Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: WildGoblin, 17:14 24-03-2017
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А откуда они там?
- а на всякий пожарный Чтоб фрагментированными или корраптед пакетами не свели с ума стену или вынь  

Цитата:
Для каких приложений?  
- Так разрешено только мне Обратного хода нету - с моей стороны только запрос (8) пинга, "оттуда" - только ответ (0) и никак иначе  
Да и не арботает же виснетик с приложениями Это специально добавил, чтоб проверять где накрылась связь - на котором свитче, или у прова, или дальше в инете. То есть, оставил из расчета юзанья (или для) утилит пинг, трейсрт.  
 

Цитата:
А потом учти, что струтура запросов XP и Win98 немного разная  
- А разве ХРюше что-то еще необходимо для функционирования? Как ставил виснетик (тем летом) на хрюшу, никаких спец правил по исмп не давал, только стандартные запреты - крутилось без проблем и криков  
 

Цитата:
в винде 98 поймать троя легче  
угу, потому токмо так. Даж ответ (3) destination unreacheable из блока выделять не стал. А уж всякие MBONE broadcasts и тем паче  
 
 

Всего записей: 16058 | Зарегистр. 13-02-2003 | Отправлено: 16:30 29-08-2006
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Твой вариант я понял.
Но вопрос остается в силе, где в таблице ссылке/правила на приложение работающие с протоколом ICMP для ось XP?
Вроде я для не 98 не просил. Именно приложения и правила для XP.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 17:26 30-08-2006
KIF62



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для MIRC в firewall (Sygate) стоят правила из шапки. Все бы ничего, но коннект длиться долго, по причине, что MIRC сервер проверяет не стоит ли локальный прокси на порту 1080, 8000, 8080, 3128, 6588. Если в правиле для MIRC поставить "all applications" а не только MIRC клиента, то все работает быстро, но это же не дело. Вопрос, какое приложение (WinXP) отвечает на запрос MIRC сервера о том что эти порты закрыты, что бы разрешить только его?  

Всего записей: 286 | Зарегистр. 26-11-2002 | Отправлено: 23:45 02-10-2006 | Исправлено: KIF62, 00:00 03-10-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KIF62
Если порт закрыт, то сам IP отсылает ответ по протоколу ICMP, если я не ошибаюсь, он называется Destination Unreachable. Было бы идеально разрешить в файерволе только этот тип ответов и только по адресу MIRC сервера.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 10:22 03-10-2006
KIF62



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если порт закрыт, то сам IP отсылает ответ по протоколу ICMP, если я не ошибаюсь, он называется Destination Unreachable. Было бы идеально разрешить в файерволе только этот тип ответов и только по адресу MIRC сервера.
почему-то такое правило не дает нужного эффекта
 

Всего записей: 286 | Зарегистр. 26-11-2002 | Отправлено: 18:45 03-10-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KIF62

Цитата:
почему-то такое правило не дает нужного эффекта

Для самопроверки - это правило не должно быть правилом для MIRC клиента, это должно быть системным правилом.
Желательно также посмотреть в логах что Destination Unreachable уходит на сервер и не блокируется файерволом. Если это не поможет, стОит посмотреть в логи файервола или запустить сниффер, и проверить что именно уходит на сервер после попыток коннекта на порты прокси.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 19:07 03-10-2006
konik



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
такое правило не дает нужного эффекта  
проверь точно ли -  
ICMP in/out My Adress 0-255 - (MIRC server adress) type 3 (destination unreacheable)
Allow & log.

Цитата:
Желательно также посмотреть в логах что Destination Unreachable уходит на сервер  
- Вообще-то это ответ о недоступности серва, приходящий извне, а не твой посыл куда-то.  
Возможно, в этом дело?  

Всего записей: 697 | Зарегистр. 11-12-2004 | Отправлено: 20:39 03-10-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
konik

Цитата:
- Вообще-то это ответ о недоступности серва, приходящий извне, а не твой посыл куда-то.

Ну-ка, расскажи, как MIRC сервер проверяет не бежит ли у тебя на хосте прокси-сервер?

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 21:24 03-10-2006
konik



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну-ка, расскажи, как MIRC сервер проверяет  
- Как мирк серв проверяет (и проверяет ли) не знаю,
 знаю, что ответ по типу 3 получаю, если пров "в запой" уходит, или гуляя через прокси, а тот вдруг умирает..  

Всего записей: 697 | Зарегистр. 11-12-2004 | Отправлено: 04:35 04-10-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
konik
Когда ты коннектишся на любой умный сервак, который не любит заходов с прокси-серверов, он сам пытается установить соединение с общепринятыми портами на твоём хосте. Если на этих портах никто не висит, то возможны два варианта - либо на сервер от тебя уйдёт Destination Unreachable, либо (в случае закрытого ICMP) он сам прекратит по таймауту. Если MIRC сервер действительно проверяет прокси, то насколько я понимаю ситуацию, у KIF62 второй вариант, а мы хотим первый.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 10:23 04-10-2006
KIF62



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
проверь точно ли -  
ICMP in/out My Adress 0-255 - (MIRC server adress) type 3 (destination unreacheable)
Allow & log.
все именно так и записано, в packet логах ничего не отображается, а в traffic логах идет блокирование запросов от MIRC сервера на мои потенциальные прокси порты.

Цитата:
Если MIRC сервер действительно проверяет прокси, то насколько я понимаю ситуацию, у KIF62 второй вариант, а мы хотим первый.  
совершенно верно, на всякий случай адрес сервера 83.142.161.242
 
 
 

Всего записей: 286 | Зарегистр. 26-11-2002 | Отправлено: 13:16 04-10-2006 | Исправлено: KIF62, 13:20 04-10-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KIF62
Попробуй всё-таки заснифить что там происходит когда в правиле включено "all applications", и когда только для MIRC клиента.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 13:39 04-10-2006
KIF62



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
когда включены "all applications" прокси-порты попадают в разряд разрешенных и с них уходят такие ответы:

Код:
 No.     Time        Source                Destination           Protocol Info
     20 0.338792    192.168.127.45        83.142.161.242        TCP      3128 > 50138 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0
и соответственно когда разрешено только для MIRC - ничего не уходит... Возникает другой вопрос - почему тогда не уходит  ICMP Destination Unreachable, разрешенный специально по этому поводу?  

Всего записей: 286 | Зарегистр. 26-11-2002 | Отправлено: 23:28 08-10-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KIF62
Мдя, значит серваку не нужен ICMP, он просто хочет чтобы твой комп правильно ответил на попытку коннекта на неоткрытый порт.
В общем, для этого сервера нужно убрать режим Stealth (или как он там называется в Сигейте). Я так думаю, что сделать выборочный Stealth невозможно, и единственное что пока-что приходит в голову - это разрешить коннект с адреса сервера на порты 1080, 8000, 8080, 3128, 6588 - те самые, которые сканирует сервер. Можно даже вместо MIRC клиента указать приложение, которое с рождения не умеет работать с интернетом, типа калькулятора. Если я придумаю что-нибудь более умное, отпишусь здесь. Удачи!

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 00:28 09-10-2006
hanuman108



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ПОРТЫ E-MULE:
(опыт личный и многих других)
 
На оф.сайте е-мула предлагают открывать слишком много портов!
http://emule-project.net/home/perl/help.cgi?l=1&rm=show_topic&topic_id=122
Столько не надо.
Нужно открыть 4662 для TCP и 4672 для UDP. И всё. Этого хватает. Сервера дают HighID, работает KAD, поиск и т.д. Даже в локалке (LAN), но на роутерном файрволе надо сделать форвардинг этих портов. Можно выбрать и 2 другие из диапозона скрытых портов, но тогда надо их указать в установках e-mule (Options-Connection).
IP-диапозон тоже указывать никакой не нужно. В самом клиенте есть ip-filter (файл называется ipfilter.dat, может присылаться в зазипованном виде ipfilter.dat.gz). По нему мул быть не обрабатывать запросы от левых адресов (несуществующие адреса IP, сервера-шпионы, сервера правительственных, военных и тп организаций, RIAA etc.) Периодически его надо обновлять. Одна из лучших БД у bluetack.co.uk  
http://www.bluetack.co.uk/
Если нужно, чтоб работали в одной локалке мула на 2-х машинах - надо выделить ещё 2 порта (не забыв сделать форвардинг в маршрутиризаторе), вписать их в Options-Connection другого мула. Только моды мулов должны быть разными.

Всего записей: 77 | Зарегистр. 13-09-2006 | Отправлено: 16:53 18-10-2006
hanuman108



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите пожалуйста разобраться с одной вещью.
Каждые 30 секунд приходит пакет непонятного назначения:
 

Цитата:
Description: Unopened Port, Aplication: N/A, Direction: In, Local Point: 192.168.1.255:520, Protocol: UDP, Action: Denided.

 
Denide - это я сделал специальное правило, по какой-то непонятной причине они раньше проходили. Это как-то очень странно и подозрительно выглядит, потому-что в моей сетке такого адреса нет (последняя цифра моего компа другая). Ещё это порт определяется как efs, что-то вроде Enhansed File Server. Зачем он? Почему ровно каждые 30 секунд? После запрета вроде ничего работать не перестало...

Всего записей: 77 | Зарегистр. 13-09-2006 | Отправлено: 11:53 17-11-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hanuman108
Это broadcast - для всех с адресом 192.168.1.ХХХ
Похоже на RIP - раутеровские штучки

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 14:17 17-11-2006
hanuman108



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
т.е. их запрещать не стОит?

Всего записей: 77 | Зарегистр. 13-09-2006 | Отправлено: 17:19 17-11-2006
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hanuman108
Если что-то на компе сидит на 520-ом порту по UDP, и ему постоянно необходимы таблицы раутера, я бы хорошенько проверил что это и может быть разрешил бы. А если ничего нет и всё работает и так - я бы запретил.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 19:07 17-11-2006
konik



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
In, Local Point: 192.168.1.255:520, Protocol:  
- что рассылка, понятно, но 520 порт - нечто незнакомое. Тем более, по удп стучится.
согласно шапке, это  
520=EFS - Extended File Server  
то есть, некая софтина ищет файл-сервер в локалке. Если не ты его хозяин (а я думаю, ты бы знал, если б был им ), знач действительно запретить ))  
Karlsberg

Цитата:
и ему постоянно необходимы таблицы раутера,
а откуда про раутер? Недопонял чего-то моменту..  

Всего записей: 697 | Зарегистр. 11-12-2004 | Отправлено: 08:17 25-11-2006
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru