» Настройка персональных файерволов (firewall rules)

Спасибо
Все верно... все правильно так и работает НО! что мы видим?
Поправьте меня если я не прав.

На машине открыты порты с 1024 по 5000 протоколов ТСП и УДП на вход! ИИИ ! не указано приложение которое должно их обрабатывать! Т.е. кто или что угодно могут попасть на машину имея я это правило!?

Верно?

Цитата:

ИИИ ! не указано приложение которое должно их обрабатывать! Т.е. кто или что угодно могут попасть на машину имея я это правило!?

Верно?

- Это зависит от конкретного файервола. Тут, так понимаю, порты и соединения. А аппликейшн контроль вполне можно в теме по конкретно твоему файеру прояснить, бо эта часть сильно различается у разных стен. (у некоторых вообще отсутствует )

Kac
Эти правила должны быть определены только для exe-шника который icq corporate. Если при этом ничего не работает, то надо послушать bredonosec и спросить в теме про look'n'stop

Спасибо всем ответившим.
Недоглядел тему . Думал тут про ЛукНСтоп.

Сразу сильно извиняюсь, если подобный вопрос уже поднимался ранее, но у меня просто нет времени изучать всю данную ветку от начала до конца. Вобщем, машина у меня в NT-домене и меня интересует, какие порты надо открыть для нормальной работы компа в данных условиях. С outpost'ом вроде бы все было понятно (т.е. мне не то чтобы понятно, просто он сам все делал), но теперь взялся за look 'n' stop с его достаточно специфическими (ИМХО, наиболее правильным, просто не превычными) представлениями о создании правил. С netbios'ом вроде как все понятно. Собственно интересуют такие стандартные сервисы NT/2000/XP как скажем microsoft-ds (445), ldap (?), ntp (123) и еще что-то там такое. Зачем они вообще нужны и как они в общих чертах работают (т.е. что, откуда/куда, когда и зачем шлют/принимают)?

cyberfreak
Знаю только NTP - Network Time Protocol (RFC1305), синхронизирует часы компа с сервером или серверами. Сервер слушает на 123-ем порту по UDP. На компе бежит сервис Windows Time, который периодически шлет запросы на NTP-сервер(ы), и если надо двигает время.

Вопросик возник ....
Машина работает как инет-сервер, Win2000 server, mdaemon, wingate, visnetic firewall.
Раньше было 2 сетевых интерфейса:
1. Сетевуха, смотрящая в локалку (192.168.10.1).
2. USB-модем ADSL, выглядящий как сетевуха, смотрящий в инет (213.х.х.х).
Вопросов не было, фаер настроил, все работало о.к., сканил тем-же www.pcflank.com (как-бы внешним сканером), тот писал все ок, все порты stealthed.

Появились деньжата, приобрел ADSL LAN-модем, подрубил вторую сетевуху для него, настроил, инет пашет, получилось:
1. Сетевуха, все также смотрящая в локалку (192.168.10.1).
2. Сетевуха, смотрящая в модем (192.168.10.2). Модем смотрит в эту сетевуху как 192.168.10.3, в инет смотрит как 213.х.х.х.
Настройки фаера не менял, т.к. в винде остались все те-же 2 сетевых интерфейса.

Все работает, но есть вопрос:
Повлияют ли эти перемены на безопасность, т.к. теперь www.pcflank.com ругается, что порты якобы открыты... Я так понимаю что сканит он внешний IP, т.е. модем, который может быть там что-то и пропускает, но ведь фаер-то все что не надо режет на сетевухе,подрубленной к модему, т.е. все должно быть закрыто. Просто не могу до конца понять процесс маршрутизации пакетов, если можете, подскажите на что ругается внешний сканер (www.pcflank.com.).

Заранее спасибо.

cyberfreak
Про то _как_ работают сервисы в НТ-домене это ИМХО не в этот топик. А в шапке для них все необходимое для создания правил написано...

такая ситуация у меня 2 файрвола 8signs (пакетный файр) и ZAP (только контроль приложений, функции файрвола выключены)

и вот в логах у 8signs такая строчка - 2005/01/26, 14:46:21.749, GMT +0300, 2007, Device 2, Blocked outgoing TCP packet (no matching rule), src=10.6.1.12, dst=208.185.174.65, sport=1055, dport=443

мне хочеться узнать что это за программа лезет куда-то в инет (сам я в локалке и таких айпишников нет) а ZAP молчит как портизан и не говрит что это за прога ломиться в инет.

как узнать что за прога???

loat

Цитата:

и вот в логах у 8signs такая строчка - 2005/01/26, 14:46:21.749, GMT +0300, 2007, Device 2, Blocked outgoing TCP packet (no matching rule), src=10.6.1.12, dst=208.185.174.65, sport=1055, dport=443

Броузер или другая софтина, которая пыталась пойти на HTTPS ресурс

Цитата:

sport=1055, dport=443

- Выглядит как соединение броузера по защищеному каналу (для броузера зарезервированы с 1024 по 5000, а порт 443 - Https). По дефолту вообще-то в виснетике включено правило "Web brouser https" - выключил?
А куда ломится - жмакни правым на пакете, оттуда - who is /ip number/ - и этот сервис тебе всю инфу выдаст о том, кто такой там проживает. А от этого танцуя, и зная, чего у тебя на компе стоит, поймешь, что за прога.

Может уже было - нет времени читать всю тему.

For ICQ to successfully work behind a firewall the following system configurations must be set by the System Administrator for the systems network.
Client to server Communication:
This is done via port 5190 TCP to login.icq.com (please note- allow a bi-directional connection to the port for login.icq.com and not any specific IP address, since it stands for more than one IP address).

Теоретически надо прописать в правиле адрес login.icq.com. Но мой файервол (symantec client security corp) отказывается пускать асю в нет. Используется очень широкий диапазон айпи (смотрел по connection attempts). Пришлось прописать диапазон 64.12.1.1-64.12.255.255.

ЗЫ: вышеупомянутый файервол при запуске icq lite засек активность трояна (за исключением этого факта компьютер чист).

Для тех, кто качает файлы из IRC.
Разрешаем следующее:
1. все исходящие TCP: помимо необходимых для коннекта с сервером портов 6660-6669 используются случайные порты для подтверждения приват-чата с с DCC-сервером и для получения файла.
2. входящие TCP на порты 113 (авторизация на сервере), 1024-5000 (DCC - прием файлов), а также 59 (если у вас в опциях включен локальный DCC server - разрешает прием файлов в обход удаленного сервера=direct connect).

PS: раз уж в табличке упомянуто про правило block all скажу про одно общее для всех приложений правило при LAN подключении: всем интернет-прогам нужно разрешить исходящие UDP на порт 53 для айпи вашего локального dns-сервера (прописан в свойствах соединения--TCP/IP properties)

ruvince
Спасибо за DCC, только можно чуть подробнее, кто к кому коннектится и по какой причине, и на какие порты (локальный - ремоут)?
DNS есть в шапочке и объяснения в старой шапке

подробнее напишу как только айпи моего провайдера разбанят на EFNet'e >(

кстати,пытаясь соединиться обнаружил что и для коннекта с серваками недостаточно открыть порты 6660-66670 - попался серв на 7000

Как настроить Оутпост чтобы можно было нормально галереи с фотками смотреть ? А то нифига их не грузит...

Стоит Outpost 2.5.375(374) Периодически выскакивает запрос: Блокирую, а на следующий день повторяется, но уже с другого IP, но тоже моего родного Stream.
В это время качает bittorent Azareus. Это кто лезет или Azareus виноват?

Wandron

Цитата:

Блокирую, а на следующий день повторяется, но уже с другого IP, но тоже моего родного Stream.

- Одинаковость в том, что порт один и тот же? А какой удаленный порт? Одинаковый, или тож разный ?

Цитата:

В это время качает bittorent Azareus. Это кто лезет или Azareus виноват?

- А когда НЕ качает, когда выключен, или когда включен, но не качает - появляется? Или нет?
В ответе на этот вопрос находится ответ на твой вопрос - он или не он.

bredonosec
Локальный порт всегда 1025, удалённый порт попробую в следующий раз посмотреть. Пока Azareus на раздаче, не охота отключать, но завтра выключу и посмотрим что получится.
Попробую при следующем запросе просмотреть всё досконально. Но если не Azareus, то что можно предпринять, кроме стука провайдеру?

Wandron

У меня нет ни Azareus ни какого-либо p2p только Serv-U - ftp daemon.
но точно та же проблема регулярно всплывает то же окошко причем соединения к порту 1025 требуют только компьютеры из нашей локальной сети академгородка (remote port случайным образом из >1025.
Не стал мудрить - просто создал системное правило block TCP, inbound, localport 1025,
Все стало спокойно, а на работу passive FTP (там этот порт мог быть запрошен как я понимаю) это не влияет

Spectr
Вообще то у меня ещё CuteFTP бывает запущен, но на него я даже не думал Может действительно что-то фтпшное?
Цитата:

Не стал мудрить - просто создал системное правило block TCP

Просто заблокировать можно, но не интересно, хочется резобраться в чём дело. Завтра попробую всех клиентов выключить и посмотрю что будет.

Цитата:

Локальный порт всегда 1025, удалённый порт попробую в следующий раз посмотреть.

- Если разный, то выход спектра - самый простой.
А если разобраться - то именно, отключив клиенты. И если прекратится - включать по одному (не один за другим, а следующий после отключения предыдущего - чтоб только один в одно время работал).
А адрес твой - с которого стук - московский. Частный адрес от московского провайдера. Весьма возможно, что это место, откуда льёшь, или откуда с тебя льют что-то.. (или битторент напрямую клиентов не соединяет? только через трекер? не юзал просто никогда его..)

Цитата:

9 марта 2005 г., 0:34:53
Looking up 83.237.60.108...

inetnum: 83.237.0.0 - 83.237.63.255
netname: MTU-PPPOE
descr: ZAO MTU-Intel
descr: 27 Smolenskaya-Sennaya Sq., bld. 2
descr: 119121, Moscow
descr: Russia
admin-c: MTU1-RIPE
tech-c: MTU1-RIPE
country: RU
status: ASSIGNED PA
mnt-by: MTU-NOC
changed: lir@mtu.ru 20041013
source: RIPE


route: 83.237.0.0/16
descr: ZAO MTU-Intel's Moscow Region Network
descr: ZAO MTU-Intel
descr: Moscow, Russia
origin: AS8359
notify: noc@mtu.ru
mnt-by: MTU-NOC
remarks: *****************************************
remarks: Please send abuse reports to abuse@mtu.ru
remarks: *****************************************
changed: noc@mtu.ru 20040213
source: RIPE

role: MTU-Intel NOC
address: ZAO MTU-Intel
address: Mamonovskij pereulok d.5, build.1,2
address: P.O. BOX 38 123001
remarks: *****************************************
remarks: Please send abuse reports to abuse@mtu.ru
remarks: *****************************************
phone: +7 095 903 9577
fax-no: +7 095 903 2524
e-mail: lir@mtu.ru
admin-c: AVZ-RIPE
tech-c: OB36-RIPE
tech-c: AVZ-RIPE
tech-c: RVP-RIPE
nic-hdl: MTU1-RIPE
mnt-by: MTU-NOC
changed: lir@mtu.ru 20021018
changed: noc@mtu.ru 20040213
changed: rvp@mtu.ru 20041223
source: RIPE

Wandron
Скорее всего, это червяк сканирует компы на открытые порты. При загрузке системные сервисы с динамическими портами получают низкие номера (начиная с 1024).
Если в файере включен контроль приложений, и системным службам разрешен вход-выход только их статическим портам, то ничего страшного не произойдет, имхо. А стучать провайдеру бесполезно.

bredonosec
Karlsberg

Цитата:

ZAO MTU-Intel

Ну да, это мой тариф MTU Stream и есть. Наши IP рядом со злоумышленником.
Цитата:

Весьма возможно, что это место, откуда льёшь, или откуда с тебя льют что-то..

С этого адреса не лили точно, но вот подключиться на пару минут и увидеть IP могли (торент напрямую подключается), и следовательно, попробовать адресно влезть.
Цитата:

Скорее всего, это червяк сканирует компы на открытые порты

Может и правда червяк сидит у человека, а он об этом и не знает, но тогда он лил бы с меня наверное что-то.
Цитата:

Если в файере включен контроль приложений, и системным службам разрешен вход-выход только их статическим портам

Вроде всё включено и влезть не могли, но когда это повторяется неделю, становится просто интересно. Может самому попробовать посмотреть, хто ето там? Жалко не умею А может у меня червяк? Но KAV не находит.
2 часа сижу в инете без клиентов, тишина. Сейчас включу Azureus...

Добавлено:
Тишина, даже странно. Качает и FTP и Торрент.

Детишки балуются в самодельном чате. Исходники пока не смотрел. Чат работает так, запускается прога и создается текстовый файл. Другие участники открывают этот файл по сети и в него пишутся сообщения. Других подробностей пока не знаю. Вопрос реально ли средствами Win2000 закрыть к-либо порты в настрйках соединения чтобы не работал этот чат, но можно было пользоваться сетью?

Чаты чаще всего работают на 8167 порту. Но лучше своей стенкой или отдельным сканером последи, на какие порты в сети есть активность, если кроме обычных - 1024-5000, 80, 8080, 21, 20, 137-139, 53 будет еще что-то - возможно, это оно.
Так что, закрыть можно, но для этого надо выяснить, на каком порту работают.

Zonealarm перестал писать логи, что за глюк?Кто нибудь сталкивался?В настройках все включено.

Цитата:

Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

- из шапки.

bredonosec
В том то и дело что там никто не заморачивался про порты и сокеты. Один участник создает текстовый файл на расшареном диске, а другие по сети его открывают. Сам хотел посмотреть каким нибудь снифером.

DOE_JOHN
я так понимаю, что физически открывают файл по сети и используют стандартные средства Windows (см. правила для ntoskrnl.exe)...
Если закрыть эти порты - сеть для передачи файлов работать не будет
Но останутся "интернет", мэйл, фтп и проч... тут надо знать, что ты понимаешь под "пользоваться сетью"