Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
butch9383

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят, такой вопрос.
Есть у меня win2003server, 2 сетевых интерфейса - локалка и инет. Мне надо выпустить через NAT из локалки vpn трафик (GRE протокол 47 и tcp порт 1723). Т.е. задача сводится к открытию протокола gre и tcp порта на выход (как я понимаю, на wan интерфейсе).  Но при таком раскладе не работает тот же проксик и т.п. Вобщем кто подскажет, как правильно на шлюзе с 2-мя интерфейсами настраивать фильтры портов? В кратце - на сервер должно пропускаться всё, а уходить с сервера - с LAN интерфейса все, c WAN только GRE трафик.
Попутно такой вопрос. Какие порты используются в локальной сети (т.е. для доступа к компу по сети, для доступа к сетевым принтерам и т.п.). Полностью ли этот доступ регулируется протоколом SMB и 139 портом или же тут используется что-то еще?

Всего записей: 81 | Зарегистр. 05-10-2007 | Отправлено: 15:28 25-06-2008 | Исправлено: butch9383, 15:32 25-06-2008
Vladlenputin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
добавьте настройки для dc++ в шапочку ,неплохо было б посмотреть,или может кто-нить выложит свои настройки на всеобщее обозрение,буду весьма благодарен

Всего записей: 48 | Зарегистр. 30-03-2008 | Отправлено: 01:36 26-06-2008 | Исправлено: Vladlenputin, 02:11 26-06-2008
f14a

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vladlenputin, ну давай попробуем
 
Коннект к хабу. Соединение будет по TCP, с портов 1024-5000, хаб по дефолту слушает на 411. Если не 411 - его обычно указывают.
 
Соединение с другими пирами. Свои порты 1024-5000 на чужие любые (пир вправе выставить всё что угодно ). Этого для пассивного режима должно хватить.
 
В активном режиме придется разрешить входящие соединения с любого чужого порта на свои, которые прописал в настройках программы-клиента.
 
Для передачи между клиентами юзается и TCP, и UDP.
 
Например для простоты оба (TCP и UDP) прописываем 55555. Получаются правила:
 
TCP: local 1024-5000 --> remote any
TCP: local 55555 <-- remote any
UDP: local 55555 <-> remote any
 
Any можно обрезать, скажем до 411, 1024-65535. Но тогда выпадут те, кто установил нестандартный порт, например 80.
 

Всего записей: 41 | Зарегистр. 15-12-2005 | Отправлено: 06:52 26-06-2008 | Исправлено: f14a, 06:56 26-06-2008
MEYSON



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите как в ESS 3.0.667 разрешить прохождение UDP пакетов, касательно IP-TV!

Всего записей: 172 | Зарегистр. 15-01-2008 | Отправлено: 09:43 11-07-2008
Toivovi4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Непонятность...
Комп пыытается выйти на DNS-сервер через порт выше чем 5000 (правила для firewall DNS: local port 1024-5000, remote 53) соответственно это действие блокируется и в net не зайти. Почему так может быть?

Всего записей: 1 | Зарегистр. 11-07-2008 | Отправлено: 17:16 11-07-2008
Abs62



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Toivovi4
Из-за апдейта KB951748, надо полагать. См. здесь.

Всего записей: 6077 | Зарегистр. 22-10-2005 | Отправлено: 17:29 11-07-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для тех кто поспешил и установил обновления KB951748 - предлагается вариант решения проблемы фаервола для 53 UDP : разрешаем локальные порты не 1024:5000 а 49152:65535  
PS  Добавил в шапку - что-бы закрыть проблему.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:10 12-07-2008 | Исправлено: KUSA, 21:11 12-07-2008
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
KUSA
Я бы не спешил... По моим наблюдениям, после KB951748 с локальных портов 49152-65535 лезет только svchost и только на DNS. Тот же nslookup по прежнему стучит на DNS с локальных портов 1025-4999. И тот же svchost на сервера обновлений Windows лезет также с 1025-4999.
Так что возможно будет логичнее определить 2 правила для DNS: с лок. портами 1025-4999 и 49152-65535.
Это применительно к WinXP. На Висте данное обновление проблем не создает, т.к. там верхний диапазон используется изначально.

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 12:54 16-07-2008
garmin80



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А что это за протокол 139 ? Outpost спрашивает о создании правил на основании proto 139 где удаленный адрес 169,254,255,255 .., что это такое и надо ли разрешать создавать правила ? Спасибо за ответ.

Всего записей: 615 | Зарегистр. 06-04-2008 | Отправлено: 23:05 19-07-2008
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
garmin80
Port 139 NetBIOS.
адреса типа 169.254.255.255 используются для настройки интерфейса при отсутствии в сети DHCP сервера, если в нстройках стоит получать адрес автоматически.
 
 

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 00:36 20-07-2008
SashaNN

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пожалуйста подскажите что нужно добавить (установить, или еще чего) в фаерволе чтобы удаленные локальные пользователи могли пользоваться расшаренныем интерернетом.  

Всего записей: 26 | Зарегистр. 23-12-2006 | Отправлено: 18:11 21-07-2008
SashaNN

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вообщем есть ПК на котором есть vpn интернет  
   
   
 
через это сетевое раздается  
 
   
 
вот один из ПК получающий доступ к интернету  
 
   
 
ESET фаервол блокирует раздачу, как разрешить, какие правила добавить. Уже замучался.

Всего записей: 26 | Зарегистр. 23-12-2006 | Отправлено: 14:00 22-07-2008
aleksdem2



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые спецы, подскажите, пожалуйста,  как фаерволом NIS 2008 запретить соединения по протоколу IGMP (например). Как создать необходимое запрещающее правило, если в перечне протоколов только TCP, UDP, ICMP и ICMPv6? Во многих фаерволах картина та же, но есть возможность (почти всегда) запретить IP (и все порты) по нужному мне протоколу. Естественно, протокол IGMP запрещается полностью. В NIS2008 ничего придумать не могу...

Всего записей: 5299 | Зарегистр. 10-10-2006 | Отправлено: 18:56 02-08-2008
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые спецы!
 
Посмотрел логи Комода и с удивлением обнаружил, что svchost лезет на 213.199.162.202:3544. По ИПу - хост мелкософта. Система - ХР СП3. Что за гадостная служба вызывает эту напасть?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 04:00 23-09-2008
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gjf

Цитата:
Your computer has the advanced networking pack and an IPv6 stack installed.
Traffic to port 3544/udp is called "Teredo," a specification for tunneling
IPv6 traffic inside IPv4. Your computer is only checking to make sure a public
6-to-4 gateway is available, one we run.

Источник...

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 09:30 23-09-2008
l1720



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
Следствием интеграции IPv4 с IPv6 в единый сетевой стек, стало появление туннельных протоколов Teredo, ISATAP, 6to4 и 6over4, причем Teredo уже успел попасть в RFC и осесть под номером 4380 (http://www.rfc-editor.org/rfc/rfc4380.txt). Разжеванное описание на понятным даже для неспециалистов языке можно найти в статье "Teredo Overview", опубликованной на Microsoft Tech Net: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/teredo.mspx.
 
Говоря на пальцах (ну, типа сурдоперевод для глухонемых), Teredo инкапсулирует (упаковывает) IPv6 трафик внутрь IPv4 пакетов (см. рис. 3), используя протокол UDP, слабости и недостатки которого хорошо известны. Если два IPv6 узла разделены IPv4 сегментом сети (наиболее типичная на сегодняшний день конфигурация), Виста задействует Teredo, направляя запрос одному из публичных Teredo-серверов, который в свою очередь передает его получателю, фактически выполняя роль proxy-сервера.
 
Самое интересное, что Teredo позволяет обходить трансляторы сетевых адресов (они же NAT'ы) и брандмауэры, причем это не баг, а фича. Рассмотрим два узла, защищенные NAT'ом, прямое взаимодействие между которыми невозможно. Но это оно по IPv4 невозможно, а если использовать Teredo-туннель, то истинный адрес и порт назначения окажется скрыт в Teredo-заголовке, а в IPv4 попадает адрес узла, "смотрящего" в Интернет и UDP-порт самого Teredo (3544), который, конечно, можно и закрыть, но как же тогда с остальными Виста-клиентами общаться?! Поскольку NAT не может установить ни реального целевого адреса, ни реального целевого порта протокола IPv6, он беспрепятственно пропускает IPv4 пакет. Это же самое относится и к другим защитным механизмам, не поддерживающим протокола Teredo.


----------
просто тут все делается через ж..., кроме постановки клизмы. ©

Всего записей: 3316 | Зарегистр. 16-09-2003 | Отправлено: 09:41 23-09-2008
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
l1720
XenoZ
У меня нет локалки, только интернет. Интернет за НАТом. И плевать я хотел на клиентов Висты. Убиваю порт наглухо...

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 20:03 23-09-2008
SAVage22



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Какие порты надо открыть для VPN клиента? Протокол PPTP.
 
Добавлено:
Забыл сказать PC Tools Firewall Plus

Всего записей: 1104 | Зарегистр. 30-12-2003 | Отправлено: 22:56 24-09-2008
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SAVage22
У тебя vpn-сервер, или просто нужен доступ vpn over ethernet? Если второе, то смотри тут.
(вопрос по конкретному фаеру лучше задавать в соответствующем топике)

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 09:05 25-09-2008
SAVage22



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
 
Vpn client к VPN серверу. Инет нормальный PPPoE.

Всего записей: 1104 | Зарегистр. 30-12-2003 | Отправлено: 23:20 26-09-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru