Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Dukat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015
Правила для svchost.exe есть в шапке Jetico Personal Firewall. Для CTF Loader пока не встречал (а разве ему вообще нужен выход в сеть?).

Всего записей: 1413 | Зарегистр. 01-10-2006 | Отправлено: 16:05 12-07-2009 | Исправлено: Dukat, 16:10 12-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dukat
Спасибо.
CTF Loader к ниму Опера и isq обращаются которые имеют доступ в нет, отсюда вопрос как с ним обходиться?

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 16:41 12-07-2009 | Исправлено: sanni00015, 17:55 12-07-2009
Dukat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015
Погуглил насчет CTF Loader. Эта штука предоставляет сервис альтернативного ввода данных, + языковая панель рядом с треем, вот статья от MS: http://support.microsoft.com/?kbid=282599 (на англ.).

Всего записей: 1413 | Зарегистр. 01-10-2006 | Отправлено: 20:09 12-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dukat
Я читал эту статью перед написанием своего поста и для чего служит CTF Loader мне понятно. Интересовался я тем стоит его ограничевать при создании правил в хипсе учитывая, что под него трояны маскеруються?

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 00:25 13-07-2009 | Исправлено: sanni00015, 03:45 13-07-2009
Dukat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015

Цитата:
Интересовался я тем стоит его ограничевать при создании правил

На первое время можно поставить ему "Запрос действия" и посмотреть, какие у этого CTF Loader'а будут желания. Либо запрет с логированием, а потом, при необходимости, что-нибудь ему разрешить на основе журнальных записей.

Всего записей: 1413 | Зарегистр. 01-10-2006 | Отправлено: 16:13 13-07-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015
Если не пользуешься Win обновлениями, то можно разрешить для SVCHOST только из шапки DHCP (UDP 67-68) - 1 в первую очередь, и DNS (UDP 53  и KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535) - во вторую очередь. Если испльзуешь авт. обновления - то добавь TCP порты 80 и 443.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:39 13-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dukat
KUSA
Спасибо.
Кстати
Цитата:
DHCP (UDP 67-68) - 1 в первую очередь
спрашивал в тех потдержке прова сказали запретить, у меня IP постоянный.
Я пользуюсь KIS 9 там как такового фаера нет там хипс и есть это
оставить или создать руками?
 
П.С.
не испльзую авт. обновления Win.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 00:20 14-07-2009
Dukat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015
В KIS приличный фаер, можно все правила создать необходимые. Как глобальные (пакетные), так и по каждому приложению в отдельности.
Зависит еще от того, какой выбран метод: запретить все "плохое", или разрешить только нужное.

Всего записей: 1413 | Зарегистр. 01-10-2006 | Отправлено: 11:30 14-07-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015

Цитата:
спрашивал в тех потдержке прова сказали запретить, у меня IP постоянный.  

Он тоже может назначаться - например по MAC адресу сетевой карты - при назначении ты используешь как раз 67-68 UDP+brodcast

Цитата:
Я пользуюсь KIS 9 там как такового фаера  
извини не понял - это как?

Цитата:
не испльзую авт. обновления Win
- тогда оставь для svchost только UDP.    
 
зы
Здесь есть целиком ветка именно по KIS - там у людей на КИС больше готовых ответов  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 18:17 14-07-2009 | Исправлено: KUSA, 18:21 14-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

Цитата:

Цитата:
Я пользуюсь KIS 9 там как такового фаера
извини не понял - это как?

Я не верно сформулировал.
В KIS настройка фаера и HIPS одно целое + интерфейс создания правил основан на окнах это усложняет работу.

Цитата:
- тогда оставь для svchost только UDP.

тоесть DNS запросы разрешить только через UDP, а по TCP запретить?

Цитата:
Здесь есть целиком ветка именно по KIS - там у людей на КИС больше готовых ответов

В Лучший файерволл firewall отписал (пока выбираю системму защиты). Пытаюсь определиться с основными принципами и правилами.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 16:39 15-07-2009 | Исправлено: sanni00015, 16:44 15-07-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
тоесть DNS запросы разрешить только через UDP, а по TCP запретить?  
sanni00015, в подавляющем большинстве случаев для DNS достаточно протокола UDP.

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 10:13 16-07-2009
tenua



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, какие порты или что еще надо открыть или разрешить, чтобы можно было законектиться Ideal administrator-ом на машину с файрволом? Открыл те, которые написаны на сайте Идеала, но соединение происходит как-то странно - то с первого раза, то с 10-го (выдает ошибку, что нет соединения).
Сам список портов: 135/tcp, 135/udp, 137/tcp, 137/udp, 138/udp, 139/tcp, 445/tcp, 445/udp, 5900/tcp.
Помогите, очень нужно.

Всего записей: 424 | Зарегистр. 22-09-2005 | Отправлено: 12:00 16-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
   
Нужен ЛикБез, подскажите алгоритм изучения основ/азов для настройки фаера, копаюсь во всём этом, а разобраться не могу нахватался по верхам и ещё больше себя запутал, с чего начать куда двигаться, какие правила, куда ставить... Я ноль в компьютерной грамотности, ПК имею давно, но толком в нём никогда не разбирался, очень хочу въехать в придмет обсуждения (сетевую безопасность для дома), но плаваю в теме и не могу ухватиться.
Мозг уже кипит, а руки опускаються...                  

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 19:01 16-07-2009 | Исправлено: sanni00015, 19:04 16-07-2009
Verwolk



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sanni00015
поискать Руководство по созданию безопасной конфигурации Agnitum Outpost firewall и читать до просветления.

Всего записей: 2167 | Зарегистр. 24-11-2005 | Отправлено: 20:45 16-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Verwolk
  Спасибо!
Сам об этом подумывал, но самневался в совместимости руководства Outpost для PC Tools Firewall Plus.
   пошёл за руководством.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 21:09 16-07-2009
Skif_off

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Сам об этом подумывал, но самневался в совместимости руководства Outpost для PC Tools Firewall Plus

почему?
протоколы одни, порты одни..
принципы одни..
 
курил Руководство по созданию безопасной конфигурации и эту тему + иногда гугл, дня за 2-3 получил то, что хотел...

Всего записей: 6599 | Зарегистр. 28-01-2008 | Отправлено: 03:03 17-07-2009
Chauvinist



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите создать правила для Skype.  
 
Только что поставил его,а он щемится на кучу портов по TCP и UDP..

Всего записей: 4709 | Зарегистр. 27-10-2008 | Отправлено: 03:15 24-07-2009
Verwolk



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Chauvinist
1. Skype_TCP_Out - All Hosts - TCP - Outgoing - Remote ports 80, 443, 1024-65535 - Skype.exe
2. Skype_TCP_In - All Hosts - TCP - Incoming - Local ports (номер порта из настроек соединения в скайпе)- Skype.exe
3. Skype_UDP_Out/In - All Hosts - UDP - Both - Remote ports 1024-65535 - Local ports 1024-65535 - Skype.exe
 
https://support.skype.com/faq/FA148/I-can-t-connect-to-Skype-from-work-or-due-to-a-restrictive-firewall-Which-ports-need-to-be-opened-in-order-to-use-Skype

Всего записей: 2167 | Зарегистр. 24-11-2005 | Отправлено: 04:59 24-07-2009 | Исправлено: Verwolk, 05:06 24-07-2009
Sympathy



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chauvinist

Цитата:
Только что поставил его,а он щемится на кучу портов по TCP и UDP
За счёт такой диверсификации Skype и работает надёжно


----------
Is it me You're looking for?

Всего записей: 8449 | Зарегистр. 13-10-2008 | Отправлено: 09:39 24-07-2009
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chauvinist
Там на их сайте было подробно написано, в принципе всё лишнее советую запретить -- у меня так же надёжно работало при этом (сейчас я этой программой почти не пользуюсь -- уж очень она хамски себя ведёт, например, просто так из автозагрузки её не убрать). Запрещать нужно из соображений безопасности и трафика: в противном случае, если у тебя хороший канал, через тебя будут прогонять чужой трафик

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3620 | Зарегистр. 08-02-2003 | Отправлено: 17:37 24-07-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru