» Настройка персональных файерволов (firewall rules)

Цитата:

какие приложения можно размещать в "доверенных" и почему.

по идее, никакие. Каждому разрешить не больше, чем необходимо. А чтоб после настройки всего не раздражали попапами с вопросами - можно отключить обучающий режим.

Цитата:

напр., FAR, IE, TheBat!, D/L manager,eMule,Soulseek и т.д.

фару/тотал - вероятно, правила для фтп клиента (или он к почте лазит у тебя?). Мыши - правила почтового клиента, - т.е., на основе стандартных правил для приложения создаешь. (или правишь стандартное, или добавляешь новое, если в одно правило не вмещается набор требований)

bredonosec
Лже-атаки DNS-провайдера, инициированные запросами из p2p как погасить ?
(Чтобы OutPost не банил сеть после них)

mwm

Цитата:

Лже-атаки DNS-провайдера, инициированные запросами из p2p как погасить ?

В детекторе атак добавить эти адреса в исключения.

Добавлено.

Цитата:

какие приложения можно размещать в "доверенных" и почему

Нельзя никакие, так как Outpost тогда порты не контролтрует (наверное). Лучше всего после его установки - когда он соберет базу - перевести в режим Политики-Блокировать.По дефолту в Outpost зашиты многие приложения. Если будет что-то плохо,можно руками добавить.

KUSA

Цитата:

В детекторе атак добавить

Прости, но не нашёл такого там Может в другом месте ?


Цитата:

порты не контролтрует

Я понял так, что:
позволяет приложению открывать любые порты, но атаки на них контролирует
так?

Вот у меня остался висеть открытый локальный порт 2364
Приложение. его открывшее - n/a. Как его закрыть без перезагрузки?

работал с керио и комодо.
Вопрос касательно svhost.exe - файеры постоянно про него спрашивают. Этому системному файлу можно все разрешить или как?
Есть какие-то ограничения для него?

Цитата:

Вопрос касательно svhost.exe - файеры постоянно про него спрашивают. Этому системному файлу можно все разрешить или как?
Есть какие-то ограничения для него?

- если я правильно понял, разрешить ему можно стучаться на днс сервер по удаленному порту 53, локальному из диапазона 1024-5000 и удп протоколу. Остальное - фигс.
Если есть локалка и DHCP - пусть кускусыч уточнит - никогда в такой ситуации не был, не представляю, что он там делает. (только подозрение на разрешить порты 67 и 68 ин/аут удп проктокол, а кого ставить удаленным - толь днср серв, толь вообще весь диапазон локалки без понятия)
mwm

Цитата:

Прости, но не нашёл такого там Может в другом месте ?

А что там вообще есть?
если только общие настройки - что считать атакой - то, наверно, ужесточить требования к атаке - не 3 запроса за 10 секунд (или сколько там по дефолту), а побольше.

bredonosec

Цитата:

разрешить ему можно стучаться на днс сервер по удаленному порту 53, локальному из диапазона 1024-5000 и удп протоколу. Остальное - фигс.

А в чем опасность полного разрешения? Ведь файл родной мелкософтовский.
(У меня Adsl - соединение с инетом)

jlmurat

Цитата:

Вопрос касательно svhost.exe...

Убивай такой процесс вообще.
А вот svchost.exe не стоит ограничивать.

TeXpert

Цитата:

А вот svchost.exe не стоит ограничивать.

Вот я про него и спрашивал, букву пропустил.

Цитата:

А в чем опасность полного разрешения? Ведь файл родной мелкософтовский.

В том, что он лишь роль посредника играет, а не сам всюду лазит. И, используя его, в инет ломиться может довольно много мусора. В том числе и постороннее зверье. Потому разрешать ему сиключительно то, что необходимо тебе, а не всё, что он пожелает.

mwm

Цитата:

Я понял так, что:
позволяет приложению открывать любые порты, но атаки на них контролирует
так?

все не так. мы же о tcp говорим? если очень кратко... если приложение открывает клиент сокет и ему разрешено это сделать, то порт системой назначится из диапазона 1024-5000 (по дефолту). приложение сделает подключение. и все. никакие атаки в этом случае ему не грозят. не может никто к клиентскому сокету подключится. а вот если приложение открывает сервер сокет, то номер порта жестко зашит в настройках приложения. и вот к этому порту нужно отслеживать атаки.

Добавлено:
bredonosec

Цитата:

В том, что он лишь роль посредника играет, а не сам всюду лазит. И, используя его, в инет ломиться может довольно много мусора. В том числе и постороннее зверье. Потому разрешать ему сиключительно то, что необходимо тебе, а не всё, что он пожелает.

за много-много лет ни разу не видел такого. урл не дашь для почитать? иначе все - твои фантазии.

Добавлено:
bredonosec

Цитата:

любопытные момент обнаружил

любопытно и необъяснимо. по опыту своей локалки - снег растаял и залил кой-чего. мусор, короче. дождись ясных дней ))

Если есть скриншот или таблица по безопасному/рекомендуемому допуску/открытию портов/программ Windows XP в инет, поделитесь пожалуйста.

jlmurat

Цитата:

А вот svchost.exe не стоит ограничивать.

Это он так "шутит". В общем разреши для SVCHOST 53 Both, 67-68 Both, 123 Both это только для UDP.

Добавлено.
AAD
Основные настройки для SVCHOST я расписал. Остальное в шапке.

KUSA

Цитата:

SVCHOST 67-68 Both, 123 Both это только для UDP.

Это зачем нужно, можно подробнее? А то я разрешил только 53 Both TCP-UDP.

KUSA

Цитата:

Все остальные порты забань, в том числе и TCP.

Я в инет выхожу по локалке....
Как потом выходить?

Viktor_Kisel

Цитата:

Это зачем нужно, можно подробнее?

Если IP динамический, то... нужно.

AAD

Цитата:

Я в инет выхожу по локалке....Как потом выходить?

Это относится тоько к SVCHOST.
При условии что ты не пользуешься встроенным автоматическим обновлением.
Если пользуешься - разреши для SVCHOST порты 80 и 443 TCP. Но точно не скажу,меня обновления хрюши на автомате не интересуют.

Вот такое у меня происходит:
Если включить правило -

"Block incoming UDP activity UDP < l.p. 1025-1045"

(для SVCHOST в Аутпосте)

то браузером (Опера) никуда не могу попасть, почтовик тоже ругается.
А ведь это стандартная настройка.
Снимаю галку - всё OK! Но, естеств., периодически кто-то рвётся на UDP:1027-1030.

Вот сейчас, например IP: 204.16.210.140 запрашивает входящее соединение на лок. порт UDP:1027

Mor0

Цитата:

для SVCHOST в Аутпосте

Может лучше в теме по Agnitum Outpost.
Сорри за офф

KUSA

Сейчас вроде бы всё облазил по поиску "SVCHOST", но пока ответа на свой конкретный вопрос не нашёл.

Да, забыл добавить - uTorrent работает, ему это пох

Есть Win2003 Server EE R2 Eng.
Под управлением IIS одновременно работают два FTP-сайта:
один на 21 порту, другой на 8021.
И работает штатный Windows Firewall.
Проблем с сайтом на 21 порту нет, а вот с 8021 есть.
С клиентской машины при включенном firewall'е IE6.0 его видит, а вот FAR и ReGet нет:
при соединении они выдают ошибку "500 Invalid PORT Command". При этом в логе
firewall'a (c:\windows\pfirewall.log) сообщений DROP для этих попыток нет и в логе FTP:8021 появляется запись о соединении. Но клиент ничего не получает.
Сервер имеет выход в инет из локальной (домовой) сети через VPN.
Клиент, для чистоты опыта, соединяется с сервером через инет другого провайдера
(сотовый). Доступ пробовался и в активном и в пассивном режиме.
При отключении firewall'е все нормально.
На вкладке Exceptions формы управления firewall'ом порт tcp 8021 добавлен для всех,
на вкладке Advanced для соединения (VPN) добавлен сервис с tcp портом ext 8021- int 8021.
Вопрос, что им сабакам надо. Что, где и как надо сделать для того, чтобы firewall не блокировал доступ к ftp:8021?

Это из лога firewall'a
date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2007-03-15 09:39:41 OPEN-INBOUND TCP 217.66.145.217 80.xxx.xxx.xxx 29708 8021 - - - - - - - - -

Это из лога ftp:8021
217.66.145.217, anonymous, 15.03.2007, 9:39:42, MSFTPSVC1, PON, 80.xxx.xxx.xxx, 0, 0, 0, 331, 0, [10]USER, anonymous, -,
217.66.145.217, Anonymous, 15.03.2007, 9:39:42, MSFTPSVC1, PON, 80.xxx.xxx.xxx, 0, 0, 0, 230, 0, [10]PASS, -, -,
217.66.145.217, Anonymous, 15.03.2007, 9:39:47, MSFTPSVC1, PON, 80.xxx.xxx.xxx, 0, 0, 0, 250, 0, [10]CWD, /, -,

ponponpon
500 Invalid PORT Command в активном режиме говорит о том что сервер не может установить соединение с компом клиента. Проверь что открыт доступ наружу для фтп сервера и на клиентском компе доступ снаружи для фтп клиента, т.е. для FAR и ReGet. Потом бум смотреть дальше.

С клиентом вроде все нормально, ибо при отключении firewall'а на сервере,
он (клиетны far и reget) имеет полный доступ к ftp:8021 вплоть до upload.
А что конретно смотреть на стороне сервера при включенном firewall'е,
какие сервисы или порты кроме 20, 21, 8021 надо смотреть для ftp:8021.
И еще, пока разрешил все элементы ICMP на всякий случай. Но это не дало результата.
Напомню, что ftp:21 при включенном firewall'е полностью доступен для клиента.

Заодно, вопрос.
Через форму управления firewall'ом можно добавлять исключения для портов только
по одному порту на запись. Как разрешить одной записью диапазон портов?
И как, я понял на ней управляют только входными портами.

ponponpon
Встроенный файер не блокирует соединения наружу, поэтому в активном режиме он влиять не должен, если открыт порт 8021. Если он влияет, значит используется пассивный режим, и в серверном файере нужно открывать порты 1024..65535 для соединения, по которому пойдут данные. Порт 8021 используется только для команд.

Цитата:

разрешить одной записью диапазон портов?

Насколько я знаю, никак. Поискать другой файер, или поизвращаться со скриптами которые внесут все порты напрямую в реестр.

Цитата:

разрешил все элементы ICMP на всякий случай

ICMP никак не влияет

ponponpon

Цитата:

А что конретно смотреть на стороне сервера при включенном firewall'е,
какие сервисы или порты кроме 20, 21, 8021 надо смотреть для ftp:8021.

по аналогии с парой портов 20-21, ты должен настроить в ftp сервере и файрволе пару 8020-8021. порт 8020 нужен для активного режима. а если работает пассивный режим на 21 порту, то он будет работать и на 8021 точно так же.

Добавлено:
Karlsberg

Цитата:

Встроенный файер не блокирует соединения наружу, поэтому в активном режиме он влиять не должен, если открыт порт 8021.

8021 всегда открыт на соединение извне, и только так. а вот какой порт назначен на этом втором сервере для ftp-data, который работает наружу, я пока не вижу.

Народ подскажите пожалуйста как насторить Firewall (у меня пока аутпост), рабочая группа через мой комп идет подключение к интернету (все подключены через свич). Задача такая мне сугубо наплевать на других пользователей, а точнее их безопасность, как все настроить у меня безопасно у них как хотят, а то я вижу на какие они сайты заходят что порты ктото сканирует постоянно.

Насколько я понял из таблицы, для DNS определен UDP 53 порт.
Но вот Firefox, например, просит разрешения на UDP 53, хотя по таблице ей как браузеру положено TCP. По какой причине?

jlmurat
А под какой операционкой Firefox бежит? На винде не просит, пользуется сервисом самой операционки. В двух словах, чтобы открыть страницу, браузер должен получить IP адрес сайта, то есть преобразовать www.вася.com в что-то типа 123.45.67.89, DNS как раз этим и занимается

Karlsberg

Цитата:

А под какой операционкой Firefox бежит?

XP SP2. Но он у меня через связку Handycache-Proxomitron

По каким портам работает NetMeeting? Надобно его прикрыть. Windows 2000, скорее не принципиально.

DOE_JOHN
Запускаешь, например, TCPView и видишь, какие порты он держит.