» Настройка персональных файерволов (firewall rules)

Насчет порядка применения правил:
насколько помню из обсуждения Аутпоста, там официально этот порядок не важен, реально вроде вывели, что имеет значение порядок создания правил (т.е., время создания) Первым проверяется совпадение с первым созданным правилом, потом вторым, т.д. Так что, сначала есть смысл на бумажке написать весь список правил, чтоб вводить в нужном порядке и не ошибаться.
В зоне (почти год уж не юзаю, подзабыл) вроде как порядок значения не имеет.
В Deerfield Visnetic правила проверяются в порядке нумерации. Правило можно передвигать по 1 пункту вверх или вниз до нужной позиции, потом нажимается кнопка "renumber rules". Неудобство - новое правило добавляется вверх и при очередной смене нумерации его номер с последнего меняется на первый, если не слить его вниз руками.
miasnikov andrew

Цитата:

Предлагаю структурировать его так:

- Предлагаю таблицу - больше наглядность. Хотя о структуре стОит еще подумать.
Name what is TCP rules UDP rules Specific rules

bredonosec
Лепота... Тогда придется все тебе в таблицу сводить, я так не умею

Цитата:

разрешить, но повесить stateful policy

Здесь надо разрешать все, так как например вряд-ли файервол сможет корректно определить что пришедший UDP пакет на самом деле чей-то ответ...

bredonosec

Цитата:

после изменения компонента

Sygate Personal Firewall can block only new component / dll... not all Application... thats why Sygate is cool

Цитата:

Лепота... Тогда придется все тебе в таблицу сводить, я так не умею

- Не впервой (см.подпись)

Цитата:

так как например вряд-ли файервол сможет корректно определить что пришедший UDP пакет на самом деле чей-то ответ...

- Deerfield умеет. Ж) Только, прошу прощенья, не stateful policy, a stateful inspection.
//для новичков - не спешите его себе ставить - он из разряда тупых - без проблеска интеллекта - т.е., все правила надо самому ставить, а не полагаться на автомат. //


Добавлено
SXP

Цитата:

can block only new component / dll... not all Application... thats why Sygate is cool

Спасибо за новость!

bredonosec
cool! даже не ожидал такого развития своего дизайна

а можно четные строки таблички сделать желтыми?
или создатели движка форума до такого изврата не додумались

еще вопрос: будем прибивать и редактить первый пост?
туда можно поместить только жизненно необходимые программы.
для экономии времени и места.
а то я с Languard загнул малость

SXP

Цитата:

thats why Sygate is cool

Да-да, как хрюк касперского Кричал мне на интернет эксплорер вместе с подгрузкой каждой новой dll-ки
bredonosec
Может стОит засунуть в табличку DNS, DHCP, фтп и почт. правила из первого поста?
miasnikov andrew

Цитата:

будем прибивать и редактить первый пост

Вообще-то надо...

Name What is How it works Rules Notes

bredonosec
Круто!
А в каком виде правила будут удобочитаемы? У нас есть протокол, локальный порт(ы), ремоут порт(ы) и направление

Плавно перетекаем в ПМ, чтоб не урвать по кумполу за флейм/оффтоп.

Net_man

Цитата:

Люди, такой вопрос. Как правильно настроить в файерволе правило для файла "svchost.exe"?

Лучшее изложение предмета я нашел на

http://www.outpostfirewall.com/forum/showthread.php?s=320a3672de400f34b871004cbde489e9&threadid=9858

Spectr
Спасибо - посмотрю на днях. Кстати, все никак не мог понять, что это за адрес такой 255.255.255.255 (часто в логах попадается) - теперь бум знать.

Цитата:

что это за адрес такой 255.255.255.255

- Запрос "всем" Всем" всем! (если не находит искомую страницу, точнее, серв, на котором это лежит, ишшо точнее, при проблемах со связью перепроверяет установки сети, посылает запрос на адрес 255,255,255,255, на который по идее должны откликнуться все сидящие в этой сети компы.
То же происходит при включении компа (или какой-нить установленной проги, например, локального чата) в сеть. (пример логов - тема про Деерфилд)


Добавлено
Насчет таблиц: я тут, в тесте поигрался на тему слияния/разбиения ячеек, от какого варианта дальше плясать стОит?
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=80#2
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=60#20

bredonosec
Первый вариант лучше, во втором - перебор с рамочками.

bredonosec
Согласен - первый хорош

korn32
Karlsberg
- Первый который? (там по 2 табл в каждом) 1,1? или 1,2
Далее, формат, скорее всего будет сменен ближе к цифрам (мне тут Андрей красивый вариант кинул). Сегодня-завтра воткну. //сорри, в офф ухожу.//

bredonosec
1,2 - тот, который более строгий, без лишних бордюров в таблице.

bredonosec

Цитата:

1,2 - тот, который более строгий

Он самый

Nep, Widok
Прибейте плиз первый пост кверху, а мы там табличку организуем...

Добавлено

Немного информации об svchost.exe с сайта мелкософта:

Цитата:

Svchost.exe is a generic host process name for services that run from dynamic-link libraries (DLLs).

То есть любая DLL-ка, которая хочет бежать как сервис, использует этот экзешник для своего запуска. Например, обслуживает RPC запросы на 135-м порту или UPnP (Universal Plug and Play) на 5000-м порту TCP и 1900-м порту UDP.
Из-за своей универсальности может использоваться любым трояном, так что провертьте свои правила - выпускать ее в интернет может оказаться опасно.

Karlsberg
Это-то меня и обеспокоило. В логе аутпостовского запрета Svchost.exe упоминаетсядовольно часто, причем с разными айпи-шниками, разным направлением (inbond/outbond). Но самое неприятное то, что в журнале наряду с записями "Запретить любую активность приложения" (что естественно и нормально) довольно много записей "Block Remote Procedure Call (TCP)"!!! И все эти "ремоут процедуры" блокируются именно на Svchost.exe. Может я чего не понимаю, но по-моему это попытки получить удаленный доступ к моему компу. Или я не прав?

Итак, я тут поработал над табличкой, но не все еще баги снял.
ща начались тормоза - перегрузки с форумом - страница 10м грузится - доредактирую завтра.
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=80#3

---

Итак, вот последний на данный момент вариант.
______Application_or_Service_____ _________with explanation______

Тормоза не заметил. Табличку подредактировал.
Думаю, в таком виде она лучше читается.
http://forum.ru-board.com/topic.cgi?forum=2&topic=0506&start=80#4

Добавлено
bredonosec
опередил на 9 минут


Добавлено
В любом случае, теперь уже нормально читается.
Прошу Karlsberg'а или Nep'а (по ПМ) прибить верхний пост
и засунуть туда табличку вместо текстового описания правил.

На будущее: для однотипных данных можно разбивать ячейку линией (см. Bittorent), а если размеры не совпадают (напр, в Emule) - лучше добавлять строку без первых двух ячеек (см. мой вариант - ссылка выше)

Net_man

Цитата:

попытки получить удаленный доступ к моему компу

Да, это попытка выполнить код на твоем компьютере

bredonosec

Цитата:

Bittorent

Это качалка, которая стала популярной в последнее время из-за высокой скорости скачки. Р2Р, но с центральным сервером (трекер). Пример - www.kinozal.com

miasnikov andrew
Не умею прибивать посты кверху

Karlsberg
Посмотри, какой вариант таблиц тебе больше нравится (от bredonosec или с моими исправлениями)
Можешь помещать в свой первый пост.

Цитата:

Не умею прибивать

Направил письмо Nep'у с копией тебе - надеюсь, объяснит или поможет.

Цитата:

опередил на 9 минут

- Заметил

Цитата:

На будущее: для однотипных данных можно разбивать ячейку линией (см. Bittorent), а если размеры не совпадают (напр, в Emule) - лучше добавлять строку без первых двух ячеек (см. мой вариант - ссылка выше)

- ИМХО, лучше один вариант, чтоб не вносить путаницы - что к чему относится. Однако, согласен, иногда так читается лучше.

Цитата:

прибить верхний пост

Непычу отправил.
Karlsberg

Цитата:

Не умею прибивать

это можно модерам.

Цитата:

Это качалка,

- ща сменю инфу.

шапку включил

bredonosec

Поправки в табличку

Стоит отдельно указать для Radmin правила для R-server и Radmin viewer

Для R-server
TCP,
Local port: 4899 (or server-defined. RTFM),
Remote port: any,
Direction: Inbound,Oubound.

Добавления для Radmin viewer:
для local port поставить "any" вместо ?

Я посмотрел свои логи для Radmin за 2 недели ( > 60 соединений) и вижу что
local ports пока в диапазоне 1027-3600. Причем в один и тот же день каждая новая сессия соединяется со строго последовательными портами а на следующий день опять случайный порт.
Так что у меня в Outpost rules указан явно только remote port and для пущей безопасности IP for Radmin server


Что касается правил для eMule на форуме Outpost после долгих обсуждений было предложен следующий пресет ( хочу подчеркнуть что в таблице указан для портов верхний диапазон 5000 а у меня часто встречаются в логах порты около 5500 и >7000

[eMule]
VisibleState: 1
Exe:
eMule, eMule.exe
DefaultState: 1
RuleName: eMule Connections from Clients, Webserver, MobileMule
Protocol: TCP
LocalPort: 4662, 4711, 4712
Direction: Inbound
AllowIt

DefaultState: 1
RuleName: eMule Connections to Server & Clients
Protocol: TCP
RemotePort: 1025-65535
Direction: Outbound
AllowIt

DefaultState: 1
RuleName: Extended eMule Protocol Outbound, Queue Rating, File Reask Ping
Protocol: UDP
RemotePort: 1025-65535
Direction: Outbound
AllowIt

DefaultState: 1
RuleName: eMule Queue Rating, File Reask Ping, Source- & Filesearch from Servers
Protocol: UDP
LocalPort: 4665, 4672, 4673
Direction: Inbound
AllowIt

DefaultState: 1
RuleName: eMule Connections to Server & Clients
Protocol: TCP
RemotePort: 1-1024
Direction: Outbound
BlockIt

DefaultState: 1
RuleName: Extended eMule Protocol Outbound, Queue Rating, File Reask Ping
Protocol: UDP
RemotePort: 1-1024
Direction: Outbound
BlockIt

Spectr
Цитата:

для пущей безопасности IP for Radmin server

Вообще с точки зрения безопасности
для любых приложений желательно указывать IP-адрес или диапазон адресов.
Увы не всегда это возможно/хочется делать.

Чтобы избежать в будущем такого плана высказываний, давайте забьем это в верхний пост.

По причине занятия шапки таблицей, общие рекомендации и советы будут вынесены в отдельный файл со ссылкой в шапке на него (аля ФАК или наподобие того). Что туда закинуть, а что выкинуть во избежание ненужного дублирования с таблицей (или пусть дублирует? какие мнения/советы?
Nep пасиб
Spectr - ОК, cделаю.
miasnikov andrew

Цитата:

давайте забьем это в верхний пост.

- теперь вы и сами можете его редактить, потому как шапочка

---

Чтож, пока советов нет, тупо кину какой есть.

Karlsberg
относительно диапазона локальных TCP портов (1024-5000)
5000 это значение по умолчанию и может быть легко изменено в реестре
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
параметр MaxUserPort
тип DWORD
допустимые значения 5000-65534

Net_man

Цитата:

но по-моему это попытки получить удаленный доступ к моему компу. Или я не прав?

Еще как прав!
После того как я сделал очень жесткие правила для svchost запретив все кроме необходимого (смотри http://www.outpostfirewall.com/forum/showthread.php?s=320a3672de400f34b871004cbde489e9&threadid=9858 )
и в логах сделал фильтр на blocked svchost то обнаружил много такого что раньше не регистрировалось напримеря за неделю обнаружил 5 попыток соединится ко мне черт знает откуда прикидываясь ДНС (53 порт).

bredonosec
Еще предложение:
Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для
svchost
Во многих форумах svchost вызывает макимум вопросов