Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Инфа по SVCHOST.EXE для зелёных новичков    (таких как я сам)

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 23:00 25-07-2009
Poljarnaja_Lisa



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто нибудь подскажет в чём проблема: никак не могу заблокировать входящий трафик на модем SkyLink. Пробовал создавать все мыслимые и немыслимые правила,по всем возможным протоколам-толку никакого.Кто знает вв чём проблема? Или подскажите ссылочку на место где лежит её решение.Спасибо. Если вопрос задал не туда подскажите куда мне нужно.

Всего записей: 26 | Зарегистр. 13-09-2008 | Отправлено: 01:40 26-07-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Poljarnaja_Lisa, а почему вы уверены, что какие-то соединения проходят через модем на ваш комп ?

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 10:28 26-07-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF

Цитата:
а почему вы уверены, что какие-то соединения проходят через модем на ваш комп ?
Добро пожаловать в клуб телепатов - в описании проблемы ничего о операционной системе и фаерволе, а ты уже говоришь о соединении  

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 00:50 28-07-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA, главное, что решения не предложил, так что ещё не совсем телепат

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 20:17 28-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые знатоки, в шапке для браузера указанны следующие порты
Цитата:
80, 443, 8080, 8100
,а у KIS в стандартном правеле так 80-83, 443, 1080, 3128, 8000, 8080.
По мимо того, что у KIS заданно больше портов так ещё и отсутствует порт 8100, в данный момент настраиваю Nod ESS на чужом ПК и вот не знаю какие всё таки порты открывать?

Сделал так. 80-83, 443, 1080, 3128, 8000, 8080, 8100 надеюсь это коректно.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 18:59 30-07-2009 | Исправлено: sanni00015, 19:58 30-07-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015
Основные порты для HTTP - 21,80,443
Все остальные - не обязательно, если сайт например использует нестандартный порт 85 - это проблема тех, кто его составлял.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:33 30-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
Спасибо.
 
Но как же быть тогда с таблцами настроек, и почему ни в одной нет порта 21?
Нет есть на сайте www.jetico.narod.ru, сам спросил сам ответ нашёл, пока вопрос писал, вот теперь всё ясно.  
HTTP connection TCP Any or   1024:5000 80:83 Outbound   Исходящее Accept    
HTTPS connection TCP Any or   1024:5000 443 Outbound   Исходящее Accept    
SOCKS connection TCP Any or   1024:5000 1080 Outbound   Исходящее Accept    
PROXY connection TCP Any or   1024:5000 3128   8080:8083   8088   8100 Outbound   Исходящее Accept    
FTP connection TCP Any or   1024:5000 21 Outbound   Исходящее Accept    
FTP DATA connection TCP Any or   1024:5000 20 Inbound   Входящее Accept

 
А что у браузера входящего трафика разве нет? Опять я, что то не допонял...

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 21:09 30-07-2009 | Исправлено: sanni00015, 21:13 30-07-2009
Verwolk



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sanni00015

Цитата:
А что у браузера входящего трафика разве нет? Опять я, что то не допонял...

направление определяется инициатором. то есть входящий трафик у браузера есть, но он инициирован самим браузером
 

Цитата:
Но как же быть тогда с таблцами настроек, и почему ни в одной нет порта 21?  

KUSA немного неправильно выразился. он имел ввиду, что
Цитата:
Основные порты для браузера - 21,80,443

 

Всего записей: 2162 | Зарегистр. 24-11-2005 | Отправлено: 04:34 31-07-2009 | Исправлено: Verwolk, 04:35 31-07-2009
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015

Цитата:
А что у браузера входящего трафика разве нет? Опять я, что то не допонял...

Для браузера ненужен.    
А правила из этой таблички предназначены для ftp клиента.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 12:42 31-07-2009
speakerr



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015

Цитата:
А что у браузера входящего трафика разве нет? Опять я, что то не допонял...

да, не допонял... файрвол должен контролировать:
 
1. для протокола tcp/ip - важно, кто осуществляет подключение. разрешено приложению соединение наружу? разрешено подключение извне к определенному приложению?.. разрешить... на остальное - запрет. и если файрвол разрешил, в соответствиями с правилами, соединение - трафик уже может быть любой. и это уже, imho, не "царское" дело файрвола вмешиваться в этот трафик и типа "резать рекламу" и т.д. и т.п...
 
2. для протокола UDP - правила подключения нет, т.к нет самого подключения. здесь нужно регулировать сам поток пакетов - кому разрешено отравлять/принимать...
 
примерно так...

Всего записей: 423 | Зарегистр. 09-02-2004 | Отправлено: 16:23 31-07-2009 | Исправлено: speakerr, 16:28 31-07-2009
Dukat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015

Цитата:
почему ни в одной нет порта 21?

21-й порт для ftp. Можно и браузером заходить, но в правилах чаще выносится отдельно для ftp-клиентов.

Всего записей: 1412 | Зарегистр. 01-10-2006 | Отправлено: 18:55 31-07-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
В последнее время на мои вопросы в разных темах отвечаете именно вы, за что вам отдельное спасибо.
speakerr
Спасибо. Ваш ответ прояснил для мня "tcp/ip, UDP протоколы" и куда девался входящий трафик браузера.
Dukat
Спасибо.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 20:33 31-07-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015, немного добавлю к сказанному: персональные фаервола в подавляющем большинстве (или даже все) работают по принципу разделения соединений на ожидаемые и неожидаемые. Т.е. если вы посылаете запрос сайту, то он в ответ вам отправляет свою страничку и в этой ситуации это будут ожидаемые входящие. Вот такие входящие прописывать отдельно в персональных фаерах не нужно.
А вот если вы включили торрент-клиент и раздаёте что-то, то к вам могут на указанный вами порт подключаться кто угодно, кто захочет скачать у вас, и такие соединения будут неожидаемыми входящими и их надо прямо разрешать в фаерволе, иначе у вас никто и ничего не сможет скачать.
По настройкам можете ещё в шапке топика COMODO посмотреть (в качестве примера).

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 10:54 01-08-2009 | Исправлено: WIGF, 10:55 01-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF
Спасибо.
 
Добавлено:
Где то видел, не помню где может в начале этой темы, что Проводник не должен иметь сетевого доступа, а я вот уже в который раз запретив ему TCP&UDP не смог получить подключение VPN, приходиться разрешать.
Как же всё таки быть с Проводником?

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 19:24 01-08-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sanni00015, скорее всего у вас не запущена служба DNS-клиент. Поэтому DNS-запросы идут при подключении к vpn от имени explorer, а не от svchost.exe.

Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 11:58 02-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF, спасибо вы были правы DNS служба не работала, включил теперь всё ok.
Остались некоторые мне не понятные нестыковки, если позволите я позже(пока не знаю как сформулировать) ещё задам вопрос.
Настраиваю Nod ESS, возможно это проблеммы ПО.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 14:52 02-08-2009
speakerr



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF

Цитата:
персональные фаервола в подавляющем большинстве (или даже все) работают по принципу разделения соединений на ожидаемые и неожидаемые. Т.е. если вы посылаете запрос сайту, то он в ответ вам отправляет свою страничку и в этой ситуации это будут ожидаемые входящие. Вот такие входящие прописывать отдельно в персональных фаерах не нужно.  

"если вы посылаете запрос сайту"  - это означает, что браузер хочет осуществить соединение наружу (исходящее). и если файрвол его разрешил и соединение произошло - браузер отправляет исходящий запрос и принимает по этому соединению входящий трафик. никаких более - "ожидаемых и неожидаемых" соединений не существует.
 
ps. извиняюсь за массу выделений, но здесь каждое слово и понятие важны.

Всего записей: 423 | Зарегистр. 09-02-2004 | Отправлено: 17:48 02-08-2009 | Исправлено: speakerr, 18:07 02-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здраствуйте.
Помогите правильно сформулировать вопрос в службу поддержки.
Суть проблеммы: сеть Corbina, фаер встроенный в Nod ESS, DNS сервера по команде ipconfig/all определил, VPN сервера проставил ..., не смог корректно настроить правило для Dhcp Подробнее..., при загрузке браузером странички идёт запрос DNS адреса отличного от первых 2х, но в списке по команде ipconfig/all они есть в нижней(PPP адаптер) части списка, вот только они меняются, за время настройки фаера сменилось 4 адреса.
 
Вопросы:

  • Как корректно настроить Dhcp (порты, адреса), в Corbine динамическая раздача, динамических IP? Подробнее...
  • Как правильно задать вопрос по втрому списку "внешних" DNS серверов.

PS
ПК родственника, он сам не сможет корректно создать правило при запросе, поэтому и пытаюсь продумать всё наперёд.

Спасибо.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 02:18 03-08-2009 | Исправлено: sanni00015, 02:20 03-08-2009
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ, спасибо. Буду разбираться.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 12:47 03-08-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru