» Настройка персональных файерволов (firewall rules)

Замечен такой баг у outpost, значит, я на своем примере, для emule.exe разрешен полной доступ в сеть, если установить какую нибудь другую программу, работающей с сетью, у меня было это и с tvguru.exe и с onlinetv.exe, и установить режим обучения, то эти приложения (хотя я думаю и другие приложения) при несуществующих для них ни единого правила, получают доступ в сеть под правилом для emule.exe, т.е. полный доступ, в сетевой активности для этих проложений пишется причина разрешения/блокировки: разрешить действия приложения emule.exe? хотя это совсем другие приложения. Очень серьезная уязвимость! Исправляется это только перезагрузкой системы, после перезагрузки в сеть эти приложения не выпускаются, и при обучающем режиме появляется запрос создать правило или блокировать, в общем стандартный запрос, до перезагрузки, повторюсь такого запроса не возникает, приложение сразу выходит в сеть, под чужим правилом. Windows XP SP2 RUS VLK + Outpost Firewall Pro 2.5.369.4608 (369)

Кто нибудь сталкивался чем нить подобным??? Баг очень серьезный

Добавлено
Скриншоты могу предоставить сомневающимся

Добавлено
Кстати, вот похожая проблема: http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1243

Добавлено
Пожалуй пора бежиать от Outposta с его многочилсенными и страшными багами, тем паче за примерами далеко ходить не надо: http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1248
http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1258
Да еще и с их отношением к глюкам, их предупреждают и они в следующих версиях и не думаю их исправлять, http://forum.five.mhost.ru/showthread.php?s=b333a289df3ae16ec9f03e78b4fc4e9d&threadid=1256

Раньше тоже сомневался вот в таких у кого он не работает, все пытался обвинить таких в кривых ручках, ан нет всеж оутпост страшно глюкав....

Добавлено
Вот тут есть вроде решение этой проблемы, но помогает это временно, через некоторое время те же самые глюки http://forum.five.mhost.ru/kb/index.php?page=index_v2&id=11&c=2

alextan76
Запости это, пожалуйста, в тему Оутпоста:

Цитата:

Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках

Ветку про NIS никто похоже не читает, спрошу здесь

"Может я что-то не так делаю? Хочется, чтобы определенный круг программ имели свободу только в пределах 127.0.0.0-127.0.0.255 и 192.168.0.0-192.168.0.255 а дальше - ни-ни. Указал в Trusted эти две зоны, но ведь все равно в каждой отдельной проге надо указывать эти правила отдельно, а когда их много - надоедает. А сделать Permit Always или Deny Always нельзя.
Пример, есть CoolProxy, но я не хочу, чтобы снаружи к ней на 3129 кто-то стыковался, но чтобы она могла свободно ходить наружу и по 127.0.0.0-127.0.0.255 и 192.168.0.0-192.168.0.255. Или CSE HTML Validator или подобные проги. Все знают, что Permit Always им нельзя, а в пределах локалки хотелось бы разрешить ходить. Но КАЖДЫЙ раз эти правила прописывать утомляет.
Подозреваю, что я что-то где-то недоглядел или что-то не так делаю или не так понимаю назначение Locations.
Вроде в других стенках есть зоны, для которых один раз прописываются правила, а потом программа просто помещается в зону и живет по заданным правилам. Кажется в ZoneAlarm, если я не путаю. Неужели в NIS такого нет?"
Чтобы не оффтопить здесь, отвечать лучше сюда

А как узнать какая программа хочет подсоединиться с рабочей станции к серверу.
На рабочей станции Win98SE, на сервер WinXP.
Так вот на рабочей станции ни одна программа прослушивания портов не хочет показывать какой процесс через какой порт работает, т.е. показывает через какие порты какая работа идет, а сами процессы не известны.
Kerio Personal Firewall, который установлен на сервере говорит, что какой-то сервис просит соедиения через порт 135 по TCP.
Какая прога в Win98SE может показать какие процессы на каких портах работают?
Что делать?

exMIB
Цитата:

Kerio Personal Firewall

Персональные файерволы и должны показывать что куда ходит. Ну хотя бы в общих чертах.
Обозначенный Kerio как раз из этой серии

exMIB
Судя по всему в Вин98 получить такую инфу невозможно, если даже _http://www.sysinternals.com/ntw2k/source/tcpview.shtml в 98-м не показывает имя процесса который использует соединение.

Karlsberg
Эх... это же Win98... (давно с ним не сталкивался).
И что, даже клиентский firewall не поможет?

imho
Полазил тут по MSDN-у, все функции из PSAPI заканчиваются стандартно:

Цитата:

Windows NT/2000/XP: Included in Windows NT 4.0 and later.
Windows 95/98/Me: Unsupported.

Значит, exMIB придется лечить топорным методом. Выгружать программы по одной и смотреть, когда перестанет проситься на ТСР135.

Karlsberg
Я не силен в программировании, но случайно нашел вот это:
http://www.delphiplus.org/articles/api/terminator/index.html

Цитата:

Но как найти процесс, если он уже исполняется на момент запуска нити мониторинга (чтобы не запускать несколько копий приложения)? Давайте используем функции Win32 из раздела SDK Process Status Helper (PSAPI). Сразу замечу, что функции PSAPI реализованы в Windows NT/2000/XP/.Net, так что счастливым обладателям Windows 95/98/ME придется использовать функции SDK Tool Help. Почему именно PSAPI, ведь Tool Help тоже поддерживается на платформах NT/2000/XP/.Net? Уверен, что большинство из читателей не знакомы с этими функциями, так почему бы не начать их применять?!

Добавлено
Т.е. получается что всё-таки в Windows 98 можно найти процесс, надо только оптимизировать код программы для двух видов Windows NT и 9x.

Добавлено
Вот ещё кое-что "Получение списка процессов в Windows 9x и NT" http://delphiworld.narod.ru/base/get_run_processes.html

exMIB
попробуй TaskInfo (www.iarsn.com)

а вообще 135-й порт это нетбиосовский сервер имён. и обращения к нему могут идти из ядна системы. можно отинсталировать протокол NetBIOS, но тогда перестанет работать микрософтовская сеть.

exMIB
Смысл не в том, чтобы найти какой-либо процесс, а в том, чтобы привязать сетевые соединения к процессам.
В NT есть команда "netstat" с параметром "-o" выводит PID процесса, использующего данное соединение.
Цитата:

Отображение кода (ID) процесса каждого подключения

Даже утилиты не нужны.
Если в Win98 есть аналог netstat'а - найди в нем этот параметр (если он там есть). Но скорее всего отсутствует... увы

crypt77
Дело в том что больше с 30 остальных машин в сети на 135 порт на сервер ничего не лезет, это только с одной.
Но до этого недавно на эту машину был установлен принтер лазерный HP LJ 1300, драйвера к нему и софт.
Может что-то из этого софта лезть на сервер на 135 порт?
Вирусов вроде нет.

Добавлено
В софте к этому принтеру есть разные программки, которые позволяют через броузер следить за состоянием картриджей по сети и состоянием принтера.

exMIB
я ошибся, по поводу сервера имён. 135-й порт - это RPC (Remote Procedure Call).

Цитата:

Дело в том что больше с 30 остальных машин в сети на 135 порт на сервер ничего не лезет, это только с одной.
Но до этого недавно на эту машину был установлен принтер лазерный HP LJ 1300, драйвера к нему и софт.
Может что-то из этого софта лезть на сервер на 135 порт?

думаю может, особенно на домен контроллер.

Цитата:

Вирусов вроде нет.

лучше проверить.
RPC - это большая дыра для вирусов.

exMIB

Цитата:

Какая прога в Win98SE может показать какие процессы на каких портах работают?

Как утверждается на хомяке -http://www.diamondcs.com.au/portexplorer, они единственные кто это дело реализовал для 98-го.

Цитата:

Port Explorer is the only port-to-process mapper for Windows 95/98!

Предлагаю внести изменения в правила для Emule & Co в соответствии с FAQ на оф.сайте:
http://www.emule-project.net/home/perl/help.cgi?l=1&rm=show_topic&topic_id=122

albel
То есть, убрать пару портов? Можно, конечно, но там последний апдейт инфы был
Last Update: 23.07.2003 11:15
а тут ведь не с потолка взято, а кем-то использовавшим.. Хотя ссылку в примечания добавить можно.

albel
Инфа полезная, добавлю в шапочку на выходных.
bredonosec
Со времен написания шапочки к ослику добавились Кадемлиа и Веб-интерфейс, придется добавлять

Karlsberg

Цитата:

Со времен написания шапочки

Так о том и говорю, что время написания инфы там

Цитата:

Last Update: 23.07.2003 11:15

и портов меньше. потоум и сомненья гложут.

bredonosec
Я думаю они просто забыли апдейтнуть дату
В любом случае я сначала проверю как это дефолтно конфигурится в новых осликах.

albel
Чего-то ссылка умерла. Ты у себя нигде инфу не сохранил? Объяснения там хорошие были

Кто-нибудь в курсе, почему столько народу вечно ломится на 1214 порт?


Цитата:

kazaa 1214/tcp KAZAA
kazaa 1214/udp KAZAA

Казы у меня там естественно нету.

bredonosec

Цитата:

То есть, убрать пару портов? Можно, конечно, но там последний апдейт инфы был
Last Update: 23.07.2003 11:15

проверено у себя в системе: ослу вполне хватает данных портов, скорость U/D приличная, поэтому зачем плодить открытые порты?

Karlsberg

Цитата:

Со времен написания шапочки к ослику добавились Кадемлиа и Веб-интерфейс, придется добавлять

ну, про эти добавки сказать не могу ничего, бо не пользую.
Кстати, линк живой на emule-project, на всякий случай скопирую инфу сюда:

Цитата:

1) Local Port: 4662
Remote Port: any
Protocol: TCP
Direction: incoming
Purpose:

Client Port / Connections from other clients, Client to Client Source Exchange
Note:

You can change this port in Preferences -> Connection -> Client Port
This port has to be forwarded in a router. Changing this port in Preferences you must also change the forwarding in the router


2) Local Port: any
Remote Port: 4662
Protocol: TCP
Direction: outgoing
Purpose:

Client Port / Connections to other clients, Client to Client Source Exchange
Note:

4662 is the default port, but other clients may have different settings. Change the remote port to any when configuring a firewall


3) Local Port: 4672
Remote Port: any
Protocol: UDP
Direction: incoming
Purpose:

Clients source asking / extended eMule protocol, Queue Rating, File Reask Ping
Note:

This port has to be forwarded in a router. Changing this port in Preferences you must also change the forwarding in the router.
If you are not able to forward this port check the disable box in Preferences -> Connection -> UDP Port


4) Local Port: any
Remote Port: 4672
Protocol: UDP
Direction: outgoing
Purpose:

Clients source asking / extended eMule protocol, Queue Rating, File Reask Ping
Note:

4672 is the default port, but other clients may have different settings. Change the remote port to any when configuring a firewall
5) Local Port: any
Remote Port: 4661
Protocol: TCP
Direction: outgoing
Purpose:

Connection to server
Note:

4661 is the default port of a server. Many server use different ports. Configuring a firewall the remote port again changes to any.


6) Local Port: any
Remote Port: 4665
Protocol: UDP
Direction: outgoing
Purpose: Source asking on servers
Note:

Servers using the default port 4661 TCP (see #5) automatically set their port for source asking to 4665 UDP. If a server uses a different port in #5 the corresponding UDP port is set to [Connection Port + 4]. For firewalls the remote port here is any.


7) Local Port: 4711
Remote Port: any
Protocol: TCP
Direction: incoming
Purpose: Webserver
Note: This is the default port for the web interface. When using a router this port has to be forwarded or no connection to the webserver will be possible.

Добавлено
Demetrio

Цитата:

Кто-нибудь в курсе, почему столько народу вечно ломится на 1214 порт?

а из p2p вообще стоит что-либо?

albel
Нет, у меня там FreeBSD

albel

Цитата:

проверено у себя в системе: ослу вполне хватает данных портов,

Кста, там указано в нескольких правилах ставить ANY как локальным, так и удаленным портом при исходящем соединении. А точнее, 2 правила по ТСР, одно по УДП. Может, есть смысл там их сократить?
Я пока не стал этого делать, только объеденил по признакам правила - вот что получилось.
Не слишком сокращено? Есть шанс понять, о чем речь, или переделать всё нахиг?
Если понравится - завтра пихну в шапку.
(если кто пожелает сам такую честь принять, на всякий пожарный, старый вариант запихните вторым постом в ту тему - чтоб если что не писать заново )

Народ помогите плиз..
замучался уже...

Есть такая аська - Корпоративная

Сервак стоит на 172.31.10.10 порт 1352 с серваком общается клиент по УДП
отправка на сервак с диапазона 1000-5000 на 1352
прием с 1352 на 1000-5000

С другими клиентами по ТСП общается
диапазон портов такой же...
как правило написать а?
НУ ЗАПАРИЛСЯ Я УЖЕ!

Kac
Разрешить входящие/исходящие с локальных портов 1000-5000 на 172.31.10.10:1352 (или на 172.*.*.* порты 1000-5000, если все соседи по локалке сидят на 172.*.*.*). А какой файер, может в нем проблема?

Спасибо за ответ.
Но хотелось бы поподробнее.
Фаер именно ЛукНСтоп. Трудновато для понимания написание правил.
Сейчас все работает НО! Я открыл ТСП и УДП соединения на мою машину на порты 1000-5000 и на другие машины из диапазона 172.31.х.х на теже порты Это кажется сводит на нет всю работу фаера .
Раньше не работало потому что я указал (как я думал) программу для этого правила - ICQ Corp, а как выяснилось - это критерий когда правило будет работать.
В общем трудно но фаер понравился.
Может есть те кто с ним поплотнее уже познакомился...
Спасибо!

Kac
По Look 'n' Stop есть отдельная тема: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11450&all

Kac
Давай поподробнее... Только уточним пару деталей.
По инфе из интернета icq использует исходящий TCP с локальных портов 1024-5000 на порт сервера, который в твоем случае 1352 (а не стандартный для icq 5190).

Для твоей icq должно быть создано правило для коннекта на icq-сервер:
разрешить исходящий TCP с локальных портов 1024-5000 на 172.31.10.10:1352 для icq.exe
По идее, этого должно быть достаточно.

Если вдруг корпоративная версия использует и UDP в обоих направлениях, ставишь входящие/исходящие и TCP&UDP.

Если она еще и позволяет прямые коннекты между пользователями, нужно создать правила
1. разрешить входящие/исходящие TCP&UDP с локальных портов 1024-5000 на 172.31.*.*:1352 для icq.exe
2. разрешить входящие/исходящие TCP&UDP с локального порта 1352 на 172.31.*.* порты 1024-5000 для icq.exe

Поскольку 1352 находится в диапазоне 1024-5000, то можно все заменить одним правилом
разрешить входящие/исходящие TCP&UDP с локальных портов 1024-5000 на 172.31.*.* порты 1024-5000 для icq.exe

А поскольку адрес сервака 172.31.10.10:1352 тоже находится в уже разрешенном диапазоне, можно оставить только последнее правило.