» Настройка персональных файерволов (firewall rules)

adronik спроси там:
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=25898&start=580#lt

Уже несколько раз замечал UDP сканирование портов с IP провайдера (адрес DNS сервера). Comodo блокирует "временно атакующего"
В инет выхожу через роутер с NAT, никакого форвардинга портов не делал, всё закрыто. А провайдер-собака пробивается в домашнюю сеть и сканирует порты на моем компе 192.168.1.33, а может и на втором 192.168.1.34 - надо тоже туда Comodo поставить.
Подскажите знающие люди зачем моему провайдеру (O2 Germany) сканировать мои порты?

233
А в твоём рутере (если это ADSL-модем с прибамбасами) нету firewall'а?

TeXpert

Цитата:

А в твоём рутере (если это ADSL-модем с прибамбасами) нету firewall'а?

Есть, и большую часть именно он блокирует, но как видно не на 100% Он ведь блокирует незапрошенные пакеты, а тут видимо какая то прога (или процесс... х.з.) обращается к серверу DNS провайдера, а в ответ сканирование портов

233

Цитата:

Уже несколько раз замечал UDP сканирование портов с IP провайдера (адрес DNS сервера). Comodo блокирует "временно атакующего"

Это провайдера?
Надо меньше доверять таким "качественным" фаеволам
Максимум - у вас кто-то пользуется чем-то типа Torrent или Edonkey, но Comodo не может это точно увидеть...
Не волнуйся с этим особо - с нормальными правилами и нормальным фаером это все не стоит внимания. А вот некоторые твои правила могут тебе доставить массу проблем... Не стоит задавать один и тот-же вопрос в разных темах... Это

KUSA

Цитата:

Это провайдера?

И зачем переспрашивать По русски написано - провайдера. Если всё равно не верится - см. скриншот ниже.

Цитата:

кто-то пользуется чем-то типа Torrent или Edonkey, но Comodo не может это точно увидеть...

Comodo точно не видит, потому что чем-то типа Torrent или Edonkey не пользуемся.

Цитата:

Не волнуйся с этим особо

Волнений нет, ведь заблокировал. А вопрос остался. И пока никто по существу не ответил, не считая общих рассуждений о нормальных правилах и фаерах... Это тоже наверное
Замечание по поводу двух тем принято, еще бы услышать нормальный совет по правилам в настройках (если уж что то не понравилось).

А вот тут можно убедиться, что это действительно DNS сервер назначаемый провайдером.

233

Цитата:

И пока никто по существу не ответил, не считая общих рассуждений о нормальных правилах и фаерах...

:lol Я уже тебе ответил
Цитата:

с нормальными правилами и нормальным фаером это все не стоит внимания

Цитата:

еще бы услышать нормальный совет по правилам в настройках

А разве в шапке нету правил по настройке DNS?

KUSA
Нормальный совет "см. шапку" принят к сведению.
Больше ничего, кроме хихиканья насчет провайдера и высказываний в стиле Воробьянинского многозначительного "Да уж!!!", я не услышал. Если нечего ответить или лень, так и не отвечай.

Для всех остальных
Для чего провайдер сканирует порты, сталкивался ли кто нибудь с подобным?

233

Цитата:

Для чего провайдер сканирует порты, сталкивался ли кто нибудь с подобным?

В связи с тем, что длина заголовка UDP - чило постоянное , а приходящие к тебе IP адреса DNS (62.53.180.102 и 193.189.244.205) из разных классов , то вполне реально, что твой фаервол просто ошибается в режиме демультиплексирования кадров дейтаграмм.


Цитата:

и высказываний в стиле Воробьянинского многозначительного "Да уж!!!", я не услышал.

А здесь и не институт благородных девиц

2All

Кто нибудь настраивал спутниковый интернет. Интересуют настройки SlonAx и куда пущать или не пущать Sistem?
Для слона я кое какие правила из логов создал, но интересует не слишком ли широкая калитка.

Sizif73

Цитата:

Для слона я кое какие правила из логов создал, но интересует не слишком ли широкая калитка.

Может стоит их показать?

KUSA
Да честно сказать не хотел позорится Понимание у меня интуитивно экспериментальное.
Но вот таблица настроек для SlonAx. Фаер Jetico первая

Условие Протокол Событие Локальный адрес Удаленный адрес Локальный порт Удаленный порт

Sizif73
Снизу вверх-первые 5 нижних строчек и 11 строка -не страшно-ты отравляешь, а не принимаешь. 6 строка - прием датаграм на свой любой порт, но с определенного IP адреса - не страшно
7 строка (192.168.100.54/24) - не знаю, нужно или нет?
8,9,10,12 - не широкая-ли калитка?

просто если работает - оставь, если не хочется проблем - нужно постараться сузить


Цитата:

Фаер Jetico первая

Цитата:

receive datagrams

Что в понятиее Jetico - датаграмма? Если это то, что принято по стандарту, то ты разрешаешь в 11 правиле подключение по протоколу TFTP или RTP или другому, прямой коннект к своей машине к петле localhost...

Для фаервола также важно наличие пароля на загрузку и выгрузку.

KUSA
Спасибо за разбор.

Цитата:

8,9,10,12 - не широкая-ли калитка?

первый запрос идет на 3444 порт, последующие запросы шли в область портов с номерами около 500000. Правила рисовал по аналогии с теме что в шапке.
3, 4, и 5 строки, тут запросы на локальный прокси, слон именно так и работает.
1, 2 и 7 строки, тут я не очень понимаю. Просто идут запросы. А в случае запрета связь востанавливается только после перезагрузки проги.
Цитата:

192.168.100.54/24

Это, я так понимаю, адреса DVB карты. По крайней мере перебираются не только порты но и IP.
7-ю строку
Цитата:

any     82.198.31.54     1024:5000     any

выключил. Пока работает нормально.


Цитата:

Что в понятиее Jetico - датаграмма?

Честно говоря перечитывать топик по джетике лень, но кажется там это разбирали. А вот дальше я не все слова понял.
Цитата:

Если это то, что принято по стандарту, то ты разрешаешь в 11 правиле подключение по протоколу TFTP или RTP или другому, прямой коннект к своей машине к петле localhost...

Если ты это про первое правило то я про него уже писал. В данном случае речь, мне кажется, скорее не о подключении, подключение
Цитата:

inbound connection

, а о приеме от того что уже присутствует на машине. Хотя повторюсь, понимание на интуитивном уровне.


Цитата:

Для фаервола также важно наличие пароля на загрузку и выгрузку.

Учту Вроде как Джетика при выносе за собой рубит сеть. Повторюсь. перечитывать лень.

Sizif73

Цитата:

Это, я так понимаю, адреса DVB карты.

По практике 192.168.100.... получается, когда в сети отсутствует DHCP сервер.

KUSA

Цитата:

По практике 192.168.100.... получается, когда в сети отсутствует DHCP сервер.

Ну откуда он на одиноком компе
Спутниковая DVB карта и GPRS модем для "земли" вся сеть.
И
Цитата:

7-ю строку

Цитата: any 82.198.31.54 1024:5000 any

выключил. Пока работает нормально.

KUSA

Цитата:

то вполне реально, что твой фаервол просто ошибается в режиме демультиплексирования кадров дейтаграмм

Вот ты пулю отлил размером разве что для Царь-пушки.

233
А при чем тут пуля? Просто каждый фаервол по разному отрабатывает протокол итд.
Для обсуждения есть топик Лучший файерволл firewall

KUSA

Цитата:

А при чем тут пуля?

Пули лить (отливать) (разг.) лгать, рассказывать небылицы.
Это я по поводу
Цитата:

демультиплексирования кадров дейтаграмм

233

Цитата:

Пули лить (отливать) (разг.) лгать, рассказывать небылицы.

Тогда расскажи, от чего зависит длина дейтограммы

Ребят, такой вопрос.
Есть у меня win2003server, 2 сетевых интерфейса - локалка и инет. Мне надо выпустить через NAT из локалки vpn трафик (GRE протокол 47 и tcp порт 1723). Т.е. задача сводится к открытию протокола gre и tcp порта на выход (как я понимаю, на wan интерфейсе). Но при таком раскладе не работает тот же проксик и т.п. Вобщем кто подскажет, как правильно на шлюзе с 2-мя интерфейсами настраивать фильтры портов? В кратце - на сервер должно пропускаться всё, а уходить с сервера - с LAN интерфейса все, c WAN только GRE трафик.
Попутно такой вопрос. Какие порты используются в локальной сети (т.е. для доступа к компу по сети, для доступа к сетевым принтерам и т.п.). Полностью ли этот доступ регулируется протоколом SMB и 139 портом или же тут используется что-то еще?

добавьте настройки для dc++ в шапочку ,неплохо было б посмотреть,или может кто-нить выложит свои настройки на всеобщее обозрение,буду весьма благодарен

Vladlenputin, ну давай попробуем

Коннект к хабу. Соединение будет по TCP, с портов 1024-5000, хаб по дефолту слушает на 411. Если не 411 - его обычно указывают.

Соединение с другими пирами. Свои порты 1024-5000 на чужие любые (пир вправе выставить всё что угодно ). Этого для пассивного режима должно хватить.

В активном режиме придется разрешить входящие соединения с любого чужого порта на свои, которые прописал в настройках программы-клиента.

Для передачи между клиентами юзается и TCP, и UDP.

Например для простоты оба (TCP и UDP) прописываем 55555. Получаются правила:

TCP: local 1024-5000 --> remote any
TCP: local 55555 <-- remote any
UDP: local 55555 <-> remote any

Any можно обрезать, скажем до 411, 1024-65535. Но тогда выпадут те, кто установил нестандартный порт, например 80.

Подскажите как в ESS 3.0.667 разрешить прохождение UDP пакетов, касательно IP-TV!

Непонятность...
Комп пыытается выйти на DNS-сервер через порт выше чем 5000 (правила для firewall DNS: local port 1024-5000, remote 53) соответственно это действие блокируется и в net не зайти. Почему так может быть?

Toivovi4
Из-за апдейта KB951748, надо полагать. См. здесь.

Для тех кто поспешил и установил обновления KB951748 - предлагается вариант решения проблемы фаервола для 53 UDP : разрешаем локальные порты не 1024:5000 а 49152:65535
PS Добавил в шапку - что-бы закрыть проблему.

KUSA
Я бы не спешил... По моим наблюдениям, после KB951748 с локальных портов 49152-65535 лезет только svchost и только на DNS. Тот же nslookup по прежнему стучит на DNS с локальных портов 1025-4999. И тот же svchost на сервера обновлений Windows лезет также с 1025-4999.
Так что возможно будет логичнее определить 2 правила для DNS: с лок. портами 1025-4999 и 49152-65535.
Это применительно к WinXP. На Висте данное обновление проблем не создает, т.к. там верхний диапазон используется изначально.

А что это за протокол 139 ? Outpost спрашивает о создании правил на основании proto 139 где удаленный адрес 169,254,255,255 .., что это такое и надо ли разрешать создавать правила ? Спасибо за ответ.

garmin80
Port 139 NetBIOS.
адреса типа 169.254.255.255 используются для настройки интерфейса при отсутствии в сети DHCP сервера, если в нстройках стоит получать адрес автоматически.