Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: WildGoblin, 17:14 24-03-2017
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Praetorian

Цитата:
Ответа от техподдержки, в общем, я так и не дождался . Но вот сегодня приобрел карточку другого прова, на пробу - проблему как рукой сняло

1) А... Так у тебя диалап... (Сразу бы сказал...)
2) Если диалап, то эл. почту от службы поддержки можно писать годами. Им звонить надо. (Но это уже не относится к правилам файерволов)
3) Проблем-то особых не было. Просто посканить тебя не хотел какой-то сайт... Ну это надо было к их техподдержке обращаться

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 12:44 30-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кому надо, есть небольшая табличка с портами на сайте мелкософта: _http://www.microsoft.com/athome/security/protect/ports.mspx

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:03 11-08-2004
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что посоветуете. Как настроить работу с Proxomitron. С точки зрения безопасности. Из прог использую Opera 7.23, The bat, ReGet.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 00:41 20-08-2004
XMMS



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DOE_JOHN
запрети входящие на порт проксимитрона со всех IP кроме 127.0.0.1
если будут проблемы - попробуй разрешить ещё и свой IP выданный провайдером...

Всего записей: 2603 | Зарегистр. 14-01-2003 | Отправлено: 00:50 20-08-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
И разреши доступ на его порт только перечисленным тобой прогам, во избежание юзания его случайно попавшим трояном

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 22:35 20-08-2004
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XMMS
Karlsberg
Спасибо. Обсуждаю уже здесь http://forum.ru-board.com/topic.cgi?forum=5&topic=11492&start=340

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 00:48 21-08-2004
Realizer

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня ЗонеАларм+Антивирь
Подключась я так - мой комп соединяеться по локалке с другим компом,на котором стоит АДСЛ.
Вопрос:
Как мне правильно настроить фаирвол ,чтобы обезопаситься от всякого рода вредителей??

Всего записей: 3 | Зарегистр. 04-09-2004 | Отправлено: 17:02 05-09-2004
Wadson

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Впервые заглянул в эту тему и извиняюсь, если уже было обсуждение, но хочу по поводу BitTorrent сказать.
Есть мнение, отличное от приведенного в шапке: http://www.rusdivx.ee/ibf/index.php?s=66d020fcc7d4c67666f39a15aa45671a&showforum=36&hyperlink=/bittorrent/firewall
Хотя у меня с такими настройками Панды лампочка зеленой не бывает, только желтая, но аплоады идут.
Сегодня попробую тутошние рекомендации

Всего записей: 754 | Зарегистр. 09-12-2002 | Отправлено: 11:21 06-09-2004
Cruel_Wizard



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А как быть с alg.exe и svchost.exe?

Всего записей: 280 | Зарегистр. 14-11-2003 | Отправлено: 07:14 10-09-2004
nickddd

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А что у кого для mIRC открыто? Имеется в виду, для DCC.
Спасибо.

Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 09:46 10-09-2004
Wadson

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сам себя процитирую...
Цитата:
Есть мнение, отличное от приведенного в шапке: http://www.rusdivx.ee/ibf/index.php?s=66d020fcc7d4c67666f39a15aa45671a&showforum=36&hyperlink=/bittorrent/firewall  
Хотя у меня с такими настройками Панды лампочка зеленой не бывает, только желтая, но аплоады идут.  
Сегодня попробую тутошние рекомендации

Попробовал. По-моему, ничего не изменилось. А желтизна, наверно, из-за других проблем (а может и не проблем, тянет же народ ...)

Всего записей: 754 | Зарегистр. 09-12-2002 | Отправлено: 10:44 10-09-2004
Dima1



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WinXP.NIS2004.Соединение с провайдером через VPN.
Проблема: После установки SP2 запускаю стандартную звонилку , а она сообщает, что
назначение не достижимо. Отключаю Нортона - соединение проходит нормально.При
включенном Нортоне, если запускаю IE, через его звонилку соединение проходит, а через кнопку Пуск - Подключение нет.

Всего записей: 80 | Зарегистр. 20-08-2001 | Отправлено: 13:45 11-09-2004
eika



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dima1

Цитата:
NIS2004

У XP SP 2 есть серьезные проблемы с совместимостью с NAV и со многими другими фаерволлами (про NPF [именно он входит в NIS] на сайте MS ничего не сказано), так что здесь нужно дождатся сообщения об офицальной поддержке SP 2, ну или хотя-бы постоянно обновлять _все_ компоненты NIS (включая исполняемые файлы).

Всего записей: 2404 | Зарегистр. 08-01-2002 | Отправлено: 17:53 11-09-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Wadson

Цитата:
по поводу BitTorrent

С тех пор немного расширился диапазон портов, по крайней мере в свежей версии бывшего shad0w. Лучше всего заглянуть в настройки и проверить порты.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 18:00 12-09-2004
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уточнение для e-mail клиента:
неплохо бы добавить в romete порты 143(IMAP), 993(secure IMAP), 995(secure POP3)

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 12:05 23-09-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77
Сейчас сделаю. Заодно немного инфы об IMAP (взято с _http://www.mail15.com/help.php?chapter=81)

Цитата:
Гораздо более мощный и функциональный протокол для приёма почты, называется он IMAP. Его поддерживают все популярные почтовые программы. Этот протокол имеет несколько весьма существенных преимуществ по сравнению с POP3, чрезвычайно полезных и позволяющих значительно облегчить работу с почтой.  
Если Вы пользуетесь почтовыми программами, например, MS Outlook Express, то в силу ограниченных возможностей самого протокола POP3, Вы сможете работать только с папкой "входящие"("Inbox"), а по протоколу IMAP4 - со всеми папками, в том числе создавать новые, переименовывать или удалять старые. Т.е. если сотрудник привык раскладывать всю корреспонденцию по папочкам, то все эти папки можно хранить на почтовом сервере и, соответственно, работать с их содержимым с любого компьютера из любой почтовой программы.  
 
Вы получите возможность выборочно запрашивать определенные сообщения, то есть если к Вам пришло много писем, то Вы не обязаны скачивать их все, предварительно можно получить только заголовки, тогда необходимые Вам письма будут скачиваться автоматически при просмотре. Кроме явного удобства это позволит не принимать нежелательные или спаммерские сообщения на свой компьютер, а удалять сообщения непосредственно на сервере, что приводит к экономии времени и средств на трафике.  
 
IMAP позволяет хранить все сообщения на почтовом сервере. Это позволяет пользоваться одним и тем же почтовым ящиком с нескольких рабочих мест, и при этом все письма отображаются на всех подключенных в это время к нему компьютерах. Если на одном из компьютеров письмо удаляется, то и на других это письмо тоже исчезает из списка.  
 
Вы сможете менять атрибуты и перемещать отдельные сообщения между папками прямо на сервере.  
 
IMAP дает возможность пользователям Microsoft Outlook Express создавать различные учетные записи для разных ящиков (если их несколько).  
 
IMAP позволяет искать нужные сообщения в содержимом папки прямо на сервере по всем возможным критериям - от кого, кому, тема, время отправки и получения, по образцам текста в письме.


Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 13:20 23-09-2004
KPH



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Существует локальная сеть на основе домена (Windows 2003 Server с Active Directory). Сервер один. Все клиентские компы - Windows XP Pro. Планирую установить на сервер и рабочие станции фаерволы (VisNetic Firewall).  
Подскажите какие правила лучше использовать на стороне сервера и на стороне рабочей станции и чтобы максимально закрыть ненужные порты и ненужные направления трафика в используемых портах, но при этом не потерять  фунциональность в работе:  
- пользователи должны логинится в домен (некоторые с использованием сертификатов на смарткартах)  
- пользователи должны работать с файлами на сервере
- пользователи должны  печатать на принтер (установленный на сервере)
- на сервере установлен центр выдачи сертификатов, выдающий сертификаты пользователям домена  
- необходимости в удаленном управлении сервера и рабочих станций нет  
- все данные находятся на сервере  
- на рабочих станциях расшаренных ресурсов нет  
- для шифрования IP трафика планируется использовать IPSec  
 
Если у кого есть опыт подобной реализации или просто мысли по этому поводу - пожайлуста поделитесь.  

Всего записей: 85 | Зарегистр. 05-06-2003 | Отправлено: 09:45 07-10-2004 | Исправлено: KPH, 10:13 07-10-2004
dosya



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
и все же о настройке фаера для vpn
 
одно дело наточить все для диалапа. другое дело - для сетки с vpn. мало того, что нужно открыть несколько протоколов, трудно понять, работают правила или нет.
 
у меня например pcflank и аналогичные показывают кучу открытых портов. почему так: это не реальный ip, а маска. что там не сервере - не знаю. Но меня интересует безопасность внутри сети, потому как есть и локальный пиринг, и ирц, и прочий дребодан. У меня по локалке могут через нетбиос вывести любую инфу, хоть все пароли. уже и червя подхватил.
 
далее я понял, что куча фаеров не работают корректно под vpn. отказался от виснетика (он с несколькими сетевухами падал), сигейта, kwf. остановился на omnyvpn. как его настраивать не знаю. там надо и гейтвей прописывать, и ip внешний в интернет и прочее прочее, и правила внутри сегмента. кто может помочь?

Всего записей: 738 | Зарегистр. 27-02-2003 | Отправлено: 21:19 10-10-2004
Kogovuk_Igor

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди, подскажите - нужно защитить Web server под Win2k/Win2k3. Работает только IIS с ASP  
Какой файрволл для такой машинки лучше поставить?

Всего записей: 100 | Зарегистр. 03-02-2004 | Отправлено: 16:33 01-11-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kogovuk_Igor
Вот в этом топике точно помогут: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0044#1

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 21:51 01-11-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru