Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AntiBIOtic

Цитата:
может в шапку закинете?

Обязательно.
bredonosec
У меня каждое добавление в шапку похоже на написание ассемблерной программы прямо в кодах процессора. Может есть какой-то менее болезненный способ, чем пачит ее ручками?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:18 25-05-2004
AntiBIOtic



Пора жениться
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
У меня каждое добавление в шапку похоже на написание ассемблерной программы прямо в кодах процессора. Может есть какой-то менее болезненный способ, чем пачит ее ручками?

а может сделать шапку в HTML и выложить ссылу? например так

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.

Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 09:03 26-05-2004 | Исправлено: AntiBIOtic, 10:53 26-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а может сделать шапку в HTML и выложить ссылу?  
- В принципе, можно. Это совсем нетрудно. (страницу назад писал, как это делается)
Только разница вся будет заключаться в том, что  
1. вместо [] придется писать <>,  
2. Править сможет не любой, а только хозяин акка, на котором лежит (кидать сюда пароль к акку глупо - любой ньюб сможет подменить страницу на вирезагрузку или подобное.
3. Заходящим придется лишний раз лезть по ссылкам. (а также возможно злиться и плеваться, если бесплатный хостинг начнет глючить.
 
 Так что, имхо, нет смысла. Проще тут продолжать.  
Разве что, если сильно разростется, сделать как http://www.pcflank.com/fw_rules_db.htm  - на sql базе.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 17:04 26-05-2004
Tamaz



Грузин
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bredonosec
Поищите во флейме
кто-то из ребят делал прогу, которая была как бы GUI к написанию всего на руборде
Там было изменение цветов, шрифтов и вроде были и таблицы

----------
Секс с презервативом.
Совмещение неприятного с бесполезным

Всего записей: 1024 | Зарегистр. 21-09-2001 | Отправлено: 20:55 26-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ruboard easywrite. В программах. (+ тема в тестировании)
 Но создатель мне говорил, что с таблицами, тем более, вложенными, и подобным форматированием пока тяжко.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:07 26-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Time Sync в шапочке. Мерси AntiBIOtic
 
 
Добавлено
bredonosec
Вычитал на хомяке правила для Skype:
Минимум необходимо открыть выход на 80-й ремоут порт (или 443 для версии выше 0.97) или на диапазон выше 1024.
Обещано также, что качество звука значительно улучшится если открыть UDP на ремоут выше 1024, и разрешить ответы от них.
Звук будет еще круче, если открыть входящие по TCP и/или UDP на порт указанный в настройках скайпа.
Оригинал на английском: http://www.skype.com/help_faq.html#Technical
и довесок тут: http://www.skype.com/help_firewalls.html

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:44 28-05-2004 | Исправлено: Karlsberg, 22:21 28-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg - инфу эту разумеется видел. Насчет порта 80 - не знаю, как ща, раньше с ним она только зарегать ник могла. (и то не уверен). Про какое-бы-то-ни-было общение можно было забыть.  

Цитата:
на порт указанный в настройках скайпа
- возможно, он и был там по дефолту. Не помню.
 Остальные советы сводятся к мысли - чем больше откроешь, тем лучше. :/


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 02:01 29-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Скорее всего, у них там реализовано несколько протоколов, и выбирается наиболее качественный вариант в зависимости от того, что доступно. Кроме того, они себя позицируют как самую файервольно-независимую интернет-говорилку, а значит попытались сделать какой-то минимум с единственно открытым портом, типа 80 или 443. Но идея действительно такая - открыть все.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:56 29-05-2004
gavana



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Остальные советы сводятся к мысли - чем больше откроешь, тем лучше. :/  

Karlsberg

Цитата:
Но идея действительно такая - открыть все.

Так и сделал.И началось самое интересное.......
Уже два раза наблюдал в логах файрволла (Jetico) в режиме реального времени
бурную деятельность Skype.При этом Skype даже не запущен и в процессах тоже
отсутствует.
Похоже для Skype нужно хорошо прописанное оттестированное правило с ограничениями,видимо даже на некоторые адреса.
 
Karlsberg
Понравилась твоя статья "Настройка персональных файерволов (firewall rules)".
Если есть такая возможность,помоги с настройками нового файрволла Jetico.
Там просто еще возникает целый ряд правил (winlogon,system,userinit, services,explorer, svchost(3),...... ).Можно просто выложить образцовый файлик настроек Optimal.bcf .

Всего записей: 1524 | Зарегистр. 14-03-2003 | Отправлено: 12:03 29-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gavana
Я только-только заново поставил всю систему, так что поиграться Jetico не доведется еще по крайней мере месяц. Давай так, ты задавай вопросы, а мы тут постараемся ответить, если это конечно относится к сетям. Похоже, они там добавили прибамбасы для чисто внутреннего секьюрити, так как winlogon и userinit с эксплорером ну масимум нужно не выпускать в интернет.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:41 29-05-2004
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ваши правила вместо правил которые создает outpost автоматически. Хозяева outpostoв кинте на мыло правила плз. JohnDow33[at]rambler.ru [at]=ссобака спасибо.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 23:52 29-05-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
надо уточнить, что Time Sync выполняется приложением svchost.exe

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 09:25 31-05-2004
leputain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у меня стоит аутпост.
находит svchost.exe и создаёт для него правило шаблонное.
но позже, когда я выхожу в инет, запускаю проверку почты svchost.exe запрашивает входящее соединение каждый раз по новому порту, ip вроде не знакомый (хотя с dns не сверял..), если разрешить - почта проверяется, если запретить - ничего не сосёт..
аналогично и для браузера..
что это такое?
 
Добавлено
а! разобрался, запрашивалось входящее по UDP с адреса 194.67.1.150 и 194.67.1.114.
whois сказал, что этот диапазон - 194.0.0.0 - 194.255.255.255 принадлежит RIPE/SOVAM/TELEROSS что-то такое...
ну а я через ROL погружаюсь в www, так что разрешил входящие с двух этих адресов.. правильно ли я поступил?

Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 03:12 04-06-2004
Velimir



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
leputain
Цитата:
а! разобрался, запрашивалось входящее по UDP с адреса 194.67.1.150 и 194.67.1.114.  
whois сказал, что этот диапазон - 194.0.0.0 - 194.255.255.255 принадлежит RIPE/SOVAM/TELEROSS что-то такое...  
ну а я через ROL погружаюсь в www, так что разрешил входящие с двух этих адресов.. правильно ли я поступил?

Попробуй написать в службу поддержки ROL они точно ответят.
Скорее всего это доменный сервер (DNS).
Если у тебя OutPost посмотри в журнал - должна быть фраза в разделе разрешенных
DNS resolving - это доменный IP.
Я на MTU и мой домен тоже не на MTU а на другом IP. У тебя скорее всего так же...
ALL
Может кто знает...
У меня постоянно кто то хочет выйти  ICMP на IP 211.185.33.252 (от имени system).
Whois говорит что это Кореец. Вопрос - кто знает что это за IP и что с ним делать???
Благодарю!!!(У меня этот IP заблокирован)

Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 08:15 04-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
leputain
DNS запрос шлется обычно по UDP с локальных портов 1024...5000 на 53-й порт DNS-сервера. Ответ от него приходит на порт с которого было послан запрос.
Имхо, нужно проверить две вещи - что запросы уходят действительно на 53-й порт и с помощью ipconfig /all посмотреть какие DNS сервера сконфигурированы сейчас. Скорее всего, эти два адреса ты и увидишь.
 
Добавлено
Velimir
А какой именно ICMP?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:06 04-06-2004
leputain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Попробуй написать в службу поддержки ROL

да ну с ними связываться.. посто лень..
 

Цитата:
DNS запрос шлется обычно по UDP с локальных портов 1024...5000 на 53-й порт DNS-сервера. Ответ от него приходит на порт с которого было послан запрос.

именно в диапазоне 1024-... и возвращается, только почему раньше ничего подобного не выскакивало..? на версии 2 аутпоста (до перехода на 2.1) ничего такого не наблюдал..
 

Цитата:
 ipconfig /all посмотреть какие DNS

именно они и есть.

Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 17:34 04-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
leputain

Цитата:
почему раньше ничего подобного не выскакивало..?

Это скорее разработчикам Аутпоста вопрос
Для своих DNS серваков можно прописать постоянное правило, чтобы файер лишний раз не отвлекал (см. шапочку)

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 18:12 04-06-2004
Velimir



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
 
А какой именно ICMP?

А хрен его знает? Процесс от имени system.
Как его ещё обозначить я пока не знаю. Я не большой спец по протоколам.
Поэтому и дал IP может у кого подобное наблюдается.
Просто эхо-запрос причем постоянный (у меня много прог стоит в запрещенных)
Могу в ПМ выслать только их переписать надо (или снимок экрана сделать)
Возможно это тоже чейто DNS или вспомогательный сервер того же дяди Нортона.

Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 03:09 05-06-2004 | Исправлено: Velimir, 03:14 05-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Velimir

Цитата:
эхо-запрос

Вот это я и имел в виду. Короче, это простой ping. Из самых интересных, бывают echo request, echo reply, destination unreacheble, ну и так далее.
IP 211.185.33.252 принадлежит Seoul Daegil Elementary School. Ты случайно не пользовался левыми корейскими крякалками?
Теперь как искать. В Аутпосте (я так понял у тебя он) нужно найти процесс который это дело пытается послать. Потом ищем этот процесс в TaskInfo, например, и смотрим кто такой и почему вообще запущен. Дальше в зависимости от того, что найдешь.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:10 05-06-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Просто эхо-запрос причем постоянный  
- Если поможет, вот список номеров ICMP пакетов:
0  Ping reply
1  
2  
3  Destination Unreacheable
4  Packet lost
5  Shorter Route
6  Alternate HOst Address
7  
8  Ping request
9  Router advertisment
10 Router Solicitation
11 Time Exceeded
12 Parameter Problem
13 Timestamp Request
14 Timestamp Reply
15 Information Request
16 Information Reply
17 Address Mask Request
18 Address Mask Reply
19 Reserved (for security)
20-29 - пустые. Или у меня нет инфы о них.
30 Traceroute
31 Datagram Conversion Error
32 Mobile Host Redirect
33 IPv6 Where-Are-You
34 IPv6 I-Am-Here
35 Mobile Registration Request
36 Mobile Registration Reply
37 Domain Name Request
38 Domain Name Reply
39 SKIP
40 Photuris


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:18 05-06-2004 | Исправлено: bredonosec, 19:19 05-06-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru