Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
miasnikov andrew



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
эх, хорошо быть member'ом...
а вот я - junior - не могу редактировать шапку
 
мы забыли главное правило в конце BLOCK/DROP ALL!
LAST RULE
Block any other connection
TCP,UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

возьмите у меня в посте, прибейте в шапку please!

Всего записей: 122 | Зарегистр. 15-05-2003 | Отправлено: 16:59 01-04-2004 | Исправлено: miasnikov andrew, 17:09 01-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Цитата:
Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для  
svchost  
- С радостью. Только сформулируйте их достаточно четко, чтоб можно было запихнуть в тэйбл ))  
ladutsko
Цитата:
может быть легко изменено в реестре  
- В любой вЫни? или только НТ/2к/..?

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:01 01-04-2004
ladutsko



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
В любой вЫни? или только НТ/2к/..?  

с NT 3.51 Service Pack 5
_http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/net/sur_tcp2.mspx

Всего записей: 335 | Зарегистр. 03-09-2002 | Отправлено: 20:21 01-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
с NT 3.51 Service Pack 5  
- понял, исправил.  

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:37 01-04-2004
ladutsko



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
а почему вместо 1024-5000 нельзя писать any?

Всего записей: 335 | Зарегистр. 03-09-2002 | Отправлено: 21:10 01-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ladutsko
Потому что в any входит и системный диапазон, в котором программе делать нечего, и если она туда пытаеться залезть, это должно быть знаком что что-то не в порядке, может вирус, троянец, или просто шпион....

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:22 01-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Изменены правила для Емула. Замечания?  
Ну раз нет, тогда спокойной.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 00:16 02-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Цитата:Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для    
svchost  
- С радостью. Только сформулируйте их достаточно четко, чтоб можно было запихнуть в тэйбл ))  

 
Вот правила для Svchost.exe  
 
TCP;  Allow;  Outgoing;  Remote 53 , 80, 443, 389;
UDP;  Allow;  Local: 68;  Remote: 67 ;
UDP;  Allow;  Local: any;  Remote: 53, 123;
 
Далее в оутпосте настоятельно рекомендуется прописать явно  
UDP;  Block;  Incoming Local:all;  
UDP;  Block;  Ougoing Remote: all  
TCP;  Block;  Incoming; Local: all;  
TCP;  Block;  Ougoing;  Remote: all  
Это заблокрует  всплывание многочисленных окошек для неуказанных сервисов.
 Как в остальных фаейволах я не знаю.
 
 НО на ноутбуке я предпочитаю прописывать несколько отдельных правил для каждой службы (DNS, DHCP, SSDP,UPnP, RPC, LDAP, Time synch).  Тогда при переходе из среды в среду легко включать или выключать блокировку небходимых служб (например RemoteDesktop или DHCP)

Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 00:23 02-04-2004 | Исправлено: Spectr, 00:27 02-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Давай немножко поподробнее...

Цитата:
TCP;  Allow;  Outgoing;  Remote 53 , 80, 443, 389

53-й - это DNS для длинных запросов... А зачем его на остальные порты выпускать?

Цитата:
UDP;  Allow;  Local: 68;  Remote: 67

Это DHCP, я считаю что он просто обязан быть выпущен только на свой DHCP сервер

Цитата:
UDP;  Allow;  Local: any;  Remote: 53, 123

53 - обычный DNS, с ним понятно. А кто живет на 123-м порту? any тоже под вопросом, RFC локальный порт ограничен с 1024 до 5000

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:40 02-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
ну вот так и знал что укороченная под таблицу версия вызовет только вопросы и никакой пользы
Хорошо - вот полная версия того что стоит у меня (скопированная с outpost forum)
И в виде пригодном для гибкого включения выключения блокировок разных служб под Outpost.
 
===============
Allow DNS (UDP): Protocol UDP, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Allow DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Possible Trojan DNS (UDP): Protocol UDP, Remote Port 53, Block & Report
Possible Trojan DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Block & Report  
---
Block (or Allow) DHCP Request: Protocol UDP, Remote Address <ISP DHCP Server address>, Remote Port BOOTPS, Local Port BOOTPC, Allow  
---
Allow Time Synchronisation: Protocol UDP, Remote Port 123, Remote Address time.windows.com, time.nist.gov, Allow  
---
Allow LDAP connection: Protocol TCP, Outgoing, Remote Port 389 Allow
---
Allow Help Web Access: Protocol TCP, Outgoing, Remote Port 80, 443, Allow  
---
Allow( or Block) RemoteDesktop connection: Protocol TCP, Outgoing, Remote Port 3389 Allow (or Block)
---
Block  RPC (TCP): Protocol TCP, Incoming, Local Port 135, Block
Block  RPC (UDP): Protocol UDP, Local Port 135, Block  
---
Block Other TCP Traffic: Protocol TCP, Outoing, Block
Block Other TCP Traffic: Protocol TCP, Incoming, Block
Block Other UDP Traffic: Protocol UDP, Block
==================================
 
 
Цитата:
 А кто живет на 123-м порту?  

 
123 порт = Time Synchronisation
 

Цитата:
 any тоже под вопросом, RFC локальный порт ограничен с 1024 до 5000

 
Хороший вопрос!
Во-первых у меня eMule очень часто использует порты 5500-7000
во вторых почему то в оутпосте в пресетах ( да и в базе  на http://www.pcflank.com/fw_rules_db.htm   )
никогда не указывают одновремнно  local and remore ports.
Если указан remote ports  то local port  как бы может быть любой
Точного ответа не знаю сам.
 

Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 01:54 02-04-2004 | Исправлено: Spectr, 14:12 02-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Спасибо, в общем и целом понятно... Кроме странной логики Оутпоста. Может поэтому их и в пресетах нет потому что он просто физически не дает задать их одновременно.. Кстати страничка не открывается, проверь пожалуста линк.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:29 02-04-2004
nickddd

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть фтп. Требует открыть открыть порты не совсем такие, как в таблице:
inbound remote ~61000 и local ~12000.

Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 12:11 02-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
проверь пожалуста линк.

 Поправил (там скобка вконце захватывалась)
 
nickddd

Цитата:
Есть фтп. Требует открыть открыть порты не совсем такие, как в таблице:  
inbound remote ~61000 и local ~12000

 
О том и говорю, что я везде в фтп клиентах, емул указываю 1025-65535

Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 14:15 02-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не, ну всегда есть исключения... А у меня ослик седет себя как приличный

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:27 02-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Кроме странной логики Оутпоста. Может поэтому их и в пресетах нет потому что он просто физически не дает задать их одновременно

 
Да нет только что проверил, Outpost позволяет задать одновременно ограничения и на remote и local ports  в application settings

Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 15:04 02-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Я предпочитаю максимально ограничивать любую сетевую деятельность. Если в RFC или в комментах к самой проге определен диапазон, всегда определяю где зя, а где низя.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:13 02-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Интересная подборка! 123-коррекция времени, так?  
А Бут РС - дистанционно с компом работаешь?
 
 Хотел уточнить одну деталь: мы сильно уклоняемся в сторону именно аутпоста. А по нему уже есть немаленькая тема. Может стоит как-то равновесие с другими распространенными стенками сохранять? Или там, отдельно рекомендованные наборы для поста, зоны, других ставить, а в основу - только сами дыры, которые наддо закрывать, без примеси технологии той или иной стены?  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 16:28 02-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
А Бут РС - дистанционно с компом работаешь?  

 
Да нет - BootPs, BootPC  это 67, 68 и нужно если  стоит динамическая раздача IP адресов. Так что дома эту службу отключаю а на работу прихожу с ноутом и включаю.
 

Цитата:
Хотел уточнить одну деталь: мы сильно уклоняемся в сторону именно аутпоста. А по нему уже есть немаленькая тема. Может стоит как-то равновесие с другими распространенными стенками сохранять? Или там, отдельно рекомендованные наборы для поста, зоны, других ставить, а в основу - только сами дыры, которые наддо закрывать, без примеси технологии той или иной стены?

 
Полностью согласен что необходима общая направленность по дырам.
Именно поэтому и нашел эту тему. В теме по аутпосту как то много постов про   мелкие технические детали не имеющие ничего общего с сетевой безопасностью.
Но примеры могу давать только для аутпоста, хотя как мне кажется, правила  универсальные, смотри например как я уже приводил   базу данных
 
http://www.pcflank.com/fw_rules_db.htm  
 
Кстати мне кажется  эту ссылку стоит поместить в шапку

Всего записей: 630 | Зарегистр. 03-03-2002 | Отправлено: 19:30 02-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Согласен, база стОящая. Добавил.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 19:47 02-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
динамическая раздача IP адресов.  
- Понял.  

Цитата:
http://www.pcflank.com/fw_rules_db.htm
- Классная штука! Чем-то напоминает нашу шапочку, только вот что точно знаю, так это, что наша шапка никогда не станет такой же информативной, ибо места не хватит для распечатки всего, что необходимо для хотя бы большинства распространенных приложений.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 21:55 02-04-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru