Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
ladutsko



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Что это за служба?  На персоналках идет?

DCC сервер идет в составе IRC

Всего записей: 336 | Зарегистр. 03-09-2002 | Отправлено: 10:24 15-04-2004
miasnikov andrew



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Цитата:
Андрей, читайте сообщения внимательнее, ей богу надоедает повторять одно и тоже!  
приехали...
Тогда давай(те) по порядку (хотя мы тут все на ты...)
какие серверы подняты? список в студию.
F то мы до бесконечности будем обсуждать, использует ли какой-то гипотетический процесс RPC и как быстро он загнется, если svchost прикрыть файерволом.
 

Цитата:
А вы пробовали закрыть svсhost'у доступ в интернет? Попробуйте, что ли на досуге...  
Специально из духа экспериментаторства закрыл файром на уровне глобальных правил и поставил запись фильтруемых пакетов (Sygate Pers.Pro 5.5 build 2525).
Перезагрузился. Подключился к SMB-серверу в локалке, прочитал e-mailы и сейчас пишу сюда.  
Фантастика? или файервол не работает?
 
TILK

Цитата:
Что-то не пойму твоей логики : ты закрываешь "исходящие" порты для того, чтобы было "безопаснее", хотя они (я имею ввиду нестандартные) открываются только на момент связи ...  
Если FTP-клиент открыл соединение, скажем, по 12345-му порту, то злоумышленник уж никак не свалит DCOM через 12345-й порт, потому что это события никак не связанные между собой, а на FTP-клиенты, на сколько я знаю, опсных уязвимостей нет.

По-моему, имеется в виду, что надо ограничивать порты, на которые ходят приложения. Т.е. браузеру при прочих равных условиях совсем не нужно подключаться на удаленный порт 4899 (обычно это radmin server слушает), верно?  
А если порт web-сервера не 80 или 443, а 4899. Что делать?
Соответственно, такие послабления надо вводить как временную меру.

Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 12:13 15-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TILK

Цитата:
Что-то не пойму твоей логики : ты закрываешь "исходящие" порты для того, чтобы было "безопаснее",
- Именно. Вы не поняли. У меня в настройках стены порты не делятся на входящие и исходящие. Правило может запретить соединение на тот или иной локальный порт, или с тем или иным удаленным портом любого адреса ,или конкретного их диапазона. То есть, если тот или иной порт открыт, то он открыт и на вход и на выход. И пользоваться им может не только прога, для которой правило сделано, но и любое другое. (оговорюсь, контроль приложений (ЗА)в данный момент не пользую). Теперь смысл ясен?
 Разумеется, есть в стенке страховка - stateful inspection, - проверка, был ли мой запрос, по которому должно отвечать с этого адреса по этому порту/диапазону, но предпочитаю явно указывать запрещенные и разрешенные диапазоны.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 13:22 15-04-2004 | Исправлено: bredonosec, 13:27 15-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть ли у кого какие соображения по-поводу в каких случаях стоит включать Statefull Inspection? (Я полагаю это есть во всех фаерах не тольеко в аутпосте)
По умолчанию это включено только для FTP clients and Download Manager (FTP section).
 
Есть ли еще случаи когда это стоит делать?  
Раз уж мы ужесточили правила для всего остального (svchost,DNS, eMule)по сравнению с дефолтными, может и здесь есть резервы.
 

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 19:24 15-04-2004 | Исправлено: Spectr, 19:25 15-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:02 15-04-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
Категорически нет.  Все намного хуже.  
Вcе те кто стучался  ко мне по 1025 одновременно стучались на SSDP Discovery (5000), Radmin (4899)  и еще на 2 или 3 порта из (3127, 2745, 6129).  
И выглядит все это очень некрасиво. 4899 это как раз то через что можно получить полное управление моим компьютером. И когда человек стучится ко мне все по 3-5 портам и три из них могут дать remote access (1025,4899,5000) я одназначно воспринимаю как недружелюбный акт.

С этим вопросом все понятно. Будем наблюдать за этими
 
Спасибо за инфу.
 
Добавлено
miasnikov andrew

Цитата:
F то мы до бесконечности будем обсуждать, использует ли какой-то гипотетический процесс RPC и как быстро он загнется, если svchost прикрыть файерволом.  

Я говорил, что для начала пойду другим путем. Что собсно и сделал -- закрыл 1025 порт, пока полет нормальный.

Цитата:
Специально из духа экспериментаторства закрыл файром на уровне глобальных правил и поставил запись фильтруемых пакетов (Sygate Pers.Pro 5.5 build 2525).  
Перезагрузился. Подключился к SMB-серверу в локалке, прочитал e-mailы и сейчас пишу сюда.  
Фантастика? или файервол не работает?  

Все фаеры работают по разному. Не знаю как Seagate, но Outpost руководствуется правилом для приложения, даже если иное оговорено в глобальных правилах.
 
Без svchost.exe не будет работать, например, DNS-резолвинг для IE. Т.е. если вы правильно запретили сетевую деятельность для svchost.exe, то хосты будут недоступны при обращении к ним по DNS-именам (ессно, что предшествующие обращения к этим же DNS-именами не должны быть закэшированы к.л. способом).
 
Для проверки предлагается такая последовательность действий:
 
Запретить сетевую деятельность для svchost.exe, перегрузить ОС, открыть браузер и обратиться по HTTP к к.л. хосту по DNS-имени, например, http://www.whitehouse.gov Если сайт откроется, то вы неверно настроили фаер и наоборот.
 
Ессно, что потом не помешает проверить лог фаера, чтобы не допустить никаких ошибок.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 23:44 15-04-2004 | Исправлено: eika, 23:47 15-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.

 
Нашел но только на английском. Sorry!  
 
http://www.outpostfirewall.com/forum/showthread.php?s=&threadid=7443

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 00:41 16-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Ничего, это мы могем Спасибо!
 
Прикольно, что Statefull Inspection, оказывается, запатентована чекпоинтом, значит другие файеры делают или что-то похожее, или что-то другое.

Цитата:
 
Applications where SPI could be used
Any file transfer protocol (FTP) application;
Internet telephony and teleconferencing;
Internet Relay Chat (for distributed client connections - DCC);
 

Я так понимаю, что во всех других случаях Statefull Inspection бесполезен.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 01:09 16-04-2004
miasnikov andrew



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
вообще-то у меня (судя по логам Sygate) svchost ходит (пытается ) на time.windows.com:123, на сервак на 1900 порт, и (что очень странно!) по локалке на 80е порты...  
вот последнее - фигня какая-то. Может, кто знает, зачем ему веб-сервера?
 
a DNS сверяется (резолвится) сетевым драйвером ndisuio.sys
возможно поэтому все не обломалось при отключении svchost.exe от сети.

Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 10:00 16-04-2004
spike



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
по поводу RPC
 
видел в инете прогу (вроде есть у меня) от мелкософта, она делает так, чтобы работать RPC мог только с localhost
 
 
по воводу DHSP и DNS  
у знакомой остановил службы эти и нормально она работает в инете на динамическом ip

Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 10:54 16-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike

Цитата:
по воводу DHSP и DNS

Судя по описанию, DNS service нужен только для локалки.
А как она подключена к интернету?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:02 16-04-2004
spike



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
через модем
 
а на работе я тоже DNS остановил, DHCP тоже
 
у нас в сети у всех статический ip адрес

Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 11:05 16-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
spike
Модем и dialer? Чтобы интернет заработал нужно запустить что-то?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:56 16-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.  
- Цитата из хелпа
Цитата:
Stateful Packet Inspection
VisNetic  Firewall uses stateful packet inspection to help detect malicious traffic and ensure that onlycorrect data is passed. Every packet in a connection is checked to see if it is valid. TCP header flags,sequence numbers and other packet contents are used to monitor the "state" of the connection and any packet that does not conform is blocked. This allows VisNetic Firewall to catch malicious activitysuch as port scans, certain DoS (denial of service) attacks and fragment attacks.
Перевожу:  
ВФ пользует СИ для обнаружения подозрительного траффика и обеспечить пропускание только корректной инфы. Каждый пакет соединения проверяется на виладность (ака правильност, легальность). Флажки ТСР заголовка, номера серий (очевидно, имеется в виду совпадение размера, чексуммы, типа сервиса, с заявленными, номера портов, номера адресов с данными из (а фиг знает, откуда) ), и другое содержимое пакета используется для наблюдения за состоянием соединения, и любой пакет, не проходящий по параметрам, блокируется. Это позволяет ВФ вылавливать вредную активность наподобие скана портов, ДОС (атаки с целью вызвать отказ в обслуживании), фрагментированные атаки (кста, последнее - частый случай у меня - выглядит как мощный поток(до 50шт/сек) фрагментов) (комменты другим шрифтом).  

Цитата:
Судя по описанию, DNS service нужен только для локалки.  
- А при прямом подключении откуда комп берет айпи серва? У меня, например, по 53 порту запросы идут на местного прова (его серв). На локальные адреса по этому порту у меня блок/бан.
Цитата:
Есть ли у кого какие соображения по-поводу в каких случаях стоит включать Statefull Inspection
- Везде. Хотя, может у поста она как-то по-другому функционирует, у меня ко всему относится.
Цитата:
Control of All Protocols
While many firewalls filter only the IP protocols, ignoring others such as NETBEUI and IPX, VisNetic Firewall intercepts them all and can be configured to allow or block this type of traffic.  VisNetic Firewall can also control the less commonly used IP protocols such as GRE, which is required for VPN traffic.

Цитата:
Stateful Inspection Firewall
 
VisNetic Firewall falls into a class of firewalls called Stateful Inspection Firewalls.  Stateful inspection firewalls overcome the limitations of packet filter firewalls and application-proxy servers.  They examine more than just the "to" and "from" addresses, and do not require a proxy for every application being accessed.
Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses.  For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host.  Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic, making them inherently fast.
- лень переводить.. или надо?

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 19:58 16-04-2004 | Исправлено: bredonosec, 20:05 16-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Цитата:
Судя по описанию, DNS service нужен только для локалки.

Я об сервисе в NT/2K/XP, не об сервере провайдера.
 

Цитата:
Stateful Packet Inspection

Давай разберемся вместе чтобы не было всеобщих заблуждений о полезности этой фичи

Цитата:
 Every packet in a connection is checked to see if it is valid

Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.  

Цитата:
stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host

Чем может грозить поддельный response packet?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:18 16-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я об сервисе в NT/2K/XP, не об сервере провайдера.  
- понял.
 

Цитата:
Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.  
- Хм.. залез на сайт, в факе то-же, что и в файле помощи (чуть другими словами)  
Q. What is Stateful Inspection?  
A. Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses. For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host. Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic. This makes them inherently fast.

 - Ни слова о том, к каким пакетам относится. .. А, вот, нашел - в настройка правил - настройка действий, для пакетов, не предусмотренных никаким правилом - там действительно указано, что Stateful Inspection относится только к ТСР протоколу (и можно малость рехтовать эту самую инспекцию). Выходит, я ошибался.  

Цитата:
Чем может грозить поддельный response packet?  
- Для АРП - знаю точно  
1)спуфинг - ака перехват всего траффика жертвы методом подмены на его машине арп таблицы и перенаправления траффика через машину атакующего - ака создание "ложного АРП-сервера"  
2) флуд - забивка машины жертвы АРП пакетами с ложными данными о соответствии айпи и МАС других машин сети, в результате чего создается иллюзия полного отключения сети (ни к кому пробиться не может)
 Далее - предполагаемое
Для ТСР - всякие варианты нюков - или неправильно сформированные пакеты, создающие ошибки выполнения прог и т.д. (точно сказать не могу)
далее - т.н. тарпиты  
- Tarpits. A "tarpit" is a trap for troublesome outsiders. Your system accepts connections but never replies and ignores disconnect requests. This can leave spammers, worms and port scanners stuck for hours, even days. Now, entries in the Ban List can be set to be tarpits. Also, block rules can become tarpits:  
When "Ban" and "Tarpit" are chosen, the rule creates a tarpit for all IPs that try to connect and match this rule. It tarpits all ports for these IPs  
When "Tarpit" is chosen but not "Ban", the rule creates a tarpit only for matching connections. It tarpits all IPs for just the selected port range.

 
 Действие:  Нормальный обмен пакетами идет так:  
STATE   EXPLANATION    
LISTEN (Server) port is open and ready to receive traffic    
SYN_SENT (Client) the client machine wishes to open a connection with the server, so sends a SYN packet to request that communication begin    
SYN_RCVD (Server) the server has received the SYN packet and acknowledges, sending back a signal (SYN|ACK) to tell the client that the packet has been received and a connection is possible    
ESTABLISHED (Client)   the client has received the SYN|ACK signal from the server and sends back an acknowledgement to the server to let it know that it considers the connection to be established    
ESTABLISHED (Server)   the server has received an acknowledgement back from the client, completing the three-way handshake and establishing the connection    
FIN_WAIT_1 the side wishing to close the connection (this could be client or server) has sent a signal, and is awaiting a response    
FIN_WAIT_2   The side wishing to close the connection (client or server) has received an acknowledgement (ACK) and is awaiting the final FIN signal from the other side    
CLOSE_WAIT   the other side has sent a request to close the connection, but the connection has not been fully closed yet    
TIME_WAIT   the side that initiated the close request is waiting for acknowledgement that the connection has been closed    
LAST_ACK   the side that received the close request has sent back it’s own close request and is waiting for acknowledgement that the connection is closed    
CLOSED   after receiving a final acknowledgement (or waiting the required amount of time) the connection is considered closed

при тарпите ответ приходит, что соединение установлено, и запрашивающий может слать инфу. На дальнейшие запросы не отвечает, и закрыть связь запрашивающий не может. В результате соединение висит часами, отьедая память. Если таких соединений много - нет места для новых.  
  Насчет UDP - попробуй выжать что-нить из инфы по тому, что этот протокол вообще делает, на тему извращения - типа каждую функцию извратить. (в шапке ссылка на итеп.ру). Из "общей образованности" знаю, что в локалках немалая часть нюков идет по УДП, но т.к. сам никогда этим не занимался - с фантазией туго. (  
   ICMP - например, ложные сообщения об ошибках - типа ,получатель/сеть/порт/протокол недостижим, всевозможные требования фрагментации, переадресовки - в общем, всё, что реализуется данным протоколом. Полный список того, что им реализовано - на итеп.ру ICMP протокол

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 00:45 17-04-2004 | Исправлено: bredonosec, 00:48 17-04-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
вообще-то у меня (судя по логам Sygate) svchost ходит (пытается ) на time.windows.com:123, на сервак на 1900 порт, и (что очень странно!)

Ну это ж Time Synchronizer

Цитата:
(что очень странно!) по локалке на 80е порты

Он много куда ходит. Вы за ним понаблюдайте побольше и поймете, что полноценное функционирование рабочей станции в сети невозможно.

Цитата:
a DNS сверяется (резолвится) сетевым драйвером ndisuio.sys  
возможно поэтому все не обломалось при отключении svchost.exe от сети.

Ну не знаю, не знаю... у меня резолвинг идет через svchost.exe. Да и не только у меня -- не даром ведь Agnitum создал правила по-умолчанию для обращения к DNS. Да и люди частенько жалуются на проблемы с сетью, когда нечаянно запрещают сетевую активность для svchost.exe.
 
Кстати, в svchost.exe не числится компонент по имени ndisuio.sys.
 
spike

Цитата:
по воводу DHSP и DNS  
у знакомой остановил службы эти и нормально она работает в инете на динамическом ip

Wow! Я даже никогда бы не додумался останавливать их
 
А машину перегружали?

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 20:00 17-04-2004
miasnikov andrew



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
по локалке на 80е порты ...
Он много куда ходит. Вы за ним понаблюдайте побольше и поймете

А на 80-то зачем? Это же web-server?
 
ndisuio.sys - это Sygate так определяет сетевой интерфейс.
Пользующихся другими файрами - просьба не беспокоиться

Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 21:17 17-04-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miasnikov andrew

Цитата:
А на 80-то зачем? Это же web-server?  

Это для того, чтобы вы могли пользоваться WU.

Цитата:
11:01:18 svchost.exe TCP OUT wustat.windows.com 80 1146 HTTP connection
11:01:08 svchost.exe TCP OUT windowsupdate.microsoft.com 80 1141 HTTP connection
11:01:14 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1143 HTTP connection
11:01:15 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1144 HTTP connection

 
Добавлено

Цитата:
ndisuio.sys - это Sygate так определяет сетевой интерфейс.  

Сетевой интерфейс в вашем случае вообще-то не должен заниматься резолвингом DNS. Не его это дело.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 22:20 17-04-2004
miasnikov andrew



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
WU

хорошо бы Windows Update...
Но вот я не могу объяснить тот факт, что svchost пробует 80й порт каждого IP, на который я выхожу по smb-протоколу (файл-сервер мой, локалки и т.д.)
172.21.29.92:80 192.168.0.my:1414 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
172.21.29.105:80 192.168.0.my:1425 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
172.21.29.152:80 192.168.0.my:1552 Outgoing Blocked C:\WINDOWS\system32\svchost.exe

и так далее... троян что-ли? (вроде KAV, SAV, Spybot молчат)
есть идеи?
 
А про DNS и сетевой интерфейс давай замнем для ясности
Разные машины, разный софт - мало ли чего бывает. У меня сеть работает, чего и всем остальным желаю.

Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 01:01 18-04-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru