Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Sympathy



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Переведи страницу средствами Google
http://www.google.ru/language_tools
Вкинь адрес страницы в раздел Перевести эту страницу и вуаля!

----------
Is it me You're looking for?

Всего записей: 8449 | Зарегистр. 13-10-2008 | Отправлено: 17:09 17-09-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bobvis
В общем - по скайпу - ссылка от  Sympathy
1.В идеале - для приложения открыть TCP порты 1-65535
2. Для стабильной работы необходимы порты TCP 443 и 80
3. В случае проблем рекомендуют отправить отчет в деталях.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:32 17-09-2009
Herder1



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день всем.
Поставил фаер, настроил, все вроде работает. Но остались мною непонятыми несколько дилетантских вопросов. Прошу разъяснить.
1.При создании правил на исходящие запросы рекомендуется направление Internet zone, а не Any. У меня выставлено Any. Чем это может грозить? И если все-таки лучше прописать зону, то подскажите как это сделать. Выход в сеть из под локалки. Имеется маска подсети, основной шлюз, внешний айпишник. Не разбираюсь я в этих вопросах.
2.Loopback zone. У меня фаер сам прописал ее как 127.0.0.1/255.0.0.0 Это нормально или нет? Или она все-таки должна быть 127.0.0.1/127.0.0.1 ?
3.svchost.exe Он у меня в сеть лезет только один раз при соединении с сетью. В логе:
UDP 0.0.0.0  68  255.255.255.255  67 , в правиле для него направления указаны как Any. Есть ли смысл прописать ему жестко эти 0.0.0.0 и 255.255.255.255 или пусть будет Any?
Заранее спасибо. Сорри за тупые вопросы.

Всего записей: 14 | Зарегистр. 12-09-2008 | Отправлено: 05:27 21-09-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Herder1
1. По большому счёту, это избыточная вещь. Можно Any ставить.
2. Loopback - это 127.0.0.1/255.0.0.0, а 127.0.0.1/127.0.0.1 - это непонятно что. Вы главное не путайте само понятие после дроби: это не конечный адрес диапазона, а маска подсети. Если пишут диапазоны, тогда через тире их пишут, а не через дробь.
3. Пусть будет Any. Подробнее о DHCP...

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 12:59 21-09-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Herder1
2
Цитата:
2.Loopback zone. У меня фаер сам прописал ее как 127.0.0.1/255.0.0.0 Это нормально или нет? Или она все-таки должна быть 127.0.0.1/127.0.0.1 ?
Цона 127.0.0.1/127.0.0.1 существовать не может, каждый фаер по своему понимает Loopback.
3 Конечно можно отправить тебя почитать доки, но мне кажется что тебе важнее иметь рабочий фаер, поэтому без статей и БЫСТРО.
DHCP - UDP BOTH Local PORT 67-68 - REMOTE PORT 67-68
Пока можно без адресов.
 
1. По первому пункту - см шапку - выделенное красным цветом.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:00 21-09-2009 | Исправлено: KUSA, 20:03 21-09-2009
Herder1



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF
 
Спасибо за развернутый ответ. Насчет Loopback меня ввел в заблуждение документ из шапки темы по фаеру Comodo. Типовые настройки. Там указано следующее: Allow TCP OR UDP Out From 127.0.0.1 To 127.0.0.1 Просто криво прочитал. А у меня получается: Allow TCP OR UDP Out From Any To Loopback zone, а зона прописана как 127.0.0.1/255.0.0.0

Всего записей: 14 | Зарегистр. 12-09-2008 | Отправлено: 20:24 21-09-2009
gstmes



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите есть какое-либо ПО или Firewall с такой возможностью. Я вижу лог, в нем вижу протокол, порт, который не документирован, любой после 1024 до 64000, как выявить сервис, службу, приложение, которое вызвало это соединение по этому порту.

Всего записей: 178 | Зарегистр. 21-07-2009 | Отправлено: 18:04 24-09-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gstmes
Например TCPView Там все покажет  
Таких утилит бесплатных очень много, просто эта первая, которая вспомнилась.
А так еще существует системный журнал виндовс - если его правильно настроить, то там тоже это можно посмотреть.
зы
Но мне больше нравится типа TCPView - просто лень лезть в системный журнал, только в крайних случаях.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:26 24-09-2009 | Исправлено: KUSA, 21:27 24-09-2009
gstmes



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
спасибо это мой любимый набор утилит, только до этой я еще не дошел, уже скачал, буду юзать.

Всего записей: 178 | Зарегистр. 21-07-2009 | Отправлено: 21:53 24-09-2009
gstmes



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, я пользуюсь только коммерческими сетевыми экранами, чтобы иметь официальную техподдержку для профессионального общения.  
Сейчас юзаю VipNet Personal Firewall Инфотекс.  
Проблема, есть тут такой DNStester в шапке ссылка в разделе лучший фаэрвол, если нужно дам ссылку, так вот в третьем режиме firewall этот leak test - естественно пропускает, т.к разрешены все исходящие, какой фильтр нужно создать, чтобы закрыть эту возможность. Во втором режиме, когда "запрещено все, кроме разрешенных", стенка держит, но прописывать фильтры для каждого разрешенного приложения у меня нет желания, лучше я напишу один фильтр, чтобы запретить в режиме "разрешены все исходящие".
 
By default on NT OSs since windows 2000, a Windows service 'DNS client' is running and handles
all DNS requests. Thus, all DNS requests coming from various applications you can have will be transmitted
to the DNS client (SVCHOST.EXE under XP) which will, itself, do the DNS request.
This behaviour can be used to transmit data to a remote computer by crafting a special DNS request
without the firewalls notice it. Indeed, the DNS client windows service must be allowed to acces the Internet.
DNStester uses this kind of DNS recursive request to bypass your firewall.  
Служба DNS – клиент управляет всеми DNS запросами. Таким образом,  все DNS запросы, поступающие от различных приложений  могут быть  переданы DNS client (SVCHOST.exe under XP) чтобы сделать DNS запрос. Это может быть использовано для передачи данных удаленному компьютеру  путем  специального DNS запроса, незамеченного сетевым экраном.  DNS client windows сервис  должен быть разрешен для доступа в Интернет.
DNStester использует этот вид DNS рекурсивного (рекуррентный – повторяющийся)  запроса минуя ваш сетевой экран.
 
Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера.
 Если служба остановлена, разрешение имен DNS будет продолжаться. Однако результаты очередей имен DNS не будут кэшироваться, и имя компьютера не будет зарегистрировано.  
 
Your computer has just made a successful recursive DNS query for www.microsoft.com using DNS services. This means that it's possible to transfer information from your computer past personal and network firewalls.
 
Ваш компьютер  успешно  выполнил рекурсивный DNS запрос для www.microsoft.com  используя DNS службу.  Это означает, что возможна передача информации от Вашего компьютера  через сетевой экран.

Всего записей: 178 | Зарегистр. 21-07-2009 | Отправлено: 15:05 25-09-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gstmes
1. Если не изменяет память - DNStester скорее для приложений.
2. Знаю точно  два места, где на серверах стоит VisNetic и ничего плохого.
3. Iptables (где-то читал уже давно) тоже не проходит  DNStester, но до сих пор считается одним из лучших фаерволов.
 

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:35 25-09-2009
gstmes



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
поставлю Outpost Agnitum - посмотрю как он этот тест  пройдет.

Всего записей: 178 | Зарегистр. 21-07-2009 | Отправлено: 21:43 25-09-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gstmes
Он првильно его отработает - Outpost -заточен на прохождение почти всех тестов.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:50 25-09-2009
gstmes



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите из программных стенок обязательно с технической поддержкой в России, что рекомендуете, в идеале желательно с сертификацией ФСТЭК и ФСБ, но не обязательно, желательно, если есть достойный претендент, можно и без сертификации, для тех задач в которых он будет работать запрета нет.
 
Добавлено:
Мне нравится Agnitum, но может что-то посоветуете лучшее?

Всего записей: 178 | Зарегистр. 21-07-2009 | Отправлено: 17:17 26-09-2009
HarDDroN



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gstmes
В вашем случае лучше нет. OF самонастраивается, следовательно не нужно в нём копаться.

----------
Do millions of things right and one mistake will destroy everything...
Здесь могла быть ваша реклама ;)

Всего записей: 836 | Зарегистр. 30-04-2009 | Отправлено: 22:39 26-09-2009
AleXis6



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите для firewall  для MACOS плиз.
 
для винду пользуюсь оутпостом

Всего записей: 380 | Зарегистр. 05-08-2004 | Отправлено: 22:44 26-09-2009
Sympathy



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спроси лучше тут
http://forum.ru-board.com/topic.cgi?forum=5&topic=15135&start=0

----------
Is it me You're looking for?

Всего записей: 8449 | Зарегистр. 13-10-2008 | Отправлено: 07:57 27-09-2009
AdapterLp



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
просканерис сам себя LanSpy открыт TCP 139 порт стоит Outpost Firewall Pro 6.7
Как узнать что его использует ?
И нужно его закрывать или нет?

Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 02:06 24-10-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AdapterLp
Порт 139 TCP обычно слушается процессом System. Если не используется локальная сеть, порты 137-139 можно закрыть.

----------
А оно мне надо?..

Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 02:15 24-10-2009
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
139 NetBios вроде, не на всех сетевых карточках его можно отключать, на некоторых пропадает интернет/сеть после отключения.

Всего записей: 8819 | Зарегистр. 08-06-2006 | Отправлено: 13:15 24-10-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru