Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
sport=1055, dport=443    
- Выглядит как соединение броузера по защищеному каналу (для броузера зарезервированы с 1024 по 5000, а порт 443 - Https). По дефолту вообще-то в виснетике включено правило "Web brouser https" - выключил?  
 А куда ломится - жмакни правым на пакете, оттуда - who is /ip number/ - и этот сервис тебе всю инфу выдаст о том, кто такой там проживает. А от этого танцуя, и зная, чего у тебя на компе стоит, поймешь, что за прога.  

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 00:43 28-01-2005
ruvince



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может уже было - нет времени читать всю тему.
 
For ICQ to successfully work behind a firewall the following system configurations must be set by the System Administrator for the systems network.  
Client to server Communication:  
This is done via port 5190 TCP to login.icq.com (please note- allow a bi-directional connection to the port for login.icq.com and not any specific IP address, since it stands for more than one IP address).
 
Теоретически надо прописать в правиле адрес login.icq.com. Но мой файервол (symantec client security corp) отказывается пускать асю в нет. Используется очень широкий диапазон айпи (смотрел по connection attempts). Пришлось прописать диапазон 64.12.1.1-64.12.255.255.
 
ЗЫ: вышеупомянутый файервол при запуске icq lite засек активность трояна (за исключением этого факта компьютер чист).

Всего записей: 43 | Зарегистр. 02-02-2005 | Отправлено: 02:30 14-02-2005
ruvince



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для тех, кто качает файлы из IRC.
Разрешаем следующее:
1. все исходящие TCP: помимо необходимых для коннекта с сервером портов 6660-6669 используются случайные порты для подтверждения приват-чата с с DCC-сервером и для получения файла.
2. входящие TCP на порты 113 (авторизация на сервере), 1024-5000 (DCC - прием файлов), а также 59 (если у вас в опциях включен локальный DCC server - разрешает прием файлов в обход удаленного сервера=direct connect).
 
PS: раз уж в табличке упомянуто про правило block all скажу про одно общее для всех приложений правило при LAN подключении: всем интернет-прогам нужно разрешить исходящие UDP на порт 53 для айпи вашего локального dns-сервера (прописан в свойствах соединения--TCP/IP properties)

Всего записей: 43 | Зарегистр. 02-02-2005 | Отправлено: 19:13 14-02-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ruvince
Спасибо за DCC, только можно чуть подробнее, кто к кому коннектится и по какой причине, и на какие порты (локальный - ремоут)?
DNS есть в шапочке и объяснения в старой шапке

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:00 15-02-2005
ruvince



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подробнее напишу как только айпи моего провайдера разбанят на EFNet'e >(
 
кстати,пытаясь соединиться обнаружил что и для коннекта с серваками недостаточно открыть порты 6660-66670 - попался серв на 7000

Всего записей: 43 | Зарегистр. 02-02-2005 | Отправлено: 13:36 15-02-2005
DeeJay

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как настроить Оутпост чтобы можно было нормально галереи с фотками смотреть ? А то нифига их не грузит...

Всего записей: 2 | Зарегистр. 01-03-2004 | Отправлено: 04:14 08-03-2005
Wandron



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Стоит Outpost 2.5.375(374) Периодически выскакивает запрос:    Блокирую, а на следующий день повторяется, но уже с другого IP, но тоже моего родного Stream.
В это время качает bittorent Azareus. Это кто лезет или Azareus виноват?

Всего записей: 280 | Зарегистр. 18-08-2003 | Отправлено: 18:07 08-03-2005 | Исправлено: Wandron, 00:25 09-03-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Wandron

Цитата:
Блокирую, а на следующий день повторяется, но уже с другого IP, но тоже моего родного  Stream.  
- Одинаковость в том, что порт один и тот же? А какой удаленный порт? Одинаковый, или тож разный ?  

Цитата:
В это время качает bittorent Azareus. Это кто лезет или Azareus виноват?  
- А когда НЕ качает, когда выключен, или когда включен, но не качает - появляется? Или нет?  
 В ответе на этот вопрос находится ответ на твой вопрос - он или не он.  

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 19:48 08-03-2005
Wandron



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Локальный порт всегда 1025, удалённый порт попробую в следующий раз посмотреть. Пока Azareus на раздаче, не охота отключать, но завтра выключу и посмотрим что получится.
Попробую при следующем запросе просмотреть всё досконально. Но если не Azareus, то что можно предпринять, кроме стука провайдеру?

Всего записей: 280 | Зарегистр. 18-08-2003 | Отправлено: 22:41 08-03-2005
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Wandron
 
У меня нет  ни Azareus ни какого-либо p2p только Serv-U - ftp daemon.
но точно та же проблема регулярно всплывает то же окошко  причем соединения к порту 1025 требуют только компьютеры из нашей локальной сети академгородка (remote port  случайным образом  из >1025.
Не стал мудрить - просто создал системное правило block TCP, inbound, localport 1025,
Все стало спокойно, а на работу passive FTP  (там этот порт мог быть запрошен как я понимаю) это не влияет

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 00:02 09-03-2005
Wandron



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Вообще то у меня ещё CuteFTP бывает запущен, но на него я даже не думал Может действительно что-то фтпшное?
Цитата:
Не стал мудрить - просто создал системное правило block TCP
Просто заблокировать можно, но не интересно, хочется резобраться в чём дело. Завтра попробую всех клиентов выключить и посмотрю что будет.

Всего записей: 280 | Зарегистр. 18-08-2003 | Отправлено: 00:21 09-03-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Локальный порт всегда 1025, удалённый порт попробую в следующий раз посмотреть.  
- Если разный, то выход спектра - самый простой.  
А если разобраться - то именно, отключив клиенты. И если прекратится - включать по одному (не один за другим, а следующий после отключения предыдущего - чтоб только один в одно время работал).
А адрес твой - с которого стук - московский. Частный адрес от московского провайдера. Весьма возможно, что это место, откуда льёшь, или откуда с тебя льют что-то.. (или битторент напрямую клиентов не соединяет? только через трекер?  не юзал просто никогда его..)

Цитата:
9 марта 2005 г., 0:34:53
Looking up 83.237.60.108...
 
inetnum:      83.237.0.0 - 83.237.63.255
netname:      MTU-PPPOE
descr:        ZAO MTU-Intel
descr:        27 Smolenskaya-Sennaya Sq., bld. 2
descr:        119121, Moscow
descr:        Russia
admin-c:      MTU1-RIPE
tech-c:       MTU1-RIPE
country:      RU
status:       ASSIGNED PA
mnt-by:       MTU-NOC
changed:      lir@mtu.ru 20041013
source:       RIPE
 
 
route:        83.237.0.0/16
descr:        ZAO MTU-Intel's Moscow Region Network
descr:        ZAO MTU-Intel
descr:        Moscow, Russia
origin:       AS8359
notify:       noc@mtu.ru
mnt-by:       MTU-NOC
remarks:      *****************************************
remarks:      Please send abuse reports to abuse@mtu.ru
remarks:      *****************************************
changed:      noc@mtu.ru 20040213
source:       RIPE
 
role:         MTU-Intel NOC
address:      ZAO MTU-Intel
address:      Mamonovskij pereulok d.5, build.1,2
address:      P.O. BOX 38 123001
remarks:      *****************************************
remarks:      Please send abuse reports to abuse@mtu.ru
remarks:      *****************************************
phone:        +7 095 903 9577
fax-no:       +7 095 903 2524
e-mail:       lir@mtu.ru
admin-c:      AVZ-RIPE
tech-c:       OB36-RIPE
tech-c:       AVZ-RIPE
tech-c:       RVP-RIPE
nic-hdl:      MTU1-RIPE
mnt-by:       MTU-NOC
changed:      lir@mtu.ru 20021018
changed:      noc@mtu.ru 20040213
changed:      rvp@mtu.ru 20041223
source:       RIPE

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 01:37 09-03-2005 | Исправлено: bredonosec, 01:38 09-03-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Wandron
Скорее всего, это червяк сканирует компы на открытые порты. При загрузке системные сервисы с динамическими портами получают низкие номера (начиная с 1024).
Если в файере включен контроль приложений, и системным службам разрешен вход-выход только их статическим портам, то ничего страшного не произойдет, имхо. А стучать провайдеру бесполезно.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 08:32 09-03-2005
Wandron



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Karlsberg

Цитата:
ZAO MTU-Intel  
Ну да, это мой тариф MTU Stream и есть. Наши IP рядом со злоумышленником.
Цитата:
Весьма возможно, что это место, откуда льёшь, или откуда с тебя льют что-то..  
С этого адреса не лили точно, но вот подключиться на пару минут и увидеть IP могли (торент напрямую подключается), и следовательно, попробовать адресно влезть.
Цитата:
Скорее всего, это червяк сканирует компы на открытые порты
Может и правда червяк сидит у человека, а он об этом и не знает, но тогда он лил бы с меня наверное что-то.
Цитата:
Если в файере включен контроль приложений, и системным службам разрешен вход-выход только их статическим портам
Вроде всё включено и влезть не могли, но когда это повторяется неделю, становится просто интересно. Может самому попробовать посмотреть, хто ето там? Жалко не умею А может у меня червяк? Но KAV не находит.
2 часа сижу в инете без клиентов, тишина. Сейчас включу Azureus...
 
Добавлено:
Тишина, даже странно. Качает и FTP и Торрент.

Всего записей: 280 | Зарегистр. 18-08-2003 | Отправлено: 19:59 09-03-2005 | Исправлено: Wandron, 20:00 09-03-2005
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Детишки балуются в самодельном чате. Исходники пока не смотрел. Чат работает так, запускается прога и создается текстовый файл. Другие участники открывают этот файл по сети и в него пишутся сообщения. Других подробностей пока не знаю. Вопрос реально ли средствами Win2000 закрыть к-либо порты в настрйках соединения чтобы не работал этот чат, но можно было пользоваться сетью?

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 08:42 02-04-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чаты чаще всего работают на 8167 порту. Но лучше своей стенкой или отдельным сканером последи, на какие порты в сети есть активность, если кроме обычных - 1024-5000, 80, 8080, 21, 20, 137-139, 53 будет еще что-то - возможно, это оно.  
 Так что, закрыть можно, но для этого надо выяснить, на каком порту работают.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 18:10 06-04-2005
gddhfsh

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zonealarm перестал писать логи, что за глюк?Кто нибудь сталкивался?В настройках все включено.

Всего записей: 17 | Зарегистр. 15-01-2005 | Отправлено: 21:51 06-04-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.  
- из шапки.  

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 22:13 06-04-2005
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
В том то и дело что там никто не заморачивался про порты и сокеты. Один участник создает текстовый файл на расшареном диске, а другие по сети его открывают. Сам хотел посмотреть каким нибудь снифером.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 07:48 10-04-2005
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
я так понимаю, что физически открывают файл по сети и используют стандартные средства Windows (см. правила для ntoskrnl.exe)...
Если закрыть эти порты - сеть для передачи файлов работать не будет  
Но останутся "интернет", мэйл, фтп и проч... тут надо знать, что ты понимаешь под "пользоваться сетью"

----------
Новый ИЖ-кабриолет стал мощнейшим ударом по машиностроению Германии: лопнул от смеха директор концерна BMW

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 13:06 11-04-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru