» Настройка персональных файерволов (firewall rules)

Цитата:

проверь точно ли -
ICMP in/out My Adress 0-255 - (MIRC server adress) type 3 (destination unreacheable)
Allow & log.

все именно так и записано, в packet логах ничего не отображается, а в traffic логах идет блокирование запросов от MIRC сервера на мои потенциальные прокси порты.

Цитата:

Если MIRC сервер действительно проверяет прокси, то насколько я понимаю ситуацию, у KIF62 второй вариант, а мы хотим первый.

совершенно верно, на всякий случай адрес сервера 83.142.161.242

KIF62
Попробуй всё-таки заснифить что там происходит когда в правиле включено "all applications", и когда только для MIRC клиента.

когда включены "all applications" прокси-порты попадают в разряд разрешенных и с них уходят такие ответы:

Код: No. Time Source Destination Protocol Info
20 0.338792 192.168.127.45 83.142.161.242 TCP 3128 > 50138 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0

KIF62
Мдя, значит серваку не нужен ICMP, он просто хочет чтобы твой комп правильно ответил на попытку коннекта на неоткрытый порт.
В общем, для этого сервера нужно убрать режим Stealth (или как он там называется в Сигейте). Я так думаю, что сделать выборочный Stealth невозможно, и единственное что пока-что приходит в голову - это разрешить коннект с адреса сервера на порты 1080, 8000, 8080, 3128, 6588 - те самые, которые сканирует сервер. Можно даже вместо MIRC клиента указать приложение, которое с рождения не умеет работать с интернетом, типа калькулятора. Если я придумаю что-нибудь более умное, отпишусь здесь. Удачи!

ПОРТЫ E-MULE:
(опыт личный и многих других)

На оф.сайте е-мула предлагают открывать слишком много портов!
http://emule-project.net/home/perl/help.cgi?l=1&rm=show_topic&topic_id=122
Столько не надо.
Нужно открыть 4662 для TCP и 4672 для UDP. И всё. Этого хватает. Сервера дают HighID, работает KAD, поиск и т.д. Даже в локалке (LAN), но на роутерном файрволе надо сделать форвардинг этих портов. Можно выбрать и 2 другие из диапозона скрытых портов, но тогда надо их указать в установках e-mule (Options-Connection).
IP-диапозон тоже указывать никакой не нужно. В самом клиенте есть ip-filter (файл называется ipfilter.dat, может присылаться в зазипованном виде ipfilter.dat.gz). По нему мул быть не обрабатывать запросы от левых адресов (несуществующие адреса IP, сервера-шпионы, сервера правительственных, военных и тп организаций, RIAA etc.) Периодически его надо обновлять. Одна из лучших БД у bluetack.co.uk
http://www.bluetack.co.uk/
Если нужно, чтоб работали в одной локалке мула на 2-х машинах - надо выделить ещё 2 порта (не забыв сделать форвардинг в маршрутиризаторе), вписать их в Options-Connection другого мула. Только моды мулов должны быть разными.

Помогите пожалуйста разобраться с одной вещью.
Каждые 30 секунд приходит пакет непонятного назначения:


Цитата:

Description: Unopened Port, Aplication: N/A, Direction: In, Local Point: 192.168.1.255:520, Protocol: UDP, Action: Denided.

Denide - это я сделал специальное правило, по какой-то непонятной причине они раньше проходили. Это как-то очень странно и подозрительно выглядит, потому-что в моей сетке такого адреса нет (последняя цифра моего компа другая). Ещё это порт определяется как efs, что-то вроде Enhansed File Server. Зачем он? Почему ровно каждые 30 секунд? После запрета вроде ничего работать не перестало...

hanuman108
Это broadcast - для всех с адресом 192.168.1.ХХХ
Похоже на RIP - раутеровские штучки

Karlsberg
т.е. их запрещать не стОит?

hanuman108
Если что-то на компе сидит на 520-ом порту по UDP, и ему постоянно необходимы таблицы раутера, я бы хорошенько проверил что это и может быть разрешил бы. А если ничего нет и всё работает и так - я бы запретил.

Цитата:

In, Local Point: 192.168.1.255:520, Protocol:

- что рассылка, понятно, но 520 порт - нечто незнакомое. Тем более, по удп стучится.
согласно шапке, это
520=EFS - Extended File Server
то есть, некая софтина ищет файл-сервер в локалке. Если не ты его хозяин (а я думаю, ты бы знал, если б был им ), знач действительно запретить ))
Karlsberg

Цитата:

и ему постоянно необходимы таблицы раутера,

а откуда про раутер? Недопонял чего-то моменту..

konik
EFS (Extended File Name Server) использует 520-й TCP порт, судя по куцым описаниям в интернете. 520-й UDP используется раутерами для связи по RIP-протоколу, а он использует броадкастинг, поэтому мне кажется самым вероятным именно этот вариант.

Да раутер у меня в системе действительно есть. Но если это он, то почему нет никаких на то указаний? Я так понимаю, что в таком случае адрес источника был бы 192.168.1.1

hanuman108
А какой адрес источника? Если он в локалке и есть большое желание разобраться, то легче поймать этот пакет сниффером и не гадать на кофейной гуще.

Karlsberg
Вот всё что выдаёт мне Kerio Personal Firewall в логах:

Цитата:

Description: Unopened Port, Aplication: N/A, Direction: In, Local Point: 192.168.1.255:520, Protocol: UDP, Action: Denided.

Т.е. совершенно не понятно кто это посылает. Может есть какая-то специальная программа, которая может отловить этот пакет и показать что в нём? По крайней мере мне такие инструменты не доступны. Никогда ничем подобным не пользовался...

hanuman108
А если в Kerio Personal Firewall разрешить broadcasts?

Добавлено.
У тебя похоже ADSL модем? Тогда добавь адрес модема в доверенную зону и разреши broadcasts для доверенной зоны.
Тяжело помогать, когда ты даже не удосужился написать как сделан интнрнет и какие программы используются.

hanuman108
Kerio 4-ка? Там во вкладке "Logs & Alerts" должна быть колонка "Remote point". Есть такая?

Цитата:

Kerio 4-ка? Там во вкладке "Logs & Alerts" должна быть колонка "Remote point". Есть такая?

Извините, за долгое молчание - был в отъезде.
У меня точно 4-ка.
Да, действительно, есть такая штука - remote point. Обыскал сначала всё, но оказалась спрятана - свёрнута колонка была.
Пишет - 192.168.1.1:520. Адрес раутера, похоже. Чуть-чуть успокоило.
Predefined network security я отключил, так что broadcasts соотвесветственно тоже.

Народ, не могу разобраться с svchost и system. NetBIOSа нет, а приходят запросы на соединение (и от меня уходят ту да же) с каких-то левых адресов (хоть и из моей подсети) на 135, 137, 138 и 445 порты. Жму на OK, но что-то подсказывает, что что-то делаю не так. К тому же IE всё время пытается отправить датаграммы на localhost (127.0.0.0). Я ему отказал. Инет есть, но какой-то тормознутый. Как бы их настроить, чтобы и интернет был, и время синхронизировалось и не было запросов с левых компов. Выход в инет через шлюз (по антенному кабелю), IP локальный.

У меня по умолчанию ("заводские настройки") на удалённый 53 порт может ломиться все, кому не лень. Это правильно?

Цитата:

NetBIOSа нет,

в смысле? Разве его можно вообще отключить (не запретить стеной, а именно отключить) и после этого в сети гулять?

Цитата:

а приходят запросы на соединение (и от меня уходят ту да же) с каких-то левых адресов (хоть и из моей подсети) на 135, 137, 138 и 445 порты. Жму на OK, но что-то подсказывает, что что-то делаю не так.

телепаты в отпуске. А присутствующие не знают, где вы чего нажимаете. И с чем соглашаетесь.
По идее, если с локальной сетью не работаете, то данные порты следует держать закрытыми. Уж 135 и 445 в любом случае закрытыми.

Цитата:

на удалённый 53 порт может ломиться все, кому не лень.

- точнее, с удаленного порта, я так понимаю? Я бы выставил разрешение ломиться за ДНС запросами и ответами только с ваших ДНС серверов. (а кто вам предоставляет днс услуги - это гляньте в сетевых настройках, какой ИП обозначен как днс-серв). И, кста, на ДНС разрешайте только с локального диапазона портов 1024-5000 лазить. НЕ с 137. (это уже несколько другое будет)


Цитата:

и время синхронизировалось

123=NTP - Network Time Protocol
Знач открыть 123 порт. (в шапке, если вы заметили, есть несколько справочных ссылок - оттуда можно немало вопросов решить )

Цитата:

и не было запросов с левых компов.

- А вот это - смотря что вы имеете в виду.
Если вопросы стенки к вам - то достаточно настроить полностью и выключить режим обучения.
Если именно запросы ака пакеты и попытки соединения - то, к сожалению, это неизбежно, иначе не надо было б пользовать стенки ;(

Народ, кто может помочь юзеру очно настроить Outpost Firewall Pro в Питере?

parovoZZ

Цитата:

Пока сижу с Jetico.

Может стоит твой вопрос задать в топике Jetico

Добавлено.
Для XP/2000 это 123 UDP порт для системных процессов ( но можно через другие)

bredonosec

Цитата:

Разве его можно вообще отключить

А разве нет?
Сорри за офф.

У меня такой вопрос. Jetico выдала запрос на receive datagrams для svchost.exe на локальный порт 1027. Я посмотрел во вкладке приложений, svchost.exe, слушающего порт 1027 там не увидел. Т.е. откуда известно, что эту датаграмму с порта 1027 должен принять именно svchost.exe?
Еще у меня system слушает порт 445 кто это и что это?

Цитата:

Еще у меня system слушает порт 445 кто это и что это?

Это -- SMB поверх TCP. Если локалку не используешь (разделение файлов и прочую чушь), отключи службу.

TeXpert, что-то я такую службу у себя не нашел.

Andrey32
Надо отключить NetBIOS поверх TCP и разделение файлов и принтеров в сетях Microsoft, копайся в настройках сети.

TeXpert, уже давно все отключено.

Andrey32
Чтобы полностью отключить 445-й порт, нужно в реестре внести пустое значение в TransportBindName, сидящий в HKLM\\System\\CurrentControlSet\\Services\\NetBT\\Parameters и перегрузиться. Сейчас там сидит строчка "\Device\" (если вдруг захочешь вернуть обратно).

Karlsberg, если не трудно, подскажите, правильно ли я применил ваше правило из шапки по отношению к McAfee Desktop Firewall 8.5 при использовании eMule ? Просто новичку (в настройке файеров) никто не может помочь в этом вопросе :

Проблема : http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11256&start=180#lt


Решение (?)№1 : http://vitsat.at.tut.by/emulefire.png

Решение (?)№2 : http://vitsat.at.tut.by/fire.png

P.S. А вот : методом "тыка" добился, чтобы не выскакивало окошко автоматич. настройки правила (когда идёт активность по неуказанным портам) : http://vitsat.at.tut.by/superfire.png

Не знаю, правильно это или нет, но "осёл" тоже велликолепно работает

любопытные момент обнаружил:
С разных адресов (причем, с обратным адресом крупных серверов, как 84.15.125.144, 74.103.198.151, 65.189.179.168, т.д. - можно похуизить, конторы, а не частники) идет стук на меня, на 4720 порт, с таких "локальных", как
50513
44494
42785
24670
20965
17958
4468
Согласно списку иана http://www.iana.org/assignments/port-numbers все они попадают в "неназначенные", но выбор не случайный, стук идет по одному и тому же порту. Цифири повторяются.
Вот любопытно, что это может быть?

Меня интересуют какие-то общие правила для наиболее распространенных приложений. Хотелось бы знать, какие приложения можно размещать в "доверенных" и почему. (напр., FAR, IE, TheBat!, D/L manager,eMule,Soulseek и т.д.).

Дело в том, что мне нужно настоить "файер" для ламера, чтобы он не лез ко мне каждый раз с вопросом: "А чё он там хочет опять?".