Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
albel
Чего-то ссылка умерла. Ты у себя нигде инфу не сохранил? Объяснения там хорошие были

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 13:18 26-12-2004
Demetrio

uid=0
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто-нибудь в курсе, почему столько народу вечно ломится на 1214 порт?
 

Цитата:
kazaa    1214/tcp   KAZAA
kazaa    1214/udp   KAZAA

 
Казы у меня там естественно нету.

Всего записей: 9967 | Зарегистр. 29-05-2002 | Отправлено: 13:32 03-01-2005
albel



Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bredonosec

Цитата:
То есть, убрать пару портов? Можно, конечно, но там последний апдейт инфы был  
Last Update: 23.07.2003 11:15  

проверено у себя в системе: ослу вполне хватает данных портов, скорость U/D приличная, поэтому зачем плодить открытые порты?
 
Karlsberg

Цитата:
Со времен написания шапочки к ослику добавились Кадемлиа и Веб-интерфейс, придется добавлять

ну, про эти добавки сказать не могу ничего, бо не пользую.
Кстати, линк живой на emule-project, на всякий случай скопирую инфу сюда:

Цитата:
1)   Local Port:   4662
  Remote Port: any
  Protocol: TCP
  Direction: incoming
  Purpose:
 
Client Port / Connections from other clients, Client to Client Source Exchange
  Note:
 
You can change this port in Preferences -> Connection -> Client Port
This port has to be forwarded in a router. Changing this port in Preferences you must also change the forwarding in the router
 
 
2) Local Port: any
  Remote Port: 4662
  Protocol: TCP
  Direction: outgoing
  Purpose:
 
Client Port / Connections to other clients, Client to Client Source Exchange
  Note:
 
4662 is the default port, but other clients may have different settings. Change the remote port to any when configuring a firewall
 
 
3) Local Port: 4672
  Remote Port: any
  Protocol: UDP
  Direction: incoming
  Purpose:
 
Clients source asking / extended eMule protocol, Queue Rating, File Reask Ping
  Note:
 
This port has to be forwarded in a router. Changing this port in Preferences you must also change the forwarding in the router.
If you are not able to forward this port check the disable box in Preferences -> Connection -> UDP Port
 
 
4) Local Port: any
  Remote Port: 4672
  Protocol: UDP
  Direction: outgoing
  Purpose:
 
Clients source asking / extended eMule protocol, Queue Rating, File Reask Ping
  Note:
 
4672 is the default port, but other clients may have different settings. Change the remote port to any when configuring a firewall
5) Local Port: any
  Remote Port: 4661
  Protocol: TCP
  Direction: outgoing
  Purpose:
 
Connection to server
  Note:
 
4661 is the default port of a server. Many server use different ports. Configuring a firewall the remote port again changes to any.
 
 
6) Local Port: any
  Remote Port: 4665
  Protocol: UDP
  Direction: outgoing
  Purpose: Source asking on servers
  Note:
 
Servers using the default port 4661 TCP (see #5) automatically set their port for source asking to 4665 UDP. If a server uses a different port in #5 the corresponding UDP port is set to [Connection Port + 4]. For firewalls the remote port here is any.
 
 
7) Local Port: 4711
  Remote Port: any
  Protocol: TCP
  Direction: incoming
  Purpose: Webserver
  Note: This is the default port for the web interface. When using a router this port has to be forwarded or no connection to the webserver will be possible.
 
 
Добавлено
Demetrio

Цитата:
Кто-нибудь в курсе, почему столько народу вечно ломится на 1214 порт?  

а из p2p вообще стоит что-либо?

----------
Я никогда не спорю. Я никогда не противоречу. Я иногда забываю. / © Б.Дизраэли/

Всего записей: 11003 | Зарегистр. 30-08-2002 | Отправлено: 20:17 03-01-2005
Demetrio

uid=0
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
albel
Нет, у меня там FreeBSD

Всего записей: 9967 | Зарегистр. 29-05-2002 | Отправлено: 22:58 03-01-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
albel

Цитата:
проверено у себя в системе: ослу вполне хватает данных портов,  
Кста, там указано в нескольких правилах ставить ANY как локальным, так и удаленным портом при исходящем соединении. А точнее, 2 правила по ТСР, одно по УДП. Может, есть смысл там их сократить?
 Я пока не стал этого делать, только объеденил по признакам правила - вот что получилось.
Не слишком сокращено? Есть шанс понять, о чем речь, или переделать всё нахиг?  
 Если понравится - завтра пихну в шапку.  
(если кто пожелает сам такую честь принять, на всякий пожарный, старый вариант запихните вторым постом в ту тему - чтоб если что не писать заново )

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 05:20 04-01-2005
Kac



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ помогите плиз..
замучался уже...
 
Есть такая аська - Корпоративная
 
Сервак стоит на 172.31.10.10 порт 1352 с серваком общается клиент по УДП
отправка на сервак с диапазона 1000-5000 на 1352
прием с 1352 на  1000-5000
 
С другими клиентами по ТСП общается
диапазон портов такой же...
как правило написать а?
НУ ЗАПАРИЛСЯ Я УЖЕ!

Всего записей: 41 | Зарегистр. 10-08-2004 | Отправлено: 14:01 18-01-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kac
Разрешить входящие/исходящие с локальных портов 1000-5000 на 172.31.10.10:1352 (или на 172.*.*.* порты 1000-5000, если все соседи по локалке сидят на 172.*.*.*). А какой файер, может в нем проблема?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 17:51 18-01-2005
Kac



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за ответ.
Но хотелось бы поподробнее.
Фаер именно ЛукНСтоп. Трудновато для понимания написание правил.
Сейчас все работает НО! Я открыл ТСП и УДП соединения на мою машину на порты 1000-5000 и на другие машины из диапазона 172.31.х.х на теже порты Это кажется сводит на нет всю работу фаера .
Раньше не работало потому что я указал (как я думал) программу для этого правила - ICQ Corp, а как выяснилось - это критерий когда правило будет работать.  
В общем трудно но фаер понравился.
Может есть те кто с ним поплотнее уже познакомился...
Спасибо!

Всего записей: 41 | Зарегистр. 10-08-2004 | Отправлено: 07:04 19-01-2005
ArtLonger



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kac
По Look 'n' Stop есть отдельная тема: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11450&all

Всего записей: 1853 | Зарегистр. 06-10-2001 | Отправлено: 10:03 19-01-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kac
Давай поподробнее... Только уточним пару деталей.
По инфе из интернета icq использует исходящий TCP с локальных портов 1024-5000 на порт сервера, который в твоем случае 1352 (а не стандартный для icq 5190).
 
Для твоей icq должно быть создано правило для коннекта на icq-сервер:
разрешить исходящий TCP с локальных портов 1024-5000 на 172.31.10.10:1352 для icq.exe
По идее, этого должно быть достаточно.
 
Если вдруг корпоративная версия использует и UDP в обоих направлениях, ставишь входящие/исходящие и TCP&UDP.
 
Если она еще и позволяет прямые коннекты между пользователями, нужно создать правила
1. разрешить входящие/исходящие TCP&UDP с локальных портов 1024-5000 на 172.31.*.*:1352 для icq.exe
2. разрешить входящие/исходящие TCP&UDP с локального порта 1352 на 172.31.*.* порты 1024-5000 для icq.exe
 
Поскольку 1352 находится в диапазоне 1024-5000, то можно все заменить одним правилом
разрешить входящие/исходящие TCP&UDP с локальных портов 1024-5000 на 172.31.*.* порты 1024-5000 для icq.exe
 
А поскольку адрес сервака 172.31.10.10:1352 тоже находится в уже разрешенном диапазоне, можно оставить только последнее правило.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:39 19-01-2005
Kac



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо
Все верно... все правильно так и работает НО! что мы видим?
Поправьте меня если я не прав.
 
На машине открыты порты с 1024 по 5000 протоколов ТСП и УДП на вход! ИИИ ! не указано приложение которое должно их обрабатывать! Т.е. кто или что угодно могут попасть на машину имея я это правило!?
 
Верно?

Всего записей: 41 | Зарегистр. 10-08-2004 | Отправлено: 11:31 19-01-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ИИИ ! не указано приложение которое должно их обрабатывать! Т.е. кто или что угодно могут попасть на машину имея я это правило!?  
 
Верно?
- Это зависит от конкретного файервола. Тут, так понимаю, порты и соединения. А аппликейшн контроль вполне можно в теме по конкретно твоему файеру прояснить, бо эта часть сильно различается у разных стен. (у некоторых вообще отсутствует )

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 13:00 19-01-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kac
Эти правила должны быть определены только для exe-шника который icq corporate. Если при этом ничего не работает, то надо послушать bredonosec и спросить в теме про look'n'stop

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:16 19-01-2005
Kac



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо всем ответившим.
Недоглядел тему . Думал тут про ЛукНСтоп.

Всего записей: 41 | Зарегистр. 10-08-2004 | Отправлено: 06:25 20-01-2005
cyberfreak



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сразу сильно извиняюсь, если подобный вопрос уже поднимался ранее, но у меня просто нет времени изучать всю данную ветку от начала до конца. Вобщем, машина у меня в NT-домене и меня интересует, какие порты надо открыть для нормальной работы компа в данных условиях. С outpost'ом вроде бы все было понятно (т.е. мне не то чтобы понятно, просто он сам все делал), но теперь взялся за look 'n' stop с его достаточно специфическими (ИМХО, наиболее правильным, просто не превычными) представлениями о создании правил. С netbios'ом вроде как все понятно. Собственно интересуют такие стандартные сервисы NT/2000/XP как скажем microsoft-ds (445), ldap (?), ntp (123) и еще что-то там такое. Зачем они вообще нужны и как они в общих чертах работают (т.е. что, откуда/куда, когда и зачем шлют/принимают)?

Всего записей: 197 | Зарегистр. 08-07-2004 | Отправлено: 19:02 20-01-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cyberfreak
Знаю только NTP - Network Time Protocol (RFC1305), синхронизирует часы компа с сервером или серверами. Сервер слушает на 123-ем порту по UDP. На компе бежит сервис Windows Time, который периодически шлет запросы на NTP-сервер(ы), и если надо двигает время.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:51 23-01-2005
ser2

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопросик возник ....
Машина работает как инет-сервер, Win2000 server, mdaemon, wingate, visnetic firewall.
Раньше было 2 сетевых интерфейса:
1. Сетевуха, смотрящая в локалку (192.168.10.1).
2. USB-модем ADSL, выглядящий как сетевуха, смотрящий в инет (213.х.х.х).
Вопросов не было, фаер настроил, все работало о.к., сканил тем-же www.pcflank.com (как-бы внешним сканером), тот писал все ок, все порты stealthed.
 
Появились деньжата, приобрел ADSL LAN-модем, подрубил вторую сетевуху для него, настроил, инет пашет, получилось:
1. Сетевуха, все также смотрящая в локалку (192.168.10.1).
2. Сетевуха, смотрящая в модем (192.168.10.2). Модем смотрит в эту сетевуху как 192.168.10.3, в инет смотрит как 213.х.х.х.
Настройки фаера не менял, т.к. в винде остались все те-же 2 сетевых интерфейса.
 
Все работает, но есть вопрос:
Повлияют ли эти перемены на безопасность, т.к. теперь www.pcflank.com ругается, что порты якобы открыты... Я так понимаю что сканит он внешний IP, т.е. модем, который может быть там что-то и пропускает, но ведь фаер-то все что не надо режет на сетевухе,подрубленной к модему, т.е. все должно быть закрыто. Просто не могу до конца понять процесс маршрутизации пакетов, если можете, подскажите на что ругается внешний сканер (www.pcflank.com.).
 
Заранее спасибо.
 

Всего записей: 232 | Зарегистр. 26-03-2003 | Отправлено: 10:09 27-01-2005
Liberty_2000

Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
cyberfreak
Про то _как_ работают сервисы в НТ-домене это ИМХО не в этот топик. А в шапке для них все необходимое для создания правил написано...

----------
Праздник без водки как паспорт без фотки

Всего записей: 2737 | Зарегистр. 09-07-2002 | Отправлено: 12:30 27-01-2005
loat



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
такая ситуация у меня 2 файрвола 8signs (пакетный файр) и ZAP (только контроль приложений, функции файрвола выключены)  
 
и вот в логах у 8signs такая строчка - 2005/01/26, 14:46:21.749, GMT +0300, 2007, Device 2, Blocked outgoing TCP packet (no matching rule), src=10.6.1.12, dst=208.185.174.65, sport=1055, dport=443  
 
мне хочеться узнать что это за программа лезет куда-то в инет (сам я в локалке и таких айпишников нет) а ZAP молчит как портизан и не говрит что это за прога  ломиться в инет.  
 
как узнать что за прога???

Всего записей: 89 | Зарегистр. 24-01-2005 | Отправлено: 23:45 27-01-2005
naPmu3aH



Из лесу вышел
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
loat

Цитата:
и вот в логах у 8signs такая строчка - 2005/01/26, 14:46:21.749, GMT +0300, 2007, Device 2, Blocked outgoing TCP packet (no matching rule), src=10.6.1.12, dst=208.185.174.65, sport=1055, dport=443

Броузер или другая софтина, которая пыталась пойти на HTTPS ресурс

----------
Ну і хто тебе кликав, чому ти прийшла, Стара проститутка, сука-війна? Хто тобі платить за наші тіла? Скільки ще тобі треба, яка їх ціна?

Всего записей: 4643 | Зарегистр. 30-10-2001 | Отправлено: 00:41 28-01-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru