» Настройка персональных файерволов (firewall rules)

Цитата:

предлагал заблокировать протокол ARP. Как это можно сделать?
Я имею в виду не создание правила в фаерволе, а сохранение возможности работы с локальной сетью, в которой адрасация, по идее, должна осуществляться по MAC.

- В этом случае есть несколько вариантов:
Вариант 1: локалка не нужна: создаем правило, блокирующее весь диапазон (что маков, что ипов) - годится только, если инет имеете не через локалку
Вариант 2: есть несколько граждан, которые заслужили подозрение. Тогда правилом блокируется АРП от них (при этом обращение с любым другим пакетом - ТСР/УДП/ICMP/IGMP... от них пройдет, то есть, это не равнозначно бану адреса)
Вариант 3: нужен доступ к ограниченной части локалки, остальное - нет. - Блокируется диапазон адресов. (сам такое юзаю)

Что касаемо работы с локалкой при отключенном АРП обмене - дело в том, что АРП - это всего лишь обмен запросами-ответами на тему, "хто тут?". То есть, если РС не находит другой по известным данным, он выдает АРП запрос "всем-всем-всем" и получает ответы от разных МАС (физических) адресов с сообщениями о своих ИП. Ответы заносятся в базу соответствия. Сама база динамическая, то есть, по дефолту устаревает каждые несколько минут (по моим опытам - примерно 10-15). Можно сделать статическую, тогда она устаревать не будет и ОСь будет всегда из нее значения первых 6 байт отправляемых пакетов (МАС получателя). Однако, по опытам на 98/НТ/2к/хр (не моим, в статьях было), даже при установке статической таблицы соответствий если некая машина в сети выдаст АРП ответ (в т.ч., не спровоцированный запросом, или ложный) - ОСь внесет изменения в базу. Таким образом вам могут устроить или "отключение сети", или поснифить, или вызвать нестабильность, тормоза, и прочие удовольствия методом АРП-флуда. (переполнение таблицы и сброс её, т.д.)
Во избежание этого в сетях, где оборудование не меняется достаточно долгое время, рекомендуется поставить на ОСь статическую таблицу и запретить принятие АРП пакетов.

Hi! Кто нить скажите плиз для чего нужен svchost.exe и стоит ли его пускать внет?
Фаер- outpost pro последний
XP SP2 + все заплатки

Цитата:

SVCHOST.EXE - базовый процесс для процессов, созданных из динамических библиотек (DLL), - не удивительно, что в списке процессов может быть несколько ссылок на svchost.exe. Для просмотра списка процессов, использующих svchost.exe, используйте программу Tlist.exe с диска Windows 2000 (синтакс строки tlist -s).
Этот процесс нельзя завершить из менеджера задач.

Что касаемо вопроса "пускать ли" - смотря что на нем висит.
Более подробно - многократно повторялось в теме.
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=20#7
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=20#21
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=40#9
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=60#9
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=60#11
и так далее.
(метод: версия для печати -> search on this page -> svchost.exe )
а то на каждый пост ссылы кидать лень.

Не подскажите как запретить весь входящий трафик на локальный компьютер. Суть проблемы заключается вот в чем: имеется соединение по диалап. Через него идет только исходящий трафик. Для входящего есть другой интерфейс (конект к спутнику через ВПН). ВПН падает и тогда трафик весь начинает идти по модему (не через спутник). Этого мне не нужно... как исправить???

Цитата:

запретить весь входящий трафик на локальный компьютер

А то, что протокол TCP/IP требует подтверждений для проверки корректности передачи по каналу, и если надо - повтор передачи, помнишь?
Запретить нетрудно - выбираешь правила для данного адаптора(модема) и указываешь в каждом отсеке запрет на входящие по всем портам /со всех адресов. Или, указываешь для этого адаптора только разрешающие правила на выход + "по умолчанию - если не подходит под правило - блокировать"

Только вот с подтверждением ТСР как у тебя будет - вопрос открытый (а проверить не имею возможности - второе подключение не к чему делать)

Разрешите спросить, при запуске приложения ломятся исходящим соединением или посылкой датаграммы на удаленный адрес 127.0.0.1 (firefox, thunderbird, skype) диапазон портов 1024-5000

Это трой или у меня паранойя. Раньше токого не наблюдалось. The Cleaner проблем не видит. Аньивирус не мониторит.

Windows XP SP2, Jetico PF, Касперский персонал,офис и прочие.

wezir
Localhost, однака.

угу, локалхост. твоя машина в смысле многие сетевые приблуды его пользуют.. на него же ссылаются проги-локальные прокси, локальные рутеры и проч мусорень.

wezir
Из живущих у меня firefox лезет при старте на localhost, skype - нет, но это еще не причина для беспокойства. Проверь кто кому шлет запросы, и если это с обоих сторон один и тот-же процесс, то по-идее все ок.

Спасибо за рекомендации, я в принципе в курсе что это Localhost, но хотелось бы более развернутый ответ получить. Skype естественно коннектится с различными адресами по 443 80 и назначаемому порту, лис если его не трогать вроде никуда неконнектится птица тоже, но еще пару дней назад ничего и в помине небыло, я в msconfig немного поковырял отключил каспера и еще пару служб, потом выяснил что отключил удаленное соединение и включил обратно, где еще глянуть может я службу какую запустил по неграмотности? Или всетаки кто то меня с кем-то подружил?

на локальную машину начал активно коннектится ССС от ATI сегодня установленный.

И еще вопрос, это нормально что Skype такое количество соединений создает по UDP что у меня вчера 8sings Firewall просто вывалился. (даже количество трудно подсчитать посчитал 135 соединений в секунду)

Знаю знаю пару файеров ставить это ...... но цельный месяц они вдвоем с Jetico исправно мне служили и мирно сосуществовали.

Цитата:

Skype такое количество соединений создает по UDP

- в теме по нему проскальзывало, что распределяет нагрузку по разным путям.. сам как юзал - тож по 20-40 в секунду жарил (пофильтруй по прогам/флейму).
Цитата:

что у меня вчера 8sings Firewall просто вывалился.

- вывалился именно за счет 2 стен. У меня в разы больше пакетов в секунду регистрировал (особливо когда я оффлайном лил учебники, одновременно флешгет и ИЕ активно юзая, а в лок сети флудили..), а никаких сбоев.

bredonosec
А кто таков SYSTEM? Мильон раз тут уж задавался вопрос, но ответа, окромя
Цитата:

Процесса SYSTEM не существует

не было. Известен ли ответ сейчас? Потому как, если и он и не существует, то как-то странно, чтобы это было совсем одно и то же, что хост служб, ибо брандмауэр их совершенно отчетливо дифференцирует.

TCPIP

Цитата:

А кто таков SYSTEM?

- На данный момент сижу на 98 и проверить не могу (может, получится привязку мака обмануть и на другой машине с хр выйти..), но насколько помню, есть пользователь "система". Который имеет свои собственные права на те или иные файлы, ветки реестра и собственые настройки доступа в сеть. (где-то в поздемке обсуждался способ обойти запароленный вход, залогинившись от лица "системы" и чего-то творя на машине жертвы... )

А вот зачем пользователь "система" лезет в инет - толь обновляться, толь еще зачем - это покамест не имею возможности поглядеть..

TCPIP

Цитата:

А кто таков SYSTEM?

Я думаю, что у разных файеров токлование этого термина слегка разное, но в общем имеется в виду просто служба (service). Часть из них обычные exe-файлы, а часть - dll-ки и поднимаются с помощью svchost.exe или dllhost.exe. СтОит посмотреть мануал твоего файера, что именно они имеют в виду (типа, считают ли они службой также и exe, или только svchost и dllhost).
Насчет юзера SYSTEM - это только в файерах которые умеют отличать, под каким юзером бежит приложение или служба, и показывают его в категории "username".

А почему по svchost.exe инфу в шапку не закинули? Прочитал топик - столько советов всяких!!!
У меня Outpost постоянно выкидывает окно

Цитата:

Generic Host Process for Win32 Services
Пpилoжeниe зaпpaшивaeт вxoдящee coeдинeниe c
Лoкaльный пopт UDP:1216
Лoкaльный aдpec 213.85.118.24
Удaлeнный aдpec: 212.15.127.1

порты и адреса есс-но разные. Разрешать полный доступ ему нельзя, блокировать тоже. что же делать? "A Guide to Producing a Secure Configuration for Outpost" просмотрел, но в англ. не силён, да и много лишнего там.
Инет у меня - диалап. Ось - ХРСП2.

SuperDee
Создай правило для Generic Host Process for Win32 Services, где

Цитата:

Лoкaльный пopт UDP:1216
Удaлeнный aдpec: **********

Галочка "Блокировать".
http://forum.ru-board.com/topic.cgi?forum=5&topic=15976&glp в шапке доки на русском.

Wandron

Цитата:

Лoкaльный пopт UDP:1216
Удaлeнный aдpec: **********

Ещё был порт 1090, кажется. Удалёный адрес тоже разный. Направление In\Out.
Каждый новый запрос на новый порт постоянно блокировать, создавая правило?

Цитата:

в шапке доки на русском.

Почитаю.

Добавлено:
Прочитал

Цитата:

Руководство пользователя (OF 2.5) | Приступая к работе (OF 2.5)

Про настройку svchost там не сказано, а лишь общая инфа, которую я читал ещё для версии 2.1.

SuperDee
Советую посмотреть хорошим таск-менеджером, с какими параметрами поднята эта dll (в файере ищется Process ID и потом в таск-менеджере можно найти этот процесс по ID). По параметрам запуска в 90% случаев можно понять, что это за служба и может быть отключить ее на фиг за ненадобностью.

bredonosec
01:31 03-08-2005
Цитата:

Который имеет свои собственные права на те или иные файлы, ветки реестра и собственые настройки доступа в сеть

Похоже так и есть: это хреновина, которая работает с реестром.
Цитата:

А вот зачем пользователь "система" лезет в инет - толь обновляться, толь еще зачем - это покамест не имею возможности поглядеть..

Иногда действительно лезет обновляться на сайт к микрософтовским партнерам (как их там, забыл, их еще download.com использует), а тут полез на какой-то хост в Австралии в подсети DARPA... Чего он им там реестр правит? Вот, что называется удаленной правкой мозгов из-за океана.

Karlsberg
11:58 03-08-2005
Цитата:

Я думаю, что у разных файеров токлование этого термина слегка разное, но в общем имеется в виду просто служба (service).

В том-то и дело, что, скорее всего, нет.

Цитата:

Насчет юзера SYSTEM - это только в файерах которые умеют отличать, под каким юзером бежит приложение или служба, и показывают его в категории "username".

С пользователем понятно. Имеется в виду имя образа.

---

Щит, и чего в Касперском нет заводских настроек для пассивного режима FTP??? Приходится самому добавлять. Неужели работа в пассивном режиме столь экзотичный случай?

TCPIP

Цитата:

скорее всего, нет

К чему относится "нет"? К разному толкованию или к тому, что system это не сервис?

SuperDee
Про svchost можно ещё в Версия для печати почитать, довольно много написано, но я обычно, жму "Блокировать однократно" и часто помогает , если начинает доставать создаю правило, проверяюсь на вирусы и aware, чищу реестр.
P.S. A в правиле оставляй только порт и протокол, остальные галки сними.
Это самый простой путь. Можно копать глубже, но об этом уже писали.

Karlsberg
23:31 07-08-2005
Цитата:

К чему относится "нет"? К разному толкованию или к тому, что system это не сервис?

К последнему. Вот, что про него пишет WinTasks:

Цитата:

Path: System
Name: System
EXE Name: Windows Memory Handler System Process
EXE InternalName:
EXE LegalCopyright:
EXE Desc: system is a process which shows up on the tasks on mainly Windows XP, Windows 2003 server and later version of Windows. This is a default system counter and cannot be removed.
EXE Author: Microsoft Corp.
OS: Windows XP

Хотя это никак не отвечает на сам вопрос, зачем же ему тогда с кем-то соединяться.

Karlsberg

Цитата:

Советую посмотреть хорошим таск-менеджером

В след. раз посмотрю.

Wandron

Цитата:

Про svchost можно ещё в Версия для печати почитать, довольно много написано

Пытался ещё до задавания вопроса, но кто-то говорит надо настроить так, кто-то вообще запретить svchost и заюзать DNSExplorer (или чё-то в этом роде). Короче, запутался.

Цитата:

я обычно, жму "Блокировать однократно" и часто помогает

И я, и я, и я того же мнения.

TCPIP
Тогда мы возвращаемся к разному толкованию, потому что хелп по Тини/Керио определяет сей термин однозначно:

Цитата:

Application — the local application's executable including the full path. If the application
is an operating system service, the name displayed will be SYSTEM.

А если ты имеешь в виду тот System, который показан в Windows Task Manager-е, то это не тот system, который в файерволе Виндоусовский System в интернет не ходит, насколько мне известно. Но я проверю.

Как именно следует настраивать файервол на работу с Emule?

Достаточно ли создать правила для программы emule.exe, открыающие для неё вышеуказанные порты
( а именно:
in TCP: 4662,4711, 4712 /any
out TCP: any / 1025-65535
in UDP: 4665,4672, 4673 / any
out UDP: any / 1025-65535
)

или следует открыть эти порты для ВСЕХ программ?

Я открыл для всех программ, и у меня иногда этой возможностью пользуется приложение SYSTEM по протоколу TCP, причём в графе Remote Port появляются следующие номера:

1268, 1395, 1401, 1696, 2139, 2266, 2272, 2456, 2490, 2565, 2667, 2866, 3079,
3177, 3518, 3628, 3639, 3652, 4040, 4261, 4593, 4644, 64300.

Насколько необходимо для SYSTEM иметь возможность соединяться по указанным портам?

Lapochka ili Chai
В настройках ослика есть три порта: TCP Port (пусть будет Х1), UDP Port (Х2) и KAD AUX Port (Х3). При условии что файер применяет правила последовательно, пишем:
1. открыть TCP in local=Х1 remote=all
2. открыть UDP in local=Х2, Х3 remote=all
3. открыть TCP/UDP out local=all remote=all
(все 3 правила только для emule.exe, остальные приложения получат свои собственные порты)
...
последнее правило (для напоминания) - закрыть все для всех

Подскажите, плиз, чайнику.
На двух машинах установлен Kerio Personal Firewall 4.20 русифицированная версия (системы Windows XP Prof русская и английская версии).

Установил русифицированную программу RAdmin 2.2 (удаленное администрирование через Интернет).

Что и как нужно настроить в Kerio Personal Firewall, чтобы RAdmin мог работать.

Спасибо.

P.S. На моей машине IP статический, на удаленной динамический.

В будущем планируется еще несколько клиентов, аналогичных первому.

renreg
Не совсем понятно что тебе надо... (кого настраивать)
У RAdmin'а две компоненты: сервер (RAdmin server) и клиент (RAdmin viewer). Правила см. в шапке.

Если у тебя viewer на постоянном IP - забивай у своих клиентов входящее соединение как в шапке, но с указанием твоего IP (будет безопаснее).
Там нужен один всего лишь порт. Если ничего не поменяли в версии 2.2, то он TCP:4899.

Как и что ковырять конкретно в твоем файерволле - подскажут в соответствующем топике.

imho

Цитата:

Если у тебя viewer на постоянном IP - забивай у своих клиентов входящее соединение как в шапке, но с указанием твоего IP (будет безопаснее). Там нужен один всего лишь порт. Если ничего не поменяли в версии 2.2, то он TCP:4899.

А как это сделать - чайник, я, чайник


Цитата:

Как и что ковырять конкретно в твоем файерволле - подскажут в соответствующем топике.

Не-а, направили сюда

Давай еще раз, как для чайника (пока не пришел модератор;) )
Твоя машина:
Radmin Viewer. Надо открыть порт TCP 4899 в направлении на выход (out или outbound)

Машина клиента:
Radmin Server - открыть порт TCP 4899 на вход (in или inbound).

Открыть порт - значит создать разрешающее правило.
Это может быть User defined rules / Custom settings / Advanced Rules в твоем файерволле. Покопайся в настройках + RTFM (в топике по твоему файру, google, help, сайт производителя и т.д.)