Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Не, только не ПМ. Давайте только не оффтопик, но тут.

----------
http://eika.narod.ru

Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 23:52 18-05-2004
AntiBIOtic



Пора жениться
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
правила для MSN (Windows Messenger)
Protocol TCP
Local port 1024- 65535
Remote port 1863, 6891-6901
Block Incoming Fragment
Block Incoming Conection
 
если нужно, добавьте в шапку

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.

Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 10:42 20-05-2004 | Исправлено: AntiBIOtic, 10:56 20-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AntiBIOtic
Спасибо за инфу, добавил в шапку

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:34 20-05-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AntiBIOtic
а что означает "Block Incoming Fragment"?
 
Karlsberg
вообще-то
Цитата:
Block Incoming Conection
можно было и не делать... по логике нашей таблички все, что не разрешено - запрещено (см. LAST RULE)

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 13:11 21-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Лучше перебдеть, чем недобдеть. Судя по всему, это особенность аутпоста, юзеров которого большинство. Я думаю, кто знает что делает, тому это не помешает.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:24 21-05-2004
AntiBIOtic



Пора жениться
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
а что означает "Block Incoming Fragment"?

это знасит что блокировать фсе фрагментированные входящие пакеты.

Цитата:
можно было и не делать... по логике нашей таблички все, что не разрешено - запрещено

а правило для блокирование фходящих пакетов ставлю фсегда (при необходимости). приучает к тщательности настройки
Karlsberg

Цитата:
Судя по всему, это особенность аутпоста, юзеров которого большинство.

не.. я связку VisNetic Firewall (фильтрация пакетов) + ZoneAlarm (апликейшн детект) юзаю  

Цитата:
Я думаю, кто знает что делает, тому это не помешает.

полностю согласен
 
ЗЫ полезный топик получился


----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.

Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 13:54 21-05-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg, AntiBIOtic
Да я, в принципе, про избыточность говорю. Т.е. для многих других клиентских приложений тоже надо бы прописать запреты. Мы этого не делали по умолчанию.
Но если душа просит - ради бога

Цитата:
блокировать фсе фрагментированные входящие пакеты
а разве фрагментированный входящий не попадает под правило для просто входящего?
 
Топик    и актуальный.  
Молодец Karlsberg!  

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 15:24 21-05-2004
AntiBIOtic



Пора жениться
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
а разве фрагментированный входящий не попадает под правило для просто входящего?

в визнетике  - нет. в зон аларме тоже надо отдельно галку ставить. на счет других файеров уже не помню

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.

Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 16:46 21-05-2004 | Исправлено: AntiBIOtic, 16:49 21-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а разве фрагментированный входящий не попадает под правило для просто входящего?  
в визнетике  - нет.  

 - Ща проверил - во всех разрешающих (не блокирующих) правилах по ТСР стоит "блок. входящие фрагменты.  
В помощи тож об этом написано. Так что, для виснетика это писать обязательно.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 19:06 21-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А не может-ли запрет фрагментированных пакетов привести к блокировке "хороших" соединений? Насколько я помню, максимальный размер пакета может устанавливаться как на самой писишке, так и на раутере. Может быть такое, что кто-то коннектиться ко мне из подсети с бОльшим размером пакета, тогда ко мне он приходит по частям, и файервол его игнорирует? Специалисты, помогайте...

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:39 23-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По идее, есть проверки на низких уровнях, и данные дублируются пока не совпадут с контрольными суммами (за точность формулировок не ручаюсь, что-то такое читал), так что выпадение нескольких пакетов не должно помешать правильной передаче инфы.  
А вот если все пакеты фрагментируются из-за превышения размера - тогда не знаю.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 17:19 23-05-2004
wand



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос - Разрешая passive ftp с его 1024-65535 remote ports, разве мы не открываем большую дыру в своей системе (почти все трояны в этом диапазоне сидят)?
 
Какой тогда смысл в запрете всего последним правилом, если мы почти все порты открыли (ну да, первая тысяча тоже хорошо, но все таки)

Всего записей: 136 | Зарегистр. 04-01-2002 | Отправлено: 21:50 24-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wand
В принципе, расчитано на то что файервол имеет конроль приложений, и разрешит входящее соединение только настроенному фтп-клиенту. Трояны могут сидеть в любом диапазоне, а так критичный диапазон "системных" сервисов прикрыт.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:05 24-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
разве мы не открываем большую дыру  
- В принципе, никто же не заставляет ВСЕ правила из таблицы себе ставить. Данное - только на случай,  

Цитата:
Специально для клиентов, которые не хотят или не могут принимать коннекты снаружи был создан Passive FTP. Клиент коннектится со своего порта N (из диапазонана 1024..5000) на 21-й порт сервера, а сервер сообщает клиенту порт для данных из диапазона (1024..65535). Тогда клиент открывает второй коннект на него со своего порта N+1.  
(см. ссылку на предыдущую шапку наверху). То есть, если у тебя этой проблемы нет - не ставь.  
2. Если трабла есть и поставил.
 а) оживляй правило только тогда, когда работаешь с фтп. В остальное время - дисэйбл.
 б) соединение - только на выход, так что, если троян еще не сидит у тебя, то попасть через эту дыру к тебе ему будет затруднительно.  
 
(ЗЫ. подобная ситуевина есть со скайпом - там тож кучу портов на кучу серверов открыть надо для нормальной работы. Спасался отключением правила когда не разговаривал.)
 
 Удачи.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 22:08 24-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
ситуевина есть со скайпом

Может, выложишь правила для него? Наверняка популярная штучка, за неимением достойных конкурентов.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:20 24-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ща, перепишу..  
 
Rule #
Let Skype out
MyAdress 1024-5000 - AllAddresses 1001-64000
Block incoming fragments  
Block incoming connections
Action - Allow & log connections
 
Rule #
Let Skype 33033 (in)
MyAddress 1024-5000 - AllAddresses 33033
Block incoming fragments
Block incoming connectios
Allow & log connections
 
 Два правила т.к. для слушанья (надеюсь, не путаю первое и второе, бо ща не установлен - проверить не смогу, только правила в наборе для стенки остались) достаточно одного нижнего, а для ответа - весь диапазон.  
 
Да, диапазон сервов (удаленных адресов)  можно уменьшить до 24,0,0,0 - 240,0,0,0.
Только вряд ли это сильно поможет.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 00:18 25-05-2004 | Исправлено: bredonosec, 00:28 25-05-2004
wand



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg, bredonosec
 
Я в принципе так и решил, т.к. браузером по фтп ходить извращение, на всякий случай  можно временное правило сделать. А аппликейшн детектом я не пользуюсь, надоело оно мне. Постоянно спрашивает всякую фигню (з.ы. раньше zonealarm стоял). А тут настроил немножко правил, и забыл.  

Всего записей: 136 | Зарегистр. 04-01-2002 | Отправлено: 08:38 25-05-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Класс, спасибо. Как только доберусь проверить их - засунем в шапочку.
wand
Дело в том что котроль приложений не зависит от того, будет файервол спрашивать о каждом коннекте, или нет. Его использование повышает защиту во много раз, а в настройках надо прописать чтобы работал молча.
Все правила из шапки, вместе с последним запрещающим, достаточны для файервола чтобы решить что нужно делать с пакетом или попыткой соединения, файервол ставится в режим работать молча, и по необходимости писать в лог.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:23 25-05-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как только доберусь проверить их  
- В теме про сабж пишут, что новая версия не требует столько, будто бы ей достаточно только 443, а то и вовсе 80 порта..  
 Не уверен, что этого им будет достаточно для связи, но на всякий случай уточняю - мои правила работали с версией 096.0.1  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 12:30 25-05-2004
AntiBIOtic



Пора жениться
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
правило для Time Sync (синхронизация времени)
Protocol - UDP
Filter data going - In & Out
Local - My adress. port 123
Remote - All adress. port 123 (или прописать сервак которым пользуетесь, например time.windows.com (207.46.130.100))
Block incoming fragments
 
ЗЫ может в шапку закинете?

----------
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости.

Всего записей: 2082 | Зарегистр. 01-10-2002 | Отправлено: 16:00 25-05-2004 | Исправлено: AntiBIOtic, 16:14 25-05-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru