Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена. Предыдущий вид шапки в отдельном файле.- общая информация, советы. Таблица настройки правил брандмауэров Application or Service what is it? TCP UDP _local_ remote dire-ction _зачем_? Specific rules, ICMP _ _______________________ _ ___________ ____________ _ _________________ _________________ DHCP Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров UDP 68 67 both settings request +answer DNS Сервис соответствия доменного имени IP-адресу (RU-Board.com -> 207.44.160.93) TCP, UDP 1024-5000 53 both IP request + response ntoskrnl .exe Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки TCP UDP 1024..5000 137. 138 139 137. 138 out both NetBIOS session service NetBios overTCP/IP comment: 137 - browsing request 138 - browsing responses ntoskrnl .exe оно же через CIFS (Common Internet File System) TCP, UDP 445 445 both win2k+ аналог NetBIOS/TCP поправьте меня, если я не прав browser IE, Opera, Mozilla TCP 1024..5000 80, 443, 8080, 8100 out http(s) web-servers   FTP-clients active mode TCP TCP 1024-65535 1024-65535 20 1-65535 21 in out data transmission ftp requests FTP-clients passive mode. Соединения для данных инициируются клиентом TCP 1024-65535 21, 2121, 1024-65535 out FTP requests+ transmission ICQ internet messenger TCP 1024-5000 443 or 5190 out 443 - с шифрованием можно обозначить IP login.icq.com = 64.12.161.153 IRC internet messenger TCP ? 113 6660-6670 ? out in IRC connection IRC AUTH connection E-mail почтовая программа-клиент (Outlook, The Bat и др.) TCP 1024-5000 25, 80, 110, 143, 443, 993, 995 out 25 - SMTP-сервер (отправка) 110 - POP3-сервер (прием) 143 - IMAP (замена POP3) 993 - secure IMAP 995 - secure POP3 comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM Emule & Co файлообменник TCP 4662,4711, 4712 any any 1025-65535 in out response (?) request (?) поправьте меня, если я не прав Emule & Co файлообменник UDP 4665,4672, 4673 any any 1025-65535 in out response (?) request (?) поправьте меня, если я не прав Bittorent качалка, hispeed Р2Р, с центральным сервером (трекер) TCP 80, 443, 1024-65535 6881-6889 any (?) any (?) out in (?) (?) Radmin Viewer Remote Administrator TCP any 4899 (or server-defined. RTFM) out connect to Radmin-server Radmin Server Remote server TCP 4899 (or serv-defined. RTFM) any both connect to client Languard & Co сканеры сетей TCP, UDP UDP any any any any out in скан - Allow ICMP out Novel client NetWare application (инфо) TCP, UDP 1024-65535 427 524 427 out both NCP Requests SLP Requests MSN Windows Messenger TCP 1024-65535 1863,6891-6901 out - Block Incoming Fragment, Block Incoming Conection Time Sync синхронизация времени UDP 123 123 both - Block incoming fragment LAST RULE Block any other connection TCP UDP any any any все остальные пусть не лазят в сеть ICMP block *относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено   ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534   Дополнительная информация по портам (Спасибо bredonosec) ports.txt   ports.html http://www.it.ru/reference/ports.html http://www.iss.net/security_center/advice/Exploits/Ports/ (eng) http://portforward.com/cports.htm (Port Forwarding Ports List, eng) http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr) http://www.iana.org/assignments/port-numbers (Спасибо Tim72) Special Application Port  List New   Немного теории по протоколам (Спасибо bredonosec) UDP: http://book.itep.ru/4/44/udp_442 TCP: http://book.itep.ru/4/44/tcp_443.htm  Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec   KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535   Или просто не ставить/удалить     Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание. Подобные и соответствующие топики на форуме: Microsoft Windows » Тонкая настройка брандмауэра Windows Microsoft Windows » Disable Telemetry Windows 7 and next Тестирование » Бесконтрольность Windows 10 . . . . Рабочая копия-архив шапки # Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022

Karlsberg Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gsmania Цитата: Это проблема не оутпоста, То есть оутпост совсем нипричем, что разрешил себя выгрузить? Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:43 29-04-2004

Spectr Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vik2 Цитата: нарвался на прикол http://www.nnm.ru/porn_nen.jpg   открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло?   Проверил: куча блокнотов открылась (пустых) но аутпост устоял, так что надо рекомендую ужесточить установки. Положительный пример налицо. Но какие именно установки аутпоста ответственны за это не знаю Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 22:12 29-04-2004

denis1234 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vik2 Цитата: нарвался на прикол http://www.nnm.ru/porn_nen.jpg     открылась БОЛЬШАЯ куча блокнотов и .... outpost ВЫГРУЗИЛСЯ, кокое правило создать, чтобы этого небыло? Я не стал рисковать своим здоровьем и скачал этот файл ReGet-ом,посмотрел что есть: -команд на убиение outposta - нет -блокнотов должно открываться не более 1000 и говорить о "куче" прока рано -данный баг скорее всего основан на свойствах IE <запускать> все файлы  с помощью своих библиотек -ошибок можно избежать только если внести IE в запрещенные приложения(ну прямо как у меня) -на опере данный прикол не работает (позже проверил)   Этот вопрос лучше задать в ветке по багам IE   Добавлено Цитата: Это проблема не оутпоста, просто Windows решила что пара лишних блокнотов будет лучше чем Outpost   Всего записей: 15 | Зарегистр. 12-05-2003 | Отправлено: 00:30 30-04-2004

Net_man Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: нарвался на прикол http://www.nnm.ru/porn_nen.jpg     Только что посмотрел (для общего развития, так сказать) - ничего страшного не нашел - Outpost и не думал вываливаться. Более того, когда мне надоело это "открытие блокнотов" (где-то окне, эдак, на 600-м) я просто нажал "остановить" окно IE и закрыл его благополучно. Потом осталось только позакрывать блокноты - и делов-то куча. Цитата: Этот вопрос лучше задать в ветке по багам IE   Согласен, у IE, к примеру, есть собственный баг, когда начинают выпрыгивать куча новых окон, если пытаешься закрыть окно, не нажав предварительно "остановить". Цитата: То есть оутпост совсем нипричем, что разрешил себя выгрузить? Теоретически, выгрузка могла произойти по причине сожранных вистемных ресурсов новыми блокнотовскими окнами, что, на мой взгляд, вполне актуально для не очень лёгкого Outpost'a. Хотя, по правде сказать, у меня он ни разу еще не вылетал (тьфу, тьфу ). ---------- Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 05:46 01-05-2004 | Исправлено: Net_man, 05:47 01-05-2004

wizzi Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а кто может выложить свои настроки Agnituma ? Всего записей: 859 | Зарегистр. 03-07-2003 | Отправлено: 21:41 02-05-2004

helix Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По поводу PCAudit. То,что она запускается "изнутри"-это не совсем корректно.Она должна запускаться прямо с их сайта,как это делается в других местах.А так каждый может прочитать имя моего компа.А вот мое IP она определила совсем неверно.Это считается- я прошел тест или нет?  Pcscanner нашел открытыми несколько UDP портов (123,137,138,500,1026,1033,1051). Часть из них я закрыл Outpost(137,138,500), но при повторном сканировании они опять оказались открытыми.Почему? Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 22:28 02-05-2004

Spectr Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору helix Цитата: По поводу PCAudit. То,что она запускается "изнутри"-это не совсем корректно.Она должна запускаться прямо с их сайта,как это делается в других местах.   Цель PCAudit протестировать твою защиту на возможность пробить ее изнутри и передать наружу твою личную информацию (например логи с твоими паролями или номера твоих кредиток или информацию об установленных у тебя украденных программах что может послужить поводом для судебного преследования если ты в штатах  или в европе)   Так что запускаться она должна с твоего компа!!!! Тест ты прошел если она не смогла передать наружу информацию - и она при этом сообщает если твоя стенка устояла против DLL Injection. Почитай на сайте там все подробно обьяснено и даже указаны стенки которые  устояли. Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 19:28 03-05-2004

Net_man Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Надыбал на днях программулинку Shadow Security Scanner v6.97.73, которая, по заверению разработчиков проверяет защиту удалённой машины. Поставил на "complete-scan" свой айпишник, так она показала 4 или 5 открытых портов. Это при том, что Outpost чтоит в режиме "запретить". Среди открытых - 135, 445 (то есть msblast-ssaser'ские). Даже не знаю что и думать. Просканил некоторых "соседей" по прову - та же бадяга. Или это ложная тревога? ---------- Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 05:46 09-05-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ra3pat Цитата: поставил OUTpost на сервер - если правильно помню, пост - персональный, а не серверный файер. Об этом написано и на оффсайте, и в шапке соотв темы здесь.   Цитата: Теоретически, выгрузка могла произойти по причине сожранных вистемных ресурсов новыми блокнотовскими окнами,   - Очень может быть. Такие приколы (выгрузка или зависон, или любимая "illegal operation"), когда что-то другое сильно зажуёт ресурсы, замечал. Правда не в отношении стенки, но другое - от ДрВеба и пада до офиса, эксплорера, или чего угодно другого.       Добавлено denis1234 Цитата: (или был HW конфликт ?) - именно. eika Цитата: Бредовенькое какое-то выражение   - самому не понравилось. ;( Цитата: ИМХО не до конца верное утверждение, т.к. реализация пакетной фильтрации без привязки к приложениям реализована. По крайней мере я пользуюсь ей, заходя в System > Settings в OF 2.1.   - Правило можно создать по любой группе пакетов? Или есть ограничения? (типа там, закрыть такую-то группу IP на входящие ICMP типа 0,10,13,16,18 и еще не помню, какие, или UDP по 137/138 для неполной группы адресов, типа 192,168,0,2-192,168,0,153, ну и т.д. )    Удобство такого рода обеспечивается? Или надо каждую дюрку отдельной заплатой закрывать? Karlsberg Цитата: Предлагаю в этой теме вместо номера уровня называть конкретный протокол, чтобы было понятно и тем, кто не знает что такое OSI   - Сорьки за напоминание, но ссылка на обьяснение - нижняя в шапке.   ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 22:28 09-05-2004

JuryB Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Тут такое дело. У меня инет по выделенке и я плачу за траффик... Недавно я изучил лог ПРОКСИ и посмотрел что кучу трафика тянут разные "украшательства" на сайтах, т.е. FLAHS-intro, разные баннеры, с одного сайта загрузилась фоновая музыка в MP3 файле аж на ~2,7Mb и прочая мура. Часть SWF можно срезать Outpostom но как быть с фоновой музыкой и т.п. - можно как-то побороть?   Есть еще такая штука как Proxomitron, и тут тоже вопрос - надо ставить и Proxomitron и Outppost или все возможности Proxomitron можно реализовать настроиыв плагины Outpost'a??? Всего записей: 320 | Зарегистр. 02-08-2003 | Отправлено: 10:11 10-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Черт, уведомления не ходили. Поднакопилось тут, вопросов   ra3pat Цитата: поставил OUTpost на сервер   На какой сервер-то? Не является ли он случаем Шлюзом в интернет для раб. станций из локальной сети? Если ДА, то в этом случае Outpost противопоказан (см. ниже ответ для bredonosec).   А вообще, лучше не ставить Firewall (а уж тем более на сервер!) без соотв. знаний, которых, поверьте, нужно достаточно очень много.   Net_man Цитата: Даже не знаю что и думать. Эти порты действительно открыты, даже если ты создал правило блокирования всего трафика для этого порта. Так происходит потому, что фаеры приложений их не закрывают, а обеспечивают фильтрацию трафика по этим портам (в т.ч. и полное блокирование трафика для этого порта).   Но даже если создано правило на полное блокирование трафика для этого порта, то при анализе извне статус порта будет не Closed, а Stealthed!   Я не знаю как SSS анализирует порты, но вы проверьтесь в онлайн-сканере на http://www.pcflank.com/scanner1.htm -- он работает с тремя статусами: Open, Closed, Stealth. На закрытых фаером портах должен быть статус Stealthed.   bredonosec Цитата: - если правильно помню, пост - персональный, а не серверный файер. Об этом написано и на оффсайте, и в шапке соотв темы здесь. Я писал, что ИМХО это не до конца так. Под несерверностью, как я понимаю, производитель имеет ввиду, что Outpost -- это фаер, который не умеет работать с транзитными пакетами. Возможно, еще могут быть какие-то проблемы с производительностью, если поставить его на относительно слабенькую машину (предварительно создав сотенку..другую правил), обрабатывающую большое кол-во запросов.   ИМХО в остальном Outpost нет никаких противопоказаний для его использования на серверах. Цитата: - Правило можно создать по любой группе пакетов? Или есть ограничения? (типа там, закрыть такую-то группу IP на входящие ICMP типа 0,10,13,16,18 и еще не помню, какие, или UDP по 137/138 для неполной группы адресов, типа 192,168,0,2-192,168,0,153, ну и т.д. )     Удобство такого рода обеспечивается? Или надо каждую дюрку отдельной заплатой закрывать?   Типы ICPM задаются только глобально для хоста с фаером.   В остальном? можно городить любые правила, по критериям: Протокол, Направление, Удаленный хост, Удаленный порт, Локальный хост, Локальный порт, Временной интервал. Ессно в качестве имени хостов можно указывать списки, диапазоны и маски, а в качестве номеров портов -- списки и диапазоны.   JuryB Цитата: но как быть с фоновой музыкой и т.п. - можно как-то побороть В свойства IE загляните, тоже бывает полезно Цитата: или все возможности Proxomitron можно реализовать настроиыв плагины Outpost'a??? Proxomitron, насколько я помню, должен резать поболе, чем плаги OF. ---------- http://eika.narod.ru Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 12:08 10-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DaniyrALM   Цитата: Программа Local Port Scanner ( которую можно взять отсюда: http://www.jpsoft.dk/exe/lps.zip)  показала, что открыты порты 135 и 1025. Сканировать порты локально -- не совсем правильно, по крайней мере в случае с OF 2.1, потому как loopback разрешен по умолчанию, причем даже когда для приложений слушающих порты, не создано разрешающих правил!   Это означает, что даже когда вы их закроете, LPS все равно будет показывать статус OPEN для них! Так что после того как вы закроете порты, идите на http://www.pcflank.com/scanner1.htm и сканируйте ваш хост.   Цитата: Знатоки, подскажите, как закрывать порты? У меня стоит Outpost Firewall 2.1. Ну несколько вариантов навскидку:   1. Догадаться самому (ну или хотя бы попытку сделать...). 2. Почитать мануал (он, имеется в т.ч. и на русском языке, причем очень доходчиво написан; 4 поездки в метро по 45 минут и вы заочно "владеете" этим фаером). 3. Зайти в топик по OF и прочитать шапку (это когда думать не хочется). ---------- http://eika.narod.ru Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 18:20 10-05-2004

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Под несерверностью, как я понимаю, производитель имеет ввиду, что Outpost -- это фаер, который не умеет работать с транзитными пакетами Цитата: ИМХО в остальном Outpost нет никаких противопоказаний для его использования на серверах.   Наверно, я не выспался и туплю, но как серв сможет работать, если не пропустит транзитные пакеты?   Цитата: Типы ICPM задаются только глобально для хоста с фаером ясно. А блок по МАСу? или ARP, RARP (что есть второе, пока так и не вьехал, потому не юзаю)  с возможностью выбора как постом выше? (про время и направление не говорю, бо само собой разумеется)     Добавлено Упс. туплю. серв не обязательно есть шлюз. пошел спать. ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:45 10-05-2004

eika Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bredonosec Цитата: Наверно, я не выспался и туплю, но как серв сможет работать, если не пропустит транзитные пакеты? А зачем, например, FTP/HTTP и т.д. -серверу принимать транзитные пакеты? Вот если на сервере стоит MS ISA в качестве корпоративного фаерволла (LAN <> WAN), то тогда их нужно пропускать... А в случае FTP/HTTP и т.д. нафиг не надо. Цитата: А блок по МАСу? или ARP, RARP (что есть второе, пока так и не вьехал, потому не юзаю)  с возможностью выбора как постом выше? (про время и направление не говорю, бо само собой разумеется) Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP. А в DSL/DUN и др. никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались. ---------- http://eika.narod.ru Всего записей: 2481 | Зарегистр. 08-01-2002 | Отправлено: 22:57 10-05-2004

Net_man Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eika Цитата: в онлайн-сканере на http://www.pcflank.com/scanner1.htm Спасибо. Проверился - выдало пару десятков портов с параметром "Stealthed", так что я спокоен. ---------- Сканворды и кроссворды от Skanvord.com, генератор кроссвордов, кроссворды онлайн Всего записей: 1150 | Зарегистр. 11-09-2002 | Отправлено: 23:39 10-05-2004

helix Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня стоит OF 2.1  . В последние дни на столе вдруг начала появляться табличка :                   Attention! -Microsoft Internet Explorer                     Your computer clock may be wrong   и т.д.  Предлагают бесплатную программу,кото- рая мои часы настроит. Что это? Попытка взлома? Как мне с этим бороться? По логам это приходит не извне,а от моего IE.  Я вспомнил,что недавно разрешил провести изменение компонент IE, подписанное Microsoft, что видимо было ошибкой.И что теперь делать? Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 15:53 11-05-2004 | Исправлено: helix, 16:17 11-05-2004

imho Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору helix Это скорее всего Pop-up IE в стиле netsend. На Opera подобных штук не замечено.   //off Цитата: Microsoft Internet Exploser Лучше заменить на Exploder, в крайнем случае на Explorer А часы надо настраивать ручками! В ХР есть даже кнопочка синхронизации через интернет. Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 16:01 11-05-2004 | Исправлено: imho, 16:04 11-05-2004

helix Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору IMHO  Эта кнопка у меня включена и часы показывают точно.   P.S. Спасибо за замеченную опечатку. Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 16:23 11-05-2004

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование