Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Skype такое количество соединений создает по UDP  
- в теме по нему проскальзывало, что распределяет нагрузку по разным путям.. сам как юзал - тож по 20-40 в секунду жарил (пофильтруй по прогам/флейму).
Цитата:
что у меня вчера 8sings Firewall просто вывалился.  
- вывалился именно за счет 2 стен. У меня в разы больше пакетов в секунду регистрировал (особливо когда я оффлайном лил учебники, одновременно флешгет и ИЕ активно юзая, а в лок сети флудили..), а никаких сбоев.  

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 19:31 01-08-2005
TCPIP

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
А кто таков SYSTEM? Мильон раз тут уж задавался вопрос, но ответа, окромя
Цитата:
Процесса SYSTEM не существует
не было. Известен ли ответ сейчас? Потому как, если и он и не существует, то как-то странно, чтобы это было совсем одно и то же, что хост служб, ибо брандмауэр их совершенно отчетливо дифференцирует.

Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 00:08 03-08-2005 | Исправлено: TCPIP, 00:19 03-08-2005
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TCPIP

Цитата:
А кто таков SYSTEM?  
- На данный момент сижу на 98 и проверить не могу (может, получится привязку мака обмануть и на другой машине с хр выйти..), но насколько помню, есть пользователь "система". Который имеет свои собственные права на те или иные файлы, ветки реестра и собственые настройки доступа в сеть. (где-то в поздемке обсуждался способ обойти запароленный вход, залогинившись от лица "системы" и чего-то творя на машине жертвы... )  
 
А вот зачем пользователь "система" лезет в инет - толь обновляться, толь еще зачем - это покамест не имею возможности поглядеть..

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 01:31 03-08-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TCPIP

Цитата:
А кто таков SYSTEM?

Я думаю, что у разных файеров токлование этого термина слегка разное, но в общем имеется в виду просто служба (service). Часть из них обычные exe-файлы, а часть - dll-ки и поднимаются с помощью svchost.exe или dllhost.exe. СтОит посмотреть мануал твоего файера, что именно они имеют в виду (типа, считают ли они службой также и exe, или только svchost и dllhost).
Насчет юзера SYSTEM - это только в файерах которые умеют отличать, под каким юзером бежит приложение или служба, и показывают его в категории "username".

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 11:58 03-08-2005
SuperDee



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А почему по svchost.exe инфу в шапку не закинули? Прочитал топик - столько советов всяких!!!
У меня Outpost постоянно выкидывает окно  

Цитата:
Generic Host Process for Win32 Services
Пpилoжeниe зaпpaшивaeт вxoдящee coeдинeниe c
Лoкaльный пopт             UDP:1216
Лoкaльный aдpec           213.85.118.24
Удaлeнный aдpec:          212.15.127.1

порты и адреса есс-но разные. Разрешать полный доступ ему нельзя, блокировать тоже. что же делать? "A Guide to Producing a Secure Configuration for Outpost" просмотрел, но в англ. не силён, да и много лишнего там.
Инет у меня - диалап. Ось - ХРСП2.

----------
Крепко жму горло, искренне ваш...

Всего записей: 2924 | Зарегистр. 25-04-2004 | Отправлено: 13:07 07-08-2005
Wandron



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SuperDee
Создай правило для Generic Host Process for Win32 Services, где
 
Цитата:
Лoкaльный пopт             UDP:1216  
Удaлeнный aдpec:          **********
Галочка "Блокировать".
http://forum.ru-board.com/topic.cgi?forum=5&topic=15976&glp в шапке доки на русском.

Всего записей: 280 | Зарегистр. 18-08-2003 | Отправлено: 17:59 07-08-2005 | Исправлено: Wandron, 18:13 07-08-2005
SuperDee



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Wandron

Цитата:
Лoкaльный пopт             UDP:1216  
Удaлeнный aдpec:          **********

Ещё был порт 1090, кажется. Удалёный адрес тоже разный. Направление In\Out.
Каждый новый запрос на новый порт постоянно блокировать, создавая правило?

Цитата:
в шапке доки на русском.

Почитаю.
 
Добавлено:  
Прочитал  

Цитата:
Руководство пользователя (OF 2.5) | Приступая к работе (OF 2.5)

Про настройку svchost там не сказано, а лишь общая инфа, которую я читал ещё для версии 2.1.

----------
Крепко жму горло, искренне ваш...

Всего записей: 2924 | Зарегистр. 25-04-2004 | Отправлено: 20:32 07-08-2005 | Исправлено: SuperDee, 22:59 07-08-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SuperDee
Советую посмотреть хорошим таск-менеджером, с какими параметрами поднята эта dll (в файере ищется Process ID и потом в таск-менеджере можно найти этот процесс по ID). По параметрам запуска в 90% случаев можно понять, что это за служба и может быть отключить ее на фиг за ненадобностью.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:05 07-08-2005
TCPIP

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
01:31 03-08-2005
Цитата:
Который имеет свои собственные права на те или иные файлы, ветки реестра и собственые настройки доступа в сеть

Похоже так и есть: это хреновина, которая работает с реестром.
Цитата:
А вот зачем пользователь "система" лезет в инет - толь обновляться, толь еще зачем - это покамест не имею возможности поглядеть..  

Иногда действительно лезет обновляться на сайт к микрософтовским партнерам (как их там, забыл, их еще download.com использует), а тут полез на какой-то хост в Австралии в подсети DARPA... Чего он им там реестр правит?   Вот, что называется удаленной правкой мозгов из-за океана.
 
Karlsberg
11:58 03-08-2005
Цитата:
Я думаю, что у разных файеров токлование этого термина слегка разное, но в общем имеется в виду просто служба (service).  

В том-то и дело, что, скорее всего, нет.

Цитата:
Насчет юзера SYSTEM - это только в файерах которые умеют отличать, под каким юзером бежит приложение или служба, и показывают его в категории "username".

С пользователем понятно. Имеется в виду имя образа.

 
Щит, и чего в Касперском нет заводских настроек для пассивного режима FTP??? Приходится самому добавлять. Неужели работа в пассивном режиме столь экзотичный случай?
 
 

Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 23:05 07-08-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TCPIP

Цитата:
скорее всего, нет

К чему относится "нет"? К разному толкованию или к тому, что system это не сервис?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:31 07-08-2005
Wandron



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SuperDee
Про svchost можно ещё в Версия для печати почитать, довольно много написано, но я обычно, жму "Блокировать однократно" и часто помогает , если начинает доставать создаю правило, проверяюсь на вирусы и aware, чищу реестр.
P.S. A в правиле оставляй только порт и протокол, остальные галки сними.
Это самый простой путь. Можно копать глубже, но об этом уже писали.

Всего записей: 280 | Зарегистр. 18-08-2003 | Отправлено: 00:39 08-08-2005 | Исправлено: Wandron, 00:54 08-08-2005
TCPIP

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
23:31 07-08-2005
Цитата:
К чему относится "нет"? К разному толкованию или к тому, что system это не сервис?  

К последнему. Вот, что про него пишет WinTasks:

Цитата:
Path: System  
Name: System  
EXE Name: Windows Memory Handler System Process  
EXE InternalName:  
EXE LegalCopyright:  
EXE Desc: system is a process which shows up on the tasks on mainly Windows XP, Windows 2003 server and later version of Windows. This is a default system counter and cannot be removed.
EXE Author: Microsoft Corp.  
OS: Windows XP  
 
 
Хотя это никак не отвечает на сам вопрос, зачем же ему тогда с кем-то соединяться.
 

Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 01:21 08-08-2005 | Исправлено: TCPIP, 01:23 08-08-2005
SuperDee



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Советую посмотреть хорошим таск-менеджером

В след. раз посмотрю.
 
Wandron

Цитата:
Про svchost можно ещё в Версия для печати почитать, довольно много написано

Пытался ещё до задавания вопроса, но кто-то говорит надо настроить так, кто-то вообще запретить svchost и заюзать DNSExplorer (или чё-то в этом роде). Короче, запутался.

Цитата:
я обычно, жму "Блокировать однократно" и часто помогает

И я, и я, и я того же мнения.

----------
Крепко жму горло, искренне ваш...

Всего записей: 2924 | Зарегистр. 25-04-2004 | Отправлено: 08:39 08-08-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TCPIP
Тогда мы возвращаемся к разному толкованию, потому что хелп по Тини/Керио определяет сей термин однозначно:

Цитата:
Application — the local application's executable including the full path. If the application  
is an operating system service, the name displayed will be SYSTEM.

А если ты имеешь в виду тот System, который показан в Windows Task Manager-е, то это не тот system, который в файерволе Виндоусовский System в интернет не ходит, насколько мне известно. Но я проверю.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:26 08-08-2005
Lapochka ili Chai



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как именно следует настраивать файервол на работу с Emule?
 
Достаточно ли создать правила для программы emule.exe, открыающие для неё вышеуказанные порты  
( а именно:  
in TCP: 4662,4711, 4712 /any  
out TCP: any / 1025-65535  
in UDP: 4665,4672, 4673 / any  
out UDP: any / 1025-65535  
)
 
или следует открыть эти порты для ВСЕХ программ?
 
Я открыл для всех программ, и у меня иногда этой возможностью пользуется приложение SYSTEM по протоколу TCP, причём в графе Remote Port появляются следующие номера:  
 
1268, 1395, 1401, 1696, 2139, 2266, 2272, 2456, 2490, 2565, 2667, 2866, 3079,  
3177, 3518, 3628, 3639, 3652, 4040, 4261, 4593, 4644, 64300.  
 
Насколько необходимо для SYSTEM иметь возможность соединяться по указанным портам?

Всего записей: 847 | Зарегистр. 27-11-2003 | Отправлено: 11:45 21-08-2005 | Исправлено: Lapochka ili Chai, 11:47 21-08-2005
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lapochka ili Chai
В настройках ослика есть три порта: TCP Port (пусть будет Х1), UDP Port (Х2) и KAD AUX Port (Х3). При условии что файер применяет правила последовательно, пишем:
1. открыть TCP in local=Х1 remote=all
2. открыть UDP in local=Х2, Х3 remote=all
3. открыть TCP/UDP out local=all remote=all
(все 3 правила только для emule.exe, остальные приложения получат свои собственные порты)
...
последнее правило (для напоминания) - закрыть все для всех

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 09:59 23-08-2005 | Исправлено: Karlsberg, 16:48 23-08-2005
renreg



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, плиз, чайнику.
На двух машинах установлен Kerio Personal Firewall 4.20 русифицированная версия (системы Windows XP Prof русская и английская версии).
 
Установил русифицированную программу RAdmin 2.2 (удаленное администрирование через Интернет).
 
Что и как нужно настроить в Kerio Personal Firewall, чтобы RAdmin мог работать.
 
Спасибо.
 
P.S. На моей машине IP статический, на удаленной динамический.
 
В будущем планируется еще несколько клиентов, аналогичных первому.

----------
Заграница нам поможет
_____________________
renreg

Всего записей: 5117 | Зарегистр. 24-09-2001 | Отправлено: 10:59 24-08-2005 | Исправлено: renreg, 11:02 24-08-2005
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
renreg
Не совсем понятно что тебе надо... (кого настраивать)
У RAdmin'а две компоненты: сервер (RAdmin server) и клиент (RAdmin viewer). Правила см. в шапке.
 
Если у тебя viewer на постоянном IP - забивай у своих клиентов входящее соединение как в шапке, но с указанием твоего IP (будет безопаснее).  
Там нужен один всего лишь порт. Если ничего не поменяли в версии 2.2, то он TCP:4899.
 
Как и что ковырять конкретно в твоем файерволле - подскажут в соответствующем топике.

----------
Новый ИЖ-кабриолет стал мощнейшим ударом по машиностроению Германии: лопнул от смеха директор концерна BMW

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 15:43 24-08-2005
renreg



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho

Цитата:
Если у тебя viewer на постоянном IP - забивай у своих клиентов входящее соединение как в шапке, но с указанием твоего IP (будет безопаснее). Там нужен один всего лишь порт. Если ничего не поменяли в версии 2.2, то он TCP:4899.  

 
А как это сделать - чайник, я, чайник    
 

Цитата:
Как и что ковырять конкретно в твоем файерволле - подскажут в соответствующем топике.

 
Не-а, направили сюда

----------
Заграница нам поможет
_____________________
renreg

Всего записей: 5117 | Зарегистр. 24-09-2001 | Отправлено: 17:28 24-08-2005
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Давай еще раз, как для чайника (пока не пришел модератор;) )
Твоя машина:
Radmin Viewer. Надо открыть порт TCP 4899 в направлении на выход (out или outbound)
 
Машина клиента:
Radmin Server - открыть порт TCP 4899 на вход (in или inbound).
 
Открыть порт - значит создать разрешающее правило.
Это может быть User defined rules / Custom settings / Advanced Rules в твоем файерволле. Покопайся в настройках + RTFM (в топике по твоему файру, google, help, сайт производителя и т.д.)

----------
Новый ИЖ-кабриолет стал мощнейшим ударом по машиностроению Германии: лопнул от смеха директор концерна BMW

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 18:52 24-08-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru