Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Pofteh

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andrey_Verkhoglyadov
 

Цитата:
Plumber
 
Цитата:
набор правил для Viber
 
Для работы Viber-а достаточно открыть следующие порты:
TCP: 5242 и 4244
UDP: 5243 и 9785

 
 
Поправка, для UDP порт 7985 в исходящих соединениях брандмауера, иначе не будут проходить видеозвонки

Всего записей: 1 | Зарегистр. 09-07-2020 | Отправлено: 21:54 09-07-2020 | Исправлено: Pofteh, 22:00 09-07-2020
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если уж вайбер задели, то для Telegram какие правила?

Всего записей: 1303 | Зарегистр. 17-02-2006 | Отправлено: 16:32 14-02-2021
Muznark



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
фтп активе моде - tcp out any 21, 990, 2121, tcp in 1024-65535 any(или тот, что прописан в фтп клиенте)(если роутер то диапазон что профорваржен и указан в фтп клиенте)
 
фтп пассиве моде tcp out any 21, 990, 1024-65535 (в теории некоторые серверы могут использовать низкие пассивные порты)
 
Добавлено:
телеграм tcp out 1024-65535 443 поправьте если телеграм стучится на иные порты

Всего записей: 518 | Зарегистр. 16-11-2004 | Отправлено: 14:00 26-08-2022 | Исправлено: Muznark, 08:03 27-08-2022
Chekushka05

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

В файрволе включено DHCP на 67-68 и 546-547 постоянно, т.к. ip адреса серые выдаёт провайдер.
Для чего он нужен понятно, но зачем ему постоянно висеть да ещё на несколько адресов одновременно именно ipv6 не понятно, ipv4 же после подключения пропадает совсем из виду.
Может нужно ещё какие настройки где подкрутить?
+++++++++++++++++++++++++++++++++++
У провайдера есть ipv6, почитал в основном старые записи о безопасности, может имеет смысл его совсем отключить в настройках подключения, в винде и в файрволе?

Всего записей: 86 | Зарегистр. 31-03-2022 | Отправлено: 13:38 31-08-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chekushka05

Цитата:
У провайдера есть ipv6, почитал в основном старые записи о безопасности, может имеет смысл его совсем отключить в настройках подключения, в винде и в файрволе?

IPv6 белый или серый выдаётся? Если серый, то IMHO лучше отключить и оставить только IPv4.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32341 | Зарегистр. 15-09-2001 | Отправлено: 14:41 31-08-2022
Chekushka05

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
IPv6 белый или серый выдаётся? Если серый, то IMHO лучше отключить и оставить только IPv4.

Серый выдаётся. И правда лучше отключу, тоже к такому выводу больше склонялся.

Всего записей: 86 | Зарегистр. 31-03-2022 | Отправлено: 14:54 31-08-2022
zxcvbn1000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Однажды заметил "глюк" WFC - неожиданно перестал показывать оповещения. Точно не помню, но решилось вроде удалением правил для svchost или system и пересозданием заново. У меня на свежей системе сразу начисто вырезаются все правила и остаются только вх./исх. DHCP, после чего оповещениями набиваются нужные правила. Но сейчас на свежей системе словил действительно глюк WFC - нет оповещений вообще (не сразу, а после нескольких дней работы), даже после переустановки этой надстройки, хотя виндовская оповещалка выскакивает. Устал разбираться и установил comodo (у меня Server 2022, поэтому пришлось пропатчить установщик и то только 11, т.к. comodo 12 вообще не хочет ставиться) и после пары часов мытарств разобрался с настройкой под себя и обрадовался его четкой работе. Может кто подскажет, как пропатчить установщик comodo 12 под серверную винду?

Всего записей: 47 | Зарегистр. 14-08-2010 | Отправлено: 01:30 07-10-2022 | Исправлено: zxcvbn1000, 01:32 07-10-2022
gutasiho

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zxcvbn1000
Цитата:
Однажды заметил "глюк" WFC - неожиданно перестал показывать оповещения. Точно не помню, но решилось вроде удалением правил для svchost или system и пересозданием заново.
К проблеме эти правила не имеют отношения.
Это не глюк WFC, а поведение операционной системы, которая по какой-то причине сбрасывает параметры аудита.
Для возврата оповещений нужно в главном окне WFC в разделе Оповещения выключить опцию "Показывать оповещения", и снова включить ее.
Если и журнал соединений становится пустым и перестает отображать новые события, это устраняется отключением и повторным включением опций "Разрешенные соединения" и "Заблокированные соединения" в журнале соединений.
В обоих случаях описанные действия возвращают параметры аудита системы в правильное состояние.
Цитата:
(у меня Server 2022, поэтому пришлось пропатчить установщик и то только 11, т.к. comodo 12 вообще не хочет ставиться)
От реализации задумки вы не получите никаких ништяков, но можно спросить в профильной теме.
 
Добавлено:
Там точно что-то было, в "версии для печати" поиск по слову сервер
С какой-то v12.2... убрали возможность установки из msi с ключами комстроки, возможно, в этом источник проблемы с v12 на серверной оси.
Вы же наверняка пробовали последнюю версию, стоит попробовать v12.0.0.6882, в ней установка из msi еще не заблокирована.

Всего записей: 7755 | Зарегистр. 14-09-2020 | Отправлено: 08:36 07-10-2022 | Исправлено: gutasiho, 09:25 07-10-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zxcvbn1000

Цитата:
Однажды заметил "глюк" WFC - неожиданно перестал показывать оповещения.

Оповещения зло! Если что-то не работает, то включайте лог, дебажте, создавайте нужные правила и выключайте лог.

Цитата:
...у меня Server 2022...

У меня на оном же серваке нормально работает WFC, а про оповещения я уже сказал.


----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32341 | Зарегистр. 15-09-2001 | Отправлено: 15:18 07-10-2022
zxcvbn1000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gutasiho, благодарю за помощь. Я несколько лет пользовался WFC, но некоторое время назад заметил то, о чем говорил. Сейчас все же решил попробовать комодо и меня он пока устраивает, хоть и более долго и тщательно настраивается в моем случае, т.к. я параноик Кстати, CIS 12.2.2.8012 я все же победил под серверную винду, хоть и есть нерешенные проблемы с установкой, но это уже оффтоп здесь.
WildGoblin, они у меня и не появляются практически, т.к. правила для моего набора софта настроены. А клиентскими виндами на десктопе я не пользуюсь вообще еще с выхода 2019 сервера (хотя угораздило меня тут попробовать свежую W11 22H2, которая была успешно снесена через пару дней).

Всего записей: 47 | Зарегистр. 14-08-2010 | Отправлено: 16:40 07-10-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zxcvbn1000

Цитата:
...т.к. я параноик

Всё через зарубежное впн, Pi-hole, браузер в виртуалке и т.д. и т.п? Нет? Ну дык вы тогда на себя, пока ещё, наговариваете тогда.

Цитата:
А клиентскими виндами на десктопе я не пользуюсь вообще еще с выхода 2019 сервера

Да - начиная с 2019 серваки особенно хороши стали.


----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32341 | Зарегистр. 15-09-2001 | Отправлено: 16:49 07-10-2022
zxcvbn1000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 Всё через зарубежное впн, Pi-hole, браузер в виртуалке и т.д. и т.п? Нет? Ну дык вы тогда на себя, пока ещё, наговариваете тогда.  

Практически так VPN уже лет 5 использую. А сейчас nordvpn через wireguard уже года три как (сам не покупал и это плюс в плане незасвеченности). Уже привычка никогда не открывать браузеры без впн. Да и правила у меня стоят, если обрыв случился. А про цепочки впн-тор-впн я знаю, но это для меня слишком, т.к. я не занимаюсь такими делами, за которые будут искать, хотя whonix на готове есть Трюки о 99.9% конфиденциальности я тоже знаю, но это уже другой стиль жизни.

Всего записей: 47 | Зарегистр. 14-08-2010 | Отправлено: 18:55 07-10-2022
JiIdbtlL

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

Всего записей: 128 | Зарегистр. 03-10-2022 | Отправлено: 22:24 08-10-2022 | Исправлено: JiIdbtlL, 02:16 13-09-2023
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В общем не пинайте я не особо шарю в этих темах, но хочу добиться максимальной приватности от просмотра третьих лиц своего трафика.


Цитата:
...только TOR и VPN помогают обходить цензуру.



----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32341 | Зарегистр. 15-09-2001 | Отправлено: 16:17 09-10-2022
JiIdbtlL

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
По поводу файервола, правила и протоколы лучше включать и блокировать или достаточно их просто отключить? Если на компе нет вируса шпиона, то по логике хакнуть комп извне будет проще с отключенными правилами, чем с запрещающими?

Всего записей: 128 | Зарегистр. 03-10-2022 | Отправлено: 20:11 10-10-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JiIdbtlL

Цитата:
По поводу файервола, правила и протоколы лучше включать и блокировать или достаточно их просто отключить?

IMHO не должно быть никаких общих разрешающих правил - создаём разрешающие правила только для конкретных приложений/задач. Запрещающих правил должно быть ещё меньше (к примеру для браузера разрешили весь исходящий TCP на 80 и 443, но отдельным правилом запретили доступ к 1.1.1.1).

Цитата:
Если на компе нет вируса шпиона, то по логике хакнуть комп извне будет проще с отключенными правилами, чем с запрещающими?

Нет т.к. сама политика в целом запрещающая - у нас же в настройках WF выставлено блокировать всё, что специально не разрешено.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32341 | Зарегистр. 15-09-2001 | Отправлено: 07:38 11-10-2022
mig73



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А меня так дядька учил настраивать фаервол. Сначала запрещаем всё, а потом пробуем работать в обычном режиме. Далее вычисляем что блокируется и по каким портам, разрешаем и т. д. Т. е. делаем от противного.

Всего записей: 8283 | Зарегистр. 24-02-2010 | Отправлено: 08:32 11-10-2022
gutasiho

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Входящие соединения запрещены все (в редких случаях понадобится что-то разрешить).  
Приложения, которым нужен интернет, имеют разрешающие правила, что им разрешать, по своему набору софта я знаю довольно хорошо.
Другие приложения, которые нужно закрыть от интернета, имеют запрещающие правила, это дело привычки, и мне так спокойнее.  
Оповещения включены, но я уже забыл, когда их видел последний раз, иногда даже проверяю, а включены ли они.
svchost внесен в исключения оповещений.
Если брандмауэр Windows, то приложения от админа могут сами создавать свои правила, на входящие и исходящие, что, конечно, не есть гут. Skype, Google Chrome, MyPhoneExplorer, AppCheck, uTorrent, да их полно.
 
Разработчик WFC имеет мнение, что чем меньше правил в фаерволе, тем быстрее он обрабатывает запросы, но при нескольких десятках правил это никак не скажется на нем.

Всего записей: 7755 | Зарегистр. 14-09-2020 | Отправлено: 09:03 11-10-2022 | Исправлено: gutasiho, 09:08 11-10-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gutasiho

Цитата:
Другие приложения, которые нужно закрыть от интернета, имеют запрещающие правила, это дело привычки, и мне так спокойнее.

Смысла нет т.к. для них нет разрешающих правил и потому они блокируются общим правилом WF "Блокировать".

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32341 | Зарегистр. 15-09-2001 | Отправлено: 11:54 11-10-2022
Plumber



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос скорее всего ламерский, но всё же:
(Как для особо "одарённых")
Некоторые приложения пытаются вносить какие-то изменения в параметры реестра

Код:
[HKU\ ...\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"AutoDetect"=
"Connections"=
"IntranetName"=
"ProxyBypass"=
"ProxyEnable"=
"UNCAsIntranet"=

Обычно я это блокирую, но хотелось бы понять сакральный смысл такого поведения приложений.

Всего записей: 1170 | Зарегистр. 18-03-2004 | Отправлено: 16:55 06-03-2023 | Исправлено: Plumber, 18:52 07-03-2023
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru