Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
еще диапазоны айпи
Есть, в темах по Outpost не так давно мембер выкладывал, как раз уже в формате для Outpost, т.е. просто импортируешь тот список. Так же в темах по 10 и ее брандмауэру есть ссылки.  
Но блокирование списками чревато последствиями, то Скайп не коннектится, то обновы не проверяются, то страницы долго грузятся, и пр., потому от такого метода блокирования народ уходит.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 15:51 13-06-2018
fenon

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ясно , буду поосторожнее, экспортирую просто под него отдельный файл настроек
Как раз 25ю страницу оутпоста читаю, но там нет. http://forum.ru-board.com/topic.cgi?forum=5&topic=49010&start=480
 
Какой примерно диапазон страниц?
 
 
 
Добавлено:
В теме 10ки есть, http://forum.ru-board.com/topic.cgi?forum=62&topic=27902&start=80#2
но там экзешник. Точнее батник. Это не то - он необратим, засада может быть.
 
И еще в архиве rules.ps1 файл. В нем строки  типа  

Цитата:
 
netsh advfirewall firewall add rule name="telemetry_vortex.data.microsoft.com" dir=out action=block remoteip=191.232.139.254 enable=yes
 
netsh advfirewall firewall add rule name="telemetry_telecommand.telemetry.microsoft.com" dir=out action=block remoteip=65.55.252.92 enable=yes
 

Этот файл оутпост переварит? или надо полчаса файл до ума доводить вручную?

Всего записей: 102 | Зарегистр. 13-06-2018 | Отправлено: 16:43 13-06-2018 | Исправлено: fenon, 17:57 13-06-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тут. У Outpost свой формат списка, другие варианты не катят. Из других списков можешь выдернуть адреса и добавить в свой.  
Через netsh только для родного виндовского брандмауэра.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 18:05 13-06-2018 | Исправлено: shadow_member, 18:06 13-06-2018
fenon

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Там еще в шапке блоклист рекламы. Его и без списков, наоборот отключал в настройках,  
чтобы некоторые сайты открывались - еле вспомнил про него.
 
И список диапазона есть, спасибо. В теме 10 еще в довесок к диапазону, нашел как раз по теме, прогу антишпика
AntiSpy for Windows 10  http://www.softportal.com/software-41009-antispy-for-windows-10.html
 
Вообщем материала вагон в темах оутпоста и 10ки.  
Хотя по 10ке в некоторых твикерах еще 10 вагонов.  
И ответы на половину вопросов там в теме. Типа windows manager, tuneup,auslogics  и так далее.
 
Короче пошел переваривать, благодарю
 

Всего записей: 102 | Зарегистр. 13-06-2018 | Отправлено: 19:03 13-06-2018 | Исправлено: fenon, 19:53 13-06-2018
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! В блокировщике пакетов (Outpost) у меня в логах куча блокировок входящих пакетов с порта 53 от адресов, прописанных как DNS-серверы, на локальные порты с большими номерами. Блокируются они по принципу "пакет на закрытый порт". Подскажите, пожалуйста, что это за траф такой? Действительно ли его стоит блокировать? Win 10 х64

Код:
14:53:15    Блокировать    IN    UDP    192.168.1.1    53    192.168.1.101    52424        Пакет на закрытый порт
14:53:07    Блокировать    IN    UDPv6   fe80:feёёё    53    fe80::ёёё    60268        Пакет на закрытый порт
14:53:07    Блокировать    IN    UDP    192.168.1.1    53    192.168.1.101    49437        Пакет на закрытый порт
14:53:06    Блокировать    IN    UDP    192.168.1.1    53    192.168.1.101    61424        Пакет на закрытый порт
14:53:06    Блокировать    IN    UDP    192.168.1.1    53    192.168.1.101    49809        Пакет на закрытый порт
14:53:06    Блокировать    IN    UDP    192.168.1.1    53    192.168.1.101    59427        Пакет на закрытый порт

Моих знаний не хватило даже на поиск подходящего ответа в Google :/
Правило для DNS для svchost.exe выглядит вот так:

Код:
Where the Protocol is UDP
    and Remote Address is <HOST_MACRO_DNS_SERVERS>
    and Remote Port is DOMAIN (в проге стоит порт DNS)
 Allow It  

И все равно у меня Outpost почему-то постоянно спрашивает, что делать с исходящим трафиком на DNS от svchost.exe. Может, это как-то взаимосвязано? Помнится, мне на прошлой системе это удалось решить только созданием каких-то глобальных правил до приложений, что мне представляется в целом немного некорректным. То ли даже правил низкоуровневых. Но я не айтишник, с вероятностью 99% я просто чего-то не знаю/не понимаю

Всего записей: 1027 | Зарегистр. 25-10-2003 | Отправлено: 14:57 01-11-2018 | Исправлено: Stass1977, 15:09 01-11-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это DNS-флуд, запросы можно блокировать. Так же будет, если в роутере по ошибке поменять местами WAN и LAN.
Для предотвращения рекурсивного выхода в интернет наиболее "хитрых" приложений рекомендуется запретить DNS для svchost.exe и настроить DNS для каждого приложения (браузер, поочтовик, Скайп...).

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 15:21 01-11-2018
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
А что, это нормальное явление, что мой роутер (192.168.1.1 и fe80::... - ASUS RT-N56U с прошивкой от Padavan), а также гугловские 8.8.8.8 занимаются DNS-флудом?  
И почему Outpost игнорирует существующие правила DNS UDP, все время спрашивая, что делать? И лечится это только созданием низкоуровневого правила вида

Код:
Where the Protocol is UDP
    and Remote Address is <HOST_MACRO_DNS_SERVERS>
    and Remote Port is DNS
    and Direction is Inbound
 Allow It  

 
Получается, что я этим правилом разрешил DNS-flood на свой комп? Но только это позволило избавиться от ежесекундных запросов на создание новых DNS-правил для svchost, которые все равно не срабатывали. ЧЯДНТ?  
P.S.: cовсем блокировать DNS для svchost я не все же не хотел бы.
 
Добавлено:
Постойте, а разве DNS-флуд идет ОТ портов 53? Не НА 53 порт? У меня Outpost блокирует трафик, идущий НА мои рандомные порты ОТ 53-х портов серверов DNS. Или я что-то не понял.
 
Добавлено:
Кстати, что интересно, после создания этого правила вот эти пакеты от DNS-серверов на "закрытые" порты в итоге принимает, судя по вкладке "брандмауэр", именно svchost.exe. Значит, эти порты он все же слушет, раз эти пакеты не отвергаются?

Всего записей: 1027 | Зарегистр. 25-10-2003 | Отправлено: 15:45 01-11-2018 | Исправлено: Stass1977, 16:09 01-11-2018
Ferwest

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
рекомендуется запретить DNS для svchost.exe
А служба DNS-клиент? Плюс, предпочитающие обновлять ОС в режиме реального времени.

Всего записей: 388 | Зарегистр. 12-01-2017 | Отправлено: 17:07 01-11-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А служба DNS-клиент?  
О ней сказано в той ссылке, что в моем посту.
Цитата:
Плюс, предпочитающие обновлять ОС в режиме реального времени.
Ничто не мешает на период обновления включить отключенные, или создать удаленные правила.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 17:39 01-11-2018
Stass1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В итоге дополнительно создал 1) низкоуровневое правило, позволяющее входящий траф с 53 порта на любой мой порт от макро-адреса DNS_SERVERS; 2) правило для svchost.exe, позволяющее эти пакеты принимать. Возможно, вместо второго правила нужно было просто исправить на "оба направления" (вместо OUT) в правиле для DNS. Запросы на создание правил прекратились.
 
Добавлено:
А хотя нет, в этом правиле по умолчанию направление не задано. По идее - должны разрешаться оба направления... Фиг знает.

Всего записей: 1027 | Зарегистр. 25-10-2003 | Отправлено: 21:35 01-11-2018
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
...рекомендуется запретить DNS для svchost.exe...
Рекомендация воде "выстрели себе в ногу".
 
Если боитесь, что у вас что-то создаст днс-тоннель и вылезет через него в интернеты, то просто используйте dns-сервер роутера, а svchost.exe (вернее сервису Dnscache) разрешайте доступ только к нему!

Всего записей: 29113 | Зарегистр. 15-09-2001 | Отправлено: 14:30 04-11-2018
sanduser



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
borMMAN Отправлено: 22:28 05-03-2018 . Применительно к виндовому файеру это ни к чему, т.к. там и так блокируется все что явно не разрешено.

 
Нет же, по дефолту в настройках виндоус-фаервола разрешены все исходящие соединения для всех программ. И только входящие  блокируются.

Всего записей: 17 | Зарегистр. 10-07-2012 | Отправлено: 06:05 13-11-2018
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка работы NetBios overTCP/IP в Windows 10

Всего записей: 29113 | Зарегистр. 15-09-2001 | Отправлено: 12:52 07-02-2019
Absolum

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скажите плизз.  
 
Стоит на win 8.1 x32 такая версия Agnitum Outpost Firewall Pro 9.3 4934.708.2079.611  
 
уже может несколько месяцев.  
 
Это нормально что acs.exe постоянно обращается к диску  ?  
 
https://clip2net.com/s/45k03qs

Всего записей: 151 | Зарегистр. 06-10-2008 | Отправлено: 14:17 29-12-2019
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Absolum
Цитата:
Это нормально что acs.exe постоянно обращается к диску  ?
На win 10(1909)x64 тоже самое. Это нормально.
 
Добавлено:
Пусть вас не пугают цифры, они бутафорские.

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 21:05 29-12-2019
Absolum

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
бутафорские.

 
как понимать ?
 
 
 
 
отключил вроде бы логирование , но ситуация не изменилась:
 
https://clip2net.com/s/45kRg1p
 
может ещё что то нужно отключить ?
 
 
а то боюсь что износ винта ssd будет сильный.

Всего записей: 151 | Зарегистр. 06-10-2008 | Отправлено: 18:43 30-12-2019 | Исправлено: Absolum, 18:54 30-12-2019
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Absolum
Цитата:
как понимать ?
Нет там такого интенсивного обращения. Так, сотни байт в секунду(в покое).
Вообще, для вас есть профильная тема, где вы и продублировали свои вопросы.

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 22:19 30-12-2019
Absolum

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да.  наверное тут лучше общаться:
 
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11375&start=1120#lt

Всего записей: 151 | Зарегистр. 06-10-2008 | Отправлено: 15:24 31-12-2019
StHenge

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги посоветуйте firewall для простых задач:
 
1.Ставим, по умолчанию все разрешено.
2. Удобно в GUI вносим список хостов для блокировки доступа(по именам(обязательно) и/или IP (при необходимости))
3. Задаем список приложений, которым запрещен доступ к определенным портам/адресам/полная блокировка
4. Все это дожно работать без танцев с бубном.
 
Другие функции не особо приоритетны.
 
Если есть hardware вариант такого firewallа - тоже интересно.
 
Спасибо!

Всего записей: 13 | Зарегистр. 07-04-2018 | Отправлено: 14:53 20-01-2020
Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
StHenge
Malwarebytes Windows Firewall Control
Проще уже некуда По сути - это не самостоятельный файрвол, а продуманный графический интерфейс (надстройка) встроенного Брандмауэра Windows. Помимо всех описанных вами требований, очень удобные всплывашки, когда регистрируется непрошенный трафик. Все настраиваемо и информативно.
 
Добавлено:
PS: Русский язык присутствует!

Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 10:22 21-01-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru