Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
homosap



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хм. не знал. Спасибо за помощь!

Всего записей: 10 | Зарегистр. 15-05-2007 | Отправлено: 11:32 27-01-2010
xterm

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TheBarmaley

Цитата:
несмотря на шапку..

Там внизу есть сносочка про 5000-й порт
Один из сервиспаков для ХР втихаря меняет этот порт на 65... чего-то там. Можно предположить, что следующие версии винды используют сразу второе значение.

Всего записей: 96 | Зарегистр. 23-08-2009 | Отправлено: 01:41 05-02-2010 | Исправлено: xterm, 01:45 05-02-2010
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xterm
Цитата:
Один из сервиспаков для ХР втихаря меняет этот порт на 65... чего-то там
так и я про чё.. он своими "правилами" их и рубит.. ;)

Всего записей: 17812 | Зарегистр. 07-06-2006 | Отправлено: 15:31 09-02-2010
Jarikk



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поставил недавно Windows7, возник вопрос по поводу VPN-подключения. Тип соединения - PPTP. Очень часто при подключении VPN возникают исходящие TCP/IP соединения на <VPNServer IP>:1723 от explorer.exe, dwm.exe, lsass.exe, DkService.exe (стоит Diskeeper). При их блокировке соединение не устанавливается. В ХР такого не было никогда, можно это как объяснить?

----------
BENQ Joybook R56: Core2Duo T8300 2,4GHz, Intel PM965, ASint Tech. 2x1024 DDR2-667, GeForce 8400M G, FUJITSU 500GB 5400RPM SATA-II, Win XP SP3 Eng & W7 RTM Pro x86

Всего записей: 1797 | Зарегистр. 26-01-2005 | Отправлено: 12:50 19-02-2010
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Jarikk
У меня аналогично с 5357, если заблочить фаером, то соединение устанавливается, но периодически рвется. Соединения инициируются от процесса System.

Всего записей: 8819 | Зарегистр. 08-06-2006 | Отправлено: 16:57 19-02-2010
biozz13

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите разобраться журналом блокировок Comodo. Я на всякий случай блокировал эти запросы.

Всего записей: 2 | Зарегистр. 14-03-2010 | Отправлено: 23:46 14-03-2010
HarDDroN



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
biozz13

Ты с понятием "превью" знаком?!


Всё нормально, фаервол должен блочить такие запросы.

----------
Do millions of things right and one mistake will destroy everything...
Здесь могла быть ваша реклама ;)

Всего записей: 836 | Зарегистр. 30-04-2009 | Отправлено: 15:48 15-03-2010
biozz13

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Простите за выкладку безобразно, огромного жыпега.
На самом деле комод меня сам спросил, что сделать. А я ему в ответ "заблокировать".
Значит вы считаете, я правильно сделал. Я понимаю, тот чувак просканил сеть на наличие открытых портов и после уже ломился на них. Причем скриптами. Долбился долго. Дня два. Но не могу понять при чем здесь system.exe?
Наверное мат часть надо доучивать.

Всего записей: 2 | Зарегистр. 14-03-2010 | Отправлено: 13:46 16-03-2010
xterm

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
biozz13

Цитата:
не могу понять при чем здесь system.exe

Это не system.exe, это просто слово, которое в данном случае означает, что на этом порту висит системный сервис. Не знаю как это в Висте или Семёрке, но на ХР это просто системная dll, поднятая с помощью svchost.exe

Цитата:
вы считаете, я правильно сделал

Скорее всего да. Но правильнее было бы не давать кому попало сканировать порты системных сервисов, то есть запретить доступ на них с любого адреса, если это возможно.

Всего записей: 96 | Зарегистр. 23-08-2009 | Отправлено: 03:45 17-03-2010
HarDDroN



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
biozz13
Я ж тебе сказал, так оно и должно быть -> правильно всё сделал. И вообще, заблочь в GR в комоде входящие на все порты, кроме порта для торрента (если таковым пользуешься или чем-нибудь ещё)


----------
Do millions of things right and one mistake will destroy everything...
Здесь могла быть ваша реклама ;)

Всего записей: 836 | Зарегистр. 30-04-2009 | Отправлено: 15:07 17-03-2010 | Исправлено: HarDDroN, 15:09 17-03-2010
f14a

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я понимаю, тот чувак просканил сеть на наличие открытых портов и после уже ломился на них. Причем скриптами. Долбился долго...
Наверное мат часть надо доучивать.

Дык надо бы доучивать. Чтоб не возникало мыслей про скрипты и про то, что кто-то ломится.
Про 445 порт в шапке написано - кто это ломится. Windows это соседские.
Про 2869 в шапке нет, но есть в яндексе. Искал?

Цитата:
Служба обнаружения SSDP
...
На данный момент служба уведомления о событиях SSDP использует порт 5000 TCP, начиная со следующего пакета обновления для Windows XP планируется заменить его портом 2869 TCP.
 
Примечание. На момент написания статьи последним является пакет обновления 1 (SP1).
© Microsoft

Всего записей: 41 | Зарегистр. 15-12-2005 | Отправлено: 19:12 18-03-2010
ewild

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть подозрение, что Comodo Firewall блокирует синхронизацию времени.
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment

Из таблицы следует что, требуется разрешить входящие/исходящие UDP по порту 123.
А в каких правилах и какому процессу?
Разрешил в AR для System - не помогло.
В логах блокировок по 123 порту не видно.
з.ы. CIS 3.14 x64 @ Win 7 x64

Всего записей: 1203 | Зарегистр. 13-08-2005 | Отправлено: 21:13 28-03-2010 | Исправлено: ewild, 21:17 28-03-2010
VikLabel

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это правило для приложения svchost.exe

Всего записей: 674 | Зарегистр. 05-03-2003 | Отправлено: 21:39 28-03-2010
ewild

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VikLabel
Спасибо, синхронизация времени заработала!

Всего записей: 1203 | Зарегистр. 13-08-2005 | Отправлено: 22:23 28-03-2010
Unduing



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто следит за шапкой добавьте туда пожалуйста Teredo

Всего записей: 75 | Зарегистр. 11-11-2004 | Отправлено: 11:09 02-04-2010
yuniki

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А вот не знает ли кто чего-либо подобного portforward.com только для фаерволов ?
 
Т.е. чтобы можно было в одном месте найти практически для любого приложения правила фаервола :
 
1) выбрал приложение из списка, в котором есть огромное количество разнообразных приложений ;
2) выбрал фаер (ну , или , даже этот пункт не обязателен);
3) уваля - готов список правил для выбранного приложения !

Всего записей: 475 | Зарегистр. 27-10-2005 | Отправлено: 19:49 18-04-2010
Verwolk



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yuniki
в шапке есть
"http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)"
кое-чего там, правда, нет. но гугление, как правило, дает результат.

Всего записей: 2167 | Зарегистр. 24-11-2005 | Отправлено: 03:33 19-04-2010
yuniki

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Verwolk 03:33 19-04-2010
Цитата:
кое-чего там, правда, нет

да, я видел это, сравните с http://portforward.com/cports.htm - не кое-чего, а практически ничего на pcflank.com нет (там же всего несколько приложений).
 
По поводу стандартной отсылки на Google :
Google - это поиск, понятно, что все, что есть в Inet , можно найти в Google. А хотелось бы  , чтобы было сразу все в одном месте, типа , как portforward.com

Всего записей: 475 | Зарегистр. 27-10-2005 | Отправлено: 11:06 19-04-2010 | Исправлено: yuniki, 11:07 19-04-2010
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
После задействовании защиты против ARP-атак через сетевое устройство от модема c MAC-адресом  Casa_YY:YY:YY перестали поступать  почти все запросы типа
Код:
189    133.797329    Casa_YY:YY:YY    Broadcast    ARP    Who has XX.XX.XX.XX?  Tell NN.NN.0.1
,
но запросы относительно одного адреса NN.NN.11.232 продолжают поступать

Код:
176    127.252169    Casa_YY:YY:YY    Broadcast    ARP    Who has NN.NN.11.232?  Tell NN.NN.0.1
 
NN.NN.0.1 - IP-адрес основного шлюза.
Вопрос в том почему Firewall не заблокировал  их? И что это может за устройство с таким адресом  XX.XX.11.232 и по какой причине эти пакеты могут проходить?
Мониторинг трафика проводился WireShark.
Спасибо.

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 16:25 02-06-2010
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Периодически lsass.exe лезет в сеть по порту 500  UDP  
Погуглил насчет 500 порта? получил Протокол ISAKMP (Internet Message Access Protocol)
Объясните попроще - что с этим запросом делать?

Всего записей: 1303 | Зарегистр. 17-02-2006 | Отправлено: 19:48 18-06-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru