Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: WildGoblin, 17:14 24-03-2017
miranon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите как правильно настроить bittorrent клиент для работы в p2p?
Пока настроил вот так:    
Это правильно?

Всего записей: 502 | Зарегистр. 03-06-2004 | Отправлено: 15:48 24-03-2008
protman



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите настройки фаеров для FlashGet 1.96 (комбайн закачек с поддержкой BT и  eMule сетей)
Включено DHT в его торренте и включен емул. Ломится сюда
Насколько Я понял нужно сделать настройки как для browser, Emule & Co, FTP-clients, Bittorent

----------
ИМХО - Имею Мнение, Хрен Оспоришь
Кривыми должны быть извилины а не руки.

[img]https://nick-name.ru/forum1t4/Protman.gif[/img]

Всего записей: 1382 | Зарегистр. 20-05-2003 | Отправлено: 09:05 05-04-2008 | Исправлено: protman, 10:32 05-04-2008
CocKain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
protman

Цитата:
Ломится сюда

Сервера. Смотри список серверов в настройках.

Цитата:
нужно сделать настройки как для browser, Emule & Co, FTP-clients, Bittorent

В принципе так. Номера локальных портов взять из настроек FGet, или самому задать там нужные.
 
 
miranon

Цитата:
Пока настроил вот так

А восьмидесятый порт торренту зачем?
И насчёт запретов смотри последнюю графу таблицы: что не разрешено, то запрещено.

----------
всегда начеку

Всего записей: 1448 | Зарегистр. 15-11-2004 | Отправлено: 12:08 05-04-2008
miranon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CocKain
восьмидесятый порт для коммуникации с трекером. Вообщем с вышеприведённой схемой ничего не качается. :/ А схема в шапке не точная и давно устаревшая.

Всего записей: 502 | Зарегистр. 03-06-2004 | Отправлено: 01:13 08-04-2008
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miranon, финальное правило "Block All IP" не бывает устаревшим - оно заменяет все твои запрещающие одним махом. Но его иногда нужно временно деактивировать, например, для подтверждения существующих разрешённых правил апдейтившихся приложений (т.к. при апдейте меняется контрольная сумма, и файер блокирует приложение), а потом опять активировать : в твоём случае чекбокс (галочка) в начале правила. Соображать надо, иначе устанешь "рисовать" правила, и "бумаги" не хватит
   

Всего записей: 3452 | Зарегистр. 26-03-2006 | Отправлено: 01:42 08-04-2008 | Исправлено: vitsat, 01:57 08-04-2008
miranon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vitsat
Если ты знаешь как правильно настроить то подскажи. У меня есть встроенный firewall в роутере, я там открыл 7250 порт через который проходит траффик битторрента. А McAfee Firewall меня уже достал с постоянными сообщениями о том разрешить ли коммуникацию или нет на почти каждый порт и ip адресс.

Всего записей: 502 | Зарегистр. 03-06-2004 | Отправлено: 00:01 09-04-2008
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miranon, не знаю, что ты там в роутере делал, но я просто сгенерировал первый попавшийся порт в uTorrent , открыл такой же в файере на входящие соединения, и всё сразу заработало :    
 Так что поисковик тебе в руки, и вперёд учить уроки :  
http://ru.wikibooks.org/wiki/Порт
http://ru.wikibooks.org/wiki/Bittorrent/Порт
http://ru.wikibooks.org/wiki/ΜTorrent

Всего записей: 3452 | Зарегистр. 26-03-2006 | Отправлено: 03:40 09-04-2008 | Исправлено: vitsat, 03:44 09-04-2008
miranon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vitsat
Один только порт в файере открыть недостаточно, тогда нет соединения с трекером. :/ (если закрыть все остальные).
Википедию читал.

Всего записей: 502 | Зарегистр. 03-06-2004 | Отправлено: 14:08 11-04-2008
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miranon, не знаю, у меня так круглыми сутками успешно работает. Может у тебя что-то "нахимичено" в роутере ?  
 А порт и должен быть один для входящих (на раздачу - это через который у тебя с компа тянут), для исходящих (на закачку) у меня всё, что положено, открыто : ведь видно же !

Всего записей: 3452 | Зарегистр. 26-03-2006 | Отправлено: 16:42 11-04-2008
miranon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vitsat
 
Т.е. у тебя настроено так?
 

Код:
TCP:   локальный порт (один)<---1024-65535
UDP:   локальный порт (один)<---1024-65535
 
TCP:   локальный порт (один)--->1024-65535
UDP:   локальный порт (один)--->1024-65535
 
Все остальное заблокировано.

 
А у тебя открыт 80 порт для коммуникации с трекером?

Всего записей: 502 | Зарегистр. 03-06-2004 | Отправлено: 22:27 11-04-2008
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
miranon, не зли лучше : ты, часом, не слепой ?
1.Где ты у меня увидет UDP ?
2.Слово "Any" означает "Любой" : значит все удалённые порты разрешены (в т.ч. и 80), а не определённый диапазон. Ну а локальный порт для входящих (стрелка влево) - любой сгенерированный торрент-клиентом (программой), т.к. рекомендуемые 6881-6889 запрещены на некоторых трэкерах. Локальный порт для исходящих - 1024-65535 (здесь я ничего не придумывал, а доверился стандарту обучаещего режима).
 P.S. И вообще, пригласи друга-специалиста, пускай поможет настроить, т.к. мне кажется, что ты расстроил свой ADSL-модем(роутер).
 P.P.S. Отключи блокировку флэш и рекламы в броузере, чтобы видеть приклеенные картинки.

Всего записей: 3452 | Зарегистр. 26-03-2006 | Отправлено: 23:19 11-04-2008 | Исправлено: vitsat, 00:04 12-04-2008
miranon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vitsat
Как ты быстро злишься lol Картинку твою я никогда не видел так как:
   
 
У меня в принципе и так всё настроено, просто когда подключается много пиров то регулярно фаервол выдает сообщения разрешить ли конкретную коммуникацию или нет...
Вот я и решил узнать как можно правильно настроить раз и навсегда.  

Всего записей: 502 | Зарегистр. 03-06-2004 | Отправлено: 23:29 11-04-2008
vitsat

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Всего записей: 3452 | Зарегистр. 26-03-2006 | Отправлено: 23:38 11-04-2008 | Исправлено: vitsat, 23:54 11-04-2008
miranon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vitsat
Спасибо, попробую.

Всего записей: 502 | Зарегистр. 03-06-2004 | Отправлено: 00:14 12-04-2008
krukoff



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите, пожалуйста, какие правила необходимы, чтобы можно было работать с DameWare NT Utilites при включенном Outpost. На данный момент, ни один ПК не доступен. Домены тоже не видны. NetBIOS блокируется.


----------
Знает сломанный корабль: жизнь - река и надо плыть,
Буйный ветер рассекать, тихий берег позабыть.
Обработка видео на компьютере

Всего записей: 1673 | Зарегистр. 27-10-2004 | Отправлено: 18:36 13-04-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krukoff

Цитата:
Домены тоже не видны. NetBIOS блокируется.  

Цитата:
чтобы можно было работать с DameWare NT Utilites
DameWare NT Utilites вещь не сильно распространенная. Попробуй поставить Tcpview.exe и посмотреть
1 исходящие от тебя запросы
2 блокируются или нет исходящие сравни с настройками в Outpost
3 входящие какие блокирует Outpost
 
зы Только наверное добавь Tcpview.exe в Outpost в доверенные приложения - которым все разрешено
 

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 22:02 13-04-2008 | Исправлено: KUSA, 22:04 13-04-2008
BasiL



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krukoff
KUSA

Цитата:
DameWare NT Utilites

Товарищи делают отличный софт, у меня их приложения - в доверительном списке.
 
Вообще по идее это утилиты для управления сеткой, так что с каждым запуском какой нидь утилиты потребуются открытия разных портов... К примеру, там есть пинг, т.е. надо открывать целиком ICMP. Есть телнет, удаленная командная строка, свой клиент RDP, по тому же RDP работать может, удаленный реестр... в общем, портов будет масса, проще добавить приложения в доверительные.

Всего записей: 3214 | Зарегистр. 13-03-2004 | Отправлено: 22:15 13-04-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BasiL

Цитата:
у меня их приложения - в доверительном списке

это не отменяет главного - какие правила необходимы  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 19:50 18-04-2008
BasiL



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
я использую Jetico. Для двух приложений из пакета стоит alow all.

Всего записей: 3214 | Зарегистр. 13-03-2004 | Отправлено: 22:32 18-04-2008
adronik

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здравствуйте! Подскажите,пожалуйста, почему Agnitum Outpost Firewall Pro 4.0.1007.591 блокирует Opera. Ни одна страница не открывается,хотя поставил Opera как доверенное,и создал для нее стандартноре правило -Browser

Всего записей: 5 | Зарегистр. 13-04-2008 | Отправлено: 13:53 28-04-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru