Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: WildGoblin, 17:14 24-03-2017
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ponponpon
500 Invalid PORT Command в активном режиме говорит о том что сервер не может установить соединение с компом клиента. Проверь что открыт доступ наружу для фтп сервера и на клиентском компе доступ снаружи для фтп клиента, т.е. для FAR и ReGet. Потом бум смотреть дальше.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 13:19 15-03-2007
ponponpon

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С клиентом вроде все нормально, ибо при отключении firewall'а на сервере,
он (клиетны far и reget) имеет полный доступ к ftp:8021 вплоть до upload.
А что конретно смотреть на стороне сервера при включенном firewall'е,
какие сервисы или порты кроме 20, 21, 8021 надо смотреть для ftp:8021.
И еще, пока разрешил все элементы ICMP на всякий случай. Но это не дало результата.
Напомню, что ftp:21 при включенном firewall'е полностью доступен для клиента.
 
Заодно, вопрос.
Через форму управления firewall'ом можно добавлять исключения для портов только
по одному порту на запись. Как разрешить одной записью диапазон портов?
И как, я понял на ней управляют только входными портами.

Всего записей: 52 | Зарегистр. 16-02-2006 | Отправлено: 18:31 15-03-2007
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ponponpon
Встроенный файер не блокирует соединения наружу, поэтому в активном режиме он влиять не должен, если открыт порт 8021. Если он влияет, значит используется пассивный режим, и в серверном файере нужно открывать порты 1024..65535 для соединения, по которому пойдут данные. Порт 8021 используется только для команд.

Цитата:
разрешить одной записью диапазон портов?

Насколько я знаю, никак. Поискать другой файер, или поизвращаться со скриптами которые внесут все порты напрямую в реестр.

Цитата:
разрешил все элементы ICMP на всякий случай

ICMP никак не влияет

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 19:42 15-03-2007
speakerr



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ponponpon

Цитата:
А что конретно смотреть на стороне сервера при включенном firewall'е,  
какие сервисы или порты кроме 20, 21, 8021 надо смотреть для ftp:8021.

по аналогии с парой портов 20-21, ты должен настроить в ftp сервере и файрволе пару 8020-8021. порт 8020 нужен для активного режима. а если работает пассивный режим на 21 порту, то он будет работать и на 8021 точно так же.
 
Добавлено:
Karlsberg

Цитата:
Встроенный файер не блокирует соединения наружу, поэтому в активном режиме он влиять не должен, если открыт порт 8021.

8021 всегда открыт на соединение извне, и только так. а вот какой порт назначен на этом втором сервере для ftp-data, который работает наружу, я пока не вижу.

Всего записей: 423 | Зарегистр. 09-02-2004 | Отправлено: 10:25 16-03-2007 | Исправлено: speakerr, 20:15 16-03-2007
kolinich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ подскажите пожалуйста как насторить Firewall (у меня пока аутпост), рабочая группа через мой комп идет подключение к интернету (все подключены через свич). Задача такая мне сугубо наплевать на других пользователей, а точнее их безопасность, как все настроить у меня безопасно у них как хотят, а то я вижу на какие они сайты заходят что порты ктото сканирует постоянно.

Всего записей: 46 | Зарегистр. 05-06-2006 | Отправлено: 16:54 16-04-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насколько я понял из таблицы, для DNS определен UDP 53 порт.
Но вот Firefox, например,  просит разрешения на UDP 53, хотя по таблице ей как браузеру положено TCP. По какой причине?

Всего записей: 1290 | Зарегистр. 17-02-2006 | Отправлено: 06:27 02-05-2007
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jlmurat
А под какой операционкой Firefox бежит? На винде не просит, пользуется сервисом самой операционки. В двух словах, чтобы открыть страницу, браузер должен получить IP адрес сайта, то есть преобразовать www.вася.com в что-то типа 123.45.67.89, DNS как раз этим и занимается

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 10:27 02-05-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А под какой операционкой Firefox бежит?

XP SP2. Но он у меня через связку Handycache-Proxomitron

Всего записей: 1290 | Зарегистр. 17-02-2006 | Отправлено: 12:42 02-05-2007
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По каким портам работает NetMeeting? Надобно его прикрыть. Windows 2000, скорее не принципиально.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 14:20 03-05-2007
TeXpert



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
Запускаешь, например, TCPView и видишь, какие порты он держит.

----------
Майкудук, Пришахтинск не предлагать!:)
А на Пирогова приходит снова весенний гомон...

Всего записей: 3535 | Зарегистр. 08-02-2003 | Отправлено: 00:04 04-05-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jlmurat

Цитата:
Но он у меня через связку Handycache-Proxomitron

Значит надо и Proxomitron тоже разрешить 53 UDP

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 12:48 04-05-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пользуюсь toonel'ем как прокси сервером, который является Java-приложением.  
В связи с этим, что делать с самим тунелем и с javaw.exe? Я имею в виду порты и протоколы.
Вообще интересно услышать о правилах для локальных прокси (handycache. proxomitron, toonel) - по какому они принципу создаются - типа браузеров или несколько сложнее?
 
И еще заметил, многие проги, связанные с инетом (в частности bat),  просят разрешения на dns port (53). Насколько "законны" эти просьбы?

Всего записей: 1290 | Зарегистр. 17-02-2006 | Отправлено: 06:45 08-06-2007
boy31



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
можно вопрос
 
порты - 32768:65535
 
используюся какими приложениями и когда?

Всего записей: 25 | Зарегистр. 19-05-2007 | Отправлено: 12:16 11-06-2007
jlmurat

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
boy31

Цитата:
порты - 32768:65535 используюся какими приложениями и когда?

В торрент-клиентах рекомендуется выставлять номер порта больше 10000.

Всего записей: 1290 | Зарегистр. 17-02-2006 | Отправлено: 12:30 11-06-2007
spike



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
поставил ZoneAlarm Security Suite
странность
с торрента качает и отдает, но как-то странно, когда я отключаю, больше отдача, что может быть заблокировано ?
 
ps: на utorrent поставил super trust

Всего записей: 693 | Зарегистр. 23-10-2003 | Отправлено: 12:38 13-06-2007
Viktor_Kisel



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Установил я Miranda IM 0.7.0.12a Dmikos pack 13 (раньше была Miranda IM LEM pack).
Я ей разрешил Исходящее TCP/IP - local 1024-5000; remote 5190 и 443
 
Теперь она еще просится:
1) Исходящее UDP/IP - local 1198; remote 1900;
Описание этого порта неизвестно или недоступно.
2) Исходящее TCP/IP - local 1064; remote 5190;
America Online (AOL) Client Software - Used to communicate with the AOL host system.
 
Зачем нужен ей этот: UDP/IP - local 1198; remote 1900?

Всего записей: 2087 | Зарегистр. 01-02-2005 | Отправлено: 13:04 30-06-2007
latin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Viktor_Kisel
1900 порт открывает служба Simple Service Discovery Protocol (SSDP), используемая для поиска универсальных Plug and Play устройств подробнее можете посмотреть например здесь
Для Миранды можете блокировать это подключение, так же неплохо для общей безопасности закрыть этот порт что проще всего делается отключением службы Windows.

----------
Помни, правильно заданный вопрос это половина ответа
Те, кто жили до нас, многое свершили, но ничего не завершили. Сенека

Всего записей: 781 | Зарегистр. 01-03-2006 | Отправлено: 13:36 30-06-2007
Viktor_Kisel



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
latin
Спасибо за исчерпывающий ответ Так теперь и сделаю.

Всего записей: 2087 | Зарегистр. 01-02-2005 | Отправлено: 15:12 30-06-2007
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
speakerr

Цитата:
за много-много лет ни разу не видел такого. урл не дашь для почитать? иначе все - твои фантазии.  
Не слишком ли много амбиций в вашем тоне, господин хороший? ))  
Нате вам гугель и выбирайте любой сколь угодно авторитетный для вас лично источник - хоть МС, хоть кого.  
google->svchost.exe

Цитата:
любопытно и необъяснимо. по опыту своей локалки - снег растаял и залил кой-чего. мусор, короче. дождись ясных дней ))
вообще-то тут причина была иная, но эт неважно.  
AAD

Цитата:
Я в инет выхожу по локалке....
Как потом выходить?
я тоже через. свцхосту этого не нужно. Чтоб ты выходил - достаточно разрешить браузеру.  
 
 
 
Добавлено:

Цитата:
И еще заметил, многие проги, связанные с инетом (в частности bat),  просят разрешения на dns port (53). Насколько "законны" эти просьбы?
в принципе, крамолы не вижу. Разве что можно ограничить - не на любой адрес, а только на ваш личный ДНС серв (порт 53 удал) и не с какого угодно порта, а только по 1024-5000 локального.  
 
 


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16057 | Зарегистр. 13-02-2003 | Отправлено: 11:37 07-07-2007
Dervish



Network spirit
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Друзья, помогите подружить комодо-3-альфа  с впн. какое правило создать, чтоб этот впн поднялся? останавливается на окне проверки пароля... почти все, что в голову пришло, перепробовал... пока не победил (((.

Всего записей: 2485 | Зарегистр. 05-09-2001 | Отправлено: 11:50 08-07-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru