» Настройка персональных файерволов (firewall rules)

Цитата:

там никто не заморачивался про порты и сокеты. Один участник создает текстовый файл на расшареном диске, а другие по сети его открывают.

- Им и не надо Это тебе придется
ЗЫ. А раздобыть экземпляр проги и попробовать запустить со своего компа, предварительно поставив пакетный файер (или сниффер) - тогда по посылаемым пакетам можно будет точнее оперделить, чего она шлет, на какие порты, если что-то необычное - можно сразу это закрывать. Если стандартные 137/138- тады или не закрывать, или мириться с тем, что "computer brousing" пахать не будет.

imho
Именно что физически его открывают, сеть только локалка.

bredonosec
Удалось раздобыть даже исходники на VisualBasic. И там ничего военного. Наверно придется отрубать локалку.

Цитата:

даже исходники на VisualBasic. И там ничего военного.

- Дык не про исходники, а про саму прогу, чтоб запустить её и поглядеть, через куда стучится на практике.
Если все порты обычные, то тогда средствами выни - сомневаюсь. Но файер с контролем приложений - вполне поможет.

bredonosec
Какой сниффер посоветуешь? Все таки хочется докопаться до истины.

Цитата:

Какой сниффер посоветуешь?

- А почему бы не посочетать приятное с полезным? Поставить пакетный файер - в нем лог пакетов идет вживую (+ широкие настройки по сохранению - большой выбор условий, по которым сохранять в лог соединение, весь пакет, или ничего не сохранять)

Кста, еще одно преимущество, что запретив или разрешив тот или иной порт (или адрес, или вид пакета), тут же, в той же проге - увидишь, достиг результата, или нет.
///Тема в программах о ней есть

Просто снифер тож можно, но я с ними мало (и давно) работал, боюсь что советовать

DOE_JOHN
Для начала можно взять TcpView от Sysinternals, показывает коннекты на уровне приложений, инсталляции не требует: _http://www.sysinternals.com/ntw2k/source/tcpview.shtml

DOE_JOHN
bredonosec
Karlsberg
Если стоит Windows XP/2003, то никаких прог и сниферов не нужно... Запускаешь у себя чаталку - смотришь в Диспечере задач ID процесса. Открываешь консоль и набираешь:

Код: netstat -a -o -n > c:\open_port.txt

Yourbill

Цитата:

Если стоит Windows XP/2003,

Не у всех они стоят
Но за инфу спасибо.

интересное дело у меня произошло после переустановки системы:

раньше к DNS серверам обращалось каждое приложение самостоятельно (в Аутпосте было видно, да и в настройках приложений прописывал как учат на оффоруме), а теперь к DNS для всех приложений обращается только один SVCHOST.

Есть какие нибудь идеи, что я в прошлой системе "настроил", и вообще - как "правильнее"?

HeT BonpocoB

Цитата:

как "правильнее"

На сайте мелкософта утверждается что DNS Client имплементирован в DHCPSvc.dll, а она грузится SvcHost-ом как сервис, так что после переустановки система выглядит правильнее.

получается, что для Bittorent надо разрешить только TCP ?
т.е запретить любой коннект по UDP ?

ForceSpb
Официальный BitTorrent работает только с TCP. В последнее время к торренту пытаются приделать DHT (аналог - Kademlia в ослике), возможно он использует UDP, мне еще не удалось посмотреть доки. Но DHT пока реализован только в последней версии Azureus.

ForceSpb
отключи плагин Distributed DB, и для Outpost настройки можно посмотреть здесь

Подскажие пожалуйста правила для Vypress Chat

Не подскажете, почему The Bat! постоянно запрашивает исходящее соединение TCP с удаленным портом 1027, причем если это заблокировать, то он не соединяется ни с одним почтовым серваком - пришлось создать дополнительное правило для рарешения этих даных. Версия мыша - 3.5, фаер - Outpost 2.7.

Stass1977
C удалённым портом под номером 1027 он не может соединятся. Это скорее локальный порт, и лучше выложе лог что он конкретно пишет, что бы было понятнее в чем проблемма.

Stass1977
Антивирусный монитор присутствует? Если да то настройки почтовика придется ему отдать а для мыша сконфигурировать дополнительно еще пару правил.

wezir
"простите, профессор", а о чем вы ?
Если про loopback (антивирус как "прокси" почтовик используется) то я согласен - можно разрешать.
А если у человека троян завелся? Тут действительно логи нужны.

Minoz
wezir
imho
11.06.2005 22:33:26 thebat.exe ИСХ БЛОКИРОВАНО TCP localhost 1027 Режим обучения - полно вот таких записей в журнале, где localhost - "удаленный адрес", антивирус висит - Norton со включенными e-mail scanner и autoprotect

Stass1977

Цитата:

где localhost - "удаленный адрес"

что то я не понял что ты этим имел в виду localhost 1027 это адрес твоей машины. А конектится он сто пудова к DNS серверу. Сделай правило в котором разреши: локалхост по любым портам конектится к любым IP с портом 53 и протокол как TCP, так и UDP. (Правило DNS в шапке)

Minoz

Цитата:

где localhost - "удаленный адрес"
что то я не понял что ты этим имел в виду

Я имел в виду, что слово "localhost" стоит в колонке "удаленный адрес". Может, в натуре
Цитата:

loopback (антивирус как "прокси" почтовик используется)

- я про работу антивируса с почтой не шарю ваще ни фига.


Добавлено:
Короче, разрешил я Бату все исходящие на localhost:loopback, но, возможно, лучше было поставить "и где удаленный адрес совпадает с локальным" - но пока работает и не беспокоит.

Minoz
Цитата:

А конектится он сто пудова к DNS серверу

Причем здесь DNS?
У человека почтовик пытается выйти на POP-сервер через "прокси" антивируса.
Почему заговорил про троян - Stass1977 не указал удаленный адрес соединения в своем первом сообщении.

Stass1977
Для начала проверь в настройках Bat-а адреса и порты POP и SMTP серверов. Если там написано loopback или 127.0.0.1, то антивирус прописан как прокси, то есть почтовик соединяется с антивирусом как с почтовым сервером, а антивирусник передает запросы на настоящий почтовый сервер провайдера. Заодно стоит проверить настройки e-mail в антивируснике, что они указывают именно на свой почтовый сервер.

Karlsberg

Цитата:

Для начала проверь в настройках Bat-а адреса и порты POP и SMTP серверов. Если там написано loopback или 127.0.0.1

Да нет, адреса обычные - smtp.rambler.ru порт 25
pop.rambler.ru порт 110 оба соединения - "обычные". Галка проверки антивирусом не стоит.
Но тем не менее, похоже, что все-таки

Цитата:

антивирус прописан как прокси, то есть почтовик соединяется с антивирусом как с почтовым сервером, а антивирусник передает запросы на настоящий почтовый сервер провайдера

, потому что запрашивает Bat соединение именно с удал. адресом localhost:loopback для каждого ящика, а номера портов иногда меняет почему-то - за разъяснение спасибо.


Цитата:

проверить настройки e-mail в антивируснике, что они указывают именно на свой почтовый сервер.

Полазил в настройках Нортона - никаких указаний на какие-либо адреса я не нашел, он,видать, автоматом подцепляет все POP и SMTP-соединения.

Цитата:

разрешил я Бату все исходящие на localhost:loopback

- хоть это-то я верно сделал?

PS: сложным каким-то стал Аутпост, вплоть до 2.6 версии я и проблем-то таких не знал . Правда, может, я просто "разрешал любые действия" - уже и не помню.

Stass1977

Цитата:

Полазил в настройках Нортона - никаких указаний на какие-либо адреса я не нашел, он,видать, автоматом подцепляет все POP и SMTP-соединения.

Похоже на то... Разработчики утверждают, что он еще проверяет аттачменты мессенжеров.

Цитата:

хоть это-то я верно сделал?

Пока невозможно сказать. Проверь, плиз, кто слушает на том порту, к которому пытается приконнектиться BAT

По какому протоколу и портам работает встроеная служба сообщений ака net send ?

Karlsberg

Цитата:

Проверь, плиз, кто слушает на том порту, к которому пытается приконнектиться BAT

Порт 1030 TCP localhost:loopback держится процессом CCAPP.EXE - это один из компонентов Norton AntiVirus 2005 - похоже, все пучком.

Где-то видела пошаговую "инструкцию" как закрыть порты в Оutpost - не могу найти где! Помогите пожалуйста.

seg11
Наверное самое главное закрыть порты TCP и UDP 135-140,445 на вход и на выход.
А вообще тема Agnitum тут
http://forum.ru-board.com/topic.cgi?forum=5&topic=15976&start=120#lt

В одном из первых постов bredonosec предлагал заблокировать протокол ARP. Как это можно сделать?
Я имею в виду не создание правила в фаерволе, а сохранение возможности работы с локальной сетью, в которой адрасация, по идее, должна осуществляться по MAC.