Рекламный блок.

коннектится к порту 53
с порта 1024,1025,1026,1027 и тд
(пассивного сокета для приема данных от днс-сервера)

да, точно, запамятовал, что удаленный порт, а локальные те же, да по удп..
Но, с другой стороны, учитывая размер стека портов, насколько эти глюки вероятны.. да и обычный рефреш дело решит если что..

bredonosec
Ну да будешь каждый раз рефрешить. И то не поможет.

Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз. Сама программа вообще не знает какой порт откроется, а получает его в качестве параметра возврата из процедуры.


Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.

bredonosec

А на каком уровне работает МАС, позвольте поинтересоваться?

MAC адреса - это адреса канального уровня.
Пэтро

Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.

Нам же нужно не перекрывать их совсем, а перекрывать новые соединения, которые приходят к нам из внешнего мира на эти порты. В таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.

Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз.

- насколько глядел логи, первое соединение с сетью - удп по 1026 порту.(на 53 - днс), после чего ТСР на 1027 и т д
На порт 1024 или 1025 почему-то ни разу не попадалось. (попробую поискать среди старых логов - может, где и был такой.... )

alexk

MAC адреса - это адреса канального уровня.

Угу Что и требовалось доказать.
И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?

таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.

- точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.) Моя стена также это имеет.

Да, как обещал,
*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

(С)шапка темы Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)
/в сборке которой ваш покорный слуга принимал живейшее участие /

Добавлено в [mergetime]1127690552[/mergetime]

Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.

- если не забуду, попробую прикрыть для эксперимента (ща не имеет смысла, всё одно стек ушел вперед) и скажу результаты.

bredonosec

И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?

читай выше:

можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя

точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.)

Проверка идет не только при приеме пакета извне, но и при открытии нового соединения с твоего компьютера, что в экстренных ситуациях помогает против червей, создающих с десяток новых соединений с твоего адреса.

можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя

- ну конкретизируй же наконец ) Жду не дождусь, еще ответ забуду, который заготовил на твой будущий ответ

но и при открытии нового соединения с твоего компьютера,

- возможно, не ставил себе троев и не проверял
Хелп говорит так:

** Firewall falls into a class of firewalls called Stateful Inspection Firewalls.  Stateful inspection firewalls overcome the limitations of packet filter firewalls and application-proxy servers.  They examine more than just the "to" and "from" addresses, and do not require a proxy for every application being accessed.
Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses.  For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host.  Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic, making them inherently fast.

Да, проверил логи - ну точно 1024,1025 не юзаются.. весело..
Вот лог сразу после включения сегодня.

2005/09/26, 21:34:52.540, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=my_IP, dst=Gate_IP, sport=1026, dport=53
2005/09/26, 21:34:54.030, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1026, dport=53
2005/09/26, 21:34:54.850, GMT +0200, 2111, Device 1, Rule 78, Blocked incoming MAC packet, src=00-02-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:34:55.070, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=194.67.57.26, sport=1027, dport=80
2005/09/26, 21:34:56.660, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1028, dport=53
2005/09/26, 21:34:58.200, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1028, dport=53
2005/09/26, 21:34:59.250, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=194.67.23.157, sport=1029, dport=80
2005/09/26, 21:35:00.070, GMT +0200, 2111, Device 1, Rule 59, Blocked incoming MAC packet, src=00-50-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:35:00.070, GMT +0200, 2111, Device 1, Rule 59, Blocked incoming MAC packet, src=00-50-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:35:00.780, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1030, dport=53
2005/09/26, 21:35:01.060, GMT +0200, 2111, Device 1, Rule 59, Blocked incoming MAC packet, src=00-50-**-**-**-**, dst=FF-FF-FF-FF-FF-FF
2005/09/26, 21:35:01.500, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1031, dport=53
2005/09/26, 21:35:01.990, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=194.67.23.157, sport=1032, dport=80
2005/09/26, 21:35:02.050, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1033, dport=53
2005/09/26, 21:35:02.320, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1030, dport=53
2005/09/26, 21:35:02.820, GMT +0200, 2128, Device 1, Blocked UDP packet from banned IP, src=192.168.1.59, dst=192.168.1.255, sport=137, dport=137
2005/09/26, 21:35:02.980, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1031, dport=53
2005/09/26, 21:35:03.360, GMT +0200, 2054, Device 1, Rule 33, Allowed TCP connection attempt, src=My_IP, dst=81.222.128.13, sport=1034, dport=80
2005/09/26, 21:35:03.360, GMT +0200, 2129, Device 1, Blocked UDP packet to banned IP, src=My_IP, dst=Gate_IP, sport=1035, dport=53

Добавлено в [mergetime]1127770955[/mergetime]
IP -ы и маки прикрыл. ибо нафиг.

Да, проверил логи - ну точно 1024,1025 не юзаются.. весело..

Не юзаются т.к. открыты наверно. Какаянить программа эксплуатирует. Хотя я чесно говоря плохо представляю как UDP работает я больше по TCP

bredonosec

- ну конкретизируй же наконец ) Жду не дождусь, еще ответ забуду, который заготовил на твой будущий ответ

Конкретно это обозначает поставить сетевой карте чужого компьютеру твой айпи и установить твой мак-адрес на этой же сетевой карте (смотрящей в твой сегмент сети). Без использования vpn соединения получается потрясающий эффект твоего компьютера

поставить сетевой карте чужого компьютеру твой айпи и установить твой мак-адрес на этой же сетевой карте (смотрящей в твой сегмент сети).

Превосходно.
Итак, постановка того же ИПа выбрасывает "обнаружен конфликт с хардварей имеющей адрес /мой ИП/. Работа при этом идет как и ранее. /проверено на практике и неоднократно/
Установка нового МАС-а возможна только на карточках от трех фирм (лень ща лезть искать названия, запомнил только что их три). На остальных это дело не пролазит. /опять же, проверено на практике/

Без использования vpn соединения получается потрясающий эффект твоего компьютера

- Даже если все условия соблюдены и злоумышленник воспринимается за локальный адрес, опять же, пропускаются только пакеты, явно разрешенные правилами для меня. И никаких специфических или кривых. Ибо неположено.
А с жалкими 1024-5000 / 80 +21/20; 53(днс), да еще парочкой многого не сделаешь. Даже эффективно посниффить через АРП (изобразив из себя ложный сервер) не получится, бо он запрещен, а таблица статическая. Не говоря уж о пофлудить.

А теперь покажи, как ты сможешь достичь аналогичного эффекта стандартной виндовой стенкой (встроенной).
Слушаю внимаетльно )

Итак, постановка того же ИПа выбрасывает "обнаружен конфликт с хардварей имеющей адрес /мой ИП/. Работа при этом идет как и ранее. /проверено на практике и неоднократно/

Если менять только айпи - то да, но почитай - я говорю об одновременной замене айпи и мака.

Установка нового МАС-а возможна только на карточках от трех фирм (лень ща лезть искать названия, запомнил только что их три)

На вскидку
dlink
surecom
3com
intel
via/nvidia встроенные
Это уже сколько?
И это, заметь, только под win32, именно из-за ограничений драйверов, а не аппаратных возможностей карточки, под linux/unix этот список будет неизмеримо больше, т.к. ioctl SIOCSPHYSADDR пока никто не отменял.

- Даже если все условия соблюдены и злоумышленник воспринимается за локальный адрес, опять же, пропускаются только пакеты, явно разрешенные правилами для меня.

Он воспринимается не как локальный адрес, локальные пакеты вообще в сеть ходить не должны, а как шлюз, которому твой компьютер полностью доверяет. Сеть - это как минимум 2 системы

А теперь покажи, как ты сможешь достичь аналогичного эффекта стандартной виндовой стенкой (встроенной).

Приехали, уже забыли, с чего начинали? Не про виндовую стенку речь, а про то, что супер-пупер фаервол от недостатков канального уровня все равно не спасет.

Это уже сколько?

Возможно, со времени той инфы, добавилось моделей.

а как шлюз, которому твой компьютер полностью доверяет.

- шлюз - имеется в виду гейт или что? Если гейт для выхода в инет, то как и сказал, никакого "беспредельного" доверия. И адрес тогда не мой, а гейта. И воздействовать на это проще: если юзер - звонок админу, если сам админ - просто отрубаешь провода ("домашняя" локалка - на несколько домов), если предприятие - + начальству и любуешься зрелищем.
Если же, опять же, имеется в виду мой адрес, то никаких "беспредельных доверий". Это только у виндовой встроенной такие глюки (или еще у чего-то, чем не пользовался). Только то, что явно разрешено.
Проверено жизнью в опасной зоне

Приехали, уже забыли, с чего начинали? Не про виндовую стенку речь, а про то, что супер-пупер фаервол от недостатков канального уровня все равно не спасет.

Начинали с того, что ты заявил, будто виндовая стенка абсолютно достаточна и предпочтительна. (см стр. 2)
Вот мне и интересно стало, как она станет делать всё, упомянутое выше.