Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
fakel33



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите разобраться.
Пытаюсь настроить правила для svchost.exe (Windows 7 SP1 Pro)
На одном форуме рекомендуют  

Цитата:
Для svchost.exe достаточно трех правил.
1. Для работы Windows Update.
 Это правило можно держать выключенным и включать только на время проверки обновлений.
Разрешить TCP исходящие, где:
локальный порт любой;
удаленный порт 80, 443;
локальный адрес любой;
удаленный адрес любой.
2. Для работы службы времени.
Разрешить UDP исходящие, где:  
локальный порт любой;
удаленный порт 123;
локальный адрес любой;
удаленный адрес любой.
3. Для работы службы DNS.
Разрешить UDP исходящие, где:  
локальный порт любой;
удаленный порт 53;
локальный адрес любой;
удаленный адрес любой.
При таких правилах все остальные соединения для svchost.exe будут запрещены.  
Если установлена система Windows x64, то правило все равно нужно создавать для C:\Windows\System32\svchost.exe (т.е. как и в системах x86), а не для  
C:\Windows\SysWOW64\svchost.exe.
Для повышения приватности разработчик рекомендует блокировать для svchost.exe диапазоны 94.245.64.0-94.245.127.255 (Microsoft Limited, VerySign Global Registry Services), 213.199.160.0-213.199.191.255 (Microsoft Internet Data Center) и др.  
 

 
На другом  

Цитата:
Для svchost.exe нужно открывать исходящие TCP на порты 443 и 80, исходящие UDP из порта 68 в порт 67 и исходящие UDP в IP своего DNS-сервера из портов 1024-65535 в порт 53, а также разрешить исходящие ICMP, да и то не все. Всё остальное можно (и нужно) запрещать.

 
Так как лучше настроить настроить?

Всего записей: 1204 | Зарегистр. 22-08-2003 | Отправлено: 15:56 22-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fakel33
Цитата:
На одном форуме рекомендуют
Форум "один"- это ru-board, процитировано мое сообщение.
Служба времени не нужна? Убери правило.
Цитата:
исходящие UDP из порта 68 в порт 67
Зависит от провайдера, иногда нужно, иногда не нужно. Если без него работает, то не нужно. Мне не нужно, работает без него.

Цитата:
исходящие UDP в IP своего DNS-сервера из портов 1024-65535 в порт 53
Почти то же, что правило №3 на "одном" форуме. Можно и так, и так.
Цитата:
а также разрешить исходящие ICMP
Не имеет отношения к svchost.  
Изначально можно установить более жесткие правила, затем по результатам вносить коррективы.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 16:10 22-03-2017
fakel33



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Служба времени нужна и обновление Windows нужны.
Вы пишите  
"Разрешить TCP исходящие" и "Разрешить UDP исходящие", а входящие не нужны?
Интересны Ваши более жесткие правила.

Всего записей: 1204 | Зарегистр. 22-08-2003 | Отправлено: 16:46 22-03-2017
Andy2006



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пытаюсь настроить правила для svchost.exe (Windows 7 SP1 Pro)
Так как лучше настроить настроить?

fakel33, т.к. речь идёт не о каком-то экзотическом экзешнике, а об известном приложении из состава Microsoft Windows Operating System для которого современные брандмауэры имеют готовые предустановленные правила, то лучше запустить режим (авто)обучения своего файервола с разрешением автоматического создания правил на основе встроенных предустановок (затем смоделировать работу на компе, например, синхронизируя время через инет и скачивая какие-нибудь обновления Windows для того, чтобы правила для svchost.exe прописались наверняка) и потом, при необходимости, отредактировать их, чем вручную, с нуля, пытаться создать их на основе каких-то общих рекомендаций.

Всего записей: 656 | Зарегистр. 20-12-2005 | Отправлено: 01:30 23-03-2017 | Исправлено: Andy2006, 01:31 23-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fakel33
Использую те три правила, что в первой цитате, с блокировкой диапазонов IP, но с этим нужно не перестараться, иначе что-то да не сможет работать.
Более жесткое правило, это, например,
Цитата:
исходящие UDP в IP своего DNS-сервера из портов 1024-65535 в порт 53
, не применяю.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:11 23-03-2017
Stenoboy

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Моя отдельная тема о настройке продуктов Spyshelter http://forum.ru-board.com/topic.cgi?forum=5&topic=49401

Всего записей: 6 | Зарегистр. 02-08-2017 | Отправлено: 02:59 04-08-2017
syrenium

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Применительно ко всем файрволам.
К примеру, хочу заблокировать доступ в интернет браузеру. В настройках любого файрвола (в том числе и штатного) создаю правило "Блокировать все соединения", выбираю путь к EXE-файлу и создаю правило. Но при любом файрволе браузер продолжает запускаться, не реагируя на правила.
Подскажите, что не так?
Если это имеет значение, то браузер запускается как дочерний процесс explorer.exe.

Всего записей: 674 | Зарегистр. 07-12-2015 | Отправлено: 22:42 23-08-2017
Inoz2000



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вы блокируете соединения, но не запуск.

----------
Мы все умрём. (-:

Всего записей: 5255 | Зарегистр. 23-04-2009 | Отправлено: 22:51 23-08-2017
syrenium

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Inoz2000
Наверное, неправильно объяснил. Имел ввиду не запускается, а получает доступ в интернет, несмотря на запрет файрвола.
Понятно, что запрет на запуск ему не ставил.
Update. Разобрался. Всему виной брандмауэр Dr.Web. Я хоть и отключал все компоненты (в том числе и брандмауэр), но видимо фильтры все равно сохраняет. После удаления Dr.Web правило создается и работает.

Всего записей: 674 | Зарегистр. 07-12-2015 | Отправлено: 23:04 23-08-2017 | Исправлено: syrenium, 23:28 23-08-2017
syrenium

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос по настройкам правил, указанным в шапке.
А если компьютер подключен к локальной сети, для нормальной работы каким приложениям/процессам нужно доступ предоставить? ntoskrnl.exe?

Всего записей: 674 | Зарегистр. 07-12-2015 | Отправлено: 14:51 24-08-2017
saturndm1977

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня при использовании Dr.Web Cloud COMODO Firewall постоянно завален ошибками о блокировании неопознанных входящих пакетов: Windows Operating System сыпящихся с серваков Dr.Web Cloud. Может кто  знает как можно избавится от этих ошибок?

Всего записей: 45 | Зарегистр. 17-05-2012 | Отправлено: 03:45 14-10-2017
pro77



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Может кто  знает как можно избавится от этих ошибок?

Реальные проблемы (не сообщения об ошибках) наблюдаете? Если нет, то измените соответствующее правило с Block & Log на просто Block, т.е. блокировать, но не логгировать. ИМХО золотое правило настройки файрвола - я решаю, кто мне нужно в Сети, где, когда и зачем, а что нужно ПО - никого по эту сторону файрвола не колышет.

Всего записей: 701 | Зарегистр. 17-04-2002 | Отправлено: 02:49 04-12-2017
thelamb

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
syrenium

Цитата:
А если компьютер подключен к локальной сети, для нормальной работы каким приложениям/процессам нужно доступ предоставить?

Имхо, приложения и проги только тем которые вам там нужны. К примеру браузер, почта, торрент, антивирус, QTranslate (если пользуетесь). Из процессов только процессам провайдера, чтобы сеть открыть. Ещё можно: Сервисы: Служба сведений о подключенных сетях     Файл: svchost.exe Значение: C:\Windows\system32\svchost.exe -k NetworkService
 

Всего записей: 4977 | Зарегистр. 25-11-2004 | Отправлено: 06:26 04-12-2017
saturndm1977

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Реальные проблемы (не сообщения об ошибках) наблюдаете? Если нет, то измените соответствующее правило с Block & Log на просто Block, т.е. блокировать, но не логгировать. ИМХО золотое правило настройки файрвола - я решаю, кто мне нужно в Сети, где, когда и зачем, а что нужно ПО - никого по эту сторону файрвола не колышет.

Спасибо за ответ. Вопрос снят, вышла версия COMODO Firewall 10.0.2.6420 и сейчас эти ошибки в логах встречаются очень редко, 1-2 раза за день.

Всего записей: 45 | Зарегистр. 17-05-2012 | Отправлено: 22:16 04-12-2017
borMMAN



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я не пойму какие правила разрешающие а какие запрещающие в этой таблице (в шапке)....  
почему автор не добавил колонку с такой инфой?  
Подскажите кто знает что там разрешать а что запрещать, или там все правила разрешающие?

Всего записей: 197 | Зарегистр. 19-04-2008 | Отправлено: 17:54 05-03-2018
CocKain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
borMMAN

Цитата:
почему автор не добавил колонку с такой инфой?

Потому что и так понятно. Особенно если внимательно прочитать последнее правило: «блокировать любые другие подключения». Да, все прочие правила – разрешающие.
Однако. Судя по вопросу, имеется недопонимание целей задач указанных в шапке действий. Рекомендуется перед применением новых сведений задать следющий вопрос самому себе: а оно мне точно настолько необходимо? В случае положительного ответа придётся начать с изучения теории: как устроены сети и что такое брандмауер. Например, почитать учебник по ссылке из шапки.

----------
всегда начеку

Всего записей: 1453 | Зарегистр. 15-11-2004 | Отправлено: 19:09 05-03-2018
borMMAN



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Потому что и так понятно. Особенно если внимательно прочитать последнее правило: «блокировать любые другие подключения».

Применительно к виндовому файеру это ни к чему, т.к. там и так блокируется все что явно не разрешено.

Цитата:
Да, все прочие правила – разрешающие.  

За это спс.

Всего записей: 197 | Зарегистр. 19-04-2008 | Отправлено: 22:28 05-03-2018
fenon

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее... [/more]

Всего записей: 102 | Зарегистр. 13-06-2018 | Отправлено: 13:36 13-06-2018 | Исправлено: fenon, 13:45 13-06-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fenon
Цитата:
удаленный адрес любой.

Цитата:
локальный адрес любой;
Если ничего не вводить, это и будет "любой", или "все".
Цитата:
94.245.64.0-94.245.127.255

Цитата:
Это как понял вводится в блокировках айпи,
Указание в блокировках IP имеет глобальный характер для всей машины, указание в правиле для приложения, естественно, работает только для приложения.
Приоритеты расположены так, сверху вниз: низкоуровневые, системные, блокирование IP, правило для приложения.
 

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 14:49 13-06-2018
fenon

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Теперь все ясно, спасибо.
 
А есть еще диапазоны айпи, которые можно вбить?
Чтобы 10ка сливала поменьше и поменьше папка винды пухла?
Ато они совсем оборзели 20 гиг им мало.

Всего записей: 102 | Зарегистр. 13-06-2018 | Отправлено: 15:24 13-06-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru