Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
helix
Цитата:
часы показывают точно
да, конечно же, в системе все нормально. просто кто-то пользуется социальной инженерией...
По жизни, я бы никогда не пустил домой человека с улицы, который сказал, что может мне часы бесплатно подвести  (зачем ему-то это надо?)
 
Добавлено
Да, за последнее время (точнее 2.мая) у wzor'а была выложена серия хороших книжек по безопасности Hacknotes (сети, windows, др). Не знаю будет ли работать ссылка, но найти можно в разделе Bookz на www.wzor.net.

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 18:13 11-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP.  
- Вот вам и разница.
 

Цитата:
никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались.
- Ви мечтаете, а я имею.  
 Если интересно, могу сообщить, что около половины правил моей стенки относится к МАС адресам. (персональные, так сказать, правила). Еще 4 ARP правила - на 4 группы адресов. (с автобаном и автоподвесом ака тарпитом). (ох, расхвастался я чего-т.. :Р)
Цитата:
А в случае FTP/HTTP и т.д. нафиг не надо.  
- опоздал, сам уже допер -  

Цитата:
серв не обязательно есть шлюз.  



----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 01:25 12-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Давайте немного проясним ситуацию с уровнями OSI и как на это натягивается TCP/IP, поскольку когда это все писалось, они о друг дружке ничего не знали.
OSI Уровень 5-7 - конечная прога, работающая с инетом
OSI Уровень 4 - TCP и UDP
OSI Уровень 3 - IP, ICMP, ARP, RARP
OSI Уровень 1-2 - h/w, типа Ethernet, и др.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:43 12-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Ви мечтаете, а я имею.

 
Ну чтож, поздравляю. Кстати, я не мечтаю об этом, т.к. пока не было таких задач, чтобы требовалась фильтрация по MAC/ARP.
 
Karlsberg
 
Да на эту тему полно информации (ya.ru), причем написанной разными людьми.
 
Кстати, когда я писал OSI layer 3 я несколько недоговаривал -- правильнее было говорить и OSI layer 3 и layer 4.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 22:24 12-05-2004
renreg



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
А как твою табличку из шапки получить в виде таблички (картинки)?

----------
Заграница нам поможет
_____________________
renreg

Всего записей: 5117 | Зарегистр. 24-09-2001 | Отправлено: 07:45 15-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
renreg
Это bredonosec у нас спец по таким штукам
В принципе, можно сохранить эту страничку в html-е, открыть ее в ворде и сохранить в doc-е.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:22 15-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А как твою табличку из шапки получить в виде таблички (картинки)?

 
1. Если нужен растр, то делай скриншот. Дальше понятно.
2. Если нужна эл. таблица, то можно экспорт в Excel, например через правый клик мыши на таблице.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 12:49 15-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
renreg

Цитата:
А как твою табличку из шапки получить в виде таблички (картинки)?
- Или сохранить и нтмл код выдрать, или взять редактор (простейший, текстовой), запихать туда код таблицы из шапки и сменить [ на <, a ] на >
(вроде еще не все понимают тег [s] [/s], так что сначала желательно сменить [s] -> <small>, [/s] -> </small>.
Да, еще [color=#******] [/color] -> <font color=#******> </font>
 
 В общем, примитив. Учите нтмл!  
 
 А если в ёксель - просто выделяешь мышкой и копи-пасте.


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 18:47 15-05-2004 | Исправлено: bredonosec, 18:53 15-05-2004
RonnY



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Изучал табличку внимательно, просто хочу проконсультироваться про собственную ситуацию:
Outpost сегодня поймал след. запрос:
 
svchost.exe с моей машины пытается организовать удаленное соединение по TCP с адресом 192.168.0.1 по порту 2869
То же самое и с explorer.exe (но этот реже - 3 раза против 8-ми svchost.exe )
 
Я, ессесна, отклонил это дело. Что за странный запрос? И адрес, и порт?  
Антивирус ничего не нашел (пользую Stop!).  
 
Кто подскажет - создать правило на послед. блокировки таких запросов или это что-то нужное?

Всего записей: 267 | Зарегистр. 24-03-2004 | Отправлено: 20:44 15-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RonnY
 
Возможно это SSDP event notification TCP 2869.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 21:18 15-05-2004
Anna



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika  

Цитата:
Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP. никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались

bredonosec

Цитата:
Вот вам и разница  Ви мечтаете, а я имею  

 
Аутпост тоже фильтрует по МАКу.  
Используется "ARP fIltering aka Dmut SuperStealth plugin"    
 
 

Всего записей: 1116 | Зарегистр. 11-11-2002 | Отправлено: 09:04 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anna
 
Ок, теперь буду знать. Хотя не совсем понимаю, зачем это нужно.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 12:13 16-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
Ну например злобный хакер, в наглую сканирующий порты и пытающийся забраться на компьютер, заходя с dialup-а. По IP не забанить - он каждый раз новый. Отключаем его по маку, пусть тужится.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:33 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну например злобный хакер, в наглую сканирующий порты и пытающийся забраться на компьютер, заходя с dialup-а. По IP не забанить - он каждый раз новый. Отключаем его по маку, пусть тужится.

 
LOL!
 
Какой MAC в модемном соединении?
 
MAC -- это Ethernet! Ну и, возможно, DSL (если говорить о PPPoE), но на 100% последнего я утвеаждать не могу.
 
А в остальных случаях и думать забудьте

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 12:48 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Хотя не совсем понимаю, зачем это нужно.
Тебе мож и нет, а в сетке это самое оно
Karlsberg
Цитата:
заходя с dialup-а

Мак действует только в пределах твоей подсети, до первого же маршрутизатора

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 13:03 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Тебе мож и нет, а в сетке это самое оно  

 
Так я то тоже имею сетку, просто не представляю кретина, который будет хачить/флудить и т.д. с частой сменой IP на сетевом интерфейсе. Да если он до такого додумается, то почему бы ему сразу не додуматься периодически менять MAC? Это же не сложно...
 
А вообще, в базовой поставке OF 2 есть плаг Attack detection, который может временно блокировать удаленный IP (или всю подсеть) при множественных обращениях к портам (сканирование) и/или блокировать локальный порт при обнаружении DoS-атаки на него.  
 
Очень удобно -- ничего не надо делать ручками, а хацкеры, меняющие IP, отдыхают...

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 13:21 16-05-2004 | Исправлено: eika, 13:23 16-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika
neva102502
Написал первое что пришло в голову. Думал - мысль, оказалось - нет
Тогда просветите, что есть в диал-апе. Навеняка в PPP тоже есть уникальный ID модема.
И если у меня IP сеть построенная на token ring, там сетевухи другого типа?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:27 16-05-2004
neva102502



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eika

Цитата:
Attack detection, который может временно блокировать удаленный IP (или всю подсеть)  
Ага, отрубит твою машину от всей твоей же подсети, если какой небудь энтузазист попробует какую то новую програмку со странным название - сетевой сканер? так что ли ?

Цитата:
периодически менять MAC? Это же не сложно...  
Смотря на какой ОС. И по крайней мере это максимально (?) что можно сделать.
Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке. Но это уже не по теме топика.
OF это для диалапщиков и т.п. инетчиков ИМХО больше подходит, в ту сторону он и развивается в основном.  
 
Добавлено
Karlsberg

Цитата:
Навеняка в PPP тоже есть уникальный ID модема.  
ИМХО нет, тебя IP даётся, вот это и есть твой ID.

Цитата:
И если у меня IP сеть построенная на token ring, там сетевухи другого типа?
Если ты про различие в смысле возможности настроек MAC и т.п., то я про разницу не слышал.

Всего записей: 632 | Зарегистр. 17-07-2003 | Отправлено: 13:58 16-05-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502

Цитата:
Ага, отрубит твою машину от всей твоей же подсети, если какой небудь энтузазист попробует какую то новую програмку со странным название - сетевой сканер? так что ли ?  

Ну я же сказал, что можно только IP, а не всю подсеть. А если всю, то теоретически шлюз тоже блокируется и получается финиш . Хотя, это ИМХО уже излишество банить всю подсеть, т.е. даже если хацкер IP поменяет, то его опять автоматика забанит.

Цитата:
Смотря на какой ОС.  

Да ОС тут не всегда причем. Можно ведь и во флэш шить... но это уже требует временных затрат.

Цитата:
Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке. Но это уже не по теме топика.  

А я считаю, что следить 254 интерфейсами в домовой сети -- эти геморрой, т.к. там постоянно все меняется.

Цитата:
OF это для диалапщиков и т.п. инетчиков ИМХО больше подходит, в ту сторону он и развивается в основном.  

ИМХО -- он для конечных пользователей, а технология подключения тут роли не играет, т.к. та же настройка фильтров по MAC -- это прерогатива поставщиков услуг и корпораций. Продвинутых конечных пользователей в расчет не берем, т.к. это исключение из правила, причем маааленькое такое в % соотношении.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 14:21 16-05-2004 | Исправлено: eika, 14:23 16-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neva102502 и др.
Тогда вопрос на засыпку - что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:35 16-05-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru