Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dervish
1. Метод простой - если фаер не кривой, то по логам не принятых подключений можно
понять что нужно.
 
2. Возможно нужно разрешить прокол 47, и/или порты 1194;1224;2865;3629;3694 +ICMP,
проверить что с 53 UDP портом.
 
3. Спросить в теме по Comodo или поискать на их форуме.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 13:48 08-07-2007
satoorn

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Такая делема, езть ПК, стоит в городской сети. Так вот, с недавних пор заметил особенность, приложений работающих с сетью. Интернет подключается отдельным подключением через vpn. Так вот, при запуске браузера (експлорера, мозиллы или кемелеона), а также при запуске прог, так или иначе связывающихся с инетом, они все ломятся первым делом на 222.255.4.11 на 80 порт.Проверил и вебом и авирой и авз, ничего не нашёл. Возможно всё равно кто то сидит, не отрицаю. Если инет не подключен, усё норм, никуда не ломится. Первым правилом поставил, что на этот адрес всё запрещать, так при запуске всё равно выходит сообщение для конекта на 222.... Кто что может подсказать?

Всего записей: 14 | Зарегистр. 02-03-2007 | Отправлено: 07:28 09-07-2007
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
satoorn
точно нескажу, но  
222.255.4.11 - localhost

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 11:19 09-07-2007
satoorn

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Блин, а 127.0.0.1 это же тоже localhost?

Всего записей: 14 | Зарегистр. 02-03-2007 | Отправлено: 11:33 09-07-2007
Mylord666

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech
? почему ?

Всего записей: 819 | Зарегистр. 19-11-2006 | Отправлено: 12:03 09-07-2007
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
satoorn
да блин чёто намудрил
мне команда tracert возвратила
 
 17  1116 ms  1154 ms   442 ms  localhost [222.255.4.11]
 
но трэйс уходит далеко наружу. думаю что то нечисто.
127.0.0.1 - это точно localhost.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 12:08 09-07-2007 | Исправлено: slech, 12:11 09-07-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот:
 
General Information  
Hostname  
localhost  
IP  
222.255.4.11  
 
Network Information  
Владелец  
inetnum: 222.255.4.0 - 222.255.4.255  
Расположение  
netname: VASC-NET, country: vn, descr: VASC Company, admin-c: ND85-AP, tech-c: DD217-AP, status: ALLOCATED NON-PORTABLE, changed: hm-changed@vnnic.net.vn 20070530, mnt-by: MAINT-VN-VNPT, source: APNIC  
Контактная информация  
Do Duc Minh, nic-hdl: DD217-AP, e-mail: ddminh@vasc.com.vn, address: VASC Company, address: 4 Lang Ha str, Ha Noi, phone: +84-477-22728, fax-no: +84-477-22723, country: vn, changed: hm-changed@vnnic.net.vn 20070529, mnt-by: MAINT-VN-VNPT, source: APNIC

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 14:25 09-07-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
satoorn

Цитата:
Возможно всё равно кто то сидит
Проверь логи для SVCHOST.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 14:34 09-07-2007
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
satoorn
222.255.4.11:80 - это прокси-сервер. Проверь не прописал ли ты его сам в браузере, также поищи этот адрес в реестре. Если нет, то бум думать дальше.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:00 09-07-2007
latin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
satoorn

Цитата:
222.255.4.11:80 - это прокси-сервер. Проверь не прописал ли ты его сам в браузере, также поищи этот адрес в реестре.
Еще посмотрите в файле hosts расположенному windows/system32/drivers/etc


----------
Помни, правильно заданный вопрос это половина ответа
Те, кто жили до нас, многое свершили, но ничего не завершили. Сенека

Всего записей: 781 | Зарегистр. 01-03-2006 | Отправлено: 01:03 10-07-2007
satoorn

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
В Host точно нет, проверял. В браузере не прописан. В реестре не смотрел, вечером проверю, сп. Интересно, что допустим при обнавлении антивируса, он первый конект делает именно на 222.....:80, а далее если запретишь, то и не обновляет, вот это меня больше всего смущает. Похоже пришло время винду сносить, а то уже около2х лет стоит скорее всего какую то заразу у себя в сетке подцепил, которая ещё не опознаётся антивирами.

Всего записей: 14 | Зарегистр. 02-03-2007 | Отправлено: 07:28 10-07-2007
Calcii

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос по настройке Mcafee Desktop Firewall:
Так в последней на данный момент версии 591 билд присутствует поддержка Internet Connection Sharing? Поставил на Windows Server 2003 R2 Enterprise Edition SP2, нареканий не вызывал, пока не понадобилось настроить раздачу инета пользователям в локалке. Настроил через обычный виндовый Internet Connection Sharing, с выключенным фаером все работает, как только включаю, блокирует инет клиенту, в логах активности пишет, что Blocked incoming UDP - Source 192.168.15.254: (1035) Destination 217.70.96.34. Хотя айпи 192.168.15.254 прописан в Trusted.  
Можете что-то посоветовать?

Всего записей: 44 | Зарегистр. 16-02-2007 | Отправлено: 22:22 31-07-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу уточнить правило для IE6 под XP (фаер Kerio, ADSL-модем).
При разрешении только TCP браузер грузится крайне медленно, чего не скажешь про Firefox и Opera.  
При запуске IE просит разрешение на UDP (local  адрес 0.0.0.0 remote адрес 127.0.0.1)
Разрешаю UDP - страницы грузятся нормально.

Всего записей: 1303 | Зарегистр. 17-02-2006 | Отправлено: 16:14 24-08-2007 | Исправлено: jlmurat, 16:17 24-08-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jlmurat

Цитата:
 Разрешаю UDP - страницы грузятся нормально.

Что мешает оставить данное правило?
 
Calcii

Цитата:
 Можете что-то посоветовать?
Ну посколько логов нет, то вариант
Allow UDP(all Ports) botch from 192.168.15.1-192.168.15.255
Но вполне возможно что еще будет заморочка с TCP.
Проще делать по логам - создавать разрешения.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 18:31 24-08-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

Цитата:
Что мешает оставить данное правило?

Просто в шапке IE идет только по протоколу TCP. Почему IE нужен UDP?
 
И еще при добавлении последнего правила из шапки (Блокировать все) связь с инетом теряется.

Всего записей: 1303 | Зарегистр. 17-02-2006 | Отправлено: 19:44 24-08-2007 | Исправлено: jlmurat, 20:32 24-08-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jlmurat

Цитата:
 Просто в шапке IE идет только по протоколу TCP. Почему IE нужен UDP?  
Ты не сделала правило для localhost не внес его в доверенную зону, а для Ie нужен порт 53 UDP, по нему идет обмен данными (датаграмами) с DNS серверами.

Цитата:
 И еще при добавлении последнего правила из шапки (Блокировать все) связь с инетом теряется.
И это правильно. По умолчанию, ты сам ставишь в Kerio - любые другие приложения - нет. Поэтому Kerio выпускает лишь то, что разрешено тобой, и сам запрещает все остальное.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:13 24-08-2007
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
jlmurat

Цитата:
При разрешении только TCP браузер грузится крайне медленно, чего не скажешь про Firefox и Opera.  
При запуске IE просит разрешение на UDP (local  адрес 0.0.0.0 remote адрес 127.0.0.1)
Разрешаю UDP - страницы грузятся нормально.

Цитата:
Почему IE нужен UDP?

Firefox юзает loopback по TCP, а IE - по UDP.

----------
А оно мне надо?..

Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 23:01 24-08-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Просмотрел версию для печати топика. Вопрос о svchost поднимался не раз.  
Может, в таблицу поместить  какой-то вариант? (+комментарии для особых случаев)

Всего записей: 1303 | Зарегистр. 17-02-2006 | Отправлено: 08:45 26-08-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jlmurat
Опять проблемы?
Все остальное блокируем. Это для твоего варианта - с Kerio.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:08 26-08-2007 | Исправлено: KUSA, 14:13 27-08-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
Проблем нет. Это просто предложение по оформлению топика.
Если кому-то понадобится, чтоб долго не искать.
А то в шапке все расписано, а svchost.exe отсутствует.  

Всего записей: 1303 | Зарегистр. 17-02-2006 | Отправлено: 06:08 27-08-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru