» Настройка персональных файерволов (firewall rules)

imho

Цитата:

через VPN

- В смысле, каждый отдельно через ВПН, или вся локалка через ВПН, а внутри как получится?


Цитата:

чтобы не вдаваться в лишние подробности по настройке конкретных файров и правил, администрация умыла руки. А могли бы и правило настройки файра написать... Ленивые они у нас

- Хм. (вообще-то через ВПН не юзал, не знаком со спецификой, но пару слов..)
Если первое (каждый отдельно), то вроде не вижу дыр особых.. (хотя мало ли)
А если второе, то стоит одному юзверю подхватить червя или еще какую дрянь - такая головная боль будет админу! (бо вся сеть чихать будет).
Вон, не далее как сегодня админ позвонил, попросил проверить, появился ли инет (после грозы сеть упала) - врубил - и сразу флуд мощный: пакеты по 1496 байт сплошным потоком.

Цитата:

2004/07/23, 12:44:50
Adapter:*************
Packet was:Blocked
Device 1, Blocked incoming packet (unknown protocol)

Packet size = 1510 bytes

- - - - - - Ethernet header - - - - - -

Destination: FF-FF-FF-FF-FF-FF (Broadcast)
Source: 02-01-C0-A8-01-44
Protocol Type: 88-6F

Packet contents: 1496 bytes

0000: FF FF FF FF FF FF 02 01 C0 A8 01 44 88 6F BF 01 ........АЁ.D€oї.
0010: DE C0 04 02 00 00 01 00 00 00 C0 A8 01 44 00 00 .А........АЁ.D..
0020: 00 00 00 00 00 00 01 00 02 00 43 11 40 40 A0 00 ..........C.@@ .
0030: 00 00 00 00 00 00 00 00 00 00 00 F0 FF 6F 00 00 .............o..
0040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF ................
00C0: FF FF FF FF FF 0F FF FF FF FF FF FF FF 0F 00 00 ................
00D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0100: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01C0: 00 00 00 00 00 00 FF FF FF FF FF FF FF 0F FF FF ................
01D0: FF FF FF FF FF 0F 00 00 00 00 00 00 00 00 00 00 ................
01E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0200: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0210: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0220: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0230: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0240: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0250: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0260: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0270: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0280: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0290: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
02A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
02B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
02C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF ................
02D0: FF FF FF FF FF 0F FF FF FF FF FF FF FF 0F 00 00 ................
02E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
02F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0300: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0310: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0320: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0330: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0340: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0350: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0360: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0370: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0380: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0390: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
03A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
03B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
03C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
03D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
03E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
03F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0400: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0410: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0420: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0430: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0440: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0450: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0460: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0470: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0480: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0490: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
04A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
04B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
04C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
04D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 32 00 ..............2.
04E0: 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
04F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0500: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0510: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0520: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0530: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0540: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0550: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0560: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0570: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0580: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0590: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
05A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
05B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
05C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
05D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
05E0: 00 00 00 00 00 00 ......

- Что за дела? - Говорит, хто-то опять червя схавал, зараза гуляет..

Я уж право и не знаю толком куда мне со своей проблемой...

Столкнулся в последнее время с такой проблемкой - сайты типа pcflank.com и целый ряд других отказываются определять мой ip,давая отписку вроде(и следовательно отказывая в сервисах):
"The test has found that the IP address used by your computer cannot be scanned. This commonly occurs because of a firewall program on your computer and/or you are connected to the Internet through a proxy-server or your ISP uses Network Address Translation (NAT) to share IP addresses.

This means the test cannot check your system as the results of the testing would be incorrect".

Проксями и ничем подобным никогда не пользовался, настройки никакие не менял, сроду стоит ZA и раньше таких проблем не было - спокойно все определялось. Может в насройках куда поглубже залесть надо (у меня сист. XP Home),чтобы ISP c NAT "пощупать"?

Грешу еще на прова - может же он с проксями или чем-то подобным начать мудрить?

уважаемые, кто подскажет, какие порты открыть для работы аудио и видео с messenger 6.2?

Добавлено
уважаемые, кто подскажет, какие порты открыть для работы аудио и видео с messenger 6.2?

Praetorian
Можно вполне официально позвонить провайдеру и спросить как у организована сеть.
А что говорит _http://www.myipaddress.com ? Он может определить твой внешний IP?

Цитата:

Можно вполне официально позвонить провайдеру и спросить как у организована сеть.
А что говорит _http://www.myipaddress.com ? Он может определить твой внешний IP?

В службу техподдержки был послан запрос по мылу (вот пока жду все ответа), по телефону сформулировать краткий и лаконичный вопрос мне банально не хватает знаний в данной области .

Myipaddress айпишник засекает, да.

Praetorian
Возможно, что pcflank и др. имеют свой собственный алгоритм определения что ты заходишь с чего-то, что лучше не сканировать. Если твоя цель - убедится в собственной безопасности, проще посканить себя локально тем-же xSpider-ом. А если понять почему скан снаружи невозможен - нужно посмотреть какой прокси прописан в интернет експлорере и посмотреть на ipconfig /all и сравнить адреса прокси и гейтвея. Если разные - покопать в сторону прокси. Более точно смогу сказать через недельку, друг вернется который сидит за NAT-ом.

bredonosec

Цитата:

В смысле, каждый отдельно через ВПН, или вся локалка через ВПН, а внутри как получится?

Нет. Локалка нормальная. Обычная... на 10 Мб/с.
Но по локалке в интернет выйти нельзя - нужно доп. подключение к т.н. "Виртуальной частной сети" по VPN (для компа - это как диалап с звонком по сети).
Соответственно, помимо IP+MAC проверяется еще логин+пароль подключения к интернету. Что за сервер у прова это делает - не знаю, но скорее всего - Unix (FreeBSD).
Дыры - обычные: по сети могут увести пароль на VPN-подключение и, сэмулировав мои MAC/IP, пользоваться интернетом (пока не получат по шее от администрации)

Цитата:

флуд мощный: пакеты по 1496 байт сплошным потоком

поговори с админом - он может источник физически вычислить и заблокировать на свиче (если свич управляемый). К тому же это же колоссальная нагрузка на сеть в общем.

Praetorian

Цитата:

Myipaddress айпишник засекает, да

Это действительно _твой_ IP? А не шлюза/прокси? (см мои посты чуть выше)
Если IP твой собственный, то тогда действительно сканер на сайтах тупит.

Karlsberg
А NAT здесь не при чем... Вернее, принцип работы NAT'a тот же, что у прокси (без кэша) + входящую связь (port mapping) можно настроить.
Так что либо интернет-IP общий на сеть/сегмент (прокси/NAT, скан невозможен), либо у каждого свой собственный IP (и его можно сканировать из интернета).

Добавлено
блин... почти сочинение накатал

imho

Цитата:

А NAT здесь не при чем... Вернее, принцип работы NAT'a тот же, что у прокси (без кэша) + входящую связь (port mapping) можно настроить.

Принцип работы мне известен, а вот тонкости - не очень. Может ли NAT выдавать один внешний IP адрес для нескольких юзеров, при том что только внешние порты NAT-а разные? Если да, то на месте pcflank-а я бы тоже отказался сканить

Karlsberg

Цитата:

Может ли NAT выдавать один внешний IP адрес для нескольких юзеров, при том что только внешние порты NAT-а разные?

Конечно же. Это как раз я и пытался объяснить
Network Address Translation отправляет запрос от своего имени (IP). Чтобы не запутаться кому чего, использует для каждого подключения отдельные исходящие порты в диапазоне 5000-65534. Соответственно, запросы могут быть не только HTTP (80 порт назначения, но и FTP и любые др.). Обратная связь должна быть жестко настроена (связка "порт внешнего IP - IP:port локалки). Сканирование всех портов сетевой машины, сидящей за NAT'ом - невозможно.
А если за машиной сидит такой гуру, что port mapping'ом на шлюзе занимается, то ему эти сканеры безопасности из интернета - нафиг не нужны...

Ответа от техподдержки, в общем, я так и не дождался . Но вот сегодня приобрел карточку другого прова, на пробу - проблему как рукой сняло...

Praetorian

Цитата:

Ответа от техподдержки, в общем, я так и не дождался . Но вот сегодня приобрел карточку другого прова, на пробу - проблему как рукой сняло

1) А... Так у тебя диалап... (Сразу бы сказал...)
2) Если диалап, то эл. почту от службы поддержки можно писать годами. Им звонить надо. (Но это уже не относится к правилам файерволов)
3) Проблем-то особых не было. Просто посканить тебя не хотел какой-то сайт... Ну это надо было к их техподдержке обращаться

Кому надо, есть небольшая табличка с портами на сайте мелкософта: _http://www.microsoft.com/athome/security/protect/ports.mspx

Что посоветуете. Как настроить работу с Proxomitron. С точки зрения безопасности. Из прог использую Opera 7.23, The bat, ReGet.

DOE_JOHN
запрети входящие на порт проксимитрона со всех IP кроме 127.0.0.1
если будут проблемы - попробуй разрешить ещё и свой IP выданный провайдером...

DOE_JOHN
И разреши доступ на его порт только перечисленным тобой прогам, во избежание юзания его случайно попавшим трояном

XMMS
Karlsberg
Спасибо. Обсуждаю уже здесь http://forum.ru-board.com/topic.cgi?forum=5&topic=11492&start=340

У меня ЗонеАларм+Антивирь
Подключась я так - мой комп соединяеться по локалке с другим компом,на котором стоит АДСЛ.
Вопрос:
Как мне правильно настроить фаирвол ,чтобы обезопаситься от всякого рода вредителей??

Впервые заглянул в эту тему и извиняюсь, если уже было обсуждение, но хочу по поводу BitTorrent сказать.
Есть мнение, отличное от приведенного в шапке: http://www.rusdivx.ee/ibf/index.php?s=66d020fcc7d4c67666f39a15aa45671a&showforum=36&hyperlink=/bittorrent/firewall
Хотя у меня с такими настройками Панды лампочка зеленой не бывает, только желтая, но аплоады идут.
Сегодня попробую тутошние рекомендации

А как быть с alg.exe и svchost.exe?

А что у кого для mIRC открыто? Имеется в виду, для DCC.
Спасибо.

Сам себя процитирую...
Цитата:

Есть мнение, отличное от приведенного в шапке: http://www.rusdivx.ee/ibf/index.php?s=66d020fcc7d4c67666f39a15aa45671a&showforum=36&hyperlink=/bittorrent/firewall
Хотя у меня с такими настройками Панды лампочка зеленой не бывает, только желтая, но аплоады идут.
Сегодня попробую тутошние рекомендации

Попробовал. По-моему, ничего не изменилось. А желтизна, наверно, из-за других проблем (а может и не проблем, тянет же народ ...)

WinXP.NIS2004.Соединение с провайдером через VPN.
Проблема: После установки SP2 запускаю стандартную звонилку , а она сообщает, что
назначение не достижимо. Отключаю Нортона - соединение проходит нормально.При
включенном Нортоне, если запускаю IE, через его звонилку соединение проходит, а через кнопку Пуск - Подключение нет.

Dima1

Цитата:

NIS2004

У XP SP 2 есть серьезные проблемы с совместимостью с NAV и со многими другими фаерволлами (про NPF [именно он входит в NIS] на сайте MS ничего не сказано), так что здесь нужно дождатся сообщения об офицальной поддержке SP 2, ну или хотя-бы постоянно обновлять _все_ компоненты NIS (включая исполняемые файлы).

Wadson

Цитата:

по поводу BitTorrent

С тех пор немного расширился диапазон портов, по крайней мере в свежей версии бывшего shad0w. Лучше всего заглянуть в настройки и проверить порты.

Уточнение для e-mail клиента:
неплохо бы добавить в romete порты 143(IMAP), 993(secure IMAP), 995(secure POP3)

crypt77
Сейчас сделаю. Заодно немного инфы об IMAP (взято с _http://www.mail15.com/help.php?chapter=81)

Цитата:

Гораздо более мощный и функциональный протокол для приёма почты, называется он IMAP. Его поддерживают все популярные почтовые программы. Этот протокол имеет несколько весьма существенных преимуществ по сравнению с POP3, чрезвычайно полезных и позволяющих значительно облегчить работу с почтой.
Если Вы пользуетесь почтовыми программами, например, MS Outlook Express, то в силу ограниченных возможностей самого протокола POP3, Вы сможете работать только с папкой "входящие"("Inbox"), а по протоколу IMAP4 - со всеми папками, в том числе создавать новые, переименовывать или удалять старые. Т.е. если сотрудник привык раскладывать всю корреспонденцию по папочкам, то все эти папки можно хранить на почтовом сервере и, соответственно, работать с их содержимым с любого компьютера из любой почтовой программы.

Вы получите возможность выборочно запрашивать определенные сообщения, то есть если к Вам пришло много писем, то Вы не обязаны скачивать их все, предварительно можно получить только заголовки, тогда необходимые Вам письма будут скачиваться автоматически при просмотре. Кроме явного удобства это позволит не принимать нежелательные или спаммерские сообщения на свой компьютер, а удалять сообщения непосредственно на сервере, что приводит к экономии времени и средств на трафике.

IMAP позволяет хранить все сообщения на почтовом сервере. Это позволяет пользоваться одним и тем же почтовым ящиком с нескольких рабочих мест, и при этом все письма отображаются на всех подключенных в это время к нему компьютерах. Если на одном из компьютеров письмо удаляется, то и на других это письмо тоже исчезает из списка.

Вы сможете менять атрибуты и перемещать отдельные сообщения между папками прямо на сервере.

IMAP дает возможность пользователям Microsoft Outlook Express создавать различные учетные записи для разных ящиков (если их несколько).

IMAP позволяет искать нужные сообщения в содержимом папки прямо на сервере по всем возможным критериям - от кого, кому, тема, время отправки и получения, по образцам текста в письме.

Существует локальная сеть на основе домена (Windows 2003 Server с Active Directory). Сервер один. Все клиентские компы - Windows XP Pro. Планирую установить на сервер и рабочие станции фаерволы (VisNetic Firewall).
Подскажите какие правила лучше использовать на стороне сервера и на стороне рабочей станции и чтобы максимально закрыть ненужные порты и ненужные направления трафика в используемых портах, но при этом не потерять фунциональность в работе:
- пользователи должны логинится в домен (некоторые с использованием сертификатов на смарткартах)
- пользователи должны работать с файлами на сервере
- пользователи должны печатать на принтер (установленный на сервере)
- на сервере установлен центр выдачи сертификатов, выдающий сертификаты пользователям домена
- необходимости в удаленном управлении сервера и рабочих станций нет
- все данные находятся на сервере
- на рабочих станциях расшаренных ресурсов нет
- для шифрования IP трафика планируется использовать IPSec

Если у кого есть опыт подобной реализации или просто мысли по этому поводу - пожайлуста поделитесь.

и все же о настройке фаера для vpn

одно дело наточить все для диалапа. другое дело - для сетки с vpn. мало того, что нужно открыть несколько протоколов, трудно понять, работают правила или нет.

у меня например pcflank и аналогичные показывают кучу открытых портов. почему так: это не реальный ip, а маска. что там не сервере - не знаю. Но меня интересует безопасность внутри сети, потому как есть и локальный пиринг, и ирц, и прочий дребодан. У меня по локалке могут через нетбиос вывести любую инфу, хоть все пароли. уже и червя подхватил.

далее я понял, что куча фаеров не работают корректно под vpn. отказался от виснетика (он с несколькими сетевухами падал), сигейта, kwf. остановился на omnyvpn. как его настраивать не знаю. там надо и гейтвей прописывать, и ip внешний в интернет и прочее прочее, и правила внутри сегмента. кто может помочь?

Люди, подскажите - нужно защитить Web server под Win2k/Win2k3. Работает только IIS с ASP
Какой файрволл для такой машинки лучше поставить?

Kogovuk_Igor
Вот в этом топике точно помогут: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0044#1