмеченной области например .тхт файлы, плиз стукните в ПМ. Ссори за оффтоп.

----------
Волгоград в Фейсбуке
АвтоТвиттер
© каждый имеет мнение как хочет.
Всего записей: 2153 | Зарегистр. 31-10-2003 | Отправлено: 22:39 11-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
хоть как-то работающий встроеный файер мелкие обещают не раньше чем в конце этого года  

а кто пользовался встроенным файерволом в XP? (видел галочку "Защитить соединение...", а с чем ее едят - не понятно)
он вообще настраивается как-нибудь? кто пользуется/знает - отзовитесь, pls!
 
Добавлено
а хорошо тема пошла! + на шапочку любуюсь
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 00:01 12-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew
Встроенный в ХР файер категорически не советую, так как мониторит только входящие. Исходящие в принципе не замечает.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:13 12-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
я тоже не стал бы никому советовать такую радость...
Как почитал в справке - он скорее для ICS (Internet connection sharing), чем для локальных программ. А вообще-то странный какой-то фрукт.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 14:40 12-04-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
весьма полезные програмулины. думаю, в этом топике народу пригодяца

Цитата:
 
TDIMon
http://www.sysinternals.com/ntw2k/freeware/tdimon.shtml
показывает активные TCP и UDP соединения в реальном времени
TCPView
http://www.sysinternals.com/ntw2k/source/tcpview.shtml  
Показывает детальное состояние сетевых процессов (файл, порт, действие, локальный/удалённый адреса). Может быть весьма полезной при настройке файервола. Не требует инсталяции.
 
ЗЫ фсе проги - Freeware  


----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 15:08 12-04-2004 | Исправлено: AntiBIOtic, 15:14 12-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят!
 
Есть ряд вопосов:
 
1. Какой порт в правиле по ограничению номера локального порта снизу для получения ответов от DNS-сервера правильнее задавать: 1023-ий, 1024-ый или 1025-ый  (включительно)?
2. Какой порт в правиле по ограничению номера локального порта сверху для получения ответов от DNS-сервера правильнее задавать 4999-ий или 5000-ый (включительно)? Откуда вообще взялось число 5000 и по какой причине DNS-сервер не отвечает выше? Какой-то RFC?
3. Последнее время много удаленных хостов ломятся ко мне по TCP на локальный порт 1025. Заинтересовался, что это такое. Поискал в рунете -- не густо -- нашел только одно более-менее понятное объяснение.

Цитата:
Итак, давайте посмотрим на список выделенных номеров портов.
 
    blackjack       1025/tcp   network blackjack
    iad1            1030/tcp   BBN IAD
 
Подождите, что же происходит? Что: рабочая станция подсмотрела номер кредитной карточки и решила поиграть в очко с неким сервером в internet? И что это за программа была установлена BBN?
 
В этот момент НЕ НАДО начинать паниковать и посылать сообщения в списки рассылки по брандмауэрам. Фактически, этот вопрос задавался раз десять за последние полгода, и каждый раз на него отвечали. Но даже ЭТО не мешает людям задавать тот же вопрос вновь.
 
Если вы задаете такой вопрос, скорее всего, вы работаете на машине под управлением Windows. Порты, которые вы видите (скорее всего), -- два прослушивающих порта, которую подсистема RPC открывает при запуске.
 
Это пример того, как динамически выделяемые порты могут использоваться серверными процессами. Приложения, использующие механизм RPC, в дальнейшем подключаются к порту 135 ("сопоставитель портов" -- `portmapper -- netbios) с запросом, где можно найти ту или иную службу RPC, и получают ответ, что соответствующая служба может быть найдена на порту 1025.
 
Откуда мы это знаем, ведь "списка", описывающего эти порты, нет? Это просто: опыт ничем не заменишь. Сильно помогает и использование средств поиска по спискам рассылки.

 
А вопросы в связи с этим такие:
 
1. Нафига все эти клиенты ломятся ко мне на этот порт? Чего им там надо? Вирей, использующих RPC DCOM, чтоли понахватали?
 
2. Как думаете, что-то отвалится, если заблкировать порт 1025 вообще? Просто у меня не совсем рабочая станция -- на ней стоят еще RemotelyAnywhere и FTP-сервер с возможностью удаленного админимтрирования через клиента.
 
???

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 15:07 13-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Цитата:
The port numbers are divided into three ranges: the Well Known Ports,
the Registered Ports, and the Dynamic and/or Private Ports.
 
The Well Known Ports are those from 0 through 1023.
 
The Registered Ports are those from 1024 through 49151
 
The Dynamic and/or Private Ports are those from 49152 through 65535

Диапазон 1024-5000 используется практически любыми клиентами для исходящих соединений.
 
Выше 5000-го, как правило, никто не размещает исходящие, а вот входящие бывают (тот же FTP-сервер в пассивном режиме).
 
А вообще-то в шапке четко написано DNS: local ports: 1024-5000. Не заморачивайся и прописывай в файре 1024-5000.  
 
Что касается вопросов: "ко мне ломятся на ххх порт", то реакция однозначная:
1. смотрим netstat (какие порты и кем слушаются на машине)
2. если есть программа, которая слушает (listen) ххх порт - думаем, чем она занимается и принимаем соотв. действие
3. если никто не слушает порт - то фиг с ним.
4. для пущей безопасности надо всё запретить, и разрешать нужные проги/коннекты по-одному.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 15:56 13-04-2004 | Исправлено: miasnikov andrew, 16:08 13-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
Диапазон 1024-5000 используется практически любыми клиентами для исходящих соединений.  

С приложениями у меня вопросов не возникает. Я спрашиваю конкртено, про svchost и ответы от DNS-сервера.

Цитата:
А вообще-то в шапке четко написано DNS: local ports: 1024-5000. Не заморачивайся и прописывай в файре 1024-5000.  

А шапка гарантирует правильность информации?
 
Я вам приведу цитату из очень известной старой статьи "Атака на DNS"

Цитата:
...следующая тонкость, на которую требуется обратить внимание, состоит в том, что значение поля "порт отправителя" в UDP - пакете вначале принимает значение 1023 и, затем увеличивается с каждым переданным DNS - запросом.

Чувствуете разницу? Первое значение = 1023, а не 1024.
 
Так кто же прав? Шапка или статья?

Цитата:
смотрим netstat (какие порты и кем слушаются на машине)  

netstat, насколько я знаю, не показывает имя приложения, открывшего порт. Но это решается другими способами, например, сторонними утилитами или фаером. Но это не суть важно. Важно то, что порт 1025 используется не приложением напрямую, Generic Host Process'ом (aka svchost.exe). Так что имя приложения тут вам ничего не дает.

Цитата:
2. если есть программа, которая слушает (listen) ххх порт - думаем, чем она занимается  и принимаем соотв. действие  

В моем случае svchost.exe слушает TCP:25, обеспечивая работу RCP и это мне понятно. Мне непонятно другое: зачем туда лезут клиенты и какие еще приложения могут использовать RCP по сети в моем случае?

Цитата:
3. если никто не слушает порт - то фиг с ним.  

Очень ценный совет. Как же порт может быть открыт, если его никто не случает? Кто же его тогда открыл? Дед мороз?

Цитата:
4. для пущей безопасности надо всё запретить, и разрешать нужные проги/коннекты по-одному

Это понятно, но только очень уж огульно. Потому как мне интересно, насколько быстро вы решите к.л. проблему, причина которой совсем неочевидна, но в реале кроется в одном из ваших многочиследнных запрещающих правил (с учетом того, что приложение работает с портом не напрямую, а через представителя [в данном случае Generic Host Process])? Ведь RPC весьма активно используется:

Цитата:
Фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service)  
Система событий COM+ (COM+ Event System)  
Уведомление о системных событиях (System Event Notification)  
Системное приложение COM+ (COM+ System Application)  
Службы криптографии (Cryptographic Services)  
Клиент отслеживания изменившихся связей (Distributed Link Tracking Client)  
Координатор распределенных транзакций (Distributed Transaction Coordinator)  
Message Queuing  
Message Queuing Triggers  
Служба регистрации ошибок (Error Reporting Service)  
Служба факсов (Fax Service)  
Справка и поддержка (Help and Support)  
Доступ к HID-устройствам (Human Interface Device Access)  
IIS Admin  
FTP Publishing Service  
Simple Mail Transport Protocol (SMTP)  
World Wide Web Publishing Service  
Служба индексирования (Indexing Service)  
Службы IPSEC (IPSEC Services)  
Диспетчер логических дисков (Logical Disk Manager)  
Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)  
Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)  
Message Queuing  
Message Queuing Triggers  
Служба сообщений (Messenger)  
MS Software Shadow Copy Provider  
Сетевые подключения (Network Connections)  
Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)  
Диспетчер очереди печати (Print Spooler)  
Служба факсов (Fax Service)  
TCP/IP Printer Server  
Защищенное хранилище (Protected Storage)  
QoS RSVP (QoS RSVP)  
Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager)  
Удаленный реестр (Remote Registry Service)  
Съемные ЗУ (Removable Storage)  
RIP Listener  
Маршрутизация и удаленный доступ (Routing and Remote Access)  
Диспетчер учетных записей безопасности (Security Accounts Manager)  
Координатор распределенных транзакций (Distributed Transaction Coordinator)  
Message Queuing  
Message Queuing Triggers  
IIS Admin  
FTP Publishing Service  
Simple Mail Transport Protocol (SMTP)  
World Wide Web Publishing Service  
Определение оборудования оболочки (Shell Hardware Detection)  
Служба восстановления системы (System Restore Service)  
Планировщик заданий (Task Scheduler)  
Телефония (Telephony)  
Служба факсов (Fax Service)  
Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)  
Диспетчер подключений удаленного доступа (Remote Access Connection Manager)  
Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)  
Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)  
Telnet (Telnet)  
Службы терминалов (Terminal Services)  
Совместимость быстрого переключения пользователей (Fast User Switching Compatibility)  
Диспетчер отгрузки (Upload Manager)  
Теневое копирование тома (Volume Shadow Copy)  
Windows Audio (Windows Audio)  
Служба загрузки изображений (WIA) (Windows Image Acquisition (WIA))  
Windows Installer (Windows Installer)  
Инструментарий управления Windows (Windows Management Instrumentation)  
Беспроводная настройка (Wireless Zero Configuration)  
Адаптер производительности WMI (WMI Performance Adapter) [/b]

А вы говорите запретить его нафиг... Может у кого из читателей топика есть соотв. опыт?
 
P.S.
Да, и откуда взялось число 5000? А то на заборе тоже написано, но забор все же не RFC.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 17:13 13-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А шапка гарантирует правильность информации?  
Совместными усилиями - да (для этого и просим указывать на неточности.  
Если впадать в паранойю - нет (т.к. тут все субъективно... не advanced member'у мне это говорить )

Цитата:
Первое значение = 1023, а не 1024. Так кто же прав? Шапка или статья?  
Никто, т.к. оба номера в IANA помечены как reserved, т.е. никто не заявлял, что они однозначно используются кем-то.

Цитата:
netstat, насколько я знаю, не показывает имя приложения, открывшего порт

sorry, ты не указал, что за ОС используешь - поэтому ответ общий.
кстати, для windows команда "netstat -o" показывает PID (Process ID)

Цитата:
Очень ценный совет. Как же порт может быть открыт, если его никто не случает? Кто же его тогда открыл? Дед мороз?  
А если серьезно - то это бред.
При ответе на вопрос
Цитата:
Нафига все эти клиенты ломятся ко мне на этот порт
Не было уточнено, открыт порт или нет и каким образом ты определил, что к тебе кто-то ломится.
Поэтому не надо язвить, а лучше задавать конструктивные вопросы.

Цитата:
4. для пущей безопасности надо всё запретить, и разрешать нужные проги/коннекты по-одному...  
Это понятно, но только очень уж огульно
Если понятно, то уже не огульно. Т.к. сетевой экран подразумевает отсев ненужных коннектов. И чем строже политика - тем надежнее защита.
Варианты - и волки сыты и овцы целы заведомо не укладываются в политику безопасности. Увы...
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 18:16 13-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Мы конфигурируем правила исходя не из того, кто куда просится, а из того, каким программам мы хотим разрешить работать с инетом.

Цитата:
Атака на DNS

В rfc и еще нескольких источниках указан именно этот диапазон.

Цитата:
что-то отвалится, если заблкировать порт 1025 вообще?

С помощью утилитки TCPView (см. пару постов назад от AntiBIOtic) можно посмотреть кто находится в состонии Listen на этом порту. Если кто-то ненужный - блокируем, иначе оставляем.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:40 13-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
Никто, т.к. оба номера в IANA помечены как reserved, т.е. никто не заявлял, что они однозначно используются кем-то.  

Да дело не только в теории. Применяет же его MS. Раз применяет, значит масштаб серьезный. Поэтому нужно считаться.

Цитата:
Не было уточнено, открыт порт или нет

Открыт как и в любой другой ОС Windows (по крайней мере в 2K/XP -- точно). Но за ним присматривает фаер и "стучит" мне...

Цитата:
каким образом ты определил, что к тебе кто-то ломится.  

А какое это имеет значение?

Цитата:
а лучше задавать конструктивные вопросы.  

Как раз я был конструктивен, а вы пятались мне помочь не абстрагировавшись от классической схемы -- раз порт открыт, значит того, кто его открыл можно поймать netstat'ом.

Цитата:
Если понятно, то уже не огульно. Т.к. сетевой экран подразумевает отсев ненужных коннектов. И чем строже политика - тем надежнее защита.  

Да мне это все ясно и далеко не ново. Но вопрос то более тонкий, затрагивающий RPC, и, возможно, работу других приложений, которые используют его обычным способом, т.е. через "прослойку" по имени Generic Host Process.
 
Karlsberg

Цитата:
Мы конфигурируем правила исходя не из того, кто куда просится, а из того, каким программам мы хотим разрешить работать с инетом.  

Я не уверен, что из нужного мне софта использует RPC по сети. Узнать это не представляется возможным, используя утилиты мониторинга портов. Причина проста и я ее уже приводил:

Цитата:
Важно то, что порт 1025 используется не приложением напрямую, Generic Host Process'ом (aka svchost.exe). Так что имя приложения тут вам ничего не дает

Надеялся услышать здесь тех, кто пробовал блокировать RPC-порты, например, на серверах. Видимо, придется применять метод научного тыка.

Цитата:
В rfc и еще нескольких источниках указан именно этот диапазон.  

Этот, это какой? А можно номер RFC?

Цитата:
С помощью утилитки TCPView (см. пару постов назад от AntiBIOtic) можно посмотреть кто находится в состонии Listen на этом порту. Если кто-то ненужный - блокируем, иначе оставляем.  

Читайте выше, задобался повторять.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 23:12 13-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
каким образом ты определил, что к тебе кто-то ломится.  
А какое это имеет значение?  
- Скажем так, интересно.
 

Цитата:
Как раз я был конструктивен, а вы пятались мне помочь не абстрагировавшись от классической схемы -- раз порт открыт, значит того, кто его открыл можно поймать netstat'ом.  
- Насколько понимаю, порт открыт только тогда, когда на нем висит какой-нить сервис. Или его использует какая-то прога.  
 Сколько ни сканил свой, никаких портов, окромя используемых (ТСР/УДП, и если какой-нить сервис включен - то и его) видно не было. Тестил на чистой машине - без стенки.  
 
 Далее. К вопросу об свхост. Ты навесил весьма длинный список процессов, которые его используют. Хочешь сказать, что все его используют одновременно? Наверно, следующий совет уже понятен: когда вот так ломятся, посмотри, какие процессы работают. Не встроенным, а сторонней утилитой. И пробуй по одному их отрубать. Или блокировать. Метод научного тыка? Возможно. Но их всего штук 10-30. И часть их никаким боком с сетью не связана, другая часть - висит на других портах, так что круг сужается. Если найдешь более быстрый способ - напиши, будем благодарны.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 23:33 13-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Если это просьба помочь, то давай немного успокоимся и сбавим пыл. Здесь никто никому ничего не обещал а только по-возможности пытается помочь.

Цитата:
 не уверен, что из нужного мне софта использует RPC по сети. Узнать это не представляется возможным, используя утилиты мониторинга портов. Причина проста и я ее уже приводил:  
Цитата:
Важно то, что порт 1025 используется не приложением напрямую, Generic Host Process'ом (aka svchost.exe). Так что имя приложения тут вам ничего не дает

Насколько я понимаю, tcp view показывает что svchost.exe слушает на 1025-ом порту. В таком случае в services методом научного тыка можно определить, какой сервис за это отвечает. Или по-другому, с помощью проги process explorer с известного сайта sysinternals.com посмотреть с какими аргументами запущен процесс (id процесса берется из tcp view). Аргумент обычно указывает на функцию, которую сервис выполняет и нафига он, собственно, нужен.

Цитата:
Цитата:
В rfc и еще нескольких источниках указан именно этот диапазон.  
Этот, это какой? А можно номер RFC?

В шапочке в сноске как раз говорится об верхнем пределе. Про RFC - неверно в общем, верно для Windows платформ. Вот несколько линков на "забор":
_http://www.zeiss.net.ru/docs/technol/tcpip/tcp01.htm
_http://members.rogers.com/zyklon/tpfold.html
А вот этот уже от мелкомягких, просто вернее не бывает
_www.microsoft.com/siteserver/ssrk/docs/rk_fltrset.doc
 
 
Добавлено
bredonosec
Ты ответил пока я тут сочинял
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:56 13-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Скажем так, интересно.

Топик то про фаеры. Логично предположить что как раз им им.

Цитата:
Сколько ни сканил свой, никаких портов, окромя используемых (ТСР/УДП, и если какой-нить сервис включен - то и его) видно не было. Тестил на чистой машине - без стенки.  

А вы попробуйте на XP Pro запустить TCPView и увидите как минимум несколько вещичек, очевидность предназначениея которых совсем не очевидна

Цитата:
Ты навесил весьма длинный список процессов, которые его используют.

Кого svchost?

Цитата:
Хочешь сказать, что все его используют одновременно?  

Если ДА, то думаю, ДА. Потому как ну очень уж много резидентно работающих служб его используют -- даже на рабочей станции минимум 30% из приведеного списка. А максимум на серверах может и до 60..70% подпрыгивать. А может и больше.

Цитата:
 Не встроенным, а сторонней утилитой. И пробуй по одному их отрубать. Или блокировать.

А я не уверен, что его открывает к.л. приложение. Этот порт могла открыть и служба RPC, остановка которой невозможна по причинам невозможности продолжения функционирования ОС в нормальном режиме.

Цитата:
 Но их всего штук 10-30.

Побольше, но часть из них чиста оффлайновые или проверенные временем.

Цитата:
другая часть - висит на других портах, так что круг сужается

Одно приложение может открывать несколько портов. Тот же RemotelyAnywhere (remotelyanywhere.exe) -- 4 порта.

Цитата:
Если найдешь более быстрый способ - напиши, будем благодарны.  

Буду пробовать другой метод научного тыка -- закрою порт и буду искать глюки. Не будет их -- оставлю. Будут -- буду пытаться помнить, про то, что я заткнул RPC-порт и неплохо бы попробовать не из-за него ли
 
Добавлено
Karlsberg

Цитата:
Если это просьба помочь, то давай немного успокоимся и сбавим пыл. Здесь никто никому ничего не обещал а только по-возможности пытается помочь.  

Да не парься ты, все нормально.

Цитата:
Насколько я понимаю, tcp view показывает что svchost.exe слушает на 1025-ом порту. В таком случае в services методом научного тыка можно определить, какой сервис за это отвечает. Или по-другому, с помощью проги process explorer с известного сайта sysinternals.com посмотреть с какими аргументами запущен процесс (id процесса берется из tcp view). Аргумент обычно указывает на функцию, которую сервис выполняет и нафига он, собственно, нужен.  

Да я пока другой способ планирую попробовать. Отписал выше.

Цитата:
В шапочке в сноске как раз говорится об верхнем пределе.

Не, в шапке описаны оба предела: 1024-5000.

Цитата:
www.microsoft.com/siteserver/ssrk/docs/rk_fltrset.doc  

Вот тут однозначно. Спасибо. Но все же неплохо бы найти в RFC описания алгоритма смены портов серверами DNS.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 00:07 14-04-2004 | Исправлено: eika, 00:15 14-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Не, в шапке описаны оба предела: 1024-5000.

Я имел в виду сноску под таблицей:

Цитата:
*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 

Цитата:
неплохо бы найти в RFC описания алгоритма смены портов серверами DNS

Я почти уверен что DNS серверу неважно с какого порта пришел запрос, потому что в первом линке есть инфа об одном варианте юникса, который использует порты начиная с 32000 с кусочком. Он просто шлет ответ на тот порт с которого пришел запрос.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:52 14-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
А вопросы в связи с этим такие:  
 
1. Нафига все эти клиенты ломятся ко мне на этот порт? Чего им там надо? Вирей, использующих RPC DCOM, чтоли понахватали?  
 
2. Как думаете, что-то отвалится, если заблкировать порт 1025 вообще? Просто у меня не совсем рабочая станция -- на ней стоят еще RemotelyAnywhere и FTP-сервер с возможностью удаленного админимтрирования через клиента.  

 
А можно вернуться к истокам обсуждения после всех этих эмоциональных всплесков.
 
ЗАЧЕМ тебе RPC вообще??? Для FTP server это не нужно!!!
Для RemotelyAnywhere  подозреваю тоже.
У меня RPC (UDP and TCP) запрещены как в системных правилах так и в apllication rules  для svchost (outpost firewall)
При этом у меня по-видимому  та же конфигурация WinXPPro+ Serv-U with remote administartion (активно администирурю из дома)
Последние 2 месяца активно пользуюсь   Remote Administrator и игрался с  MS RemoteDesktop (интересно было сравнить)
remotelyAnywhere самую последнюю версию сгрузил в эти выходные и буду в ближайшие дни тестировать, но при беглом чтении документации я не увидел необходимости открывать RPC.
 
Можно поинтересоваться зачем  тебе нужен RPC??? У меня тоже стучаться в него чуть ли не каждую минуту, так как идиотов хватающих вирусы каждый день  в сетке нашей организации выше крыши.  
Совет - запрети в явном виде все для svchost кроме тех служб что нужны и открывай по мере необходимости.
Так как использую VPN  ( virtual private network) то мне пришлось например открыть явно ESP, AH, GRE PPTP protocols, а до этого у меня все они были заблокированы по дефолту.
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 01:27 14-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А вы попробуйте на XP Pro запустить TCPView и увидите как минимум несколько вещичек, очевидность предназначениея которых совсем не очевидна  


Цитата:
Если ДА, то думаю, ДА. Потому как ну очень уж много резидентно работающих служб его используют -- даже на рабочей станции минимум 30% из приведеного списка. А максимум на серверах может и до 60..70% подпрыгивать. А может и больше.  
- Насчет ХР - повторить не могу, у меня машина не поднимет эту ось. А на моей 98 - открываю процесс вьюером - 15 процессов. Из них - стенка, ИЕ, тотал, монитор антивиря, сам вьюер, блокиратор доступа - штуки сторонние, остается всего 9, из них - експлорер, интернат, ядро(кернел), систрей, таскмонитор, по назначению любому понятны, остается 4 - среди которых и можно плясать, если что. (как пример, действия показываю)  
 На ХР, насколько с нею игрался (ставя знакомым), сервисов поболее, но в нормальном состоянии (не тогда, когда запущена куча прог/служб/проч), показывало не более 30 процессов. Сервер не ставил, не интересовался, про него говорить не могу. (Вы собираетесь этот сервер использовать, или просто как пример помянули? Если второе - лучше говорите о себе, а не в принципе - легче будет разобрать )

Цитата:
ЗАЧЕМ тебе RPC вообще??? Для FTP server это не нужно!!!  
Для RemotelyAnywhere  подозреваю тоже.  
У меня RPC (UDP and TCP) запрещены как в системных правилах так и в apllication rules  для svchost (outpost firewall)  
При этом у меня по-видимому  та же конфигурация WinXPPro+ Serv-U with remote administartion (активно администирурю из дома)  
- Не уверен за точность, но по-моему, читал подобное же предложение у мелких - насчет закрыть РПЦ целиком. (хотя ручаться не могу.. не помню) (((  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 04:02 14-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Цитата:
ЗАЧЕМ тебе RPC вообще??? Для FTP server это не нужно!!!  
Для RemotelyAnywhere  подозреваю тоже.  

Ты поосторожней с такими заявлениями - тут щас крику не оберешься со стороны eika
 
Для нервных надо объяснять, что не все службы связанные с RPC обязательно должны ходить в сеть. А, следовательно, если закрыть им (читай svсhost'у) доступ в интернет, то ничего фактически не произойдет.  
И уж ни в коем случае не надо пытаться останавливать RPC как сервис - мало ли чего произойдет на машине (а потом нам всем тут счет выставят и следом касса приедет )
 
К тому же в этом топике не надо рассуждать про серверные задачи. По данному вопросу - милости просим в Помощь Сисадмину. Персональные фаерволы imho, cтавятся обычно на рабочие станции, а не на Win2k AD  
Давайте оставаться в приемлимых рамках обсуждения, pls!
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 09:43 14-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
 не все службы связанные с RPC обязательно должны ходить в сеть. А, следовательно, если закрыть им (читай svсhost'у) доступ в интернет, то ничего фактически не произойдет.  
И уж ни в коем случае не надо пытаться останавливать RPC как сервис - мало ли чего произойдет на машине  

 
Обеими руками присоединяюсь: НЕ НАДО ОСТАНАВЛИВАТЬ НИКАКИЕ СЕРВИСЫ, нужно только блокировать их на уровне файервола.
Сам дважды наступал на эти грабли еще на win2k, начитавшись всяких FAQ по оптимизации виндов и остановки ненужных сервисов. А потом через несколько месяцев приходится долго прослеживатьвсе зависимости сервисов или включать все сервисы подряд чтобы заработала свежеустановленная программа.  
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 13:04 14-04-2004
ladutsko



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе время суток!
 
Разрешите поделиться своими мыслями (предложениями) относительно таблицы в шапке, так сказать вслух:
1. browser - remote out any т.к. может использовать прокси с нестандартным портом. Да и варезные сайты живут, как правило, на нестандартных портах
2. FTP-clients - remote out any по причинам п.1
3. ICQ - remote out any т.к. может использовать прокси, а также сам сайт login.icq.com имеет много больше портов для конекта ...
4. E-mail - забыли про IMAP (tcp 143)
5. MSN Messenger - tcp remote out 1863 Можно указать сайт messenger.hotmail.com
6. IRC - tcp remote out any Но в комплекте с irc идет identd сервер, что требует tcp local in 113
7. SOCKS proxy - tcp remote out 1080
 
уф-ф-ф-ф-ф ...
пока все
Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 14:56 14-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ladutsko

Цитата:
Разрешите поделиться своими мыслями (предложениями) относительно таблицы в шапке, так сказать вслух:  
1. browser - remote out any т.к. может использовать прокси с нестандартным портом. Да и варезные сайты живут, как правило, на нестандартных портах  
- Если беру что-нить с варезного сайта с нестандартными портами, делаю правило специально под него, и называю наподобие "letout2monster" Когда заканчиваю работу с ним - отключаю (если намерен в ближайшем будущем туда вернуться), или вытираю.  
 То есть, упор не на максимальное удобство, за счет открытости всего, что может понадобится, а максимальная безопасность, за счет некоторых неудобств при работе с нестандартными. (2-3 - то же)
 Для примера могу привести скайп - для устойчивой работы требует разрешения на коннект удаленных портов: на вход - 33033, на выход - 1001-64000, причем для огромной кучи сервов в пределах 24,0,0,0 - 240,0,0,0 (фактически - на любой серв) с локальных из диапазона 1024-5000. (данные точные, проверены опытным путем) Получается, надо все это открыть? Не думаю. И соответственно, ему назначаю отдельное правило, которое отключено, пока не пользую прогу.  
 
 с пунктами 4-7 - раз так, то можно и добавить.


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 15:26 14-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
6. IRC - tcp remote out any  

Не согласен. Уж где-где, а в IRC ты сам прописываешь данные сервера, к которому коннектишься (IP и порт). Так что any - это слишком много для IRC.
 
Тут полностью согласен с .bredonosec:
если лень для прог узнавать диапазоны IP/портов/протоколов, а разрешать "any" - защита хорошей не будет.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 16:08 14-04-2004
ladutsko



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
для броузера можно смело добавлять tcp 3128 out
 

Цитата:
Так что any - это слишком много для IRC

Обычно IRC сервера сидят на tcp 6660-6669,7000
При этом есть еще DCC!
Работает оно подобно ftp в пассивном режиме ...
 
bredonosec
Кстати, DCC сервер слушает tcp 59
Добавь, плз.
Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 16:23 14-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ladutsko

Цитата:
Кстати, DCC сервер слушает tcp 59  
- сорьки.. может невыспался, но что-то не доезжаю к какой строке (службе/проге) это относится?
.... ....  
Что это за служба?  На персоналках идет? //пойду ка я байки.. не соображаю уже..


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:17 14-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Я имел в виду сноску под таблицей:  

Это конкретная реализация, причем реализация от MS. Полагать на них в таких вопросах не хочется. Хочется увидеть к.л. документ (например, RFC) где прописан верхний предел.

Цитата:
Я почти уверен что DNS серверу неважно с какого порта пришел запрос, потому что в первом линке есть инфа об одном варианте юникса, который использует порты начиная с 32000 с кусочком. Он просто шлет ответ на тот порт с которого пришел запрос.

Подождите. Причем тут порт (порт клиента), от которого пришел запрос? Речь о локальных портах, на которые приходит ответ (от сервера).
 
Spectr

Цитата:
ЗАЧЕМ тебе RPC вообще??? Для FTP server это не нужно!!!  

Если вы прочтете внимательно мои сообщения, то поймете, что я как раз не уверен, в чем абсолютно прямо и признался.

Цитата:
Для RemotelyAnywhere  подозреваю тоже.  
У меня RPC (UDP and TCP) запрещены как в системных правилах так и в apllication rules  для svchost (outpost firewall)  
При этом у меня по-видимому  та же конфигурация WinXPPro+ Serv-U with remote administartion (активно администирурю из дома)  
Последние 2 месяца активно пользуюсь   Remote Administrator и игрался с  MS RemoteDesktop (интересно было сравнить)  

Первый сдвиг по моему вопросу :)

Цитата:
remotelyAnywhere самую последнюю версию сгрузил в эти выходные и буду в ближайшие дни тестировать, но при беглом чтении документации я не увидел необходимости открывать RPC.  

Документация, к сожалению, достаточно поверхностная и не дает ответов на многие вопросы. Планирую поговорить об этом в программах в ближ. время -- присоединяйтесь, я как раз недавно создал тему по RemotelyAnywhere.

Цитата:
Можно поинтересоваться зачем  тебе нужен RPC??? У меня тоже стучаться в него чуть ли не каждую минуту, так как идиотов хватающих вирусы каждый день  в сетке нашей организации выше крыши.  

Вот лично мне он не нужен, поэтому я и спрашивал, что в моем случае может отвалиться и есть ли у кого-то соотв. опыт. Пока высказывались только теоретики. Вы, видимо, первый практик в теме. За что вам спасибо.
 
Кстати, вы тоже думаете, что тучи клиентов в больших локалах, ломящихся по TCP:1025 -- это зараженные вирями?

Цитата:
А на моей 98  

Зачем же сравнивать ОС, построенные на разных ядрах? XP Pro заметно понасыщенне в плане процессов будет, особенно если на нее поставить софтинок так 50, что у меня выполняется в первые несколько дней жизни ОС.

Цитата:
Вы собираетесь этот сервер использовать, или просто как пример помянули?

Я говорил об использовании XP как сервера (моя домашняя машинка и раб. станция и сервер одновременно, хотя последнее эпизодически -- для моих же персональных нужд). Дело в том, что это влечет за собой необходимость поднятия многих служб, которые вообще не нужны на раб. станции (тем более оффлайновой).
 
miasnikov andrew
Андрей, читайте сообщения внимательнее, ей богу надоедает повторять одно и тоже!

Цитата:
что не все службы связанные с RPC обязательно должны ходить в сеть

Я писал о службах, использующих RPC, но нуждающихся в сети.

Цитата:
(читай svсhost'у) доступ в интернет

А вы пробовали закрыть svсhost'у доступ в интернет? Попробуйте, что ли на досуге...

Цитата:
 уж ни в коем случае не надо пытаться останавливать RPC как сервис  

А я для чего выше писал, что это невозможно сделать? Или вы хотите поговорить о том, что Windows могла бы быть устроена по-другому и допускала остановку RPC?

Цитата:
К тому же в этом топике не надо рассуждать про серверные задачи. По данному вопросу - милости просим в Помощь Сисадмину.

А давайте говорить о том, что моя машина как раз персональная, но я на ней гоняю сервер, который эпизодически решает определенные задачи. И использую я кстати, персональный Firewall (Outpost), который в данном случае очень хорошо подходит для решения таких задач, т.е. через мою машину не ходят транзитные пакеты, а ориентация программы на фильтрацию пакетов для конкретных приложений тут наоборот очень полезна и позволяет создавать очень эффективные правила (в отличие от классических пакетных фильтров, обычно используемых на серверах). Так что вопрос как раз по теме.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 23:31 14-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
 Хочется увидеть к.л. документ (например, RFC) где прописан верхний предел

В природе не существует. Зависит от реализации.

Цитата:
Подождите. Причем тут порт (порт клиента), от которого пришел запрос? Речь о локальных портах, на которые приходит ответ (от сервера).

Сервак шлет ответ на порт клиента с которого был послан запрос.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:00 15-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Сервак шлет ответ на порт клиента с которого был послан запрос.  

Вы правы. Это я недопонял одну статью... Сейчас все встало на свои места, т.к. если номер удаленного порта задается клиентом, а сервер использует тот же номер порта, то тогда сервер ступудово будет отвечать в диапазоне клиента (1024..5000 при использовании ОС Windows).
 
Зная это, я бы не задал вопрос

Цитата:
о все же неплохо бы найти в RFC описания алгоритма смены портов серверами DNS.

Спасибо!
 
 
Добавлено
Karlsberg

Цитата:
Сервак шлет ответ на порт клиента с которого был послан запрос.  

Все же в реальности все не так как на самом деле
 
Я провел эксперимент под WinXP.
 
Не секрет, что если ОС перегрузить, то счетчих DNS-запросов сбрасывается. Так вот перегрузил я систему и сделал ручками первый (по показаням фаера) запрос к DNS-серверу из текущего сеанса.
 
Какие получились противоречия:
 
1. Локальный порт первого исходящего запроса к DNS-серверу имеет номер 1030, а не 1024.
2. Ответ на этот запрос (см. п. 1) от DNS-сервера приходит не на локальный порт 1030, а на порт 1029. Т.е. работает правило -1. Причем работает совершенно четко -- я пробовал наблюдать за запросами вполть до номеров портов в районе 18xx.
 
По противоречию #1 есть догадка, что 6 запросов "израсходывались", например, на lookup'ы по loopback (их фаер не сечет).
 
А из второго противоречия я делаю вывод, то нижнюю границу нужно все же фиксировать номером порта 1023, а не 1024. А верхнюю 4999, а не 5000. Итого 1023...4999.
 
Что скажете?

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 00:36 15-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Кстати, вы тоже думаете, что тучи клиентов в больших локалах, ломящихся по TCP:1025 -- это зараженные вирями?  

 
Категорически нет.  Все намного хуже.
 Вcе те кто стучался  ко мне по 1025 одновременно стучались на SSDP Discovery (5000), Radmin (4899)  и еще на 2 или 3 порта из (3127, 2745, 6129).
И выглядит все это очень некрасиво. 4899 это как раз то через что можно получить полное управление моим компьютером. И когда человек стучится ко мне все по 3-5 портам и три из них могут дать remote access (1025,4899,5000) я одназначно воспринимаю как недружелюбный акт.
 
А вот какие трояны могут использовать  1025, 5000
http://www.pcflank.com/ports_services.htm
 
Port/Protocol:
 1025/TCP  
 Service:
 blackjack  
 Description:
 Network game Blackjack  
 Trojans using this port:
 NetSpy (SysProtect98), Prosiak  
--------
Port/Protocol:
 5000/TCP  
 Service:
 ssdppsrv  
 Description:
 This component provides the Simple Service Discovery Protocol sevice used  for for Universal Plug and Play. It also provides General Event Notification Architecture (GENA) service.  
 Trojans using this port:
 BioNet Lite, Sockets De Troje  
-----------------
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 03:17 15-04-2004
TILK



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Если беру что-нить с варезного сайта с нестандартными портами, делаю правило специально под него, и называю наподобие "letout2monster" Когда заканчиваю работу с ним - отключаю...
 То есть, упор не на максимальное удобство, за счет открытости всего, что может понадобится, а максимальная безопасность, за счет некоторых неудобств при работе с нестандартными.

Что-то не пойму твоей логики : ты закрываешь "исходящие" порты для того, чтобы было "безопаснее", хотя они (я имею ввиду нестандартные) открываются только на момент связи. Т.е. ты выполняешь бесполезную работу. Кроме того, в большинстве файрволов имеется привязка портов к приложениям (в отличии от пакетных фильтров). Ты же не пакетным фильтром пользуешься? Если FTP-клиент открыл соединение, скажем, по 12345-му порту, то злоумышленник уж никак не свалит DCOM через 12345-й порт, потому что это события никак не связанные между собой, а на FTP-клиенты, на сколько я знаю, опсных уязвимостей нет.

----------
Все это чистый флэйм...
Всего записей: 515 | Зарегистр. 14-12-2001 | Отправлено: 09:57 15-04-2004 | Исправлено: TILK, 10:05 15-04-2004
ladutsko



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Что это за служба?  На персоналках идет?

DCC сервер идет в составе IRC
Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 10:24 15-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Цитата:
Андрей, читайте сообщения внимательнее, ей богу надоедает повторять одно и тоже!  
приехали...
Тогда давай(те) по порядку (хотя мы тут все на ты...)
какие серверы подняты? список в студию.
F то мы до бесконечности будем обсуждать, использует ли какой-то гипотетический процесс RPC и как быстро он загнется, если svchost прикрыть файерволом.
 

Цитата:
А вы пробовали закрыть svсhost'у доступ в интернет? Попробуйте, что ли на досуге...  
Специально из духа экспериментаторства закрыл файром на уровне глобальных правил и поставил запись фильтруемых пакетов (Sygate Pers.Pro 5.5 build 2525).
Перезагрузился. Подключился к SMB-серверу в локалке, прочитал e-mailы и сейчас пишу сюда.  
Фантастика? или файервол не работает?
 
TILK

Цитата:
Что-то не пойму твоей логики : ты закрываешь "исходящие" порты для того, чтобы было "безопаснее", хотя они (я имею ввиду нестандартные) открываются только на момент связи ...  
Если FTP-клиент открыл соединение, скажем, по 12345-му порту, то злоумышленник уж никак не свалит DCOM через 12345-й порт, потому что это события никак не связанные между собой, а на FTP-клиенты, на сколько я знаю, опсных уязвимостей нет.

По-моему, имеется в виду, что надо ограничивать порты, на которые ходят приложения. Т.е. браузеру при прочих равных условиях совсем не нужно подключаться на удаленный порт 4899 (обычно это radmin server слушает), верно?  
А если порт web-сервера не 80 или 443, а 4899. Что делать?
Соответственно, такие послабления надо вводить как временную меру.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 12:13 15-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TILK

Цитата:
Что-то не пойму твоей логики : ты закрываешь "исходящие" порты для того, чтобы было "безопаснее",
- Именно. Вы не поняли. У меня в настройках стены порты не делятся на входящие и исходящие. Правило может запретить соединение на тот или иной локальный порт, или с тем или иным удаленным портом любого адреса ,или конкретного их диапазона. То есть, если тот или иной порт открыт, то он открыт и на вход и на выход. И пользоваться им может не только прога, для которой правило сделано, но и любое другое. (оговорюсь, контроль приложений (ЗА)в данный момент не пользую). Теперь смысл ясен?
 Разумеется, есть в стенке страховка - stateful inspection, - проверка, был ли мой запрос, по которому должно отвечать с этого адреса по этому порту/диапазону, но предпочитаю явно указывать запрещенные и разрешенные диапазоны.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 13:22 15-04-2004 | Исправлено: bredonosec, 13:27 15-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть ли у кого какие соображения по-поводу в каких случаях стоит включать Statefull Inspection? (Я полагаю это есть во всех фаерах не тольеко в аутпосте)
По умолчанию это включено только для FTP clients and Download Manager (FTP section).
 
Есть ли еще случаи когда это стоит делать?  
Раз уж мы ужесточили правила для всего остального (svchost,DNS, eMule)по сравнению с дефолтными, может и здесь есть резервы.
 
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 19:24 15-04-2004 | Исправлено: Spectr, 19:25 15-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:02 15-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
Категорически нет.  Все намного хуже.  
Вcе те кто стучался  ко мне по 1025 одновременно стучались на SSDP Discovery (5000), Radmin (4899)  и еще на 2 или 3 порта из (3127, 2745, 6129).  
И выглядит все это очень некрасиво. 4899 это как раз то через что можно получить полное управление моим компьютером. И когда человек стучится ко мне все по 3-5 портам и три из них могут дать remote access (1025,4899,5000) я одназначно воспринимаю как недружелюбный акт.

С этим вопросом все понятно. Будем наблюдать за этими
 
Спасибо за инфу.
 
Добавлено
miasnikov andrew

Цитата:
F то мы до бесконечности будем обсуждать, использует ли какой-то гипотетический процесс RPC и как быстро он загнется, если svchost прикрыть файерволом.  

Я говорил, что для начала пойду другим путем. Что собсно и сделал -- закрыл 1025 порт, пока полет нормальный.

Цитата:
Специально из духа экспериментаторства закрыл файром на уровне глобальных правил и поставил запись фильтруемых пакетов (Sygate Pers.Pro 5.5 build 2525).  
Перезагрузился. Подключился к SMB-серверу в локалке, прочитал e-mailы и сейчас пишу сюда.  
Фантастика? или файервол не работает?  

Все фаеры работают по разному. Не знаю как Seagate, но Outpost руководствуется правилом для приложения, даже если иное оговорено в глобальных правилах.
 
Без svchost.exe не будет работать, например, DNS-резолвинг для IE. Т.е. если вы правильно запретили сетевую деятельность для svchost.exe, то хосты будут недоступны при обращении к ним по DNS-именам (ессно, что предшествующие обращения к этим же DNS-именами не должны быть закэшированы к.л. способом).
 
Для проверки предлагается такая последовательность действий:
 
Запретить сетевую деятельность для svchost.exe, перегрузить ОС, открыть браузер и обратиться по HTTP к к.л. хосту по DNS-имени, например, http://www.whitehouse.gov Если сайт откроется, то вы неверно настроили фаер и наоборот.
 
Ессно, что потом не помешает проверить лог фаера, чтобы не допустить никаких ошибок.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 23:44 15-04-2004 | Исправлено: eika, 23:47 15-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.

 
Нашел но только на английском. Sorry!  
 
http://www.outpostfirewall.com/forum/showthread.php?s=&threadid=7443
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 00:41 16-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Ничего, это мы могем Спасибо!
 
Прикольно, что Statefull Inspection, оказывается, запатентована чекпоинтом, значит другие файеры делают или что-то похожее, или что-то другое.

Цитата:
 
Applications where SPI could be used
Any file transfer protocol (FTP) application;
Internet telephony and teleconferencing;
Internet Relay Chat (for distributed client connections - DCC);
 

Я так понимаю, что во всех других случаях Statefull Inspection бесполезен.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 01:09 16-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
вообще-то у меня (судя по логам Sygate) svchost ходит (пытается ) на time.windows.com:123, на сервак на 1900 порт, и (что очень странно!) по локалке на 80е порты...  
вот последнее - фигня какая-то. Может, кто знает, зачем ему веб-сервера?
 
a DNS сверяется (резолвится) сетевым драйвером ndisuio.sys
возможно поэтому все не обломалось при отключении svchost.exe от сети.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 10:00 16-04-2004
spike



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
по поводу RPC
 
видел в инете прогу (вроде есть у меня) от мелкософта, она делает так, чтобы работать RPC мог только с localhost
 
 
по воводу DHSP и DNS  
у знакомой остановил службы эти и нормально она работает в инете на динамическом ip
Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 10:54 16-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike

Цитата:
по воводу DHSP и DNS

Судя по описанию, DNS service нужен только для локалки.
А как она подключена к интернету?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:02 16-04-2004
spike



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
через модем
 
а на работе я тоже DNS остановил, DHCP тоже
 
у нас в сети у всех статический ip адрес
Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 11:05 16-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike
Модем и dialer? Чтобы интернет заработал нужно запустить что-то?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:56 16-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.  
- Цитата из хелпа
Цитата:
Stateful Packet Inspection
VisNetic  Firewall uses stateful packet inspection to help detect malicious traffic and ensure that onlycorrect data is passed. Every packet in a connection is checked to see if it is valid. TCP header flags,sequence numbers and other packet contents are used to monitor the "state" of the connection and any packet that does not conform is blocked. This allows VisNetic Firewall to catch malicious activitysuch as port scans, certain DoS (denial of service) attacks and fragment attacks.
Перевожу:  
ВФ пользует СИ для обнаружения подозрительного траффика и обеспечить пропускание только корректной инфы. Каждый пакет соединения проверяется на виладность (ака правильност, легальность). Флажки ТСР заголовка, номера серий (очевидно, имеется в виду совпадение размера, чексуммы, типа сервиса, с заявленными, номера портов, номера адресов с данными из (а фиг знает, откуда) ), и другое содержимое пакета используется для наблюдения за состоянием соединения, и любой пакет, не проходящий по параметрам, блокируется. Это позволяет ВФ вылавливать вредную активность наподобие скана портов, ДОС (атаки с целью вызвать отказ в обслуживании), фрагментированные атаки (кста, последнее - частый случай у меня - выглядит как мощный поток(до 50шт/сек) фрагментов) (комменты другим шрифтом).  

Цитата:
Судя по описанию, DNS service нужен только для локалки.  
- А при прямом подключении откуда комп берет айпи серва? У меня, например, по 53 порту запросы идут на местного прова (его серв). На локальные адреса по этому порту у меня блок/бан.
Цитата:
Есть ли у кого какие соображения по-поводу в каких случаях стоит включать Statefull Inspection
- Везде. Хотя, может у поста она как-то по-другому функционирует, у меня ко всему относится.
Цитата:
Control of All Protocols
While many firewalls filter only the IP protocols, ignoring others such as NETBEUI and IPX, VisNetic Firewall intercepts them all and can be configured to allow or block this type of traffic.  VisNetic Firewall can also control the less commonly used IP protocols such as GRE, which is required for VPN traffic.

Цитата:
Stateful Inspection Firewall
 
VisNetic Firewall falls into a class of firewalls called Stateful Inspection Firewalls.  Stateful inspection firewalls overcome the limitations of packet filter firewalls and application-proxy servers.  They examine more than just the "to" and "from" addresses, and do not require a proxy for every application being accessed.
Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses.  For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host.  Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic, making them inherently fast.
- лень переводить.. или надо?

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:58 16-04-2004 | Исправлено: bredonosec, 20:05 16-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Цитата:
Судя по описанию, DNS service нужен только для локалки.

Я об сервисе в NT/2K/XP, не об сервере провайдера.
 

Цитата:
Stateful Packet Inspection

Давай разберемся вместе чтобы не было всеобщих заблуждений о полезности этой фичи

Цитата:
 Every packet in a connection is checked to see if it is valid

Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.  

Цитата:
stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host

Чем может грозить поддельный response packet?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:18 16-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я об сервисе в NT/2K/XP, не об сервере провайдера.  
- понял.
 

Цитата:
Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.  
- Хм.. залез на сайт, в факе то-же, что и в файле помощи (чуть другими словами)  
Q. What is Stateful Inspection?  
A. Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses. For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host. Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic. This makes them inherently fast.
 - Ни слова о том, к каким пакетам относится. .. А, вот, нашел - в настройка правил - настройка действий, для пакетов, не предусмотренных никаким правилом - там действительно указано, что Stateful Inspection относится только к ТСР протоколу (и можно малость рехтовать эту самую инспекцию). Выходит, я ошибался.  

Цитата:
Чем может грозить поддельный response packet?  
- Для АРП - знаю точно  
1)спуфинг - ака перехват всего траффика жертвы методом подмены на его машине арп таблицы и перенаправления траффика через машину атакующего - ака создание "ложного АРП-сервера"  
2) флуд - забивка машины жертвы АРП пакетами с ложными данными о соответствии айпи и МАС других машин сети, в результате чего создается иллюзия полного отключения сети (ни к кому пробиться не может)
 Далее - предполагаемое
Для ТСР - всякие варианты нюков - или неправильно сформированные пакеты, создающие ошибки выполнения прог и т.д. (точно сказать не могу)
далее - т.н. тарпиты  
- Tarpits. A "tarpit" is a trap for troublesome outsiders. Your system accepts connections but never replies and ignores disconnect requests. This can leave spammers, worms and port scanners stuck for hours, even days. Now, entries in the Ban List can be set to be tarpits. Also, block rules can become tarpits:  
When "Ban" and "Tarpit" are chosen, the rule creates a tarpit for all IPs that try to connect and match this rule. It tarpits all ports for these IPs  
When "Tarpit" is chosen but not "Ban", the rule creates a tarpit only for matching connections. It tarpits all IPs for just the selected port range.
 
 Действие:  Нормальный обмен пакетами идет так:  
STATE   EXPLANATION    
LISTEN (Server) port is open and ready to receive traffic    
SYN_SENT (Client) the client machine wishes to open a connection with the server, so sends a SYN packet to request that communication begin    
SYN_RCVD (Server) the server has received the SYN packet and acknowledges, sending back a signal (SYN|ACK) to tell the client that the packet has been received and a connection is possible    
ESTABLISHED (Client)   the client has received the SYN|ACK signal from the server and sends back an acknowledgement to the server to let it know that it considers the connection to be established    
ESTABLISHED (Server)   the server has received an acknowledgement back from the client, completing the three-way handshake and establishing the connection    
FIN_WAIT_1 the side wishing to close the connection (this could be client or server) has sent a signal, and is awaiting a response    
FIN_WAIT_2   The side wishing to close the connection (client or server) has received an acknowledgement (ACK) and is awaiting the final FIN signal from the other side    
CLOSE_WAIT   the other side has sent a request to close the connection, but the connection has not been fully closed yet    
TIME_WAIT   the side that initiated the close request is waiting for acknowledgement that the connection has been closed    
LAST_ACK   the side that received the close request has sent back it’s own close request and is waiting for acknowledgement that the connection is closed    
CLOSED   after receiving a final acknowledgement (or waiting the required amount of time) the connection is considered closed

при тарпите ответ приходит, что соединение установлено, и запрашивающий может слать инфу. На дальнейшие запросы не отвечает, и закрыть связь запрашивающий не может. В результате соединение висит часами, отьедая память. Если таких соединений много - нет места для новых.  
  Насчет UDP - попробуй выжать что-нить из инфы по тому, что этот протокол вообще делает, на тему извращения - типа каждую функцию извратить. (в шапке ссылка на итеп.ру). Из "общей образованности" знаю, что в локалках немалая часть нюков идет по УДП, но т.к. сам никогда этим не занимался - с фантазией туго. (  
   ICMP - например, ложные сообщения об ошибках - типа ,получатель/сеть/порт/протокол недостижим, всевозможные требования фрагментации, переадресовки - в общем, всё, что реализуется данным протоколом. Полный список того, что им реализовано - на итеп.ру ICMP протокол

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 00:45 17-04-2004 | Исправлено: bredonosec, 00:48 17-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
вообще-то у меня (судя по логам Sygate) svchost ходит (пытается ) на time.windows.com:123, на сервак на 1900 порт, и (что очень странно!)

Ну это ж Time Synchronizer

Цитата:
(что очень странно!) по локалке на 80е порты

Он много куда ходит. Вы за ним понаблюдайте побольше и поймете, что полноценное функционирование рабочей станции в сети невозможно.

Цитата:
a DNS сверяется (резолвится) сетевым драйвером ndisuio.sys  
возможно поэтому все не обломалось при отключении svchost.exe от сети.

Ну не знаю, не знаю... у меня резолвинг идет через svchost.exe. Да и не только у меня -- не даром ведь Agnitum создал правила по-умолчанию для обращения к DNS. Да и люди частенько жалуются на проблемы с сетью, когда нечаянно запрещают сетевую активность для svchost.exe.
 
Кстати, в svchost.exe не числится компонент по имени ndisuio.sys.
 
spike

Цитата:
по воводу DHSP и DNS  
у знакомой остановил службы эти и нормально она работает в инете на динамическом ip

Wow! Я даже никогда бы не додумался останавливать их
 
А машину перегружали?

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 20:00 17-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
по локалке на 80е порты ...
Он много куда ходит. Вы за ним понаблюдайте побольше и поймете

А на 80-то зачем? Это же web-server?
 
ndisuio.sys - это Sygate так определяет сетевой интерфейс.
Пользующихся другими файрами - просьба не беспокоиться
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 21:17 17-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
А на 80-то зачем? Это же web-server?  

Это для того, чтобы вы могли пользоваться WU.

Цитата:
11:01:18 svchost.exe TCP OUT wustat.windows.com 80 1146 HTTP connection
11:01:08 svchost.exe TCP OUT windowsupdate.microsoft.com 80 1141 HTTP connection
11:01:14 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1143 HTTP connection
11:01:15 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1144 HTTP connection

 
Добавлено

Цитата:
ndisuio.sys - это Sygate так определяет сетевой интерфейс.  

Сетевой интерфейс в вашем случае вообще-то не должен заниматься резолвингом DNS. Не его это дело.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 22:20 17-04-2004
miasnikov andrew



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
WU

хорошо бы Windows Update...
Но вот я не могу объяснить тот факт, что svchost пробует 80й порт каждого IP, на который я выхожу по smb-протоколу (файл-сервер мой, локалки и т.д.)
172.21.29.92:80 192.168.0.my:1414 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
172.21.29.105:80 192.168.0.my:1425 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
172.21.29.152:80 192.168.0.my:1552 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
и так далее... троян что-ли? (вроде KAV, SAV, Spybot молчат)
есть идеи?
 
А про DNS и сетевой интерфейс давай замнем для ясности
Разные машины, разный софт - мало ли чего бывает. У меня сеть работает, чего и всем остальным желаю.
Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 01:01 18-04-2004
ANDRUHA

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как скачать руководство по программе Zone Alarm???
Как работать с программой Zone Alarm Pro????
Всего записей: 1 | Зарегистр. 20-04-2004 | Отправлено: 16:14 20-04-2004
ArtLonger



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ANDRUHA

Цитата:
Как скачать руководство по программе Zone Alarm???  
Как работать с программой Zone Alarm Pro????

Пойти в соответствующий топик по Zone Alarm!!!
Почитать справку по Zone Alarm!!!!
 
И не засорять данный топик непрофильными вопросами.
Всего записей: 1844 | Зарегистр. 06-10-2001 | Отправлено: 19:53 20-04-2004
spike



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
нет, просто запускаю звонить стандартную виндовую звонилку
 
eika
само-собой и не раз
 
дома тоже эти сервисы задизаблены, и в инете сижу правда через NAT, причем через два
Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 00:03 21-04-2004
Rurik



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Karlsberg
предлагаюю включить в таблицу - для правильной работы Novell Client for NetWare
TCP и UDP in/out порты 524 и 427
источник информации
 www.novell.com/coolsolutions/netware/features/a_ports_nw5_nw.html
Всего записей: 343 | Зарегистр. 07-05-2002 | Отправлено: 12:26 21-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike
Насколько я понимаю, звонилка сама конфигурит хост по PPP-подобному протоколу и DHCP сервис в этом случае не нужен и может быть закрыт или отключен. Подробнее пока не знаю...
bredonosec
Пригрузился я инфой по ARP. Все его потенциальные дырки могут быть использованы только тогда, когда со мной в сетке есть кто-то еще до дефолтного гейтвея. Я неправ?
Rurik
Хороший документик, точный. Только вот табличку в шапке патчить пока не умею
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:52 22-04-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Табличку не надо патчить - просто вставляем вот такой код перед очередным [tr]
(см. пункт Редактировать в моем посте):
 
   
Application
what is?
TCP UDP
local
remote
direction
зачем?
Specific rules
 

 
ес-сно без [table][/table]
Правда, первая строка не к месту отражается из-за лишнего [tr]... но зато можно пользоваться как шаблоном. А member'ы помогут вставить готовый код в шапку.
 
Для Novel client:
 
   
Novel client
NetWare application
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
  

 
P.S. наконец-то освободился мой ник imho но теперь я снова newbie
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 03:11 22-04-2004 | Исправлено: imho, 15:51 22-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Готово
Так и в переселение душ можно поверить
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:56 22-04-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Красота.
Надеюсь, теперь даже новички смогут оформлять правила таким образом и не загружать bredonosec лишней работой
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 10:15 22-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
только тогда, когда со мной в сетке есть кто-то еще до дефолтного гейтвея.  
- Насколько я понимаю предмет, да. Вроде как МАСи используются для общения меж машинами вплоть до гейта. Хотя, с другой стороны, МАС адрес используется и в пакетах передачи по инету (1-6 байты - МАС назначения, 7-12 байты - МАС отправителя - верно для любого пакета - от ТСП до ICMP/UDP/ARP/etc.)
По крайней мере, не представляю, как переправлять АРП пакеты через шлюзы.  
imho

Цитата:
Надеюсь, теперь даже новички смогут оформлять правила таким образом и не загружать bredonosec лишней работой  
- Спасибо за заботу
 Только одно замечание - меж TCP,UDP пробел вставляйте - иначе их в одну строку кидает, ячейка растягивается - юзерам с малыми экранами скроллить больше приходится.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 15:08 22-04-2004 | Исправлено: bredonosec, 15:13 22-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я вот тоже остановил DNS Client и DHCP Client.
 
Использую Eternet (статика) и иногда Dial-up (PPP).
 
Посмотрим, что из этого выйдет.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 22:54 22-04-2004
spike



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хочу настроить встроенный в XP Firewall
 
какие правила нужны для локалки без инета ?
Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 00:04 23-04-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike

Цитата:
встроенный в XP Firewall

Молодец! "нас мало но мы в тельняшках"...
Выше в топике было обсуждение штатного файра Windows.  
Увы, все сошлись во мнениях, что это:  
- неудобный софт,
- недостаточно для рабочей станции (нет контроля исходящего траффика и приложений)
 
Если еще осталось желание попробовать - правила бери из шапки. RTFM!, короче
(а зачем еще мы все эти правила писали...)
Тебе надо включить: DNS (чтобы имена типа \\server понимал), ntoskrnl.exe (для обмена файлами через расшареные папки) и DHCP (если IP настраивается автоматически). Последнее - запрет всего и вся... хотя это imho XP не дает сделать.
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 09:17 23-04-2004
spike



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
мине главное чтобы всякие гадости извне меня не тревожили, т.к. у нас полно всякого народа, который даже антивирусом толком пользовать не может
накачает всякой херни, а она потом долбится ко всем
 
поэтому мне надо только перекрыть все, что не касается работы в сети, т.е. авторизация, лазить по чужим компам, общаться в чате и все
Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 11:06 23-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike - А почему бы не взять продукт сторонних фирм? Или условия предполагают наличие лицензий, а платить неохота?  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 14:10 23-04-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
главное чтобы всякие гадости извне меня не тревожили

Этого ты вряд ли добьешься встроенным пакетом. Искренне советую что-нибудь простенькое с контролем приложений. Выбирай тут

Цитата:
общаться в чате  
Чатов вообще туева хуча. И настройки у всех разные: коннект по mailslot'ам или с сервером, и т.д. Короче тут точно RTFM к чату.
 
bredonosec

Цитата:
платить неохота
imho, вопрос не актуален для .ru / .by / ..., если юзер не корпоративный.
к тому же есть и бесплатные (тот же SygatePersonal не Pro)
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 14:31 23-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
вопрос не актуален для .ru / .by / ..., если юзер не корпоративный.  
- Именно поэтому я и спросил про
Цитата:
условия предполагают  
- Может, данный случай как раз не в ру/бай и к тому же предприятие.  
spike
 Для локалки предпочтительнее считаю пакетный файер. Потому как сетевой фильтр не способен блокировать некоторые пакости, возможные в локалке. (подробности обсуждались ранее)  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 02:44 24-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Для локалки предпочтительнее считаю пакетный файер. Потому как сетевой фильтр не способен блокировать некоторые пакости

 
А что сетевой фильтр работает не с пакетами?

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 12:32 24-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А что сетевой фильтр работает не с пакетами?
- Возможно, не так выразился, имел в виду те, что создают некое подобие виртуального промежуточного серва с броузером, и если там начинают происходить всякие пакости - не пускают траф дальше (это если я правильно понял принцип их работы) - как, например, тот же аутпост -  

Цитата:
Это персональный брандмауэр, защищающий пользователей путем фильтрации входящего и исходящего сетевого трафика, контроля текущих соединений, выявления подозрительных действий. Программа также обеспечивает блокировку назойливой рекламы, ускорение работы с сетью, блокировку активного содержимого веб страниц.


Цитата:
MiniFAQ:
- оутпост персональный фаер, а не серверный,  
- оутпост есть анализатор сетевой активности приложений, а не пакетный фаер, хотя в ядре это и реализовано,

 По крайней мере, если прога работает с пакетами, производитель об этом сообщает.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 17:04 24-04-2004 | Исправлено: bredonosec, 17:07 24-04-2004
smurnoff

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
может кто подскажет/поможет?
нужно переправить запросы софтины с её специфического порта на порт прокси корпоративки. что-то типа туннеля сквозь существующий прокси.
Всего записей: 3 | Зарегистр. 26-04-2004 | Отправлено: 07:43 26-04-2004
rashit

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сос! Как  снять регистрацию, осталось 20 дней. Имеющийся код ввёл, но лезет прога на сайт. И хочет там зарегиться
Всего записей: 283 | Зарегистр. 03-02-2004 | Отправлено: 14:11 26-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
smurnoff
Это в программы - любой прокси-сервер который сам может с проксей работать (по-моему, все должны)
rashit
Тебе нужен варезник, сделай там фильтр по твоему файерволу
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:28 26-04-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Если про файервол речь - то согласен.
Однако вспомним, что есть одна веселая программка - AdMuncher (банерорезка). Так она проверяет данные регистрации на своем сервере admuncher.com . Самым простым лекарством от проверки (без коверканья программы) является блок в файерволе IP-адреса 207.44.251.118. И все... Точно так же "обманывается" Lingvo и прочий софт, ходящий по сети.
Совет исключительно теоретический (просьба не кидать помидорами!).
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 22:30 26-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Я в своих правилах перед тем как кого-нибудь выпустить в интернет, закрываю евойный хомяк
Правда, есть один помидор - адреса иногда меняются.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:21 26-04-2004
spike



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
нет, просто встроенный имхо как-то не так сильно будет грузить тачку, просто комп на работе 800 сел
 
а пакетный я думаю будет грузить вообще сильно, т.к. надо каждый пакет проверить, а лучше просто отсекать не нужно вот и всё - ИМХО
Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 23:40 26-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
нужно переправить запросы софтины с её специфического порта на порт прокси корпоративки. что-то типа туннеля сквозь существующий прокси.
- А разве это вопрос не в тему о HttpTunnel (в прогах или подземке) или подобном софте?  

Цитата:
Сос! Как  снять регистрацию, осталось 20 дней
- Опять же, вопрос в тему о данной проге. А мы не медиумы, названия Вашей проги не знаем.  
 
 
Добавлено
Сорь, до меня ответили.. spike

Цитата:
встроенный имхо как-то не так сильно будет грузить тачку, просто комп на работе 800 сел  
- У меня атлон 550. (ага, именно такая древность! ) И памяти кот наплакал. Сетевой фильтр под названием аутпост мне грузил (хоть и не чрезмерно), теперь стоит виснетик - вообще никакого груза. (только если многое в логи пишется, надо время от времени - раз в 2 месяца - архивировать или вытирать старые- чтоб место не занимали. (это если на многих правилах поставишь указатель записывать в лог пакет целиком).  
 

Цитата:
а пакетный я думаю будет грузить вообще сильно
- Ответил выше примером. А если по теории - то (ИМХО) создавать виртуальный броузер, в котором запускать трафф и смотреть, что получится - нет ли неположенных действий приложений или системы, и лишь потом пропускать отфильтрованный на таком принципе траф в реальный броузер - системе будет потяжелее, чем проверять на совпадение от одного (флажок) до 6 (МАС), 12 (- Айпи), или еще скольки-нить байтов пакета с тем или иным правилом.  
 (у меня уже мелькала мысля сварганить хардварный файер  на таком принципе (не универсал, а решающий несколько конкретных задач - как дополнение к софту), идею обрисовал другу близко знакомому с паянием микросхем - сошлись на том, что в пределах поставленной задачи хватит микроконтроллеров (- цена получится приемлемая). А вы говорите, что проверка пакетов перегрузит процессор..   )
 
 Кста, вопрос есть к знакомым с сетевым железом:
Насколько знаю, МАС адрес сетевушки является её своего рода номером. То есть, содержит информацию и производителе, возможно, модели, т.д.  
По крайней мере, что знаю:
00 - первые пока не заняты,  
далее - 2 байта - производитель (02-Compaq, также есть С0, 20, 03-вроде интел, 30,40,50,08, Е0,D0, 01.. )точно уже не помню, как-то делал список соотношений производителя и третьего-червертого байтов МАСа, куда-то затерял..  
 Вопрос вот в чем: недавно заметил один интересный МАС - 02 01 00 00 00 00  
Причем, в некоторых случаях, относящийся к разным айпи. Никто не знает, может это некий тип сетевых устройств с таким номером? Ибо на обычный МАС это совсем не похоже.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 00:25 27-04-2004
Topcrust



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike

Цитата:
...встроенный имхо как-то не так сильно будет грузить тачку...
...а пакетный я думаю будет грузить вообще сильно...

Собственно, могу лишь подтвердить сказанное bredonosec. Как и он, я тоже outpost пробовал. Чувствовалась некая инертность. Закачки, судя по ReGet'y, в виде гребенки были да и скорость 5500 б/с. Выгружаю outpost - закачки ровные и 5900-6000 б/с. После этого на VisNetic пересел - его не видно, не слышно. Безглючный, закачки ровные - 5900-6000 б/с, проц не грузит, память не жрет и честно делает свое грязное дело, только логи да бан-листы успевай проверять . Правила из шапки, при наличии рук и головы, к нему прикручиваются за секунды (такое чувство, что их с VisNetic'a и писали , а где-то кто-то говорил, что это, типа, сложный в плане конфигурирования FireWall). Эх, ну побыстрее бы к нему App Detect прикрутили - цены б ему не было!
Всего записей: 236 | Зарегистр. 05-01-2004 | Отправлено: 05:09 27-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
недавно заметил один интересный МАС - 02 01 00 00 00 00

На 2к/ХР мак адрес может быть изменен прямо в реестре, вполне возможно это один из таких клиентов.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:01 27-04-2004 | Исправлено: Karlsberg, 17:20 27-04-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
На 2к/ХР мак адрес может быть изменен прямо в реестре,  
- Вообще-то на любой оси он может быть изменен (и на моей 98 тоже - сам пробовал)
 НО:  
это делать поволяют лишь карточки некоторых производителей - (Интел, реалтек8029, WinBond, 3com). На остальных такая возможность отсутствует.  
То есть, в рестре можешь менять все, что угодно, но просканировав, убедишься, что система отдает твой настоящий МАС. Это раз.  
2, Если менять с целью сокрытия, глупо ставить такой заметный адрес - это тоже самое, что на краденую тачку поставить номер 00 01 фсб Гораздо выгоднее поставить любой адрес, не совпадающий с адресами своей локалки (чтоб не было HW конфликтов), или один из адресов машин своей же локальной сети (кого-нить, кто редко выходит в онлайн) - если есть привязка айпи к МАСу для доступа в инет.  
3. Такие клиенты, что меняют свой адрес, у нас есть, но они достаточно умны, чтоб поступать вышеуказанно. (и первый (даже под меня косили - лог есть), и второй способ).
 
 Хотя, вероятность, конечно, есть.  
 
 
Добавлено
Вот, кста, нашел соотношения производителей карточек и первых байтов МАС адреса. ((мысль мелькнула, а не этим ли способом сканеры типа того же лангарда узнают тип устройства? )  
MAC Card Producer    
00 05 1C ** ** ** Xnet    
00 50 22 ** ** ** Zonet    
00 D0 59 ** ** ** AnBit    
00 08 A1 ** ** ** Cnet    
00 03 47 ** ** ** Intel    
00 50 FC ** ** ** Edimax    
00 30 4F ** ** ** Planet    
00 01 29 ** ** ** DFI    
00 04 F4 ** ** ** Cameo    
00 02 C7 ** ** ** Compaq

 
 Проверено на примерно сотне МАС адресов. Если из-за малой величины базы есть ошибки - уточняйте. (AnBit и Cameo - не уверен за точное написание названия - корявым почерком накалякано было наспех )

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 16:16 27-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
Совет исключительно теоретический (просьба не кидать помидорами!)

Совет хороший.У меня таким образом заблокирована не одна прога (речь идет только о нескольких IP-сами проги имеют доступ в нет)
 
bredonosec

Цитата:
- У меня атлон 550. (ага, именно такая древность! )

у меня PIII-600@800(тоже давно мерку для гроба снимаю) Outpost выдает не более 1-3%-и это при банлисте в 6 тыс. адресов
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 22:08 27-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234
А что за банлист такой? Может стоит сделать его достоянием общественности?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:27 27-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А что за банлист такой?

трояны,черви,диалеры,реклама,spy и подобный мусор
неужели не пользуешся Outpost AD&Content-filter.есть еще Blockpost,Admuncher....
-боюсь страшного ответа -ADSL
 
сейчас около 6 тыс. но много дублей,однотипных записей... он еще в процессе разработки. Думаю в финальной версии будет не более 3-4 тыс. Если после всего появится желание - обязательно выложу
 
spike

Цитата:
встроенный имхо как-то не так сильно будет грузить тачку

Не ошибается то, что не работает (c) Windows (не грузит-тоже)
 
 
 
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 00:14 28-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis1234

Цитата:
неужели не пользуешся Outpost AD&Content-filter.есть еще Blockpost,Admuncher....

Насчет рекламы - ADSL А все остальное - не думаю что оутпостовский самый лучший, но по готовности можно выложить.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:07 28-04-2004
rashit

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто скажет есть ли возможность пролезть из локальной сети в инет, минуя все фриволы, и защиту, доступы, что бы закачать файлы из фтп серверов и из серверов Ed2k. Помогите, плз, СОС !!!
Всего записей: 283 | Зарегистр. 03-02-2004 | Отправлено: 11:58 28-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rashit
Вот в этом топике как раз решается эта проблема
http://forum.ru-board.com/topic.cgi?forum=55&topic=0457#1
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:36 28-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
благодаря imho вспомнил про пару правил - предлагаю добавить в таблицу(хотя бы первое)
 
процесс=drwebupw.exe(DrWeb Update)
протокол=TCP,направление=исходящие,
удал.адрес=81.211.104.10(updates.drweb.ru)
порт=80,действие=разрешить
 
процесс=outpost.exe(Outpost main)
протокол=TCP,напрaвление=исходящие,
удал.адрес=207.44.236.84(agnitum.com-зачем ему там быть)
порт=80,действие=блокировать
 
bredonosec
 
Цитата:
(даже под меня косили - лог есть)

Где? Как узнал?(как у тебя может быть лог,если твоего компа в сети не было(или был HW конфликт ?)  
 
Объясни,пожалуйста,человеку с опытом работы в ЛВС=0. извиняюсь что не по теме
 
 
 
Добавлено
Karlsberg

Цитата:
не думаю что оутпостовский самый лучший

я говорил про Blockpost - Outpost AD&Content-filter не поддерживает более 2 тыс. при превышении Outpost вылетает   !!!  
по этому поводу отправил bug-report в agnitum.com ждем-с  результатов
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 14:11 28-04-2004 | Исправлено: denis1234, 14:13 28-04-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
- Возможно, не так выразился, имел в виду те, что создают некое подобие виртуального промежуточного серва с броузером, и если там начинают происходить всякие пакости - не пускают траф дальше (это если я правильно понял принцип их работы) - как, например, тот же аутпост -  

Бредовенькое какое-то выражение Без обид только
 
Фаеры, относящиеся к классу сетевых фильтров -- это маршрутизаторы, обрабатывающий пакеты на основании информации, содержащейся в заголовках пакетов (т.е. работающие на уровне 3 по OSI). Из этого вытекает, что все фаеры данного класса работают с пакетами.
 
Может все же вы хотели сказать

Цитата:
Для локалки предпочтительнее считаю фаер с фильтрацией пакетов на уровне приложений

???
 

Цитата:
- оутпост персональный фаер, а не серверный,  

Неверное утверждение. В теме о Outpost кратенько обсуждалось.

Цитата:
оутпост есть анализатор сетевой активности приложений, а не пакетный фаер, хотя в ядре это и реализовано

ИМХО не до конца верное утверждение, т.к. реализация пакетной фильтрации без привязки к приложениям реализована. По крайней мере я пользуюсь ей, заходя в System > Settings в OF 2.1.
 
По-моему Ильич Рамирас немного погорячился когда это писал (если мне не изменяет память, то это написал именно он).
 
Добавлено
denis1234

Цитата:
процесс=outpost.exe(Outpost main)  
протокол=TCP,напрaвление=исходящие,  
удал.адрес=207.44.236.84(agnitum.com-зачем ему там быть)  
порт=80,действие=блокировать  

А зачем процессу outpost.exe вообще куда-то ходить? Так что правило можно заметно упростить без к.л. ущерба. То же самое касается aupdrun.exe.
 
Особенно актуально, если вы ходите в форум 35
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 19:01 28-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
А зачем процессу outpost.exe вообще куда-то ходить?  

через outpost.exe работает,например,плагин WhoEasy
а обновлять Аутпост действительно проще через 35 чем через aupdrun.exe
в запрещенных у меня и так 23 приложения куда уж больше.
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 19:46 28-04-2004
Vik2



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
нарвался на прикол http://www.nnm.ru/porn_nen.jpg
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?
Всего записей: 188 | Зарегистр. 04-03-2002 | Отправлено: 01:41 29-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
работающие на уровне 3 по OSI

Предлагаю в этой теме вместо номера уровня называть конкретный протокол, чтобы было понятно и тем, кто не знает что такое OSI
Vik2
Правилами эту фичу закрыть невозможно, это относится к веб-контенту и общей защищености самого оутпоста.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 08:47 29-04-2004
gsmania



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vik2

Цитата:
нарвался на прикол http://www.nnm.ru/porn_nen.jpg  
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

Правило для этого бага ты не создашь. Это проблема не оутпоста, а браузера IE.  
Всего записей: 553 | Зарегистр. 07-01-2002 | Отправлено: 17:46 29-04-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gsmania

Цитата:
Это проблема не оутпоста,

То есть оутпост совсем нипричем, что разрешил себя выгрузить?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:43 29-04-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vik2

Цитата:
нарвался на прикол http://www.nnm.ru/porn_nen.jpg  
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

 
Проверил: куча блокнотов открылась (пустых) но аутпост устоял, так что надо рекомендую ужесточить установки. Положительный пример налицо. Но какие именно установки аутпоста ответственны за это не знаю
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 22:12 29-04-2004
denis1234

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vik2

Цитата:
нарвался на прикол http://www.nnm.ru/porn_nen.jpg    
открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?

Я не стал рисковать своим здоровьем и скачал этот файл ReGet-ом,посмотрел что есть:
-команд на убиение outposta - нет
-блокнотов должно открываться не более 1000 и говорить о "куче" прока рано
-данный баг скорее всего основан на свойствах IE <запускать> все файлы  с помощью своих библиотек
-ошибок можно избежать только если внести IE в запрещенные приложения(ну прямо как у меня)
-на опере данный прикол не работает (позже проверил)
 
Этот вопрос лучше задать в ветке по багам IE
 
Добавлено

Цитата:
Это проблема не оутпоста,

просто Windows решила что пара лишних блокнотов будет лучше чем Outpost  
Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 00:30 30-04-2004
Net_man

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
нарвался на прикол http://www.nnm.ru/porn_nen.jpg    
Только что посмотрел (для общего развития, так сказать) - ничего страшного не нашел - Outpost и не думал вываливаться. Более того, когда мне надоело это "открытие блокнотов" (где-то окне, эдак, на 600-м) я просто нажал "остановить" окно IE и закрыл его благополучно. Потом осталось только позакрывать блокноты - и делов-то куча.
Цитата:
Этот вопрос лучше задать в ветке по багам IE  
Согласен, у IE, к примеру, есть собственный баг, когда начинают выпрыгивать куча новых окон, если пытаешься закрыть окно, не нажав предварительно "остановить".
Цитата:
То есть оутпост совсем нипричем, что разрешил себя выгрузить?
Теоретически, выгрузка могла произойти по причине сожранных вистемных ресурсов новыми блокнотовскими окнами, что, на мой взгляд, вполне актуально для не очень лёгкого Outpost'a. Хотя, по правде сказать, у меня он ни разу еще не вылетал (тьфу, тьфу ).


----------
Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн
Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 05:46 01-05-2004 | Исправлено: Net_man, 05:47 01-05-2004
wizzi



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а кто может выложить свои настроки Agnituma ?
Всего записей: 859 | Зарегистр. 03-07-2003 | Отправлено: 21:41 02-05-2004
helix



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу PCAudit. То,что она запускается "изнутри"-это не совсем корректно.Она должна запускаться прямо с их сайта,как это делается в других местах.А так каждый может прочитать имя моего компа.А вот мое IP она определила совсем неверно.Это считается- я прошел тест или нет?
 Pcscanner нашел открытыми несколько UDP портов (123,137,138,500,1026,1033,1051).
Часть из них я закрыл Outpost(137,138,500), но при повторном сканировании они опять
оказались открытыми.Почему?
Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 22:28 02-05-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
helix

Цитата:
По поводу PCAudit. То,что она запускается "изнутри"-это не совсем корректно.Она должна запускаться прямо с их сайта,как это делается в других местах.

 
Цель PCAudit протестировать твою защиту на возможность пробить ее изнутри и передать наружу твою личную информацию (например логи с твоими паролями или номера твоих кредиток или информацию об установленных у тебя украденных программах что может послужить поводом для судебного преследования если ты в штатах  или в европе)  
Так что запускаться она должна с твоего компа!!!! Тест ты прошел если она не смогла передать наружу информацию - и она при этом сообщает если твоя стенка устояла против DLL Injection. Почитай на сайте там все подробно обьяснено и даже указаны стенки которые  устояли.
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 19:28 03-05-2004
ra3pat

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос...
Есть сервер с подключением к интеренет статичный IP и есть локалка, поставил OUTpost на сервер.
 локалка 192.168.0.0 в нем прописалась но когда с локалки с машины с IP 192.186.0.2.
пытаешься выйти в Нет Outpost пишет:
 
system 193.124.100.100 DNS Пакет на закрытый порт
 
localhost UDP 1028
 
Как коректней здесь прописать правило в этом случае?  
не слишком я специалист по firewalls
ПОжалуйста ответьте...
 
АЛександр  
Тула
Всего записей: 1 | Зарегистр. 05-05-2004 | Отправлено: 12:43 06-05-2004
Net_man

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Надыбал на днях программулинку Shadow Security Scanner v6.97.73, которая, по заверению разработчиков проверяет защиту удалённой машины. Поставил на "complete-scan" свой айпишник, так она показала 4 или 5 открытых портов. Это при том, что Outpost чтоит в режиме "запретить". Среди открытых - 135, 445 (то есть msblast-ssaser'ские). Даже не знаю что и думать. Просканил некоторых "соседей" по прову - та же бадяга. Или это ложная тревога?

----------
Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн
Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 05:46 09-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ra3pat

Цитата:
поставил OUTpost на сервер
- если правильно помню, пост - персональный, а не серверный файер. Об этом написано и на оффсайте, и в шапке соотв темы здесь.  

Цитата:
Теоретически, выгрузка могла произойти по причине сожранных вистемных ресурсов новыми блокнотовскими окнами,  
- Очень может быть. Такие приколы (выгрузка или зависон, или любимая "illegal operation"), когда что-то другое сильно зажуёт ресурсы, замечал. Правда не в отношении стенки, но другое - от ДрВеба и пада до офиса, эксплорера, или чего угодно другого.  
 
 
Добавлено
denis1234

Цитата:
(или был HW конфликт ?)
- именно.
eika

Цитата:
Бредовенькое какое-то выражение  
- самому не понравилось. ;(

Цитата:
ИМХО не до конца верное утверждение, т.к. реализация пакетной фильтрации без привязки к приложениям реализована. По крайней мере я пользуюсь ей, заходя в System > Settings в OF 2.1.  
- Правило можно создать по любой группе пакетов? Или есть ограничения? (типа там, закрыть такую-то группу IP на входящие ICMP типа 0,10,13,16,18 и еще не помню, какие, или UDP по 137/138 для неполной группы адресов, типа 192,168,0,2-192,168,0,153, ну и т.д. )  
 Удобство такого рода обеспечивается? Или надо каждую дюрку отдельной заплатой закрывать? Karlsberg

Цитата:
Предлагаю в этой теме вместо номера уровня называть конкретный протокол, чтобы было понятно и тем, кто не знает что такое OSI  
- Сорьки за напоминание, но ссылка на обьяснение - нижняя в шапке.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:28 09-05-2004
JuryB



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Тут такое дело. У меня инет по выделенке и я плачу за траффик... Недавно я изучил лог ПРОКСИ и посмотрел что кучу трафика тянут разные "украшательства" на сайтах, т.е. FLAHS-intro, разные баннеры, с одного сайта загрузилась фоновая музыка в MP3 файле аж на ~2,7Mb и прочая мура. Часть SWF можно срезать Outpostom но как быть с фоновой музыкой и т.п. - можно как-то побороть?
 
Есть еще такая штука как Proxomitron, и тут тоже вопрос - надо ставить и Proxomitron и Outppost или все возможности Proxomitron можно реализовать настроиыв плагины Outpost'a???
Всего записей: 320 | Зарегистр. 02-08-2003 | Отправлено: 10:11 10-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Черт, уведомления не ходили. Поднакопилось тут, вопросов
 
ra3pat

Цитата:
поставил OUTpost на сервер

 
На какой сервер-то? Не является ли он случаем Шлюзом в интернет для раб. станций из локальной сети? Если ДА, то в этом случае Outpost противопоказан (см. ниже ответ для bredonosec).
 
А вообще, лучше не ставить Firewall (а уж тем более на сервер!) без соотв. знаний, которых, поверьте, нужно достаточно очень много.
 
Net_man

Цитата:
Даже не знаю что и думать.

Эти порты действительно открыты, даже если ты создал правило блокирования всего трафика для этого порта. Так происходит потому, что фаеры приложений их не закрывают, а обеспечивают фильтрацию трафика по этим портам (в т.ч. и полное блокирование трафика для этого порта).
 
Но даже если создано правило на полное блокирование трафика для этого порта, то при анализе извне статус порта будет не Closed, а Stealthed!
 
Я не знаю как SSS анализирует порты, но вы проверьтесь в онлайн-сканере на http://www.pcflank.com/scanner1.htm -- он работает с тремя статусами: Open, Closed, Stealth. На закрытых фаером портах должен быть статус Stealthed.
 
bredonosec

Цитата:
- если правильно помню, пост - персональный, а не серверный файер. Об этом написано и на оффсайте, и в шапке соотв темы здесь.

Я писал, что ИМХО это не до конца так. Под несерверностью, как я понимаю, производитель имеет ввиду, что Outpost -- это фаер, который не умеет работать с транзитными пакетами. Возможно, еще могут быть какие-то проблемы с производительностью, если поставить его на относительно слабенькую машину (предварительно создав сотенку..другую правил), обрабатывающую большое кол-во запросов.
 
ИМХО в остальном Outpost нет никаких противопоказаний для его использования на серверах.

Цитата:
- Правило можно создать по любой группе пакетов? Или есть ограничения? (типа там, закрыть такую-то группу IP на входящие ICMP типа 0,10,13,16,18 и еще не помню, какие, или UDP по 137/138 для неполной группы адресов, типа 192,168,0,2-192,168,0,153, ну и т.д. )  
 
Удобство такого рода обеспечивается? Или надо каждую дюрку отдельной заплатой закрывать?  

Типы ICPM задаются только глобально для хоста с фаером.
 
В остальном? можно городить любые правила, по критериям: Протокол, Направление, Удаленный хост, Удаленный порт, Локальный хост, Локальный порт, Временной интервал. Ессно в качестве имени хостов можно указывать списки, диапазоны и маски, а в качестве номеров портов -- списки и диапазоны.
 
JuryB

Цитата:
но как быть с фоновой музыкой и т.п. - можно как-то побороть

В свойства IE загляните, тоже бывает полезно

Цитата:
или все возможности Proxomitron можно реализовать настроиыв плагины Outpost'a???

Proxomitron, насколько я помню, должен резать поболе, чем плаги OF.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 12:08 10-05-2004
DaniyrALM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Программа Local Port Scanner ( которую можно взять отсюда: http://www.jpsoft.dk/exe/lps.zip) показала, что открыты порты 135 и 1025. Знатоки, подскажите, как закрывать порты? У меня стоит Outpost Firewall 2.1.
Всего записей: 6 | Зарегистр. 04-03-2004 | Отправлено: 17:40 10-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DaniyrALM
 

Цитата:
Программа Local Port Scanner ( которую можно взять отсюда: http://www.jpsoft.dk/exe/lps.zip)  показала, что открыты порты 135 и 1025.

Сканировать порты локально -- не совсем правильно, по крайней мере в случае с OF 2.1, потому как loopback разрешен по умолчанию, причем даже когда для приложений слушающих порты, не создано разрешающих правил!
 
Это означает, что даже когда вы их закроете, LPS все равно будет показывать статус OPEN для них! Так что после того как вы закроете порты, идите на http://www.pcflank.com/scanner1.htm и сканируйте ваш хост.
 

Цитата:
Знатоки, подскажите, как закрывать порты? У меня стоит Outpost Firewall 2.1.

Ну несколько вариантов навскидку:
 
1. Догадаться самому (ну или хотя бы попытку сделать...).
2. Почитать мануал (он, имеется в т.ч. и на русском языке, причем очень доходчиво написан; 4 поездки в метро по 45 минут и вы заочно "владеете" этим фаером).
3. Зайти в топик по OF и прочитать шапку (это когда думать не хочется).

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 18:20 10-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Под несерверностью, как я понимаю, производитель имеет ввиду, что Outpost -- это фаер, который не умеет работать с транзитными пакетами

Цитата:
ИМХО в остальном Outpost нет никаких противопоказаний для его использования на серверах.  

Наверно, я не выспался и туплю, но как серв сможет работать, если не пропустит транзитные пакеты?  

Цитата:
Типы ICPM задаются только глобально для хоста с фаером
ясно.
А блок по МАСу? или ARP, RARP (что есть второе, пока так и не вьехал, потому не юзаю)  с возможностью выбора как постом выше? (про время и направление не говорю, бо само собой разумеется)  
 
Добавлено
Упс. туплю. серв не обязательно есть шлюз. пошел спать.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:45 10-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Наверно, я не выспался и туплю, но как серв сможет работать, если не пропустит транзитные пакеты?

А зачем, например, FTP/HTTP и т.д. -серверу принимать транзитные пакеты? Вот если на сервере стоит MS ISA в качестве корпоративного фаерволла (LAN <> WAN), то тогда их нужно пропускать... А в случае FTP/HTTP и т.д. нафиг не надо.

Цитата:
А блок по МАСу? или ARP, RARP (что есть второе, пока так и не вьехал, потому не юзаю)  с возможностью выбора как постом выше? (про время и направление не говорю, бо само собой разумеется)

Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP. А в DSL/DUN и др. никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 22:57 10-05-2004
Net_man

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Цитата:
в онлайн-сканере на http://www.pcflank.com/scanner1.htm
Спасибо. Проверился - выдало пару десятков портов с параметром "Stealthed", так что я спокоен.

----------
Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн
Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 23:39 10-05-2004
helix



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня стоит OF 2.1  . В последние дни на столе вдруг начала появляться табличка :
     
            Attention! -Microsoft Internet Explorer
         
          Your computer clock may be wrong   и т.д.  Предлагают бесплатную программу,кото-
рая мои часы настроит. Что это? Попытка взлома? Как мне с этим бороться? По логам это
приходит не извне,а от моего IE.  Я вспомнил,что недавно разрешил провести изменение
компонент IE, подписанное Microsoft, что видимо было ошибкой.И что теперь делать?
Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 15:53 11-05-2004 | Исправлено: helix, 16:17 11-05-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
helix
Это скорее всего Pop-up IE в стиле netsend. На Opera подобных штук не замечено.
 
//off
Цитата:
Microsoft Internet Exploser
Лучше заменить на Exploder, в крайнем случае на Explorer
А часы надо настраивать ручками! В ХР есть даже кнопочка синхронизации через интернет.
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 16:01 11-05-2004 | Исправлено: imho, 16:04 11-05-2004
helix



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IMHO
 Эта кнопка у меня включена и часы показывают точно.  
P.S. Спасибо за замеченную опечатку.
Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 16:23 11-05-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
helix
Цитата:
часы показывают точно
да, конечно же, в системе все нормально. просто кто-то пользуется социальной инженерией...
По жизни, я бы никогда не пустил домой человека с улицы, который сказал, что может мне часы бесплатно подвести  (зачем ему-то это надо?)
 
Добавлено
Да, за последнее время (точнее 2.мая) у wzor'а была выложена серия хороших книжек по безопасности Hacknotes (сети, windows, др). Не знаю будет ли работать ссылка, но найти можно в разделе Bookz на www.wzor.net.
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 18:13 11-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP.  
- Вот вам и разница.
 

Цитата:
никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались.
- Ви мечтаете, а я имею.  
 Если интересно, могу сообщить, что около половины правил моей стенки относится к МАС адресам. (персональные, так сказать, правила). Еще 4 ARP правила - на 4 группы адресов. (с автобаном и автоподвесом ака тарпитом). (ох, расхвастался я чего-т.. :Р)
Цитата:
А в случае FTP/HTTP и т.д. нафиг не надо.  
- опоздал, сам уже допер -  

Цитата:
серв не обязательно есть шлюз.  



----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 01:25 12-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Давайте немного проясним ситуацию с уровнями OSI и как на это натягивается TCP/IP, поскольку когда это все писалось, они о друг дружке ничего не знали.
OSI Уровень 5-7 - конечная прога, работающая с инетом
OSI Уровень 4 - TCP и UDP
OSI Уровень 3 - IP, ICMP, ARP, RARP
OSI Уровень 1-2 - h/w, типа Ethernet, и др.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:43 12-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Ви мечтаете, а я имею.

 
Ну чтож, поздравляю. Кстати, я не мечтаю об этом, т.к. пока не было таких задач, чтобы требовалась фильтрация по MAC/ARP.
 
Karlsberg
 
Да на эту тему полно информации (ya.ru), причем написанной разными людьми.
 
Кстати, когда я писал OSI layer 3 я несколько недоговаривал -- правильнее было говорить и OSI layer 3 и layer 4.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 22:24 12-05-2004
renreg



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
А как твою табличку из шапки получить в виде таблички (картинки)?

----------
Заграница нам поможет
_____________________
renreg
Всего записей: 5117 | Зарегистр. 24-09-2001 | Отправлено: 07:45 15-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
renreg
Это bredonosec у нас спец по таким штукам
В принципе, можно сохранить эту страничку в html-е, открыть ее в ворде и сохранить в doc-е.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:22 15-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А как твою табличку из шапки получить в виде таблички (картинки)?

 
1. Если нужен растр, то делай скриншот. Дальше понятно.
2. Если нужна эл. таблица, то можно экспорт в Excel, например через правый клик мыши на таблице.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 12:49 15-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
renreg

Цитата:
А как твою табличку из шапки получить в виде таблички (картинки)?
- Или сохранить и нтмл код выдрать, или взять редактор (простейший, текстовой), запихать туда код таблицы из шапки и сменить [ на <, a ] на >
(вроде еще не все понимают тег [s] [/s], так что сначала желательно сменить [s] -> <small>, [/s] -> </small>.
Да, еще [color=#******] [/color] -> <font color=#******> </font>
 
 В общем, примитив. Учите нтмл!  
 
 А если в ёксель - просто выделяешь мышкой и копи-пасте.


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 18:47 15-05-2004 | Исправлено: bredonosec, 18:53 15-05-2004
RonnY



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Изучал табличку внимательно, просто хочу проконсультироваться про собственную ситуацию:
Outpost сегодня поймал след. запрос:
 
svchost.exe с моей машины пытается организовать удаленное соединение по TCP с адресом 192.168.0.1 по порту 2869
То же самое и с explorer.exe (но этот реже - 3 раза против 8-ми svchost.exe )
 
Я, ессесна, отклонил это дело. Что за странный запрос? И адрес, и порт?  
Антивирус ничего не нашел (пользую Stop!).  
 
Кто подскажет - создать правило на послед. блокировки таких запросов или это что-то нужное?
Всего записей: 260 | Зарегистр. 24-03-2004 | Отправлено: 20:44 15-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RonnY
 
Возможно это SSDP event notification TCP 2869.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 21:18 15-05-2004
Anna



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika  

Цитата:
Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP. никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались

bredonosec

Цитата:
Вот вам и разница  Ви мечтаете, а я имею  

 
Аутпост тоже фильтрует по МАКу.  
Используется "ARP fIltering aka Dmut SuperStealth plugin"    
 
 
Всего записей: 1116 | Зарегистр. 11-11-2002 | Отправлено: 09:04 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anna
 
Ок, теперь буду знать. Хотя не совсем понимаю, зачем это нужно.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 12:13 16-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Ну например злобный хакер, в наглую сканирующий порты и пытающийся забраться на компьютер, заходя с dialup-а. По IP не забанить - он каждый раз новый. Отключаем его по маку, пусть тужится.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:33 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну например злобный хакер, в наглую сканирующий порты и пытающийся забраться на компьютер, заходя с dialup-а. По IP не забанить - он каждый раз новый. Отключаем его по маку, пусть тужится.

 
LOL!
 
Какой MAC в модемном соединении?
 
MAC -- это Ethernet! Ну и, возможно, DSL (если говорить о PPPoE), но на 100% последнего я утвеаждать не могу.
 
А в остальных случаях и думать забудьте

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 12:48 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Хотя не совсем понимаю, зачем это нужно.
Тебе мож и нет, а в сетке это самое оно
Karlsberg
Цитата:
заходя с dialup-а

Мак действует только в пределах твоей подсети, до первого же маршрутизатора
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 13:03 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Тебе мож и нет, а в сетке это самое оно  

 
Так я то тоже имею сетку, просто не представляю кретина, который будет хачить/флудить и т.д. с частой сменой IP на сетевом интерфейсе. Да если он до такого додумается, то почему бы ему сразу не додуматься периодически менять MAC? Это же не сложно...
 
А вообще, в базовой поставке OF 2 есть плаг Attack detection, который может временно блокировать удаленный IP (или всю подсеть) при множественных обращениях к портам (сканирование) и/или блокировать локальный порт при обнаружении DoS-атаки на него.  
 
Очень удобно -- ничего не надо делать ручками, а хацкеры, меняющие IP, отдыхают...

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 13:21 16-05-2004 | Исправлено: eika, 13:23 16-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
neva102502
Написал первое что пришло в голову. Думал - мысль, оказалось - нет
Тогда просветите, что есть в диал-апе. Навеняка в PPP тоже есть уникальный ID модема.
И если у меня IP сеть построенная на token ring, там сетевухи другого типа?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:27 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Attack detection, который может временно блокировать удаленный IP (или всю подсеть)  
Ага, отрубит твою машину от всей твоей же подсети, если какой небудь энтузазист попробует какую то новую програмку со странным название - сетевой сканер? так что ли ?

Цитата:
периодически менять MAC? Это же не сложно...  
Смотря на какой ОС. И по крайней мере это максимально (?) что можно сделать.
Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке. Но это уже не по теме топика.
OF это для диалапщиков и т.п. инетчиков ИМХО больше подходит, в ту сторону он и развивается в основном.  
 
Добавлено
Karlsberg

Цитата:
Навеняка в PPP тоже есть уникальный ID модема.  
ИМХО нет, тебя IP даётся, вот это и есть твой ID.

Цитата:
И если у меня IP сеть построенная на token ring, там сетевухи другого типа?
Если ты про различие в смысле возможности настроек MAC и т.п., то я про разницу не слышал.
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 13:58 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Ага, отрубит твою машину от всей твоей же подсети, если какой небудь энтузазист попробует какую то новую програмку со странным название - сетевой сканер? так что ли ?  

Ну я же сказал, что можно только IP, а не всю подсеть. А если всю, то теоретически шлюз тоже блокируется и получается финиш . Хотя, это ИМХО уже излишество банить всю подсеть, т.е. даже если хацкер IP поменяет, то его опять автоматика забанит.

Цитата:
Смотря на какой ОС.  

Да ОС тут не всегда причем. Можно ведь и во флэш шить... но это уже требует временных затрат.

Цитата:
Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке. Но это уже не по теме топика.  

А я считаю, что следить 254 интерфейсами в домовой сети -- эти геморрой, т.к. там постоянно все меняется.

Цитата:
OF это для диалапщиков и т.п. инетчиков ИМХО больше подходит, в ту сторону он и развивается в основном.  

ИМХО -- он для конечных пользователей, а технология подключения тут роли не играет, т.к. та же настройка фильтров по MAC -- это прерогатива поставщиков услуг и корпораций. Продвинутых конечных пользователей в расчет не берем, т.к. это исключение из правила, причем маааленькое такое в % соотношении.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 14:21 16-05-2004 | Исправлено: eika, 14:23 16-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502 и др.
Тогда вопрос на засыпку - что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:35 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?

Вариантов тут немного, а именно один -- игнорировать их!

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 14:42 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
следить 254 интерфейсами в домовой сети -- эти геморрой, т.к. там постоянно все меняется.  
Ну это (и по вышесказаному) уже детали, у кого как.

Цитата:
причем маааленькое такое в % соотношении.
хватит и одного    
Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него.
Ну а вообще от конкретики отталкиватся надо, а так .... это всё частности и в др. условиях может быть не нужно или непременимо. Я не про домовые сети писал.
 
 
Добавлено
Karlsberg

Цитата:
что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу
А ничего он делать не будет. Ведь правило сработает если он в пакете найдёт так сказать "сигнальный флажок"-предопределённый MAC адрес. А они через модем не ходят. Где ходят см. выше.
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 14:47 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Придёт счёт за инет Васе, а это на самом деле Петя пару Гигов скачал за него.  

А причем тут персональные фаеры и воровство трафика? Персональный фаер напрямую никак не позволит избавиться от этого.

Цитата:
Я не про домовые сети писал.  

Ну если вы поставщик услуг или корпоративщик, то вам не в эту тему, т.к. тут сабж
Цитата:
Настройка персональных файерволов (firewall rules)


----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 14:59 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Настройка персональных файерволов (firewall rules)  

Они не только в домовых сетях применяются и при диалапе;).

Цитата:
Персональный фаер напрямую никак не позволит избавиться от этого.  
Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.
 
 
Добавлено
и ребят, мож я чё не так понял, но если это для обычных юзеров, нафига им надо всё то что в шапке написано ? Обсуждать возможности перс. фаеров так по максимуму. Если что поправьте меня
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 15:18 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Они не только в домовых сетях применяются и при диалапе;).  

Ну вы то ведь понимате, что нет в dial-up'е никаких MAC. Тогда о чем разговор?

Цитата:
Ну нет, против тайного превращения твоей машины в прокси только он и спасёт.  

Это смотря каким способом его воруют. Если говорить о транзитных пакетах через вашу машину, то на ней должен стоять прокси-сервер или поднят NAT или настроена соотв. маршрутизация пакетов и т.д., т.е. для персональных машин достаточно нетиповая ситуация. Но это не суть, т.к. я вообще не понимаю, причем тут транзитный трафик и правила на базе MAC? Ведь фаер безо всяких MAC прекрасно защитит от этого. Для этого просто не нужно знать MAC -- для этого достаточно IP!

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 15:38 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
нет в dial-up'е никаких MAC
Точно. Я про это разговора и не вёл.

Цитата:
Ведь фаер безо всяких MAC прекрасно защитит от этого.
А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка.
И в остальном ты почти прав, почему почти, потому что
Цитата:
Для этого просто не нужно знать MAC -- для этого достаточно IP!
для этого или того иногда предпочитают знать кто MAC, кто как я MAC+IP. IP почемуто считается (не будем выяснять почему) самым легко(часто)подделываемым элементом. Ну да это дело так сказать вкуса. Точка.
 
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 15:59 16-05-2004 | Исправлено: neva102502, 16:11 16-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Мак действует только в пределах твоей подсети, до первого же маршрутизатора  
- Да, верно, ща проверил - маки входящих извне пакетов одинаковы - то есть, отображается МАС маршрутизатора(гейта).
 

Цитата:
Attack detection, который может временно блокировать удаленный IP (или всю подсеть)  
Ага, отрубит твою машину от всей твоей же подсети,  
- Именно поэтому я и заинтересовался МАСами.

Цитата:
Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке.
- Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа на значения кого-нить, в данный момент сидящего в оффлайне. Так что, не поможет. Да и геморно, действительно (если без помощи спец прог)
 

Цитата:
. Хотя, это ИМХО уже излишество банить всю подсеть, т.е. даже если хацкер IP поменяет, то его опять автоматика забанит.  
- Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит и теоретически есть возможность пробиться. Для того и придумано банить всю подсеть.  
 

Цитата:
что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?
- А по какому МАС адресу?  
 Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный. Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС.  Так что, неоткуда даже брать адрес для правила. Кроме того, вроде даже пропадает закладка с МАС правилами. если адаптер не еthernet, а модем.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 18:18 16-05-2004 | Исправлено: bredonosec, 18:24 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вообще-то применяется (и сам делал, и у других замечал) одновременное изменение и ИПа и МАСа
Знаю, но ты, я , а не все. Сначала незнающие только Ip меняют, тут ты засекаешь злоумышленника и потом просто ему внимание больше уделяешь Ну а как боротся с одновременной сменой, это уже тОчно не этого топика разговор. Насчёт MAC+IP - то это для параноиков, хотя согласен что вариант не намного надёжнее чем просто по MAC и я вдобавок так просто узнаю кто начинал с со смены IP свою криминальную деятельность
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 18:48 16-05-2004 | Исправлено: neva102502, 19:03 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Именно поэтому я и заинтересовался МАСами.

Ну это явно не повод, чтобы ради этого ими интересоваться.

Цитата:
Автоматика имеет свою скорость, и если машина зафлужена запросами, автоматика тормозит

Да, тормозит. А еще более сложные правила, т.е. не только IP, но и IP + MAC тормозят еще больше

Цитата:
и теоретически есть возможность пробиться.

Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера). Если такой не имеется (что в общем то соблюдается), то пакеты просто буферизуются и тем самым сильнее грузят систему. Но на машинах уровня P4 x 512 RAM это не страшно.

Цитата:
Для того и придумано банить всю подсеть.

Чушь. Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше как ни в чем не бывало. А для того, чтобы уйти в другую подсеть, уже нужно быть либо изощренным хакером, либо админом.

Цитата:
Если я правильно понял, когда машина напрямую подключена к модему (без локалки), у тебя есть 1 МАС - твой собственный.

Нет никаких MAC'ов в dial-up'е.

Цитата:
Возможно, второй - если модем имеет (сам модема ен имею, кто имеет, проверьте, так ли?) МАС.  

Да, ё мое. Сколько раз можно говорить, что MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!
 
neva102502

Цитата:
А файер прикладного уровня и вообще словит это по приложению. Да, это не относится ни к MAC, ни к Ip. Это я просто написал про фаер. А если надо пример про MAC-представь что ты к инету подключен и настроил чтоб и товарищь через тебя ходил (у себя маршрутиризация, у него шлюз на тебя), а другим ни ни, хоть они и знают про это и всякие штучки пробуют. Пример конечно очень непоказательный, но есть и др. наверняка.  

Все верно. Только вот, некоторые персональные фаеры не пропускают корректно транзитные пакеты, попросту потому что они ПЕРСОНАЛЬНЫЕ и не предназначены для этого. В частности, я знаю, что такого рода "проблемы" (именно в ковычках, потому как это не баг, это фича) есть у OF 2 (по крайней мере это обсуждалось в топике по OF -- сам я не пробовал).
 
А вообще, в случае организации шлюза в интернет, нужно применять соотв. задаче решения, начиная от WinRoute и заканчивая MS ISA, которые в общем-то не являются персональными фаерами, а это уже

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 19:19 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Есть возможность пробиться только если фаер имеет такой баг (например, ошибка, возникающая при преполнении буфера)
Скользкий вопрос, определённо не скажу.

Цитата:
Для того и придумано банить всю подсеть
А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается.
И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает.

Цитата:
 вообще, в случае организации шлюза в интернет
Да я тебе про подпольный интернет для 1го лица в организации с инетом, или там про отрезание всех от своей тачки кроме Пети, потому что у тебя там Гиг песен с матюками и т.п. В общем о персональных фаерах для локальной сети и том что по MAC кому то, кой какие правила (ну не говорил же я за все) больше нравится правила писать. Да видно не по адресу (несмотря на шапку ) .  
По остальному согласен.
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 19:55 16-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Ну это явно не повод, чтобы ради этого ими интересоваться.  
- Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк
Цитата:
2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol)
в секунду.
Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит)
Цитата:
А еще более сложные правила, т.е. не только IP, но и IP + MAC  
- Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета. Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные.  
 

Цитата:
только если фаер имеет такой баг  
- Или система.  
Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил.  

Цитата:
Банить подсеть придумано, чтобы хацкер просто не менял IP и не продолжал атаку дальше  
- Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие? Где чушь?  

Цитата:
MAC -- это физический адрес Ethernet-интерфейса. В dial-up'пном модеме MAC'ов не было, нет и не будет!  
- Тем более. Значит и закладки на эти правила не будет в стене.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:57 16-05-2004 | Исправлено: bredonosec, 22:08 16-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Скользкий вопрос, определённо не скажу.  

А чего тут говорить? Если бы фаер при очереди запросов пропускал пакеты которые он не должен пропускать, то кому он такой красивый был нужен? Т.е. если такой факт и есть (а он есть -- про OF 2 как раз недавно писали!), то это баг.

Цитата:
А чётр его знает для чего, если из диалапа, то поможет, НО...пойдут через др. прокси и уже нет; если внутри локалки-очень чревато; если из др. подсети локалки-так идти то будет через шлюз, его и так забанит, иначе тоже наверно нехорошо. Вероятнее всего для варианта диалап+юзер который не знает что можно прокси др. поставить, так получается.

Да что вы к этой опции привязались. Её ж не обязательно включать.

Цитата:
И чего это вы так запали на OF? В условиях быстрой локалки он вообще хреново работает.  

Отличная вещь.
 
Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах
 
А вообще, жалуются, конечно на OF 2, но вот только по скорости работы каки[-то серьезных нареканий не  припомню. Попробуйте последнюю версию 2.1.303.4009 (314) с нормальной сетевой картой (лучше на чипсете Intel) -- думаю, что не должо быть проблем.
 
Добавлено
bredonosec

Цитата:
Тем не менее. Вторая причина (если откроешь первые страницы темы про ДВФ, увидишь) - наличие фрагментированных/погаженных/... пакетов, которые ни под какое правило не подойдут. Поскольку до введения персональных правил по МАСам бывало по нескольку экранов строк

Ну, не попадут и? Пакетов, которые не попадают под правила очень много. И никто не умер.

Цитата:
Теперь пакет от таких флудеров сразу опознается по МАСу и блокируется. А при желании потом могу по логам проверить, что конкретный чел мне слал (логить всё входящее - никаких хардов не хватит)  

Теперь на пакеты от таких флудеров срабатывает автомат и блокируется его IP и/или локальный порт. А при желании потом могу по логам проверить, что конкретный чел мне слал.  

Цитата:
логить всё входящее - никаких хардов не хватит

В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога. Недавно приделали...

Цитата:
Сколько раз повторять, что МАС отправителя - это 7-12 байты любого входящего пакета. Есть всегда. Всегда на одном месте. В начале пакета.

А если этот пакет от dial-up'шика, чей вы увидите MAC? Ближайшего к вам маршритизатора? Если ДА, то какой от этого MAC'а толк?

Цитата:
Даже контроллера хватит по мощи на такую фильтрацию, а ты говоришь, более сложные.

Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP.

Цитата:
Или ресурсов не море. У меня, например, далеко не 512М памяти. А 64 только. И пакеты сразу попадают на свое правило, и дропятся, не грузя систему перебором остальных 70 с лишним правил.

Ну это ваши проблемы. А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться.

Цитата:
Я сказал это же самое. Если банится всё подсеть, нет смысла сканить с изменением ИПа. В чём тогда несогласие?  Где чушь?

Значит я потерял вашу мысль и подумал о другом. Разжевывать лень.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 22:12 16-05-2004 | Исправлено: eika, 22:46 16-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К вопросу об MAC адресе при диал-апе:

Цитата:
A dialup modem is a point to point device. When you use Dialup networking to connect to your ISP Dialup Networking Connection (DUN) creates a dummy MAC address so the modem looks like a network device.

Значит, MAC все-таки есть, но не является идентификатором сетевого интерфейса
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:11 16-05-2004
neva102502



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ух, спор я вижу бесполезен. К слову про MAC + IP в нЕкоторых случаях я говорил,  
bredonosec такого не упоминал. Про диалап мы всё давно выяснили и про него речь не шла. Домовые сети у нас лично как раз все на 100Мб свитчах. Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры. НО и им надо к этому стремится. На сём умолкаю. Сенкс за диалог.
 
Добавлено
Karlsberg По "тому MAC" ты правило не настроешь
Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 23:33 16-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
 По "тому MAC" ты правило не настроешь

Да я не спорю. Сам вижу, что не он.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:58 16-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я говорю о том, что детектинг по MAC + IP -- это более сложное правило (а значит, более ресурсоемкое), чем правило просто по IP.  
- А зачем делать правило ИП+МАС? Смысл? МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял)

Цитата:
А если этот пакет от dial-up'шика, чей вы увидите MAC?  
- То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу. Только по диалу оччень многие дырки, существующие для локальщиков, недоступны. Да и зафлудить через диал тяжко тебе будет.  
 

Цитата:
Ну это ваши проблемы
- И я их решаю.

Цитата:
А если еще и проц Celeron 600, то лучше вообще такой ерундой не маяться.  
- Атлон 550. И хватает абсолютно.  

Цитата:
Пакетов, которые не попадают под правила очень много. И никто не умер.  
- Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто. А
Цитата:
2004/05/17, 03:20:24.830, GMT +0200, 2111, Device 1, Rule 28, Blocked incoming MAC packet, src=00-03-47-E9-70-57, dct=...

как-то поинформативнее, чем  

Цитата:
2004/05/16, 21:49:16.850, GMT +0200, 2026, Device 1, Blocked incoming packet (unknown protocol)
будет. Можете считать это личным предпочтением.  

Цитата:
Быстрая локалка? Это каторая Fast Ethernet и реально обеспечивает скорость передачи данных => 95 Мбит? Так я таких домовых сетей никогда не видел, только в офисах  
- Именно такие и стоят тут. 10Мб -только самые маленькие - до 10 чел локалки.
Цитата:
срабатывает автомат и блокируется его IP и/или локальный порт
- И рубит тебе инет. Класс, правда? Даже ДоСить тебя не надо, твой автомат сам всё сделает!  

Цитата:
В OF автоматическая очиста логов -- по времени, по кол-ву строк, по размеру лога

 - Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить.  
neva102502

Цитата:
НО и им надо к этому стремится.  
Согласен. файер должен быть незаметен для меня, а не жрать полпамяти и треть проца.  

Цитата:
По "тому MAC" ты правило не настроешь  
- Да и смысла нет.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 03:30 17-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кстати, господа хорошие, а вы не заметили что топик превратился во флейм? Куча страниц со спорами "а нафига"... Кому хочется поспорить, откройте соответствующую тему во флейме. Здесь изначально обсуждались вопросы "как", так и пусть она будет короткая, но информативная.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:09 17-05-2004
renreg



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Спасибо.  
 
 
bredonosec
Спасибо.
 

Цитата:
В общем, примитив. Учите нтмл!  

 
Но это не для меня - с ме хватит и DTP
 

Цитата:
А если в ёксель - просто выделяешь мышкой и копи-пасте.  

 
А вот эта технология - в самый раз! А теперь в любимый PDF

----------
Заграница нам поможет
_____________________
renreg
Всего записей: 5117 | Зарегистр. 24-09-2001 | Отправлено: 15:12 18-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Домовые сети у нас лично как раз все на 100Мб свитчах.

Да все то все, только работает это все по разному. Лично у меня < 40 Mbps. OF по боку.

Цитата:
 Про ресурсы системы ты так зря, есть проги которые на 486 тебе по (не буду говорить какому правилу, чтоб опять не затевать спор  ) отсекут всё что надо и на realtek-ах, впрочем это уже не совсем персон.фаеры.  

Ну а кто будет таким софтом пользоваться? Что он из себя представляет? Ну явно не нормальный фаер с приличными возможностями и GUI, а какую-то "поделку".
 
Да, и еще вы забываете, что обсуждаются персональные фаеры, а это значит, что они стоят на раб. станциях, а это значит, что на них периодически выполняются другие ресурсоемкие задачи, поэтому железная конфигурация должна подразумевать наличие соотв. количества свободных ресурсов.
 
А вообще, это бесполезный разговор -- из оперы разговоров про нехороших производителей софта и их пофигистичное отношение к системным ресурсам. Да они негодяи и т.п.
 
bredonosec

Цитата:
А зачем делать правило ИП+МАС? Смысл?  МАС и так достаточный идентификатор. По ИПу другие правила. идут. (что-то я вашу мысль недопонял)  

А я подумал, что вы как neva102502 рекламируете IP + MAC.

Цитата:
То для его блокировки хватит и функций блока (и автобана, если упорный) по ИПу.

Я двумя руками за, и не понимаю, нафиг нужны правила по MAC на рабочих странциях. Только для повышения надежности? Так все равно не очень надежно, т.к. любители менять IP быстро узнают, что есть еще и MAC, а потом, что его можно менять, да еще и средствами ОС (иногда).

Цитата:
Да и зафлудить через диал тяжко тебе будет.

Да флуд на рабочую станцию как явление очень редок.

Цитата:
Атлон 550. И хватает абсолютно.

Попробуйте, например, рипануть DVD в AVI или запаковать несколько сотен Мб в архив, лучше если с наивысшей степенью компрессии. Ваш фаер, при наличии потока запросов к нему, не обрадуется от вашей "железки" и начнет тупить, задерживая ответы на запросы на секунды, а может и на десятки секунд. Такие задержки сделают невозможной корректную работу многих сетевых сервисов. Это конкретный пример того, о чем я писал выше для neva102502.

Цитата:
Предпочитаю в реальном времени видеть, кто стучится в дверь моя, видит, дома нет никто.

Да ну, мне кажется, что вот так гораздо информативнее.

Цитата:
17.05.2004 0:00:10servicename.exeUDPIN REFUSED 212.112.105.8527015*.*.*.834422Packet to closed port

Да, MAC'а нет, но, повторюсь, не был до сих пор нужен..

Цитата:
И рубит тебе инет. Класс, правда?  Даже ДоСить тебя не надо, твой автомат сам всё сделает!  

Каким это образом интересно?

Цитата:
Это как раз лишнее. Ибо надо или отключать её, или бэкапить файлы логов, которые желаешь сохранить.

Не надо ее отключать, т.к. за активно прожитый день может 200 Мб лога накопиться, за неделю, соотв. 1 Гб -- легко. А это значит, что производительность фаера упадет, а так же то, что вы никогда в него не полезете, разве что в случае к.л. форсмажора (например, для того, чтобы найти обидчика который как-то пролез через фаер и нагадил). В обыденной жизни подавляющее большинство людей никогда не полезет смотреть старый лог. Поэтому я старые логи не храню.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 23:23 18-05-2004 | Исправлено: eika, 23:26 18-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Кажется, идем по кругу..  
чтоб сильно не флеймить, плавно переместимся в пм, а если что полезное выползет из спора, сюда кинем. ОК?  
(ща напишу)  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 23:48 18-05-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Не, только не ПМ. Давайте только не оффтопик, но тут.

----------
http://eika.narod.ru
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 23:52 18-05-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
правила для MSN (Windows Messenger)
Protocol TCP
Local port 1024- 65535
Remote port 1863, 6891-6901
Block Incoming Fragment
Block Incoming Conection
 
если нужно, добавьте в шапку

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 10:42 20-05-2004 | Исправлено: AntiBIOtic, 10:56 20-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AntiBIOtic
Спасибо за инфу, добавил в шапку
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:34 20-05-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AntiBIOtic
а что означает "Block Incoming Fragment"?
 
Karlsberg
вообще-то
Цитата:
Block Incoming Conection
можно было и не делать... по логике нашей таблички все, что не разрешено - запрещено (см. LAST RULE)
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 13:11 21-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Лучше перебдеть, чем недобдеть. Судя по всему, это особенность аутпоста, юзеров которого большинство. Я думаю, кто знает что делает, тому это не помешает.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:24 21-05-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
а что означает "Block Incoming Fragment"?

это знасит что блокировать фсе фрагментированные входящие пакеты.

Цитата:
можно было и не делать... по логике нашей таблички все, что не разрешено - запрещено

а правило для блокирование фходящих пакетов ставлю фсегда (при необходимости). приучает к тщательности настройки
Karlsberg

Цитата:
Судя по всему, это особенность аутпоста, юзеров которого большинство.

не.. я связку VisNetic Firewall (фильтрация пакетов) + ZoneAlarm (апликейшн детект) юзаю  

Цитата:
Я думаю, кто знает что делает, тому это не помешает.

полностю согласен
 
ЗЫ полезный топик получился


----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 13:54 21-05-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg, AntiBIOtic
Да я, в принципе, про избыточность говорю. Т.е. для многих других клиентских приложений тоже надо бы прописать запреты. Мы этого не делали по умолчанию.
Но если душа просит - ради бога

Цитата:
блокировать фсе фрагментированные входящие пакеты
а разве фрагментированный входящий не попадает под правило для просто входящего?
 
Топик    и актуальный.  
Молодец Karlsberg!  
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 15:24 21-05-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
а разве фрагментированный входящий не попадает под правило для просто входящего?

в визнетике  - нет. в зон аларме тоже надо отдельно галку ставить. на счет других файеров уже не помню

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 16:46 21-05-2004 | Исправлено: AntiBIOtic, 16:49 21-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а разве фрагментированный входящий не попадает под правило для просто входящего?  
в визнетике  - нет.  

 - Ща проверил - во всех разрешающих (не блокирующих) правилах по ТСР стоит "блок. входящие фрагменты.  
В помощи тож об этом написано. Так что, для виснетика это писать обязательно.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:06 21-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А не может-ли запрет фрагментированных пакетов привести к блокировке "хороших" соединений? Насколько я помню, максимальный размер пакета может устанавливаться как на самой писишке, так и на раутере. Может быть такое, что кто-то коннектиться ко мне из подсети с бОльшим размером пакета, тогда ко мне он приходит по частям, и файервол его игнорирует? Специалисты, помогайте...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:39 23-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По идее, есть проверки на низких уровнях, и данные дублируются пока не совпадут с контрольными суммами (за точность формулировок не ручаюсь, что-то такое читал), так что выпадение нескольких пакетов не должно помешать правильной передаче инфы.  
А вот если все пакеты фрагментируются из-за превышения размера - тогда не знаю.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 17:19 23-05-2004
wand



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос - Разрешая passive ftp с его 1024-65535 remote ports, разве мы не открываем большую дыру в своей системе (почти все трояны в этом диапазоне сидят)?
 
Какой тогда смысл в запрете всего последним правилом, если мы почти все порты открыли (ну да, первая тысяча тоже хорошо, но все таки)
Всего записей: 136 | Зарегистр. 04-01-2002 | Отправлено: 21:50 24-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wand
В принципе, расчитано на то что файервол имеет конроль приложений, и разрешит входящее соединение только настроенному фтп-клиенту. Трояны могут сидеть в любом диапазоне, а так критичный диапазон "системных" сервисов прикрыт.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:05 24-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
разве мы не открываем большую дыру  
- В принципе, никто же не заставляет ВСЕ правила из таблицы себе ставить. Данное - только на случай,  

Цитата:
Специально для клиентов, которые не хотят или не могут принимать коннекты снаружи был создан Passive FTP. Клиент коннектится со своего порта N (из диапазонана 1024..5000) на 21-й порт сервера, а сервер сообщает клиенту порт для данных из диапазона (1024..65535). Тогда клиент открывает второй коннект на него со своего порта N+1.  
(см. ссылку на предыдущую шапку наверху). То есть, если у тебя этой проблемы нет - не ставь.  
2. Если трабла есть и поставил.
 а) оживляй правило только тогда, когда работаешь с фтп. В остальное время - дисэйбл.
 б) соединение - только на выход, так что, если троян еще не сидит у тебя, то попасть через эту дыру к тебе ему будет затруднительно.  
 
(ЗЫ. подобная ситуевина есть со скайпом - там тож кучу портов на кучу серверов открыть надо для нормальной работы. Спасался отключением правила когда не разговаривал.)
 
 Удачи.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:08 24-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
ситуевина есть со скайпом

Может, выложишь правила для него? Наверняка популярная штучка, за неимением достойных конкурентов.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:20 24-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ща, перепишу..  
 
Rule #
Let Skype out
MyAdress 1024-5000 - AllAddresses 1001-64000
Block incoming fragments  
Block incoming connections
Action - Allow & log connections
 
Rule #
Let Skype 33033 (in)
MyAddress 1024-5000 - AllAddresses 33033
Block incoming fragments
Block incoming connectios
Allow & log connections
 
 Два правила т.к. для слушанья (надеюсь, не путаю первое и второе, бо ща не установлен - проверить не смогу, только правила в наборе для стенки остались) достаточно одного нижнего, а для ответа - весь диапазон.  
 
Да, диапазон сервов (удаленных адресов)  можно уменьшить до 24,0,0,0 - 240,0,0,0.
Только вряд ли это сильно поможет.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 00:18 25-05-2004 | Исправлено: bredonosec, 00:28 25-05-2004
wand



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg, bredonosec
 
Я в принципе так и решил, т.к. браузером по фтп ходить извращение, на всякий случай  можно временное правило сделать. А аппликейшн детектом я не пользуюсь, надоело оно мне. Постоянно спрашивает всякую фигню (з.ы. раньше zonealarm стоял). А тут настроил немножко правил, и забыл.  
Всего записей: 136 | Зарегистр. 04-01-2002 | Отправлено: 08:38 25-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Класс, спасибо. Как только доберусь проверить их - засунем в шапочку.
wand
Дело в том что котроль приложений не зависит от того, будет файервол спрашивать о каждом коннекте, или нет. Его использование повышает защиту во много раз, а в настройках надо прописать чтобы работал молча.
Все правила из шапки, вместе с последним запрещающим, достаточны для файервола чтобы решить что нужно делать с пакетом или попыткой соединения, файервол ставится в режим работать молча, и по необходимости писать в лог.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:23 25-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как только доберусь проверить их  
- В теме про сабж пишут, что новая версия не требует столько, будто бы ей достаточно только 443, а то и вовсе 80 порта..  
 Не уверен, что этого им будет достаточно для связи, но на всякий случай уточняю - мои правила работали с версией 096.0.1  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 12:30 25-05-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
правило для Time Sync (синхронизация времени)
Protocol - UDP
Filter data going - In & Out
Local - My adress. port 123
Remote - All adress. port 123 (или прописать сервак которым пользуетесь, например time.windows.com (207.46.130.100))
Block incoming fragments
 
ЗЫ может в шапку закинете?

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 16:00 25-05-2004 | Исправлено: AntiBIOtic, 16:14 25-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AntiBIOtic

Цитата:
может в шапку закинете?

Обязательно.
bredonosec
У меня каждое добавление в шапку похоже на написание ассемблерной программы прямо в кодах процессора. Может есть какой-то менее болезненный способ, чем пачит ее ручками?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:18 25-05-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
У меня каждое добавление в шапку похоже на написание ассемблерной программы прямо в кодах процессора. Может есть какой-то менее болезненный способ, чем пачит ее ручками?

а может сделать шапку в HTML и выложить ссылу? например так

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 09:03 26-05-2004 | Исправлено: AntiBIOtic, 10:53 26-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а может сделать шапку в HTML и выложить ссылу?  
- В принципе, можно. Это совсем нетрудно. (страницу назад писал, как это делается)
Только разница вся будет заключаться в том, что  
1. вместо [] придется писать <>,  
2. Править сможет не любой, а только хозяин акка, на котором лежит (кидать сюда пароль к акку глупо - любой ньюб сможет подменить страницу на вирезагрузку или подобное.
3. Заходящим придется лишний раз лезть по ссылкам. (а также возможно злиться и плеваться, если бесплатный хостинг начнет глючить.
 
 Так что, имхо, нет смысла. Проще тут продолжать.  
Разве что, если сильно разростется, сделать как http://www.pcflank.com/fw_rules_db.htm  - на sql базе.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 17:04 26-05-2004
Tamaz



Грузин		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bredonosec
Поищите во флейме
кто-то из ребят делал прогу, которая была как бы GUI к написанию всего на руборде
Там было изменение цветов, шрифтов и вроде были и таблицы

----------
Секс с презервативом.
Совмещение неприятного с бесполезным
Всего записей: 1024 | Зарегистр. 21-09-2001 | Отправлено: 20:55 26-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ruboard easywrite. В программах. (+ тема в тестировании)
 Но создатель мне говорил, что с таблицами, тем более, вложенными, и подобным форматированием пока тяжко.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:07 26-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Time Sync в шапочке. Мерси AntiBIOtic
 
 
Добавлено
bredonosec
Вычитал на хомяке правила для Skype:
Минимум необходимо открыть выход на 80-й ремоут порт (или 443 для версии выше 0.97) или на диапазон выше 1024.
Обещано также, что качество звука значительно улучшится если открыть UDP на ремоут выше 1024, и разрешить ответы от них.
Звук будет еще круче, если открыть входящие по TCP и/или UDP на порт указанный в настройках скайпа.
Оригинал на английском: http://www.skype.com/help_faq.html#Technical
и довесок тут: http://www.skype.com/help_firewalls.html
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:44 28-05-2004 | Исправлено: Karlsberg, 22:21 28-05-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg - инфу эту разумеется видел. Насчет порта 80 - не знаю, как ща, раньше с ним она только зарегать ник могла. (и то не уверен). Про какое-бы-то-ни-было общение можно было забыть.  

Цитата:
на порт указанный в настройках скайпа
- возможно, он и был там по дефолту. Не помню.
 Остальные советы сводятся к мысли - чем больше откроешь, тем лучше. :/


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 02:01 29-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Скорее всего, у них там реализовано несколько протоколов, и выбирается наиболее качественный вариант в зависимости от того, что доступно. Кроме того, они себя позицируют как самую файервольно-независимую интернет-говорилку, а значит попытались сделать какой-то минимум с единственно открытым портом, типа 80 или 443. Но идея действительно такая - открыть все.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:56 29-05-2004
gavana



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Остальные советы сводятся к мысли - чем больше откроешь, тем лучше. :/  

Karlsberg

Цитата:
Но идея действительно такая - открыть все.

Так и сделал.И началось самое интересное.......
Уже два раза наблюдал в логах файрволла (Jetico) в режиме реального времени
бурную деятельность Skype.При этом Skype даже не запущен и в процессах тоже
отсутствует.
Похоже для Skype нужно хорошо прописанное оттестированное правило с ограничениями,видимо даже на некоторые адреса.
 
Karlsberg
Понравилась твоя статья "Настройка персональных файерволов (firewall rules)".
Если есть такая возможность,помоги с настройками нового файрволла Jetico.
Там просто еще возникает целый ряд правил (winlogon,system,userinit, services,explorer, svchost(3),...... ).Можно просто выложить образцовый файлик настроек Optimal.bcf .
Всего записей: 1524 | Зарегистр. 14-03-2003 | Отправлено: 12:03 29-05-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gavana
Я только-только заново поставил всю систему, так что поиграться Jetico не доведется еще по крайней мере месяц. Давай так, ты задавай вопросы, а мы тут постараемся ответить, если это конечно относится к сетям. Похоже, они там добавили прибамбасы для чисто внутреннего секьюрити, так как winlogon и userinit с эксплорером ну масимум нужно не выпускать в интернет.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:41 29-05-2004
DOE_JOHN

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ваши правила вместо правил которые создает outpost автоматически. Хозяева outpostoв кинте на мыло правила плз. JohnDow33[at]rambler.ru [at]=ссобака спасибо.
Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 23:52 29-05-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
надо уточнить, что Time Sync выполняется приложением svchost.exe
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 09:25 31-05-2004
leputain



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у меня стоит аутпост.
находит svchost.exe и создаёт для него правило шаблонное.
но позже, когда я выхожу в инет, запускаю проверку почты svchost.exe запрашивает входящее соединение каждый раз по новому порту, ip вроде не знакомый (хотя с dns не сверял..), если разрешить - почта проверяется, если запретить - ничего не сосёт..
аналогично и для браузера..
что это такое?
 
Добавлено
а! разобрался, запрашивалось входящее по UDP с адреса 194.67.1.150 и 194.67.1.114.
whois сказал, что этот диапазон - 194.0.0.0 - 194.255.255.255 принадлежит RIPE/SOVAM/TELEROSS что-то такое...
ну а я через ROL погружаюсь в www, так что разрешил входящие с двух этих адресов.. правильно ли я поступил?
Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 03:12 04-06-2004
Velimir



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
leputain
Цитата:
а! разобрался, запрашивалось входящее по UDP с адреса 194.67.1.150 и 194.67.1.114.  
whois сказал, что этот диапазон - 194.0.0.0 - 194.255.255.255 принадлежит RIPE/SOVAM/TELEROSS что-то такое...  
ну а я через ROL погружаюсь в www, так что разрешил входящие с двух этих адресов.. правильно ли я поступил?

Попробуй написать в службу поддержки ROL они точно ответят.
Скорее всего это доменный сервер (DNS).
Если у тебя OutPost посмотри в журнал - должна быть фраза в разделе разрешенных
DNS resolving - это доменный IP.
Я на MTU и мой домен тоже не на MTU а на другом IP. У тебя скорее всего так же...
ALL
Может кто знает...
У меня постоянно кто то хочет выйти  ICMP на IP 211.185.33.252 (от имени system).
Whois говорит что это Кореец. Вопрос - кто знает что это за IP и что с ним делать???
Благодарю!!!(У меня этот IP заблокирован)
Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 08:15 04-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
leputain
DNS запрос шлется обычно по UDP с локальных портов 1024...5000 на 53-й порт DNS-сервера. Ответ от него приходит на порт с которого было послан запрос.
Имхо, нужно проверить две вещи - что запросы уходят действительно на 53-й порт и с помощью ipconfig /all посмотреть какие DNS сервера сконфигурированы сейчас. Скорее всего, эти два адреса ты и увидишь.
 
Добавлено
Velimir
А какой именно ICMP?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:06 04-06-2004
leputain



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Попробуй написать в службу поддержки ROL

да ну с ними связываться.. посто лень..
 

Цитата:
DNS запрос шлется обычно по UDP с локальных портов 1024...5000 на 53-й порт DNS-сервера. Ответ от него приходит на порт с которого было послан запрос.

именно в диапазоне 1024-... и возвращается, только почему раньше ничего подобного не выскакивало..? на версии 2 аутпоста (до перехода на 2.1) ничего такого не наблюдал..
 

Цитата:
 ipconfig /all посмотреть какие DNS

именно они и есть.
Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 17:34 04-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
leputain

Цитата:
почему раньше ничего подобного не выскакивало..?

Это скорее разработчикам Аутпоста вопрос
Для своих DNS серваков можно прописать постоянное правило, чтобы файер лишний раз не отвлекал (см. шапочку)
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:12 04-06-2004
Velimir



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
 
А какой именно ICMP?

А хрен его знает? Процесс от имени system.
Как его ещё обозначить я пока не знаю. Я не большой спец по протоколам.
Поэтому и дал IP может у кого подобное наблюдается.
Просто эхо-запрос причем постоянный (у меня много прог стоит в запрещенных)
Могу в ПМ выслать только их переписать надо (или снимок экрана сделать)
Возможно это тоже чейто DNS или вспомогательный сервер того же дяди Нортона.
Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 03:09 05-06-2004 | Исправлено: Velimir, 03:14 05-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Velimir

Цитата:
эхо-запрос

Вот это я и имел в виду. Короче, это простой ping. Из самых интересных, бывают echo request, echo reply, destination unreacheble, ну и так далее.
IP 211.185.33.252 принадлежит Seoul Daegil Elementary School. Ты случайно не пользовался левыми корейскими крякалками?
Теперь как искать. В Аутпосте (я так понял у тебя он) нужно найти процесс который это дело пытается послать. Потом ищем этот процесс в TaskInfo, например, и смотрим кто такой и почему вообще запущен. Дальше в зависимости от того, что найдешь.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:10 05-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Просто эхо-запрос причем постоянный  
- Если поможет, вот список номеров ICMP пакетов:
0  Ping reply
1  
2  
3  Destination Unreacheable
4  Packet lost
5  Shorter Route
6  Alternate HOst Address
7  
8  Ping request
9  Router advertisment
10 Router Solicitation
11 Time Exceeded
12 Parameter Problem
13 Timestamp Request
14 Timestamp Reply
15 Information Request
16 Information Reply
17 Address Mask Request
18 Address Mask Reply
19 Reserved (for security)
20-29 - пустые. Или у меня нет инфы о них.
30 Traceroute
31 Datagram Conversion Error
32 Mobile Host Redirect
33 IPv6 Where-Are-You
34 IPv6 I-Am-Here
35 Mobile Registration Request
36 Mobile Registration Reply
37 Domain Name Request
38 Domain Name Reply
39 SKIP
40 Photuris


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:18 05-06-2004 | Исправлено: bredonosec, 19:19 05-06-2004
DOE_JOHN

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так понимаю что в Outpost надо наплевать на правила создаваемые по умолчанию и вводить те что в шапочке. Правильно? Создать правила только для приложений которыми пользуешся. Подскажите что из шапки нужно для работы по диалап, локалки нет и наверно еще долго не будет. Как быть с svchost.exe? Outpost для него сам что-то настраивает, что из этого надо оставить/изменить/удалить? Как поступить с общими правилами на вкладке системные?
Как задать последне правило из шапки о блокировке
Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 00:10 06-06-2004
Velimir



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
IP 211.185.33.252 принадлежит Seoul Daegil Elementary School. Ты случайно не пользовался левыми корейскими крякалками?

Вроде бы не пользовался.
и ещё я практически заблокировал по словам spylog, hotlog, bannerbank -  
они не могут давать такие icmp ???
Добавлено
Не получается с помощью оутпоста выявить процесс.
Левых процессов вроде бы то же нет. Но что то все же посылает эти пинги ??
Предлагайте еще какие нибудь сканеры буду пробовать пока не найду.
В оутпост этот процесс - system !!! Идет с периодом около 4 минут...
вот ещё что
Во всей этой гадости проскакивает порт 2048. (DLS - monitor)
Объясните что это за монитор (кто нить должен знать)
Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 07:43 06-06-2004 | Исправлено: Velimir, 08:39 06-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Velimir
Ок, я бы перепроверил Оутпост с помощью утилитки TcpView с sysinternals.com, так, на всякий случай. Дальше я все-таки советую взять TaskInfo и посмотреть кто бежит под этим процессом. Процесса system не существует, exe который запускается - это svchost.exe, который поднимает разные dll-ки сервисов. Посмотри на список сервисов - может быть, там прописался кто-то подозрительный. Если все в порядке - можно запустить Shavlik HFNetChk, он проверит что все системные файлы "свои", и никто не заменил системную dll своей троянской.
 
DOE_JOHN
Запусти ipconfig /all - скорее всего ты увидишь один DHCP сервер и два DNS сервера. Значит, надо конфигурить DHCP и DNS - см. шапочку и можно старую шапочку. После этого все проги которыми ты пользуешься для интернета - браузер, качалку, ну и т.д.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:30 06-06-2004
helix



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В общих правилах я убрал разрешение на :  
   1. outgoing DHCP  
   2. inbound identefication
   3. loopback
   4. GRE protocol
   5. PPTP control connection
В запрещенных приложениях к меня - explorer.exe , lsass.exe, telnet.exe и еще штук 5 по
мелочи.   И никаких проблем -почту получаю,тормозов нет ,ничего не лезет.Спрашивает-
ся,а зачем тогда эти протоколы нужны?
 Впрочем,нет, иногда Outpost выдает сообщение типа:  
              Внимание: некоторые компоненты  ........  изменились  
     и предлагает выбор-обновить,запретить,отключить. Чаще всего это компоненты IE,
но могут быть и любые другие. При просмотре "подробнее"- эти изменения 2001 года и
все подписаны Microsoft-ом. Я заметил,что эта лабуда стала выскакивать после теста на
прочность фаера какой-то (не помню) прогой,о которой здесь в свое время много говори-
ли. Тест я выдержал,и прогу,и ее следы в реестре убрал сразу же. Но,видать что-то оста-
лось. В любом случае я всегда запрещаю деятельность предлагаемых изменений, но это
напрягает. У кого есть похожие проблемы?
Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 11:06 06-06-2004
Panamaaa



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
helix

Цитата:
  3. loopback

А это зачем убрал?

----------
В интернете можно найти всё, а иногда и то, что нужно...
Всего записей: 1395 | Зарегистр. 11-06-2003 | Отправлено: 23:45 06-06-2004
helix



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 Panamaaa
 
Для конкретных приложений я ,конечно, его разрешаю,А так,вообще, он не нужен.
 (См. 5 страницу данного топика).
Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 11:02 07-06-2004
Panamaaa



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
helix

Цитата:
См. 5 страницу данного топика

Спасибо на наводку. Теперь тоже запрет поставлю.
 
Добавлено
ага, вот здесь тоже есть... достаточно информативно, правда на англицком
_http://www.outpostfirewall.com/forum/showthread.php?s=3a5c3f195cb16bc1aa2f8da89fabd8da&t=9858
 
а это в формате DOC
_http://www.outpostfirewall.com/forum/attachment.php?s=3a5c3f195cb16bc1aa2f8da89fabd8da&attachmentid=2404

----------
В интернете можно найти всё, а иногда и то, что нужно...
Всего записей: 1395 | Зарегистр. 11-06-2003 | Отправлено: 12:00 07-06-2004
danu2000

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
2 All
Имею ZoneAlarm Pro with Web Filtering 4.0.146.029. При создании ехпертных правил по таблице с верху , удаётсеа ввести только  3 правила, потом пишет ошибку "Произошла ошибка при анализе данных XML .Процес был остановлен" . Почему ето происходит ?
 
И 2 ворпос :
 
Нужно вводить ети правила строго по списку ?
Всего записей: 340 | Зарегистр. 04-11-2002 | Отправлено: 15:32 07-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danu2000

Цитата:
Произошла ошибка при анализе данных XML

Скорее всего это проблема билда. Если это бета, попробуй поставить последний релиз.

Цитата:
Нужно вводить ети правила строго по списку ?

В старой шапочке все расписано. Кроме того, не обязательно использовать их все - выбирай те, который подходят для твоих приложений.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:13 07-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
При создании ехпертных правил по таблице с верху , удаётсеа ввести только  3 правила, потом пишет ошибку "Произошла ошибка при анализе данных XML .Процес был остановлен" . Почему ето происходит ?
- Есть еще небольшая вероятность, что что-нить в морфологии задания правила под конкретно зону ошибся. На всякий случай в теме про зону можешь выложить свой вариант написания сбойного правила, (после ввода которого сбои идут) - если что не так, подскажут.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 01:32 08-06-2004
ULTRASPEED

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Все привет.Я здесь впервые,просмотрев бегло топ появились вопросы!
Поскольку в этом топе обсуждаются правила людьми которые пользуються разными стенами спрошу следущее.
 
Как в ваших файерволах организован контроль компонентов???
 
У меня отпуст при обнаружении чего либо контролем компонентов предлагает варианты:
1.Обновить для этого компонента инфу,относительно приложения (то есть выпустить тулзу в сеть с данной DLL)
2.Запретить любую сетевую активность данному приложению(то есть просто не выпускает его в сеть и все )
3.Показать корневую директорию приклеивающегося компонента
 
Короче в этих вариантах нет ни какой помощи.Так как мне все равно в сеть надо выйтиэтой тулзой.Чте нить типа выйти данному приложению без этой DLL то есть без этого компонента и близко нет
Так вот к чему вопрос мне сказалии что в NIS существует категория правил которые запросто могут применяться к DLL-библиотекам,разрешать или блокировать их относительно того или иного компонента.Короче можно все таки выпустить приложение в сеть без всяких там компонентов,которым просто запрет прописать
 Люди поделитесь опытом в данном вопросе,раскажите как в ваших стеночках обстоят дела в подобной ситуации
 
По правилам от себя:Я считаю что про выход с локальных портов ваще не париться можно а всегда ставить 1024-65535 так как это просто не важно и не имеет ни какого значения.
И по поводу того ,что "люди помогите не могу порт закрыть сканеры его видят"
Открытый порт не несет в себе не какой опасности ,другое дело приложение которое на нем висит,вот его то и надо защитить.Я прежде чем фаер настроить убил у ся в сервисах половину служб ненужных,заодно наблюдая как в оснастке "открытые порты" при отключении сервисов уменьшалось количество открытых портов для (св гост)
Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 08:12 08-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
 всегда ставить 1024-65535 так как это просто не важно и не имеет ни какого значения

Я не вижу причин давать больший диапазон портов, чем определено протоколом производителя, зато вижу кучу причин этого не делать. Если прога хочет общаться через порт через который ей от рождения это запрещено - а может, троянчик завелся? может контроь компонентов не сработал или появился новый способ его обойти?

Цитата:
Открытый порт не несет в себе не какой опасности

Открытый порт - это открытый доступ к стеку протоколов, позволяет делать много разных гадостей.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 08:57 08-06-2004
helix



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED
 
 Из трех вариантов ответа смело выбирай "запретить". Я много раз так делал для IE и
связь с инетом после этого не нарушалась.
Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 09:14 08-06-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
Как в ваших файерволах организован контроль компонентов???  
 ....
Короче в этих вариантах нет ни какой помощи.Так как мне все равно в сеть надо выйтиэтой тулзой.Чте нить типа выйти данному приложению без этой DLL то есть без этого компонента и близко нет

 
Рекомендую набраться терпения и после устновки в аутпосте  "Component Control is Maximum"   в первые 3-5 дней " на запрос аутпоста отвечать  
1.Обновить для этого компонента инфу
 
Я при этом почти не проверял dll, так как была чистая машина и регулярно гонял постоянно 5-6 антитроянов и антивирусов))
 
После этого список  компонентов устаканился и аутпост перестал меня спрашивать.
 
Но уж если теперь после 3 месяцев работы контроль компонентов требует моего внимания то внимательно смотрю что же именно изменилось. Такое  случается раз в 2-3 недели и связанно как правило с обновлениями системы или установкой новых программ.
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 14:09 08-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED
helix
Spectr
В первое время, пока все данные о компонентах "устаканиваются" внутри файервола, совершенно случайно можно разрешить выход проге, зараженной в первый-второй-и и.д. день. Такие вещи лучше делать до реального подключения в интернет или использовать что-то подобное Adinf.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:30 08-06-2004
ULTRASPEED

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Я не вижу причин давать больший диапазон портов, чем определено протоколом производителя, зато вижу кучу причин этого не делать

Есть смысл в твоих соображениях,но я исхожу из того ,что разрешение исходящих с 1024 по 5000 не дает больше безопасности чем разрешение с 1024 по 65535 ,так как даже в минимальноми диапазоне итак слишком много портов для выхода.Хотя всегда из больших бед выберают меньшее -это не оспорить!!! Но ведь мы даем диапозон портов на исходящее для определенного приложения "типа радмин" и на какой нить троянец они не действуют.А при выходе в сеть троянца,нас попросят дать ему особые разрешения.
Вобщем затея с исходящими-это уже из области занудства или паранои.В отпусте ваще  почемуто при предложении создать правило, в режиме обучения, не показуеться локальный порт в всплывшем окне создания правил.Хотя конечно же для таблицы которую вы все вместе создаете не лишним будет инфа о локальных портах,более того отличная затея с данной табличкой !!!
 

Цитата:
Открытый порт - это открытый доступ к стеку протоколов, позволяет делать много разных гадостей

 
А проь это я не знал! Можеш в кратце пояснить какие угрозы например предоставляет 21 TCP порт открытый на входящее ,если не считать атаку на уровне приложений(типа эксплоита на сер вью и т д )
 
 
 
helix
 
Тут ты чето попутал,там написано следущее в варианте с запретом :
"Запретить любую сетевую активность для данного приложения"
и после нажатия этого, приложение полностью режиться от сети ,на основании правила "запрещено контролем компонентов"таковое ты потом увидеш в окне "сетевая активность"когда IE не выйдет в сеть.
Вчитайся внимательно и вникни в смысл варианта с запретом !!!
 
Spectr
 
Да я читал про это в Апгрейт спэшл номер помоему 2.
То есть там предлагают установить чистую систему и запускать все по очереди чтобы сразу зарегились все компоненты,так как в чистой токо поставленной форточке нет троянов,откуда им взяться с дистрибутива что ли ???
Но это все для NIS писали и парвильно ведь потом через три недели обнаружив новую DLL мы четко запрещаем ей выйти в сеть с данным приложением,так как знаем что все DLL необходимые для его нормальной функциональности давно с ним устаканены.
 

Цитата:
Но уж если теперь после 3 месяцев работы контроль компонентов требует моего внимания то внимательно смотрю что же именно изменилось. Такое  случается раз в 2-3 недели и связанно как правило с обновлениями системы или установкой новых программ.

А как ты определяеш зачем данная DLL ??
Так вот я почему и забил тревогу.Ведь отпуст определив новый компонент не дает нам особого выбора.Обновить не вариант.Остаеться пройти по пути в корневую и удалить ее,а корневая SYSTEM 32 например,че за DLL я не знаю.Короче реальных вариантов нет !!!
Радмин ,умно замаскированый под сетевого дурака ,не одним антивирем не распознать !!!
 

Цитата:
В первое время, пока все данные о компонентах "устаканиваются" внутри файервола, совершенно случайно можно разрешить выход проге, зараженной в первый-второй-и и.д. день. Такие вещи лучше делать до реального подключения в интернет или использовать что-то подобное Adinf.

 
Про то как устаканить все DLL гарантировано без троянов,на несколько строк выше написано.А что такое Adinf ???
И где вы берете статистику исходящих по локальным портам для разных приложений- логи чтоли просматриваете, где в вильтре  исходящее для того то или того то ,ведь помоему производители не сообщают что они в код программфы заложили ???
Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 21:33 08-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
но я исхожу из того ,что разрешение исходящих с 1024 по 5000 не дает больше безопасности чем разрешение с 1024 по 65535 ,так как даже в минимальноми диапазоне итак слишком много портов для выхода.
- Об этом уже говорилось. Порты в районе 30 000 -40 000  - одни из любимых для всевозможных троянов. (прежде чем писать, читайте для разнообразия)
 

Цитата:
А при выходе в сеть троянца,нас попросят дать ему особые разрешения.  
- может быть. А если компонент контроль отвалится? Уж лучше, когда защита дублируется по разным уровням, чем вероятность дыр.
 

Цитата:
Вобщем затея с исходящими-это уже из области занудства или паранои.
- Если трой, что у тебя все-таки как-то поселился, захочет кинуть своему создателю что-нить типа паролей твоих, или еще что-нить такое, он какое соединение будет устанавливать? Входящее или исходящее?  
 

Цитата:
"запретить". Я много раз так делал для IE и  
связь с инетом после этого не нарушалась.
- возможно, у вас он не фильтрует, а пропускает? У меня, когда стоял пост, такое действие отрубало инет. (что логично исходя из надписи
Цитата:
"Запретить любую сетевую активность для данного приложения"  

 

Цитата:
Ведь отпуст определив новый компонент не дает нам особого выбора.Обновить не вариант.Остаеться пройти по пути в корневую и удалить ее,а корневая SYSTEM 32 например,че за DLL я не знаю.Короче реальных вариантов нет !!!
- В теме про аутпост SXP говорил, что с новыми версиями есть возможность влиять на отдельные дллки (отключать, запрещать именно им .. что-то в этом роде) Врать не хочу, не помню точно, просмотри ту тему или спроси у него.  
 

Цитата:
Про то как устаканить все DLL гарантировано без троянов,на несколько строк выше написано.
- дочитай до конца свою же цитату. там написано

Цитата:
Такие вещи лучше делать до реального подключения в интернет  


Цитата:
И где вы берете статистику исходящих по локальным портам для разных приложений- логи чтоли просматриваете,
- я да. Фильтра логов, к сожалению, на моей стенке (виснетик) нет, так что, в реальном времени смотрю, что после каких действий куда стучится.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:35 08-06-2004
ULTRASPEED

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bredonosec
Я не буду далее спорить про локальные порты ,так как аргументов и в твою и мою сторону утверждающих правильность мысли нет !Но и так понятно что чем больше ограничений для чего либо темь меньше вероятности упустить это из под контроля
 

Цитата:
(прежде чем писать, читайте для разнообразия)

Косяк понял ,простите,просто открыв форум и прочитав 18 страниц я естественно не вник ,я просто смотрел вопросы мя интересующие,постараюсь перечитать.
 
 

Цитата:
- Если трой, что у тебя все-таки как-то поселился, захочет кинуть своему создателю что-нить типа паролей твоих, или еще что-нить такое, он какое соединение будет устанавливать? Входящее или исходящее?    

 
Он установит исходящее с моего локального порта.И входящее на удаленный с его точки зрения,но исходящий с моей ,короче это игра слов ,небудем,да и ваще если трой по почте шлет то исходящее ,а если трой на базе радмина,то входящее или я вопрос не понял !!
 

Цитата:
- В теме про аутпост SXP говорил, что с новыми версиями есть возможность влиять на отдельные дллки (отключать, запрещать именно им .. что-то в этом роде) Врать не хочу, не помню точно, просмотри ту тему или спроси у него.  

 
На данный момент то есть на седнешнее число у мя свежий самый отпуст и я там этого не вижу.Прийдеться прочитать 100 страниц .Мож человек списался с ними и они ему это пообещали ?? Не могу я смотреть в книгу видеть фигу
 я правильно понял в топе 100страничном написано про DLL ?????
 
У мя в системных есть правило где TCP исходящее с 1024-65535  на удаленный PPTP порт
Знаю что это правило обеспечивает тунели с удаленного на мой порт для передачи данных,ат тода чем оно от простых конектов отличаеться,вобщем разъясните плиззз!!!
 
 
 
bredonosec
А как у тя дела обстоят с контролем компонентов ???????
 
 
Да кстате при нажатии варианта "заблокировать этому приложению любую активность " инет та пашет но не с этим приложением!!! блок попадает токо на тот тулз у которого компонент изменился!
Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 23:41 08-06-2004 | Исправлено: ULTRASPEED, 23:45 08-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
 затея с исходящими-это уже из области занудства или паранои

Вот почему-то именно ограничение диапазона 5000-м портом всегда вызывает кучу споров. Всем хочется 65535. А то что снизу 1024 почему-то всем нравится...
Давайте договоримся на будущее, что эти числа пришли от самих разработчиков виндов. Когда приложение просит у операционки свободный порт, оно его получает именно из диапазона 1024...5000 (или выше, если изменить настройки). Есть версия юникса, которая начинает с 1-го порта, но это не наш вариант.
Это правило верно для большинства приложений, не выполняющих системные функции. Если кто-то ему не следует, это отмечается в шапочке, а у нас есть возможность правильно настроить файер. Правильно - значит точно.

Цитата:
какие угрозы например предоставляет 21 TCP порт открытый на входящее

Первое, что приходит в голову - флуд SYN-запросами, когда приходит запрос коннекта, TCP стек шлет ответ и ставит таймер, ожидая подтверждения. За время ожидания он еще несколько раз пошлет ответ. Если таких запросов достаточно много, ресурсы операциоки заканчиваются, и интернет тоже.
добавлено
Не сказал самое главное - SYN-флуд можно применить только если кто-то на этом порту ждет соединения по TCP, как например FTP сервер (так как FTP основан на TCP, за редчайшим нестандартным исключением).
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:42 09-06-2004 | Исправлено: Karlsberg, 10:16 09-06-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
А как ты определяеш зачем данная DLL ??  
Так вот я почему и забил тревогу.Ведь отпуст определив новый компонент не дает нам особого выбора.Обновить не вариант.Остаеться пройти по пути в корневую и удалить ее,а корневая SYSTEM 32 например,че за DLL я не знаю.Короче реальных вариантов нет !!!  

 
Во-первых аутпост дает выбор: а именно заблокировать до  следующего перезапуска приложения (или перезапуска системы - не помню точно делал это давно когда с помощью pcaudit проверял защиту против  DLL injection).
После чего можно пойти и как минимум посмотреть чья это dll (in properties) и сравнить ее с оригиналом в дистибутиве или на чистой системе ( у меня стоит 2 WinXP).
В WinXp есть также sfc для ручной проверки системных dll.
Ну а уж в случае подозрений задействовать  всю тяжелую артиллерию антитроянов и антивирусов (их у меня сразу 5 штук)
После чего либо  убить этот файл и НЕ ЗАБЫТЬ вычистить эту длл из списка разрешенных длл (после pcaudit  у меня  в списке было больше двух десятков таких призраков pcaudit замаскированного под длл с разными названиями). Либо при новом запуске приложения со спокойной душой разрешить.  
 
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 10:47 09-06-2004 | Исправлено: Spectr, 10:51 09-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
В system32 может лежать dll не системная, а скажем, от какой-нибудь мозиллы или оперы. То есть можно проверить целостность системных dll-ей, но как проверить целостность всех програм которые выходят в интернет?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:19 09-06-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Это я знаю.
 Но я же и сказал что можно сравнить с длл из дистрибутива программы или с длл  на чистой системе.
 Я же предпочитаю использовать для этого backup всей системной партишн сделанный с помощью Acronis True Image. Монтирую как новый жесткий диск образ диска из старого   backup, который я считаю чистым (имею привычку делать его сразу после установки нового софта) и сравниваю длл под подозрением. Храню по-крайней мере 3-4 последовательных backup.
Мне кажется это 100% надежность. Кстати в случае какого либо заражения или сбоя системы предпочитаю даже не лечить а восстановить систему из backup (4GB partition -занимает 5 мин). Dr Web   или SpyBoat дольше сканируют.  
Sorry for offtop, но очень рекомендую Акронис.
Раньше пользовался Ghost and PQ DriveImage - подобная процедура требовала  в разы больше времени.
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 11:48 09-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Предлагаю использовать Adinf или аналоги. Никакого ручного сравнения...
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:19 09-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Никакого ручного сравнения...
- Угу. Пробовал вручную - кучу времени убил, а толку ...  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 13:13 09-06-2004
ULTRASPEED

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Spectr
 
 

Цитата:
Во-первых аутпост дает выбор: а именно заблокировать до  следующего перезапуска приложения  

 
Для следущего запуска приложения!потом при следущем запуске выезжает тоже окошко с теми же действиями !
Я конечно понимаю, что ты нашел свои способы определять нужно ли разреить DLL ки этой идти в сеть ,но это не оправдывает неправильную реализацию правил,вернее их отсутствие конкретно для контроля компонентов.То есть надо ,чтобы можно было прописывать конкретные правила для конкретных DLL.
Забей в поиск *.DLL и прикинь размах действий .Толи дело ответить на вопрос типа "запретить этому исполняемому компоненту выход в сеть с ланным приложением
 
ALL
Ребята,ну где реальные примеры реализации мониторинга контроля компонентов ваших стенок.(и их особеностей )
 
И еще вопросик у ваших фаеров у всех есть запрет и разрешение NetBios как тотальное правило ,то есть пользуем или нет ??Или есть у кого возможности системными правила прописать?(к примеру я всех по нет биос вижу а все меня нет )
Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 14:37 09-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
примеры реализации мониторинга контроля компонентов

Сейчас нету стандарта на такие вещи, и каждый файервол делает это по-своему (если вообще делает). Попробуй решить проблему по-другому - убери саму возможность прописаться чужому компоненту у тебя в компьютере.

Цитата:
у ваших фаеров у всех есть запрет и разрешение NetBios

Лично я в локалке не сижу и посему все запрещено.

Цитата:
к примеру я всех по нет биос вижу а все меня нет

Попробую догадаться - все остальные сидят без файеров или пропускают входящие на порты NetBios, а на твоем файер пропускает только исходящие.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:42 09-06-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
народ, не поделитесь правилами для IRC клиента? а то я как то не сталкивался с иркой... и вот, понадобилась

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 15:46 09-06-2004
Panamaaa



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AntiBIOtic
IRC connection
protocol=TCP
direction=OUT
remoteport=6660-6670
action=ALLOW
 
IRC AUTH connection
protocol=TCP
direction=IN
localport=113
action=ALLOW

----------
В интернете можно найти всё, а иногда и то, что нужно...
Всего записей: 1395 | Зарегистр. 11-06-2003 | Отправлено: 16:25 09-06-2004
speakerr



Запрет на пост		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
Ребята,ну где реальные примеры реализации мониторинга контроля компонентов ваших стенок.(и их особеностей )

лично у меня домашняя сетка. диски взаимно расшарены. стоит Kerio Personal Firewall 2.1.5 на СЕРВЕРЕ исключительно как стеночка на инет. на сервере, кстати, стоит CCProxy - тоже удивительно НЕЗАМЕТНАЯ штука, обеспечивающая работу кроме стандартых протоколов и PortMap, и socks... снаружи оно обеспечивает отличную защиту. все тесты на пробивку снаружи проходят. работает уже годами, как сервис, незаметно, не жрет ресурсов... лично мне больше ничего и не нужно. порядок же во внутреннем хозяйстве контролируется DrWeb`ом. периодически, но всем новым. а все рассуждения про "контроль приложений" на СЕЙЧАС воспринимаю как временно несерьезные попытки двигаться в этом направлении, приводящие к появлению глючных, ресурсоемких и неудобоворимых для юзверя приложений. я еще хоть как-то могу представить механизм этого контроля на сервере... но... если я открыл дочке PortMap`ы на своем proxy для работы с почтой и socks для, например, mirc`а, то как, интересно, будет выглядеть контроль МОЕГО файрвола за тем, что через это с ЕЕ разрешенных адресов выходит в инет?

Цитата:
у ваших фаеров у всех есть запрет и разрешение NetBios как тотальное правило ,то есть пользуем или нет ??

у KPF 2.1.5 есть специальная закладка в Администраторе - "Microsoft Networking", где можно как угодно задать адреса, которые ИСКЛЮЧИТЕЛЬНО могут "гулять" по локалке.

Цитата:
Или есть у кого возможности системными правила прописать?(к примеру я всех по нет биос вижу а все меня нет )

стоп...
1. мы о чем речь ведем? если у тебя комп, подключенный к сети, через сервер которой ты ходишь в инет, то какие трудности? ставь, как мне кажется, любой файр и прописывай очень простые правила... на выход - открыть все нужное. на вход - все закрыть. и все. кто тебя увидит?
 
2. а что ты, интересно, по нетбиос увидишь? лишь то, что для тебя расшарено. не хочешь чтобы ты был виден - не расшаривай у себя ничего. или я чего-то не понимаю?
Всего записей: 423 | Зарегистр. 09-02-2004 | Отправлено: 21:35 09-06-2004 | Исправлено: speakerr, 22:00 09-06-2004
Velimir



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дополнение к правилам (конкретно - проверено)
 
Для почтовика TheBat!  
Allow Loopback - в системных настройках заблокировать,
в настройках для приложения (bat) - разрешить.
 
P.S.
FW - Outpost
Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 06:53 10-06-2004 | Исправлено: Velimir, 06:55 10-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Velimir

Цитата:
TheBat!

А он требует loopback на какой-то фиксированный порт который не конфигурится в настройках?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 08:53 10-06-2004
AntiBIOtic



Пора жениться		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Panamaaa
большое спасибо
 
Добавлено
может и это правило закинем в шапку? для информативности

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.
Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 09:38 10-06-2004
Panamaaa



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AntiBIOtic
пажалста.
Цитата:
может и это правило закинем в шапку?
Странно, что это правило ещё не в шапке.


----------
В интернете можно найти всё, а иногда и то, что нужно...
Всего записей: 1395 | Зарегистр. 11-06-2003 | Отправлено: 10:12 10-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Panamaaa
Давайте доведем дело до конца - выложите проверенные правила для 2-х протоколов передачи файлов, а потом все вместе - в шапочку. Статус позволяет.

Цитата:
Странно, что это правило ещё не в шапке.

Сам удивляюсь, оказывается есть люди которые им не пользуются
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:53 10-06-2004
ULTRASPEED

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Karlsberg
 
 

Цитата:
Сейчас нету стандарта на такие вещи, и каждый файервол делает это по-своему

 
Я понимаю что у всех по разному .У отпуста можно только блокировать выход всеть приложения в котором появляеться новый компонент,ну или проследовав по пути снести с компа нафиг ту DLL которая клеиться, но не каких вариантов нет больше.И тут же у NIS например есть вариант "выйти в сеть приложению без данной DLL ,а потом найдя ее прописать ей правила как для приложения (на запрет выхода в сеть ,и она больше не попроситься!!! )
А вопрос то вот в чом,я хочу узнать как всетаки в других фаерах  реализованы возможности запрета конкретным DLL или отсутствие  таковых как в отпусте !!!
Ребята вы все на разных фаерах сидите как у вас эти траблы решаються???
Ну я же ранее вопрос нармально задал,или мне его полностью перефразировать надо ???
 
 
speakerr
 
 

Цитата:
лично мне больше ничего и не нужно. порядок же во внутреннем хозяйстве контролируется DrWeb`ом. периодически, но всем новым. а все рассуждения про "контроль приложений" на СЕЙЧАС воспринимаю как временно несерьезные попытки двигаться в этом направлении, приводящие к появлению глючных, ресурсоемких и неудобоворимых для юзверя приложений

Я тоже пользуюсь антивирем Веба и постоянно обновляю его базы !Про несерьезные попытки скажу что соблюдая все правила в шапке ,и всю политику настройки можно запросто лишиться конфидициальной инфы из за трояна подделаного как BHO модуль для IE.Так что зря считаеш что я двигаюсь не в серьезном направлении
 
ALL
Уточняю про нет биос
У мя в фаере есть два варианта правил для сети :
Разрешить NetBios
Запретить NetBios
Эти правела для сети имеют найвысший приоритет.
То есть если я разрешил нет биос в правилах для сети. А потом  в системных прописал
 137 138 139 445 TCP Входящее запретить ,то все равно все нет биос соединения проходят а в режиме отображения сетевой активности я вижу, что по этим портам идут соединения на основании "разрешить трафик нет биос"
Если запретить нет биос ,то есть в правилах для сети снять галочку и прописать такое правило в системных:
 137 138 139 445 TCP исходящее разрешить  и кликнуть че нить по адресу  
\\123.123.123.123 или просто стартонуть какой нить нетбиоссканер то все глухо и в активности все это глушеться на основании "запретить трафик нет биос !!!
Пробовал по разному,но понял что эти два правила действуют тотально!!!
И опять же ответили мне на вопрос и я подумал что не правильно его сфразировал
 
цитирую свой вопрос
 
 

Цитата:
 
И еще вопросик у ваших фаеров у всех есть запрет и разрешение NetBios как тотальное правило ,то есть пользуем или нет ??Или есть у кого возможности системными правила прописать?(к примеру я всех по нет биос вижу а все меня нет )

 
То есть да или нет нет диосу и ко мне и от меня ,или у некоторых есть варианты с настройкой в конкретную сторону(типа я всех юзаю а мя нет )
Я понимаю что я могу неразшаривать свое и все это не увидят но я хочу чтобы я по уязвимому протоколу NetBios ваще не был доступен а чужия шары юзал
Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 12:09 10-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
есть запрет и разрешение NetBios как тотальное правило  
- Конкретно на моей стенке нет контроля приложений и соответственно, нет возможности разрешать ту или иную активность избирательно некоторым приложениям.  
 Запрет я поставил тотальный. Бо сеть последнее время не сканю и отдельный выход мне не нужен. Но изменить или добавить правило, чтоб не пускало только in или out - могу. Хотя не совсем понимаю смысл этого действия.  

Цитата:
но я хочу чтобы я по уязвимому протоколу NetBios ваще не был доступен а чужия шары юзал  
- Насколько понимаю, для этого нужна двусторонняя связь. То есть, если можешь залезть на чужую шару, нетбиос у тебя включен. Когда-то пробовал и пришел именно к такому выводу. Потому и запретил.  
 Если увижу действующие правила, которые обеспечивают такое - готов пересмотреть своё мнение. ))
 

Цитата:
Сам удивляюсь, оказывается есть люди которые им не пользуются  
- Есть. )) Потому как любители поиграться с mIRC юзерами под боком есть. (


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 12:29 10-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
как всетаки в других фаерах  реализованы возможности запрета конкретным DLL

Kerio 2.1.5 хранит MD5 приложения, предлагает обновить когда что-то изменилось, но я не знаю что он делает с другими dll. Скорее всего, ничего, потому что я помню как Сигейт бился в истерике после каждой новой загруженной dll-и.

Цитата:
у NIS например есть вариант "выйти в сеть приложению без данной DLL

Я пытался найти описание этой фичи у них в документации, но не нашел. Ты сам ее там видел или это по рассказам других? Не очень хочется ставить NIS и потом обнаружить, что ее нет.

Цитата:
Пробовал по разному,но понял что эти два правила действуют тотально!!!
И опять же ответили мне на вопрос и я подумал что не правильно его сфразировал  

Дело в том что твой вопрос относится только к Оутпосту, так как у всех "глобальность" и разделение правил на группы реализованы по-разному. У одних есть только одна группа, и правила действуют по-порядку, и других есть несколько групп, одеа "сильнее" другой, а внутри группы правила равнозначны. Если твоя цель - видеть чужие шары и не показывать свои, закрой входящие и разреши исходящие. Если я что-то не понял - звиняйте, не специально.
 
Добавлено
bredonosec

Цитата:
- Есть. )) Потому как любители поиграться с mIRC юзерами под боком есть. (  

Да я и сам им не пользуюсь. Мысль была - нефиг удивляться, что чего-то не хватает, знаешь - делись.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:38 10-06-2004
Demetrio

uid=0		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так, а по iptables тут специалисты есть?
Всего записей: 9967 | Зарегистр. 29-05-2002 | Отправлено: 12:48 10-06-2004
Velimir



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
TheBat!  
А он требует loopback на какой-то фиксированный порт который не конфигурится в настройках?

- протокол направление и порт -,
Правило для TheBat (разрешить данные)
TCP
OUT/INC
127.0.0.0
А для всех остальных (по крайней мере у меня) блокировать данные
TCP
OUT/INC
127.0.0.0(255.255.255.0).
И пока вроде все работает.........
Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 07:19 11-06-2004 | Исправлено: Velimir, 07:36 11-06-2004
DOE_JOHN

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
то есть:
Основной шлюз : 212.12.5.20 ==DHCP  
DNS-серверы . : 212.12.0.2  ==DNS
                212.12.0.3  ==DNS
конфигурировать по ним. А что запретить для svchost.exe
Зачем optpost.exe ломится на 207.44.236.84 по 80 порту с локальных портов 1259,1223, 1204, 1304, 1238, 1322?
Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 23:05 11-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
Ребята, я не волшебник
207.44.236.84 = agnitum.com, навеняка проверяет апдейты или лицензию. В теме про оутпост наверняка знают, зачем он может ломиться на свой собственный хомяк.

Цитата:
А что запретить для svchost.exe

К сожалению, я не очень знаком с оутпостовским способом задавания правил, но если он их применяет по порядку до первого "сработавшего" то вначале можно разрешить сервер DHCP и два сервера DNS, а в конце запретить все.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:06 12-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В теме про оутпост наверняка знают, зачем он может ломиться на свой собственный хомяк.  
- Действительно, читал что-то подобное в той теме с полгода назад. Единственное, что запомнил - предположение, что запрет ставить 2 стены связан именно с нежеланием светить сию активность.. А если серьезнее - гляньте тему по посту.
 
 Про превентивный запрет на автообновление (или прощай "левая" регистрация) там тож написано.  
 
 
Добавлено

Цитата:
с локальных портов 1259,1223, 1204, 1304, 1238, 1322?
- млин.. ну это же просто случайные номера из диапазона 1024-5000, выделенного для веб-серфинга и прочей сетевой активности по дефолту..


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 00:46 12-06-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
 
bredonosec
 
Хочу заступиться за аутпост
Прошу прощения но прежде чем выдвигать довольно таки серьезные обвинения в адрес аутпоста,  проверьте пожалуйста еще раз что в аутпосте  
отключены
1) Automatic Check for Update
2) News download
3) Plugins information download.
Это все в Tools
 
Потому что до сих пор все сообщения про то что аутпост ломится на свой сайт без разрешения, оказались в конце концов неподтвержденными.
Один из моих компов с аутпостом сидит еще и  за корпоративной стеной на которой друг сисоп мониторил все мои соединения. Так вот я специально проверял и сообщаю следующий факт
 за 9 месяцев аутпост ни разу никуда сам по себе не ходил. Кроме PC Flank WhoEasy plugin, для выхода которого в сеть у меня стоит правило для Outpost (Allow remote Port Whois)  в самом аутпосте.
 
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 01:37 12-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
прежде чем выдвигать довольно таки серьезные обвинения  
- Вообще-то я не обвинял, только упомянул, что читал о таком предположении и предложил посмотреть первоисточник для более точной инфы.

Цитата:
до сих пор все сообщения про то что аутпост ломится на свой сайт без разрешения, оказались в конце концов неподтвержденными
- Чтож, прекрасно!  
 Спасибо за инфу про
Цитата:
2) News download  
3) Plugins information download
- буду знать. (когда юзал - только автоапдейт был актуален)


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 15:51 12-06-2004
RRRrrr

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем re
 
хотел поинтересоваться есть ли особые настройки ICMP для аутпоста?
Всего записей: 2 | Зарегистр. 12-06-2004 | Отправлено: 18:31 13-06-2004
DOE_JOHN

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Звиняйте поднял шумиху. Действительно было включено грузить новости и информацию о модулях. Но все равно пусть outpost посидит в запрещенных приложениях.
Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 23:08 18-06-2004
Gals2000

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста! Какое нужно создать правило для svchost.exe? А то автоматом выставить неохота. Спасибо!
Всего записей: 120 | Зарегистр. 29-05-2002 | Отправлено: 20:54 23-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gals2000

Цитата:
правило для svchost.exe

svchost.exe поднимает системные процессы, и правила зависят от того в какой конфигурации ты работаешь - статический/динамический IP и т.д. В общем, командой ipconfig /all можно посмотреть есть ли сервера DNS и DHCP и создать для них правила (см. шапочку).
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:03 23-06-2004
Spectr



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gals2000
 
 Посмотри рекомендации на  
http://www.outpostfirewall.com/forum/showthread.php?t=9858
там не только для svchost но для всего остального
Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 23:38 23-06-2004
Gals2000

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите plz. проверил свой Sygate на пробиваемость данных портов на сайте www.pcflank.com и получил следующие результаты:  
 Port:        Status     Service     Description  
  137-138   stealthed     n/a     n/a  
  135          closed         n/a     n/a  
  139          closed         n/a     n/a  
  445          closed         n/a     n/a  
Есть над чем беспокоиться или нет? А то www.pcflank.com рекомендует Agnitum Outpost, хотя настройки делал по faq. Установил на другую машину Agnitum Outpost настроил и таже картина! Да и там и там incoming TCP_UDP ports 135-139,445 - block!  
Всего записей: 120 | Зарегистр. 29-05-2002 | Отправлено: 19:25 24-06-2004 | Исправлено: Gals2000, 19:27 24-06-2004
Sky hawk



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Gals2000
Всё ровно друг.

----------
Волгоград в Фейсбуке
АвтоТвиттер
© каждый имеет мнение как хочет.
Всего записей: 2153 | Зарегистр. 31-10-2003 | Отправлено: 01:25 25-06-2004
dadu



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хотелось бы увидить комментарии знающих людей чем может грозить обычному пользователю сиЁ:

Цитата:
 Камински представил утилиту DomainCasting, которая позволяет отражать поток данных от серверов DNS

весь текст здесь
 
 
Добавлено
коментарии по проблеме и соотвесно по настройке файров.
Всего записей: 1222 | Зарегистр. 13-11-2002 | Отправлено: 09:00 28-06-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dadu - Если правильно понял из статьи, это относится к методам атак на ДНС сервы. То есть, уж никак не на персоналки.

Цитата:
Используя тысячи серверов DNS, вы можете пропускать множество анонимных данных через брандмауэры. Каминский также упомянул технологию Voice over DNS, которая позволяет использовать серверы DNS для передачи голосовых разговоров. Мы не будем особо вдаваться в детали, поскольку вы можете сами посетить сайт LayerOne и скачать комментарии к сессии.  
 
Во вторник, 16 июня, через два дня после сеанса, на DNS-серверы Akamai DNS была проведена крупная атака. Некоторые популярные сайты типа Yahoo, Google и Microsoft были несколько часов вне досягаемости. Хотя это, возможно, просто совпадение, но оно заставляет задуматься.  
С этой точки зрения,  
Цитата:
обычному пользователю сиЁ
никак не грозит.  
Но с другой стороны, фраза
Цитата:
В этом году Камински представил утилиту DomainCasting, которая позволяет отражать поток данных от серверов DNS.  
звучит как какой-то вид УДП спуфинга, результатом которого стало бы неправильное нахождение ДНС сервом ИПа сайта по имени, запрошенном юзером.. То есть, опять же, влияние на серв, а не пользователя (тем более, что этот вариант мне кажется слишком маловероятным)
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 09:35 28-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
dadu
Насколько я понял, описан способ абсолютно беспрепятственной передачи данных через ДНС, причем в обе стороны. Попозже загляну в RFC, но выглядит как ДНС-запрос, дополнительно несущий сворованные у юзера данные. Свой родной ДНС сервер не знает запрошенный домен и посылает запрос дальше, пока он не доходит до "подставного" ДНС сервера который эти данные вытаскивает. Подставной ДНС сервер (тут я предполагаю - точно не знаю) наверняка можно запустить если хакнуть другой сервер, поэтому и были проведены атаки через 2 дня после конференции.
Не судите строго - написал что понял
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:33 28-06-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подтверждается худший вариант... Попробуйте поискать в гугле "SSH over DNS". Приватная инфа может уходить теперь не только через Веб-контент.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:07 02-07-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если интересно, залил сверстанный в ворд (для распечатки) обзор по аутпосту с ixbt.ru
Agnitum Outpost Firewall Pro 2.zip 8страниц, 2,3метра
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:48 02-07-2004 | Исправлено: bredonosec, 20:51 02-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кому нужен список стандартно используемых портов - RFC1700 (например _http://www.faqs.org/rfcs/rfc1700.html)
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:19 08-07-2004
Velimir



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
bredonosec  
dadu  
Насколько я понял, описан способ абсолютно беспрепятственной передачи данных через ДНС, причем в обе стороны. Попозже загляну в RFC, но выглядит как ДНС-запрос, дополнительно несущий сворованные у юзера данные. Свой родной ДНС сервер не знает запрошенный домен и посылает запрос дальше, пока он не доходит до "подставного" ДНС сервера который эти данные вытаскивает. Подставной ДНС сервер (тут я предполагаю - точно не знаю) наверняка можно запустить если хакнуть другой сервер, поэтому и были проведены атаки через 2 дня после конференции.  
Не судите строго - написал что понял

Теперь наверное я ни чего не понял.
Вопрос Кто нибудь исследовал логи файрволов по этому поводу.
Я например знаю IP своих DNS серверов. А как они будут выглядеть если пройдет
запрос отподмененных DNS - будет ли IP другим или изменится кол-во байт
в запросе .......Вобщем как это можно будет определить в логах.
(Получается нечто наподобии тунелинга через DNS что ли, или что-то не так)
Давайте этот вопрос не отпускать на самотек........
Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 09:06 09-07-2004
Looking



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Agnitum Outpost Firewall 2.1  
 
Удаленный пользователь может послать серию небольших TCP пакетов с установленными URG, PSH, SYN, и FIN флажками и со случайным IP адресом источника со скоростью более 90 kbps, чтобы аварийно завершить работу программы.  
 
Решение: Установите следующие значения в файле конфигурации outpost.ini:  
HideIcmpActivity=yes  
HideIpActivity=yes  
 
http://www.cyberinfo.ru/read.php?sname=yiz&articlealias=angnitiumoutpost
Всего записей: 1814 | Зарегистр. 02-06-2004 | Отправлено: 14:53 09-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Looking, уважаемый, это относится исключительно к Оутпосту, а посему просто обязано быть в его родном топике
 
Velimir
Тут такое дело... Исследовать логи не довелось, и сам предмет изучал исключительно по десятку статей в интернете. Пока что пришел к выводу, что

Цитата:
Получается нечто наподобии тунелинга через DNS

- лучше не скажешь.
Если я понимаю правильно, сами ДНС запросы не отличаются сильно от обычных, и тоже направлены на твой ДНС сервер. Это он сам их потом доставит куда надо.  Количество байт одного запроса контролировать невозможно, но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:19 09-07-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.
- Это верно. И если ты смотришь иногда в лог реального времени, то может насторожить обилие пакетов на днс. А может и не насторожить. Обычно вижу 2 пакета при начале работы или входе на новый серв (один туда, другой - обратно). В остальное время их нет. Если начали окромя этого появляться - можно заинтересоваться.
 
Looking

Цитата:
Решение: Установите следующие значения в файле конфигурации outpost.ini:    
HideIcmpActivity=yes  
HideIpActivity=yes  
- Если в журнале не отображать активность по ИПу и ICMP, то как в реальном времени следить за этим траффиком? Или полагаться целиком на автомат?  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:37 09-07-2004
Velimir



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec,Karlsberg,All

Цитата:
Цитата:
но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.
- Это верно. И если ты смотришь иногда в лог реального времени, то может насторожить обилие пакетов на днс. А может и не насторожить. Обычно вижу 2 пакета при начале работы или входе на новый серв (один туда, другой - обратно). В остальное время их нет. Если начали окромя этого появляться - можно заинтересоваться.  

Я знаю IP своих DNS - можно попробовать настроить на них монитор какой нибудь.
Предлагается всем кому интересно это так и сделать. Трафик через них совсем махонький, так что отличить резкое его увеличение, или количество запросов наверно не сложно. Ежели чего выйдет сразу пишите в топик не затягивайте.
Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 08:16 11-07-2004
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Классный топ...
Вот вопросец - вижу динамический диапазон стоит 1024..5000 в большинстве случаев вместо 1024-65535 - это точно, что эти службы используют именно до 5000 или это только в теории!?

----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:07 12-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox

Цитата:
это точно, что эти службы используют именно до 5000 или это только в теории!?

Все параметры вытащены из соответствующих мануалов и то чем пользуюсь, конфигурил именно так, проблем с сетью не замечено. Кроме того, прямо под шапочкой есть место в реестре, где это дело меняется (чиста если вдруг пропустил )
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:44 12-07-2004
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
соответствующих мануалов
те типа так в мануале и написано, что именно до 5000 и не шагу выше!?
ps мануал перечитаю, может просто запамятовал я...


----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:10 12-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox

Цитата:
что именно до 5000 и не шагу выше!?

Типа того... Кое-где было 4999. А в каком сервисе проблема, если она есть?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:21 12-07-2004
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А в каком сервисе проблема, если она есть?
да нет проблем... просто я после прочтения этих мануалов (наверно невнимательно читал ) для служб требующих динамического адресса в файере открывал все порты выше 1023... а тут оказ-ся и до 5000 хватает...    


----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:33 12-07-2004 | Исправлено: greenfox, 17:34 12-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
До 5000 хватает. Но есть и специфические ОС/программы/требования.
Они, кстати, могут использовать и 1024-65534 независимо от указанных в шапке настроек реестра. Тут только RTFM спасает
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 19:09 16-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет использования DNS для левого траффика - в сети появилась Power Point от самого автора, можно легко найти в Гугле по "ssh over dns".
В общем, в DNS-запросах должны появляться всякие странные записи типа 00000001.doxpara.com или <timestamp>.server.com. Понятное дело, что в конкретной реализации это может быть все что угодно, но принцип обращения к доменам больше второго уровня должен остаться. Как и адреса серверов которые вы сами не запрашивали.
 
У кого есть идеи, как это можно фильтровать файером?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:15 20-07-2004
gavana



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Насчет использования DNS для левого траффика  


Цитата:
У кого есть идеи, как это можно фильтровать файером?

С момента появления инфо про левый  DNS-траффик начал пристально наблюдать за поведением своего файера по части DNS. У меня настроенно стандартное правило :
send receive datagrams_port53_moy server.
Так вот,действительно в последнее время файер выявлял не типовые запросы-
то на moy DNS server  уже svchost.exe запрашивал outbound connection (вместо только send receive datagrams),то уже даже и мой браузер просился на moy DNS server .
Естественно все попытки одним движением навечно заблокировал.
А фаейр у меня Jetico,который еще много интересного и уникального умеет дополнительно.
Всего записей: 1524 | Зарегистр. 14-03-2003 | Отправлено: 12:56 20-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gavana

Цитата:
svchost.exe запрашивал outbound connection

Насколько я понимаю, файер имеет в виду запрос TCP соединения, который может использоваться для длинных запросов, который не влазят в стандартный UDP-шный пакет. Интересно посмотреть внутрь, куда это он там хотел попасть.
 

Цитата:
браузер просился на moy DNS server  

Может быть он сам по себе пытается адреса резолвить?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:11 20-07-2004
gavana



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Цитата:svchost.exe запрашивал outbound connection  
 
Насколько я понимаю, файер имеет в виду запрос TCP соединения, который может использоваться для длинных запросов, который не влазят в стандартный UDP-шный пакет. Интересно посмотреть внутрь, куда это он там хотел попасть.  
 
 
Цитата:браузер просился на moy DNS server  
 
Может быть он сам по себе пытается адреса резолвить?  

Теоретически как бы твоя правда,НО......
Во-первых,идея создания и трактовки правил в Jetico несколько отличается от стандартных.
Во-вторых,в последних версиях разработчиками очень сильно доработан вопрос безопастности DNS и др. запросов.соответстенно ЛЮБЫЕ доп.запросы трактуются как левые.
В-третьих,данный файер делает много упреждающих действий еще до выхода любого
приложения в сеть.(и в этом его неповторимость)
Попробуйте чего-нибудь утянуть любым способом с машины,на которой установлен настроенный Jetico.
 
Всего записей: 1524 | Зарегистр. 14-03-2003 | Отправлено: 13:50 20-07-2004
VladPa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Протестил KPF 4.0.16, казались открытыми порты 135 и 5000. Залез в настройки, закрыл оба наглухо - броузер перестал коннектиться с интернетом. Как бы из так закрыть, чтобы еще и жить можно было?
 
WinXP SP1
 
Настройки Керио по умолчанию + правила на стандартные программы, которые стоят в компе.
 
Заранее благодарен
Всего записей: 39 | Зарегистр. 23-05-2003 | Отправлено: 14:37 20-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gavana

Цитата:
Попробуйте чего-нибудь утянуть любым способом с машины,на которой установлен настроенный Jetico.

Ну если у твоей почтовой програмки есть API, то наверное все могут
 
VladPa

Цитата:
закрыл оба наглухо - броузер перестал коннектиться с интернетом.

Как именно закрыл, в какой таблице?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:02 20-07-2004
Urk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подмогните новичку. Имею выход в инет через районную локальную сеть. Хочу закрыться от соседей по сети, которая мне совсем не нужна. Отключил все сетевые службы макрософт. Нетбиос через TCP/IP отключил. Поставил KPF 4. Просканировался тут http://www.pcflank.com/scanner1.htm. Порт 139 открыт. В файере на 139 порт поставил  Application - any Local -139 remote -any direction -both. Еще раз сканируюсь -139 открыт. Где что не так делаю?? И попутно вопрос. 135 открытый порт есть смысл закрыть?? Пользую в основном Opera IRC ICQ Бат.
Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 10:28 22-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
Измени правило - Local = 139, Remote = all. Главное, чтобы был закрыт локальный порт, а заходить на него могут пытаться с любого другого порта. 135 тоже закрой.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:27 22-07-2004
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
Пользую в основном Opera IRC ICQ Бат.
так можно и все порты служебные (<1000) закрыть на входящих....


----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:50 22-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
А зачем тебе 139 порт? Если тебе сеть нужна только для интернета - ну его нафиг.
В интернет ты ходишь через шлюз/прокси провайдера. Туда и давай доступ. А остальных отрезай на корню.
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 16:32 22-07-2004
Urk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Измени правило - Local = 139, Remote = all

Так у меня так и стоит. На 135 поставил аналогично Local -135 remote -all direction -both. Сканируюсь - оба открыты. Или руки кривые или файер.
Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 09:51 23-07-2004
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
Сканируюсь - оба открыты. Или руки кривые или файер.
а ты сканишь то снаружи или изнутри сети свой шлюз!? И правило это стоит на первом месте в списке!?

----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 11:23 23-07-2004 | Исправлено: greenfox, 11:23 23-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
Так у меня так и стоит

Сори, неправильно понял
Файер вроде нормальный. А где ты это правило прописываешь? Внутри Packet Filter? (спросил чисто чтоб небыло недоразумений).  
Тогда, думаю, стоит проверить где встречается svchost.exe (который слушает на этих портах), также может надо выкинуть Generic Host Applications из списка в Network Security.
Наверное, надо перебираться в тему про Керио, вроде это только его проблема.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:28 23-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
У тебя интернет через прокси или роутер стоит?  
Разница такая: если роутер, то сайт сканирует скорее всего твои порты. Если прокси у прова, то в инете "светится" его IP и сканируются порты сервера провайдера.
Проверь, совпадает ли IP, отражаемый на сайте перед сканом, с твоим (найти можно командой "ipconfig /all")
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 11:29 23-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Кстати, отличный вариант. Районная локалка - значит практически нет шансов что pcflank сканит сам компьютер
Urk
Попробуй посканить сам себя любым сканером безопасности.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:10 23-07-2004
Urk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А где ты это правило прописываешь? Внутри Packet Filter?

Да
imho

Цитата:
если роутер, то сайт сканирует скорее всего твои порты. Если прокси у прова, то в инете "светится" его IP и сканируются порты сервера провайдера.  
Проверь, совпадает ли IP, отражаемый на сайте перед сканом

Светится IP прокси, мой нет. Прокси в браузере отключал перед сканированием. Выходит я порты своего прова долбил на скане? Как тогда свои проверить??
Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 13:18 23-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk

Цитата:
 Как тогда свои проверить??

Инсталируешь любой сканер безопасности (например xSpider), открываешь ему полный выход в интернет и даешь ему свой IP адрес (который видно в ipconfig).
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:44 23-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Urk
Послушай, это уже паранойя. У тебя в локалке что, монстры сетевого фрикинга сидят?
Так... кулхацкеры .
 
Попробуй сделать как говорит Karlsberg (но я сам не пользовался локальными сканерами безопасности).
Хотя не факт, что поможет.
 
Попроси лучше кого-нибудь из администрации сети или из знакомых посканировать твой компьютер. (Собственно, это и делает pcflank)
Это верняк. Меня по первости учили свои же из локалки - что и как ставить. А администрация моя не помогла никак - они даже сказали, что используя файервол я лишаюсь их техподдержки по всяким глупостям с сетью... Хотя мер безопасности в сети - никаких (или я их не вижу).
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 17:06 23-07-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
они даже сказали, что используя файервол я лишаюсь их техподдержки по всяким глупостям с сетью...  
- Ну, это уже хамство! имхо, разумеется.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 17:38 23-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
лишаюсь их техподдержки по всяким глупостям с сетью

У нас когда звонишь в суппорт просто просят отключить файервол.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:44 23-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Не разводя лишнего флейма, скажу, что подключение к интернету у нас через VPN.
Соответственно, чтобы не вдаваться в лишние подробности по настройке конкретных файров и правил, администрация умыла руки. А могли бы и правило настройки файра написать... Ленивые они у нас... но сеть работает
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 17:46 23-07-2004
Urk

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Инсталируешь любой сканер безопасности (например xSpider), открываешь ему полный выход в интернет и даешь ему свой IP адрес

Сделал по другому малость. Со старых времен остался модем. Через него и вышел в инет на  pcflank. Показал c десяток портов stealthed остальные закрыты. Все ок.  
Всем спасибо. Теперь я спокоен.
Сорри что напряг.  
Всего записей: 47 | Зарегистр. 21-07-2004 | Отправлено: 19:13 23-07-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
через VPN
- В смысле, каждый отдельно через ВПН, или вся локалка через ВПН, а внутри как получится?
 

Цитата:
чтобы не вдаваться в лишние подробности по настройке конкретных файров и правил, администрация умыла руки. А могли бы и правило настройки файра написать... Ленивые они у нас
- Хм. (вообще-то через ВПН не юзал, не знаком со спецификой, но пару слов..)
 Если первое (каждый отдельно), то вроде не вижу дыр особых.. (хотя мало ли)
А если второе, то стоит одному юзверю подхватить червя или еще какую дрянь - такая головная боль будет админу! (бо вся сеть чихать будет).
 Вон, не далее как сегодня админ позвонил, попросил проверить, появился ли инет (после грозы сеть упала) - врубил - и сразу флуд мощный: пакеты по 1496 байт сплошным потоком.

Цитата:
2004/07/23, 12:44:50
Adapter:*************
Packet was:Blocked
Device 1, Blocked incoming packet (unknown protocol)
 
Packet size = 1510 bytes
 
- - - - - - Ethernet header - - - - - -
 
Destination:   FF-FF-FF-FF-FF-FF (Broadcast)
Source:        02-01-C0-A8-01-44
Protocol Type: 88-6F
 
Packet contents:   1496 bytes
 
0000:  FF FF FF FF FF FF 02 01 C0 A8 01 44 88 6F BF 01   ........АЁ.D€oї.
0010:  DE C0 04 02 00 00 01 00 00 00 C0 A8 01 44 00 00   .А........АЁ.D..
0020:  00 00 00 00 00 00 01 00 02 00 43 11 40 40 A0 00   ..........C.@@ .
0030:  00 00 00 00 00 00 00 00 00 00 00 F0 FF 6F 00 00   .............o..
0040:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0050:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0060:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0070:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0080:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0090:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF   ................
00C0:  FF FF FF FF FF 0F FF FF FF FF FF FF FF 0F 00 00   ................
00D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0100:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0110:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0120:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0130:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0140:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0150:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0160:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0170:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0180:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0190:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01C0:  00 00 00 00 00 00 FF FF FF FF FF FF FF 0F FF FF   ................
01D0:  FF FF FF FF FF 0F 00 00 00 00 00 00 00 00 00 00   ................
01E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
01F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0200:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0210:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0220:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0230:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0240:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0250:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0260:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0270:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0280:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0290:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF   ................
02D0:  FF FF FF FF FF 0F FF FF FF FF FF FF FF 0F 00 00   ................
02E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
02F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0300:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0310:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0320:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0330:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0340:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0350:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0360:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0370:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0380:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0390:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03E0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
03F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0400:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0410:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0420:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0430:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0440:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0450:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0460:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0470:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0480:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0490:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 32 00   ..............2.
04E0:  00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
04F0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0500:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0510:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0520:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0530:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0540:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0550:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0560:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0570:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0580:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0590:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05A0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05B0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05C0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05D0:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
05E0:  00 00 00 00 00 00                                 ......

 - Что за дела? - Говорит, хто-то опять червя схавал, зараза гуляет..
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:54 23-07-2004
Praetorian

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я уж право и не знаю толком куда мне со своей проблемой...
 
Столкнулся в последнее время с такой проблемкой - сайты типа pcflank.com и целый ряд других отказываются определять мой ip,давая отписку вроде(и следовательно отказывая в сервисах):
"The test has found that the IP address used by your computer cannot be scanned. This commonly occurs because of a firewall program on your computer and/or you are connected to the Internet through a proxy-server or your ISP uses Network Address Translation (NAT) to share IP addresses.  
 
This means the test cannot check your system as the results of the testing would be incorrect".
 
Проксями и ничем подобным никогда не пользовался, настройки никакие не менял, сроду стоит ZA и раньше таких проблем не было - спокойно все определялось. Может в насройках куда поглубже залесть надо (у меня сист. XP Home),чтобы ISP c NAT "пощупать"?
 
Грешу еще на прова - может же он с проксями или чем-то подобным начать мудрить?
Всего записей: 40 | Зарегистр. 23-04-2004 | Отправлено: 09:23 24-07-2004
coda

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
уважаемые, кто подскажет, какие порты открыть для работы аудио и видео с messenger 6.2?  
 
Добавлено
уважаемые, кто подскажет, какие порты открыть для работы аудио и видео с messenger 6.2?
Всего записей: 22 | Зарегистр. 06-05-2003 | Отправлено: 14:09 24-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Praetorian
Можно вполне официально позвонить провайдеру и спросить как у организована сеть.
А что говорит _http://www.myipaddress.com ? Он может определить твой внешний IP?
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:14 25-07-2004
Praetorian

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Можно вполне официально позвонить провайдеру и спросить как у организована сеть.  
А что говорит _http://www.myipaddress.com ? Он может определить твой внешний IP?

 
В службу техподдержки был послан запрос по мылу (вот пока жду все ответа), по телефону сформулировать краткий и лаконичный вопрос мне банально не хватает знаний в данной области .
 
Myipaddress айпишник засекает, да.
Всего записей: 40 | Зарегистр. 23-04-2004 | Отправлено: 02:23 25-07-2004 | Исправлено: Praetorian, 02:37 25-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Praetorian
Возможно, что pcflank  и др. имеют свой собственный алгоритм определения что ты заходишь с чего-то, что лучше не сканировать. Если твоя цель - убедится в собственной безопасности, проще посканить себя локально тем-же xSpider-ом. А если понять почему скан снаружи невозможен - нужно посмотреть какой прокси прописан в интернет експлорере и посмотреть на ipconfig /all и сравнить адреса прокси и гейтвея. Если разные - покопать в сторону прокси. Более точно смогу сказать через недельку, друг вернется который сидит за NAT-ом.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:13 25-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
 В смысле, каждый отдельно через ВПН, или вся локалка через ВПН, а внутри как получится?

Нет. Локалка нормальная. Обычная... на 10 Мб/с.
Но по локалке в интернет выйти нельзя - нужно доп. подключение к т.н. "Виртуальной частной сети" по VPN (для компа - это как диалап с звонком по сети).  
Соответственно, помимо IP+MAC проверяется еще логин+пароль подключения к интернету. Что за сервер у прова это делает - не знаю, но скорее всего - Unix (FreeBSD).
Дыры - обычные: по сети могут увести пароль на VPN-подключение и, сэмулировав мои MAC/IP, пользоваться интернетом (пока не получат по шее от администрации)

Цитата:
 флуд мощный: пакеты по 1496 байт сплошным потоком
поговори с админом - он может источник физически вычислить и заблокировать на свиче (если свич управляемый). К тому же это же колоссальная нагрузка на сеть в общем.
 
Praetorian

Цитата:
Myipaddress айпишник засекает, да

Это действительно _твой_ IP? А не шлюза/прокси? (см мои посты чуть выше)
Если IP твой собственный, то тогда действительно сканер на сайтах тупит.
 
Karlsberg
А NAT здесь не при чем... Вернее, принцип работы NAT'a тот же, что у прокси (без кэша) + входящую связь (port mapping) можно настроить.  
Так что либо интернет-IP общий на сеть/сегмент (прокси/NAT, скан невозможен), либо у каждого свой собственный IP (и его можно сканировать из интернета).
 
Добавлено
блин... почти сочинение накатал
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 12:59 25-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
А NAT здесь не при чем... Вернее, принцип работы NAT'a тот же, что у прокси (без кэша) + входящую связь (port mapping) можно настроить.

Принцип работы мне известен, а вот тонкости - не очень. Может ли NAT выдавать один внешний IP адрес для нескольких юзеров, при том что только внешние порты NAT-а разные? Если да, то на месте pcflank-а я бы тоже отказался сканить
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:37 25-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Может ли NAT выдавать один внешний IP адрес для нескольких юзеров, при том что только внешние порты NAT-а разные?

Конечно же. Это как раз я и пытался объяснить
Network Address Translation отправляет запрос от своего имени (IP). Чтобы не запутаться кому чего, использует для каждого подключения отдельные исходящие порты в диапазоне 5000-65534. Соответственно, запросы могут быть не только HTTP (80 порт назначения, но и FTP и любые др.). Обратная связь должна быть жестко настроена (связка "порт внешнего IP - IP:port локалки). Сканирование всех портов сетевой машины, сидящей за NAT'ом - невозможно.
А если за машиной сидит такой гуру, что port mapping'ом на шлюзе занимается, то ему эти сканеры безопасности из интернета - нафиг не нужны...
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 14:18 25-07-2004
Praetorian

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ответа от техподдержки, в общем, я так и не дождался . Но вот сегодня приобрел карточку другого прова, на пробу - проблему как рукой сняло...
Всего записей: 40 | Зарегистр. 23-04-2004 | Отправлено: 20:04 29-07-2004 | Исправлено: Praetorian, 20:07 29-07-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Praetorian

Цитата:
Ответа от техподдержки, в общем, я так и не дождался . Но вот сегодня приобрел карточку другого прова, на пробу - проблему как рукой сняло

1) А... Так у тебя диалап... (Сразу бы сказал...)
2) Если диалап, то эл. почту от службы поддержки можно писать годами. Им звонить надо. (Но это уже не относится к правилам файерволов)
3) Проблем-то особых не было. Просто посканить тебя не хотел какой-то сайт... Ну это надо было к их техподдержке обращаться
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 12:44 30-07-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кому надо, есть небольшая табличка с портами на сайте мелкософта: _http://www.microsoft.com/athome/security/protect/ports.mspx
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:03 11-08-2004
DOE_JOHN

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что посоветуете. Как настроить работу с Proxomitron. С точки зрения безопасности. Из прог использую Opera 7.23, The bat, ReGet.
Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 00:41 20-08-2004
XMMS



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DOE_JOHN
запрети входящие на порт проксимитрона со всех IP кроме 127.0.0.1
если будут проблемы - попробуй разрешить ещё и свой IP выданный провайдером...
Всего записей: 2603 | Зарегистр. 14-01-2003 | Отправлено: 00:50 20-08-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
И разреши доступ на его порт только перечисленным тобой прогам, во избежание юзания его случайно попавшим трояном
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:35 20-08-2004
DOE_JOHN

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XMMS
Karlsberg
Спасибо. Обсуждаю уже здесь http://forum.ru-board.com/topic.cgi?forum=5&topic=11492&start=340
Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 00:48 21-08-2004
Realizer

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня ЗонеАларм+Антивирь
Подключась я так - мой комп соединяеться по локалке с другим компом,на котором стоит АДСЛ.
Вопрос:
Как мне правильно настроить фаирвол ,чтобы обезопаситься от всякого рода вредителей??
Всего записей: 3 | Зарегистр. 04-09-2004 | Отправлено: 17:02 05-09-2004
Wadson

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Впервые заглянул в эту тему и извиняюсь, если уже было обсуждение, но хочу по поводу BitTorrent сказать.
Есть мнение, отличное от приведенного в шапке: http://www.rusdivx.ee/ibf/index.php?s=66d020fcc7d4c67666f39a15aa45671a&showforum=36&hyperlink=/bittorrent/firewall
Хотя у меня с такими настройками Панды лампочка зеленой не бывает, только желтая, но аплоады идут.
Сегодня попробую тутошние рекомендации
Всего записей: 768 | Зарегистр. 09-12-2002 | Отправлено: 11:21 06-09-2004
Cruel_Wizard



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А как быть с alg.exe и svchost.exe?
Всего записей: 280 | Зарегистр. 14-11-2003 | Отправлено: 07:14 10-09-2004
nickddd

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А что у кого для mIRC открыто? Имеется в виду, для DCC.
Спасибо.
Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 09:46 10-09-2004
Wadson

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сам себя процитирую...
Цитата:
Есть мнение, отличное от приведенного в шапке: http://www.rusdivx.ee/ibf/index.php?s=66d020fcc7d4c67666f39a15aa45671a&showforum=36&hyperlink=/bittorrent/firewall  
Хотя у меня с такими настройками Панды лампочка зеленой не бывает, только желтая, но аплоады идут.  
Сегодня попробую тутошние рекомендации

Попробовал. По-моему, ничего не изменилось. А желтизна, наверно, из-за других проблем (а может и не проблем, тянет же народ ...)
Всего записей: 768 | Зарегистр. 09-12-2002 | Отправлено: 10:44 10-09-2004
Dima1



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WinXP.NIS2004.Соединение с провайдером через VPN.
Проблема: После установки SP2 запускаю стандартную звонилку , а она сообщает, что
назначение не достижимо. Отключаю Нортона - соединение проходит нормально.При
включенном Нортоне, если запускаю IE, через его звонилку соединение проходит, а через кнопку Пуск - Подключение нет.
Всего записей: 80 | Зарегистр. 20-08-2001 | Отправлено: 13:45 11-09-2004
eika



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dima1

Цитата:
NIS2004

У XP SP 2 есть серьезные проблемы с совместимостью с NAV и со многими другими фаерволлами (про NPF [именно он входит в NIS] на сайте MS ничего не сказано), так что здесь нужно дождатся сообщения об офицальной поддержке SP 2, ну или хотя-бы постоянно обновлять _все_ компоненты NIS (включая исполняемые файлы).
Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 17:53 11-09-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Wadson

Цитата:
по поводу BitTorrent

С тех пор немного расширился диапазон портов, по крайней мере в свежей версии бывшего shad0w. Лучше всего заглянуть в настройки и проверить порты.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:00 12-09-2004
crypt77



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уточнение для e-mail клиента:
неплохо бы добавить в romete порты 143(IMAP), 993(secure IMAP), 995(secure POP3)
Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 12:05 23-09-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77
Сейчас сделаю. Заодно немного инфы об IMAP (взято с _http://www.mail15.com/help.php?chapter=81)

Цитата:
Гораздо более мощный и функциональный протокол для приёма почты, называется он IMAP. Его поддерживают все популярные почтовые программы. Этот протокол имеет несколько весьма существенных преимуществ по сравнению с POP3, чрезвычайно полезных и позволяющих значительно облегчить работу с почтой.  
Если Вы пользуетесь почтовыми программами, например, MS Outlook Express, то в силу ограниченных возможностей самого протокола POP3, Вы сможете работать только с папкой "входящие"("Inbox"), а по протоколу IMAP4 - со всеми папками, в том числе создавать новые, переименовывать или удалять старые. Т.е. если сотрудник привык раскладывать всю корреспонденцию по папочкам, то все эти папки можно хранить на почтовом сервере и, соответственно, работать с их содержимым с любого компьютера из любой почтовой программы.  
 
Вы получите возможность выборочно запрашивать определенные сообщения, то есть если к Вам пришло много писем, то Вы не обязаны скачивать их все, предварительно можно получить только заголовки, тогда необходимые Вам письма будут скачиваться автоматически при просмотре. Кроме явного удобства это позволит не принимать нежелательные или спаммерские сообщения на свой компьютер, а удалять сообщения непосредственно на сервере, что приводит к экономии времени и средств на трафике.  
 
IMAP позволяет хранить все сообщения на почтовом сервере. Это позволяет пользоваться одним и тем же почтовым ящиком с нескольких рабочих мест, и при этом все письма отображаются на всех подключенных в это время к нему компьютерах. Если на одном из компьютеров письмо удаляется, то и на других это письмо тоже исчезает из списка.  
 
Вы сможете менять атрибуты и перемещать отдельные сообщения между папками прямо на сервере.  
 
IMAP дает возможность пользователям Microsoft Outlook Express создавать различные учетные записи для разных ящиков (если их несколько).  
 
IMAP позволяет искать нужные сообщения в содержимом папки прямо на сервере по всем возможным критериям - от кого, кому, тема, время отправки и получения, по образцам текста в письме.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:20 23-09-2004
KPH



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Существует локальная сеть на основе домена (Windows 2003 Server с Active Directory). Сервер один. Все клиентские компы - Windows XP Pro. Планирую установить на сервер и рабочие станции фаерволы (VisNetic Firewall).  
Подскажите какие правила лучше использовать на стороне сервера и на стороне рабочей станции и чтобы максимально закрыть ненужные порты и ненужные направления трафика в используемых портах, но при этом не потерять  фунциональность в работе:  
- пользователи должны логинится в домен (некоторые с использованием сертификатов на смарткартах)  
- пользователи должны работать с файлами на сервере
- пользователи должны  печатать на принтер (установленный на сервере)
- на сервере установлен центр выдачи сертификатов, выдающий сертификаты пользователям домена  
- необходимости в удаленном управлении сервера и рабочих станций нет  
- все данные находятся на сервере  
- на рабочих станциях расшаренных ресурсов нет  
- для шифрования IP трафика планируется использовать IPSec  
 
Если у кого есть опыт подобной реализации или просто мысли по этому поводу - пожайлуста поделитесь.  
Всего записей: 85 | Зарегистр. 05-06-2003 | Отправлено: 09:45 07-10-2004 | Исправлено: KPH, 10:13 07-10-2004
dosya



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
и все же о настройке фаера для vpn
 
одно дело наточить все для диалапа. другое дело - для сетки с vpn. мало того, что нужно открыть несколько протоколов, трудно понять, работают правила или нет.
 
у меня например pcflank и аналогичные показывают кучу открытых портов. почему так: это не реальный ip, а маска. что там не сервере - не знаю. Но меня интересует безопасность внутри сети, потому как есть и локальный пиринг, и ирц, и прочий дребодан. У меня по локалке могут через нетбиос вывести любую инфу, хоть все пароли. уже и червя подхватил.
 
далее я понял, что куча фаеров не работают корректно под vpn. отказался от виснетика (он с несколькими сетевухами падал), сигейта, kwf. остановился на omnyvpn. как его настраивать не знаю. там надо и гейтвей прописывать, и ip внешний в интернет и прочее прочее, и правила внутри сегмента. кто может помочь?
Всего записей: 738 | Зарегистр. 27-02-2003 | Отправлено: 21:19 10-10-2004
Kogovuk_Igor

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди, подскажите - нужно защитить Web server под Win2k/Win2k3. Работает только IIS с ASP  
Какой файрволл для такой машинки лучше поставить?
Всего записей: 100 | Зарегистр. 03-02-2004 | Отправлено: 16:33 01-11-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kogovuk_Igor
Вот в этом топике точно помогут: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0044#1
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:51 01-11-2004
alextan76



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Замечен такой баг у outpost, значит, я на своем примере, для emule.exe разрешен полной доступ в сеть, если установить какую нибудь другую программу, работающей с сетью, у меня было это и с tvguru.exe и с onlinetv.exe, и установить режим обучения, то эти приложения (хотя я думаю и другие приложения) при несуществующих для них ни единого правила, получают доступ в сеть под правилом для emule.exe, т.е. полный доступ, в сетевой активности для этих проложений пишется причина разрешения/блокировки: разрешить действия приложения emule.exe? хотя это совсем другие приложения. Очень серьезная уязвимость! Исправляется это только перезагрузкой системы, после перезагрузки в сеть эти приложения не выпускаются, и при обучающем режиме появляется запрос создать правило или блокировать, в общем стандартный запрос, до перезагрузки, повторюсь такого запроса не возникает, приложение сразу выходит в сеть, под чужим правилом. Windows XP SP2 RUS VLK + Outpost Firewall Pro 2.5.369.4608 (369)  
 
Кто нибудь сталкивался чем нить подобным??? Баг очень серьезный  
 
Добавлено  
Скриншоты могу предоставить сомневающимся  
 
Добавлено  
Кстати, вот похожая проблема: http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1243  
 
Добавлено  
Пожалуй пора бежиать от Outposta с его многочилсенными и страшными багами, тем паче за примерами далеко ходить не надо: http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1248  
http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1258  
Да еще и с их отношением к глюкам, их предупреждают и они в следующих версиях и не думаю их исправлять, http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1256  
 
Раньше тоже сомневался вот в таких у кого он не работает, все пытался обвинить таких в кривых ручках, ан нет всеж оутпост страшно глюкав....  
 
Добавлено  
Вот тут есть вроде решение этой проблемы, но помогает это временно, через некоторое время те же самые глюки http://forum.five.mhost.ru/kb/index.php?page=index_v2&id=11&c=2
Всего записей: 304 | Зарегистр. 12-11-2003 | Отправлено: 09:33 02-11-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alextan76
Запости это, пожалуйста, в тему Оутпоста:

Цитата:
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:27 02-11-2004
Bozo



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ветку про NIS никто похоже не читает, спрошу здесь
 
"Может я что-то не так делаю? Хочется, чтобы определенный круг программ имели свободу только в пределах 127.0.0.0-127.0.0.255 и 192.168.0.0-192.168.0.255 а дальше - ни-ни. Указал в Trusted эти две зоны, но ведь все равно в каждой отдельной проге надо указывать эти правила отдельно, а когда их много - надоедает. А сделать Permit Always или Deny Always нельзя.
Пример, есть CoolProxy, но я не хочу, чтобы снаружи к ней на 3129 кто-то стыковался, но чтобы она могла свободно ходить наружу и по 127.0.0.0-127.0.0.255 и 192.168.0.0-192.168.0.255. Или CSE HTML Validator или подобные проги. Все знают, что Permit Always им нельзя, а в пределах локалки хотелось бы разрешить ходить. Но КАЖДЫЙ раз эти правила прописывать утомляет.
Подозреваю, что я что-то где-то недоглядел или что-то не так делаю или не так понимаю назначение Locations.
Вроде в других стенках есть зоны, для которых один раз прописываются правила, а потом программа просто помещается в зону и живет по заданным правилам. Кажется в ZoneAlarm, если я не путаю. Неужели в NIS такого нет?"
Чтобы не оффтопить здесь, отвечать лучше сюда
Всего записей: 2707 | Зарегистр. 27-06-2001 | Отправлено: 21:52 04-11-2004
exMIB



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как узнать какая программа хочет подсоединиться с рабочей станции к серверу.
На рабочей станции Win98SE, на сервер WinXP.
Так вот на рабочей станции ни одна программа прослушивания портов не хочет показывать какой процесс через какой порт работает, т.е. показывает через какие порты какая работа идет, а сами процессы не известны.
Kerio Personal Firewall, который установлен на сервере говорит, что какой-то сервис просит соедиения через порт 135 по TCP.
Какая прога в Win98SE может показать какие процессы на каких портах работают?
Что делать?
Всего записей: 3300 | Зарегистр. 27-09-2001 | Отправлено: 13:27 11-11-2004 | Исправлено: exMIB, 13:28 11-11-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
Цитата:
Kerio Personal Firewall

Персональные файерволы и должны показывать что куда ходит. Ну хотя бы в общих чертах.
Обозначенный Kerio как раз из этой серии
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 14:42 11-11-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
Судя по всему в Вин98 получить такую инфу невозможно, если даже _http://www.sysinternals.com/ntw2k/source/tcpview.shtml в 98-м не показывает имя процесса который использует соединение.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:34 11-11-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Эх... это же Win98... (давно с ним не сталкивался).
И что, даже клиентский firewall не поможет?
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 18:35 11-11-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Полазил тут по MSDN-у, все функции из PSAPI заканчиваются стандартно:

Цитата:
Windows NT/2000/XP: Included in Windows NT 4.0 and later.
Windows 95/98/Me: Unsupported.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 19:30 11-11-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Значит, exMIB придется лечить топорным методом. Выгружать программы по одной и смотреть, когда перестанет проситься на ТСР135.
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 19:48 11-11-2004
exMIB



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Я не силен в программировании, но случайно нашел вот это:
http://www.delphiplus.org/articles/api/terminator/index.html

Цитата:
Но как найти процесс, если он уже исполняется на момент запуска нити мониторинга (чтобы не запускать несколько копий приложения)? Давайте используем функции Win32 из раздела SDK Process Status Helper (PSAPI). Сразу замечу, что функции PSAPI реализованы в Windows NT/2000/XP/.Net, так что счастливым обладателям Windows 95/98/ME придется использовать функции SDK Tool Help. Почему именно PSAPI, ведь Tool Help тоже поддерживается на платформах NT/2000/XP/.Net? Уверен, что большинство из читателей не знакомы с этими функциями, так почему бы не начать их применять?!

 
 
Добавлено
Т.е. получается что всё-таки в Windows 98 можно найти процесс, надо только оптимизировать код программы для двух видов Windows NT и 9x.
 
Добавлено
Вот ещё кое-что "Получение списка процессов в Windows 9x и NT" http://delphiworld.narod.ru/base/get_run_processes.html
Всего записей: 3300 | Зарегистр. 27-09-2001 | Отправлено: 21:05 11-11-2004
crypt77



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
попробуй TaskInfo (www.iarsn.com)
 
а вообще 135-й порт это нетбиосовский сервер имён. и обращения к нему могут идти из ядна системы. можно отинсталировать протокол NetBIOS, но тогда перестанет работать микрософтовская сеть.
Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 12:29 12-11-2004 | Исправлено: crypt77, 12:32 12-11-2004
imho



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
Смысл не в том, чтобы найти какой-либо процесс, а в том, чтобы привязать сетевые соединения к процессам.
В NT есть команда "netstat" с параметром "-o" выводит PID процесса, использующего данное соединение.
Цитата:
Отображение кода (ID) процесса каждого подключения

Даже утилиты не нужны.
Если в Win98 есть аналог netstat'а - найди в нем этот параметр (если он там есть). Но скорее всего отсутствует... увы
Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 16:30 12-11-2004
exMIB



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77
Дело в том что больше с 30 остальных машин в сети на 135 порт на сервер ничего не лезет, это только с одной.
Но до этого недавно на эту машину был установлен принтер лазерный HP LJ 1300, драйвера к нему и софт.
Может что-то из этого софта лезть на сервер на 135 порт?
Вирусов вроде нет.
 
Добавлено
В софте к этому принтеру есть разные программки, которые позволяют через броузер следить за состоянием картриджей по сети и состоянием принтера.
Всего записей: 3300 | Зарегистр. 27-09-2001 | Отправлено: 17:04 12-11-2004
crypt77



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
я ошибся, по поводу сервера имён. 135-й порт - это RPC (Remote Procedure Call).

Цитата:
Дело в том что больше с 30 остальных машин в сети на 135 порт на сервер ничего не лезет, это только с одной.  
Но до этого недавно на эту машину был установлен принтер лазерный HP LJ 1300, драйвера к нему и софт.  
Может что-то из этого софта лезть на сервер на 135 порт?
думаю может, особенно на домен контроллер.

Цитата:
Вирусов вроде нет.  
лучше проверить.
RPC - это большая дыра для вирусов.
Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 13:48 15-11-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB

Цитата:
Какая прога в Win98SE может показать какие процессы на каких портах работают?

Как утверждается на хомяке -http://www.diamondcs.com.au/portexplorer, они единственные кто это дело реализовал для 98-го.

Цитата:
Port Explorer is the only port-to-process mapper for Windows 95/98!

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:51 28-11-2004
albel



Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Предлагаю внести изменения в правила для Emule & Co в соответствии с FAQ на оф.сайте:
http://www.emule-project.net/home/perl/help.cgi?l=1&rm=show_topic&topic_id=122

----------
Я никогда не спорю. Я никогда не противоречу. Я иногда забываю. / © Б.Дизраэли/
Всего записей: 11003 | Зарегистр. 30-08-2002 | Отправлено: 00:38 19-12-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
albel
То есть, убрать пару портов? Можно, конечно, но там последний апдейт инфы был  
Last Update: 23.07.2003 11:15
а тут ведь не с потолка взято, а кем-то использовавшим.. Хотя ссылку в примечания добавить можно.
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 14:00 20-12-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
albel
Инфа полезная, добавлю в шапочку на выходных.
bredonosec
Со времен написания шапочки к ослику добавились Кадемлиа и Веб-интерфейс, придется добавлять
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:48 22-12-2004
bredonosec



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Со времен написания шапочки  
Так о том и говорю, что время написания инфы там  

Цитата:
Last Update: 23.07.2003 11:15  
и портов меньше. потоум и сомненья гложут.  
Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 12:28 23-12-2004
Karlsberg



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Я думаю они просто забыли апдейтнуть дату
В любом случае я сначала проверю как это дефолтно конфигурится в новых осликах.
Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:44 23-12-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru