Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: WildGoblin, 17:14 24-03-2017
alextan76



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Замечен такой баг у outpost, значит, я на своем примере, для emule.exe разрешен полной доступ в сеть, если установить какую нибудь другую программу, работающей с сетью, у меня было это и с tvguru.exe и с onlinetv.exe, и установить режим обучения, то эти приложения (хотя я думаю и другие приложения) при несуществующих для них ни единого правила, получают доступ в сеть под правилом для emule.exe, т.е. полный доступ, в сетевой активности для этих проложений пишется причина разрешения/блокировки: разрешить действия приложения emule.exe? хотя это совсем другие приложения. Очень серьезная уязвимость! Исправляется это только перезагрузкой системы, после перезагрузки в сеть эти приложения не выпускаются, и при обучающем режиме появляется запрос создать правило или блокировать, в общем стандартный запрос, до перезагрузки, повторюсь такого запроса не возникает, приложение сразу выходит в сеть, под чужим правилом. Windows XP SP2 RUS VLK + Outpost Firewall Pro 2.5.369.4608 (369)  
 
Кто нибудь сталкивался чем нить подобным??? Баг очень серьезный  
 
Добавлено  
Скриншоты могу предоставить сомневающимся  
 
Добавлено  
Кстати, вот похожая проблема: http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1243  
 
Добавлено  
Пожалуй пора бежиать от Outposta с его многочилсенными и страшными багами, тем паче за примерами далеко ходить не надо: http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1248  
http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1258  
Да еще и с их отношением к глюкам, их предупреждают и они в следующих версиях и не думаю их исправлять, http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1256  
 
Раньше тоже сомневался вот в таких у кого он не работает, все пытался обвинить таких в кривых ручках, ан нет всеж оутпост страшно глюкав....  
 
Добавлено  
Вот тут есть вроде решение этой проблемы, но помогает это временно, через некоторое время те же самые глюки http://forum.five.mhost.ru/kb/index.php?page=index_v2&id=11&c=2

Всего записей: 293 | Зарегистр. 12-11-2003 | Отправлено: 09:33 02-11-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alextan76
Запости это, пожалуйста, в тему Оутпоста:

Цитата:
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках


Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 14:27 02-11-2004
Bozo



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ветку про NIS никто похоже не читает, спрошу здесь
 
"Может я что-то не так делаю? Хочется, чтобы определенный круг программ имели свободу только в пределах 127.0.0.0-127.0.0.255 и 192.168.0.0-192.168.0.255 а дальше - ни-ни. Указал в Trusted эти две зоны, но ведь все равно в каждой отдельной проге надо указывать эти правила отдельно, а когда их много - надоедает. А сделать Permit Always или Deny Always нельзя.
Пример, есть CoolProxy, но я не хочу, чтобы снаружи к ней на 3129 кто-то стыковался, но чтобы она могла свободно ходить наружу и по 127.0.0.0-127.0.0.255 и 192.168.0.0-192.168.0.255. Или CSE HTML Validator или подобные проги. Все знают, что Permit Always им нельзя, а в пределах локалки хотелось бы разрешить ходить. Но КАЖДЫЙ раз эти правила прописывать утомляет.
Подозреваю, что я что-то где-то недоглядел или что-то не так делаю или не так понимаю назначение Locations.
Вроде в других стенках есть зоны, для которых один раз прописываются правила, а потом программа просто помещается в зону и живет по заданным правилам. Кажется в ZoneAlarm, если я не путаю. Неужели в NIS такого нет?"
Чтобы не оффтопить здесь, отвечать лучше сюда

Всего записей: 2707 | Зарегистр. 27-06-2001 | Отправлено: 21:52 04-11-2004
exMIB



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как узнать какая программа хочет подсоединиться с рабочей станции к серверу.
На рабочей станции Win98SE, на сервер WinXP.
Так вот на рабочей станции ни одна программа прослушивания портов не хочет показывать какой процесс через какой порт работает, т.е. показывает через какие порты какая работа идет, а сами процессы не известны.
Kerio Personal Firewall, который установлен на сервере говорит, что какой-то сервис просит соедиения через порт 135 по TCP.
Какая прога в Win98SE может показать какие процессы на каких портах работают?
Что делать?

Всего записей: 3208 | Зарегистр. 27-09-2001 | Отправлено: 13:27 11-11-2004 | Исправлено: exMIB, 13:28 11-11-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
Цитата:
Kerio Personal Firewall

Персональные файерволы и должны показывать что куда ходит. Ну хотя бы в общих чертах.
Обозначенный Kerio как раз из этой серии

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 14:42 11-11-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
Судя по всему в Вин98 получить такую инфу невозможно, если даже _http://www.sysinternals.com/ntw2k/source/tcpview.shtml в 98-м не показывает имя процесса который использует соединение.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:34 11-11-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Эх... это же Win98... (давно с ним не сталкивался).
И что, даже клиентский firewall не поможет?

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 18:35 11-11-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imho
Полазил тут по MSDN-у, все функции из PSAPI заканчиваются стандартно:

Цитата:
Windows NT/2000/XP: Included in Windows NT 4.0 and later.
Windows 95/98/Me: Unsupported.


Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 19:30 11-11-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Значит, exMIB придется лечить топорным методом. Выгружать программы по одной и смотреть, когда перестанет проситься на ТСР135.

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 19:48 11-11-2004
exMIB



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Я не силен в программировании, но случайно нашел вот это:
http://www.delphiplus.org/articles/api/terminator/index.html

Цитата:
Но как найти процесс, если он уже исполняется на момент запуска нити мониторинга (чтобы не запускать несколько копий приложения)? Давайте используем функции Win32 из раздела SDK Process Status Helper (PSAPI). Сразу замечу, что функции PSAPI реализованы в Windows NT/2000/XP/.Net, так что счастливым обладателям Windows 95/98/ME придется использовать функции SDK Tool Help. Почему именно PSAPI, ведь Tool Help тоже поддерживается на платформах NT/2000/XP/.Net? Уверен, что большинство из читателей не знакомы с этими функциями, так почему бы не начать их применять?!

 
 
Добавлено
Т.е. получается что всё-таки в Windows 98 можно найти процесс, надо только оптимизировать код программы для двух видов Windows NT и 9x.
 
Добавлено
Вот ещё кое-что "Получение списка процессов в Windows 9x и NT" http://delphiworld.narod.ru/base/get_run_processes.html

Всего записей: 3208 | Зарегистр. 27-09-2001 | Отправлено: 21:05 11-11-2004
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
попробуй TaskInfo (www.iarsn.com)
 
а вообще 135-й порт это нетбиосовский сервер имён. и обращения к нему могут идти из ядна системы. можно отинсталировать протокол NetBIOS, но тогда перестанет работать микрософтовская сеть.

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 12:29 12-11-2004 | Исправлено: crypt77, 12:32 12-11-2004
imho



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
Смысл не в том, чтобы найти какой-либо процесс, а в том, чтобы привязать сетевые соединения к процессам.
В NT есть команда "netstat" с параметром "-o" выводит PID процесса, использующего данное соединение.
Цитата:
Отображение кода (ID) процесса каждого подключения

Даже утилиты не нужны.
Если в Win98 есть аналог netstat'а - найди в нем этот параметр (если он там есть). Но скорее всего отсутствует... увы

Всего записей: 247 | Зарегистр. 19-04-2004 | Отправлено: 16:30 12-11-2004
exMIB



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77
Дело в том что больше с 30 остальных машин в сети на 135 порт на сервер ничего не лезет, это только с одной.
Но до этого недавно на эту машину был установлен принтер лазерный HP LJ 1300, драйвера к нему и софт.
Может что-то из этого софта лезть на сервер на 135 порт?
Вирусов вроде нет.
 
Добавлено
В софте к этому принтеру есть разные программки, которые позволяют через броузер следить за состоянием картриджей по сети и состоянием принтера.

Всего записей: 3208 | Зарегистр. 27-09-2001 | Отправлено: 17:04 12-11-2004
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB
я ошибся, по поводу сервера имён. 135-й порт - это RPC (Remote Procedure Call).

Цитата:
Дело в том что больше с 30 остальных машин в сети на 135 порт на сервер ничего не лезет, это только с одной.  
Но до этого недавно на эту машину был установлен принтер лазерный HP LJ 1300, драйвера к нему и софт.  
Может что-то из этого софта лезть на сервер на 135 порт?
думаю может, особенно на домен контроллер.

Цитата:
Вирусов вроде нет.  
лучше проверить.
RPC - это большая дыра для вирусов.

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 13:48 15-11-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
exMIB

Цитата:
Какая прога в Win98SE может показать какие процессы на каких портах работают?

Как утверждается на хомяке -http://www.diamondcs.com.au/portexplorer, они единственные кто это дело реализовал для 98-го.

Цитата:
Port Explorer is the only port-to-process mapper for Windows 95/98!


Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 21:51 28-11-2004
albel



Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Предлагаю внести изменения в правила для Emule & Co в соответствии с FAQ на оф.сайте:
http://www.emule-project.net/home/perl/help.cgi?l=1&rm=show_topic&topic_id=122

----------
Я никогда не спорю. Я никогда не противоречу. Я иногда забываю. / © Б.Дизраэли/

Всего записей: 11001 | Зарегистр. 30-08-2002 | Отправлено: 00:38 19-12-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
albel
То есть, убрать пару портов? Можно, конечно, но там последний апдейт инфы был  
Last Update: 23.07.2003 11:15
а тут ведь не с потолка взято, а кем-то использовавшим.. Хотя ссылку в примечания добавить можно.

Всего записей: 16057 | Зарегистр. 13-02-2003 | Отправлено: 14:00 20-12-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
albel
Инфа полезная, добавлю в шапочку на выходных.
bredonosec
Со времен написания шапочки к ослику добавились Кадемлиа и Веб-интерфейс, придется добавлять

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 16:48 22-12-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Со времен написания шапочки  
Так о том и говорю, что время написания инфы там  

Цитата:
Last Update: 23.07.2003 11:15  
и портов меньше. потоум и сомненья гложут.  

Всего записей: 16057 | Зарегистр. 13-02-2003 | Отправлено: 12:28 23-12-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Я думаю они просто забыли апдейтнуть дату
В любом случае я сначала проверю как это дефолтно конфигурится в новых осликах.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 12:44 23-12-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru