» Настройка персональных файерволов (firewall rules)

imho
Спасибо. Я тебя процитировал в топике по Kerio Personal Firewall. Жду львет там.

Как по шапке определить, какие порты блочить, какие нет? Я чё-то не догоняю.

MORB_id

Цитата:

Как по шапке определить, какие порты блочить, какие нет?

В шапке указаны порты для приложений. Их надо разрешить.
Неипользуемые порты можно закрыть.

Есть подозрения что в шапке для FTP в активном режиме передача данных с 1024-5000 порта на 20 должна идти не в режиме in, а в режиме both.
Я использовал ZAP 6.1.737.000 и FlashGet 1.71. В ZAP правила разделены на разделы Firewall и Program Control. При проведении эксперементов в разделе Firewall были заданы правила:
DNSrequest, DNSresponse, FTPrequest, FTPactive, BlockAll.
DNSrequest, DNSresponse для запроса и принятия ответа с DNS сервера соответственно.
FTPrequest: TCP IP:1024-5000 source 21 destination
FTPactive: TCP 20 source IP:1024-5000 destination (IP - мой IP адрес)
В программах:
explorer, winlogon, userinit, flashget: DNSrequest, DNSresponse, FTPrequest,
FTPactive, BlockAll
Больше ничего с интернетом не взаимодействует. Запросы к днс серверу в лог не заносятся. Правила в программах от правил в файрволле отличаются только отсутсвием привязки к IP адресу компьютера.
Пытаюсь соединится с ftp.kaspersky.com через FlashGet Site Explorer:
[more]
Sat Jan 07 06:04:49 2006 Connecting ftp.kaspersky.com:21
Sat Jan 07 06:04:50 2006 Connecting ftp.kaspersky.com [IP=80.239.156.195:21]
Sat Jan 07 06:04:52 2006 Socket connected, Waiting for welcome message.
Sat Jan 07 06:04:54 2006 220 FTP server ready.
Sat Jan 07 06:04:54 2006 USER anonymous
Sat Jan 07 06:04:55 2006 331 Guest login ok, send your e-mail address as password.
Sat Jan 07 06:04:55 2006 PASS ********
Sat Jan 07 06:04:57 2006 230 User logged in.
Sat Jan 07 06:04:57 2006 Login Successful
Sat Jan 07 06:04:57 2006 REST 100
Sat Jan 07 06:04:59 2006 350 Restart position is 100.
Sat Jan 07 06:04:59 2006 This site can resume broken downloads.
Sat Jan 07 06:04:59 2006 REST 0
Sat Jan 07 06:05:00 2006 350 Restart position is 0.
Sat Jan 07 06:05:00 2006 PWD
Sat Jan 07 06:05:02 2006 257 "/" is current directory.
Sat Jan 07 06:05:02 2006 TYPE A
Sat Jan 07 06:05:04 2006 200 Type set to A.
Sat Jan 07 06:05:04 2006 PORT 82,162,121,166,5,170
Sat Jan 07 06:05:06 2006 200 PORT command successful.
Sat Jan 07 06:05:06 2006 LIST -la
Sat Jan 07 06:05:28 2006 Error occured!
[/more]
При этом ZAP выводит предупреждение:
The firewall has blocked internet access to ftp.kaspersky.com (80.239.156.195)(FTP Data)
from your computer [TCP Flags:AS].
В логе для приложений ошибок соединения нет, а вот для файерволла есть одна в самом конце лога. (те строки, где указан flashget, на самом деле дублировались с каждым из этих: explorer, winlogon, userinit, но я их убрал)
[more]
ACCESS,2006/01/07,06:04:50 +0:00 GMT,The firewall rules for FlashGet allow an outgoing TCP connection to 80.239.156.195:FTP.,N/A,N/A
FWOUT_OK,2006/01/07,06:04:50 +0:00 GMT,(Здесь мой IP):1449,80.239.156.195:21,TCP (flags:S)
FWIN_OK,2006/01/07,06:05:06 +0:00 GMT,80.239.156.195:20,(Здесь мой IP):1450,TCP (flags:S)
ACCESS,2006/01/07,06:05:06 +0:00 GMT,The firewall rules for FlashGet allow an incoming TCP connection from 80.239.156.195:FTP Data to port 1450.,N/A,N/A
FWOUT,2006/01/07,06:05:06 +0:00 GMT,(Здесь мой IP):1450,80.239.156.195:20,TCP (flags:AS)
[/more]
Ниже для сравнения приведены вырезки из лога:
FWIN_OK,2006/01/07,06:05:06 +0:00 GMT,80.239.156.195:20,(Здесь мой IP):1450,TCP (flags:S) - in
FWOUT,2006/01/07,06:05:06 +0:00 GMT,(Здесь мой IP):1450,80.239.156.195:20,TCP (flags:AS) - out (ошибка)
Теперь создаю правила в разделе Firewall:
FTPactive2: TCP IP:1024-5000 source 20 destination.
в Program Control ничего не меняю. Пытаюсь соединится с ftp.kaspersky.com снова.
Все также как и в преведущем логе до записи Error occured!, затем:
Sat Jan 07 06:18:59 2006 150 Opening ASCII mode data connection.
Sat Jan 07 06:18:59 2006 226 Transfer complete.
То есть соединение установелно успешно. В ZAP лог как и раньше за исключением последней строки:
FWOUT_OK,2006/01/07,06:48:02 +0:00 GMT,(Здесь мой IP):1466,80.239.156.195:20,TCP (flags:AS)
В данном случае интересно то, что для конкретного приложения никакие изменения вносить не пришлось. Также, если просто снести зависимость от IP в правиле FTPactive, то ошибка все равно происходит. В правилах для FlashGet вообще нет разрешения на соединения типа TCP 1024-5000S 20D, в логах это тоже никак не отображено.
А вообще, может быть это у меня просто глючит:)

В тех правилах что в шапке, для FTP клиента нет разрешения на работу с HTTP (ну только если он через правила для браузера как-то работать будет:))

DarkAir

Цитата:

FWOUT,2006/01/07,06:05:06 +0:00 GMT,(Здесь мой IP):1450,80.239.156.195:20,TCP (flags:AS) - out (ошибка)

Такое нехорошее чуйство, что ЗАП не разрешает посылку пакета ACK+SYN, который должен был сказать серверу что клиент готов принять его соединение с его 20-го порта на свой 1450. Обычно файерволы не разделяют этот процесс на этапы, и команда "разрешить соединение" подразумевает разрешение всех ACK-ов. В отличие от ЗАПа.

Установка SiteScope
Скачать SiteScope
Настроить SiteScope
Лицензия SiteScope
License SiteScope
Serial SiteScope

http://Неоплаченная реклама.nm.ru/

sitescope

Цитата:

http://***********.nm.ru/

А модератор разрешил рекламу?

Добавлено.
Сорри за

Здесь есть очень хорошая таблица правил:
http://www.jetico.narod.ru/
Там далеко не всё есть, но то что есть имхо лучше, чем здесь в шапке.

Кто нибудь, дайте пожалуйста инфу по настройке правил для svhost.exe.

Den_Klimov
Дело в том что для svchost.exe нет универсальных правил. Он просто поднимает разные dll-ки для запущеных сервисов. Поэтому рекомендую посмотреть хорошим вьюером процессов, с какими параметрами они запущены у тебя, и конфигурировать исходя из того что тебе действительно нужно, а остальные сервисы просто отключить.

Karlsberg
Это я понимаю...
Но это не значит что нельзя создать более-менее универсальной табицы. В случае необходимости всё лишнее из неё можно и повыкидывать.
Вот пример такой таблицы для svchost.exe взятой из Outpost Firewall Pro 3.51.748.6419 (462):
http://alexey-rassylki.pisem.net/table_svchost.exe.zip

Собрал набор правил, он немного шире... http://rapidshare.de/files/16726036/Rules.zip.html

Надеюсь поможет начинающим...

MobyDick
Шире, но неправильнее. Один DNS на 21 порту чего стоит...

Den_Klimov

Цитата:

Кто нибудь, дайте пожалуйста инфу по настройке правил для svhost.exe

Разреши 4 порта и в полне хватит.

Den_Klimov

Dynamically Created Via Learn Mode TCP> epmap (135)> 1024-65535> Any> Generic Host Process for Win32 Services (svchost)

Dynamically Created Via Learn Mode UDP> 1024-65535> 1024-65535> Any>
Generic Host Process for Win32 Services (svchost)

Помогите ребята пожалуйста. Кто знает.
Ситуация такая.
Есть локальная сеть домового провайдера, к которой подключены все кто хочет пользоваться его услугами, включая машину на которой мне нужно настроить фаер.
Фаер, если кому любопытно Jetico (самый что ни на есть классический, простой и надёжный, но требует основательной настройки).
В двух словах.
Настройки локально-сетевого соединения к провайдеру по умолчанию - то есть провайдер раздаёт адреса на автомате через DHCP. При наличии этого локально-сетевого соединения можно подключиться только к ftp-серверу провайдера и больше ни куда.
Интернет же провайдер раздаёт через VPN-соединения (правда без шифрования), но с логином и паролем.
Адрес сервера провайдера который указывается для VPN-соединения 10.2.1.1.
Естественно. Пока этот адрес у меня в фаере не разрешён, никакое VPN-соединение с провайдером я установить не могу. Если же я устанавливаю для 10.2.1.1 - полный доступ (всё разрешено), к примеру через мастера настройки сети (есть такой в Jetico), или другим способом, то естественно появляется возможность установить с провайдером VPN-соединение и выйти таким образом в интернет.
НО! Таким образом хотя и защищён перед инетом, но со стороны сервера провайдера (10.2.1.1) я полностью открыт (голый).
"Вопрос жизни и смерти".
Как мне лучше настроить правила доступа для 10.2.1.1, чтобы VPN-соединение с провайдером могло устанавливаться, но при этом чтобы со стороны сервера провайдера я был надёжно закрыт. Жду рекомендаций ребята. Заранее благодарю.

Цитата:

Пока этот адрес у меня в фаере не разрешён, никакое VPN-соединение с провайдером я установить не могу. Если же я устанавливаю для 10.2.1.1 - полный доступ (всё разрешено),

- не совсем понял, а окромя полного запрета и полного разрешения вариантов нет?

Цитата:

Как мне лучше настроить правила доступа для 10.2.1.1,

темку http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=1100#lt не глядел?

//ссыла в её шапке http://www.jetico.narod.ru/ ведет на таблицу, в сущности, аналогичную нашей.

Кто подскажет, где в таблице ссылке/правила на приложение работающие с протоколом ICMP
для ось XP?

Цитата:

Кто подскажет, где в таблице ссылке/правила на приложение работающие с протоколом ICMP
для ось XP?

- а для ХРюши это чем-то отличается от остальных?
У меня (локалка, 98) разрешено только одно правило "пинговать остальных"
my adress (8=ping request) <->all adresses (0=ping reply) +block incoming fragments
Ниже запрещающее всё (добавил правило потому, что у нас обычно по ИСМР редко стучат и если да, то токмо с умыслом нехорошим)
My adress (0-255) <-> All adresses (0-255) block+ban+tarpit

bredonosec
Не совсем так. Интересует какие приложения для XP отвечают за работу с ICMP
и соответственно правила для них.

Цитата:

my adress (8=ping request) <->all adresses (0=ping reply) +block incoming fragments

А откуда они там?

Добавлено.
1.
Цитата:

разрешено только одно правило "пинговать остальных"

Для каких приложений?

2.А потом учти, что струтура запросов XP и Win98 немного разная
в винде 98 поймать троя легче

Цитата:

А откуда они там?

- а на всякий пожарный Чтоб фрагментированными или корраптед пакетами не свели с ума стену или вынь

Цитата:

Для каких приложений?

- Так разрешено только мне Обратного хода нету - с моей стороны только запрос (8) пинга, "оттуда" - только ответ (0) и никак иначе
Да и не арботает же виснетик с приложениями Это специально добавил, чтоб проверять где накрылась связь - на котором свитче, или у прова, или дальше в инете. То есть, оставил из расчета юзанья (или для) утилит пинг, трейсрт.


Цитата:

А потом учти, что струтура запросов XP и Win98 немного разная

- А разве ХРюше что-то еще необходимо для функционирования? Как ставил виснетик (тем летом) на хрюшу, никаких спец правил по исмп не давал, только стандартные запреты - крутилось без проблем и криков


Цитата:

в винде 98 поймать троя легче

угу, потому токмо так. Даж ответ (3) destination unreacheable из блока выделять не стал. А уж всякие MBONE broadcasts и тем паче

bredonosec
Твой вариант я понял.
Но вопрос остается в силе, где в таблице ссылке/правила на приложение работающие с протоколом ICMP для ось XP?
Вроде я для не 98 не просил. Именно приложения и правила для XP.

Для MIRC в firewall (Sygate) стоят правила из шапки. Все бы ничего, но коннект длиться долго, по причине, что MIRC сервер проверяет не стоит ли локальный прокси на порту 1080, 8000, 8080, 3128, 6588. Если в правиле для MIRC поставить "all applications" а не только MIRC клиента, то все работает быстро, но это же не дело. Вопрос, какое приложение (WinXP) отвечает на запрос MIRC сервера о том что эти порты закрыты, что бы разрешить только его?

KIF62
Если порт закрыт, то сам IP отсылает ответ по протоколу ICMP, если я не ошибаюсь, он называется Destination Unreachable. Было бы идеально разрешить в файерволе только этот тип ответов и только по адресу MIRC сервера.

Цитата:

Если порт закрыт, то сам IP отсылает ответ по протоколу ICMP, если я не ошибаюсь, он называется Destination Unreachable. Было бы идеально разрешить в файерволе только этот тип ответов и только по адресу MIRC сервера.

почему-то такое правило не дает нужного эффекта

KIF62

Цитата:

почему-то такое правило не дает нужного эффекта

Для самопроверки - это правило не должно быть правилом для MIRC клиента, это должно быть системным правилом.
Желательно также посмотреть в логах что Destination Unreachable уходит на сервер и не блокируется файерволом. Если это не поможет, стОит посмотреть в логи файервола или запустить сниффер, и проверить что именно уходит на сервер после попыток коннекта на порты прокси.

Цитата:

такое правило не дает нужного эффекта

проверь точно ли -
ICMP in/out My Adress 0-255 - (MIRC server adress) type 3 (destination unreacheable)
Allow & log.

Цитата:

Желательно также посмотреть в логах что Destination Unreachable уходит на сервер

- Вообще-то это ответ о недоступности серва, приходящий извне, а не твой посыл куда-то.
Возможно, в этом дело?

konik

Цитата:

- Вообще-то это ответ о недоступности серва, приходящий извне, а не твой посыл куда-то.

Ну-ка, расскажи, как MIRC сервер проверяет не бежит ли у тебя на хосте прокси-сервер?

Цитата:

Ну-ка, расскажи, как MIRC сервер проверяет

- Как мирк серв проверяет (и проверяет ли) не знаю,
знаю, что ответ по типу 3 получаю, если пров "в запой" уходит, или гуляя через прокси, а тот вдруг умирает..

konik
Когда ты коннектишся на любой умный сервак, который не любит заходов с прокси-серверов, он сам пытается установить соединение с общепринятыми портами на твоём хосте. Если на этих портах никто не висит, то возможны два варианта - либо на сервер от тебя уйдёт Destination Unreachable, либо (в случае закрытого ICMP) он сам прекратит по таймауту. Если MIRC сервер действительно проверяет прокси, то насколько я понимаю ситуацию, у KIF62 второй вариант, а мы хотим первый.