Правила для system

Знающие, подскажите можно ли для “system” разрешить TCP и UDP все входящие соединения? Либо ткните где можно почитать по этому поводу, поиск не чего не дал, может плохо искал или слеповат (:NRD)

Для исходящих создал следующие правила
allow UDP out any/ any/ any/ 137-138
allow TCP out any/ any/ any/ 139
allow TCP out any/ any/ any/ 445

Вечер

Вы должны установить систему происходит только из
(Firewall> Предоплата> Сетевые политики безопасности> Система> Правка> считать Из Going Only)

Иаков

Такие исходящие я бы разрешил максимум в локальную сеть если есть такая. Входящие запретил бы вообще все если без них можно обойтись, т.е. при запрещенных входящих все работает и пожаловаться не на что.

В том то и дело что домашняя локалка есть)) И входящие соединение нужны, сейчас прописал для каждого устройства адреса.

например
Allow TCP or UDP in (адрес устройства)/ any/ any/ any/

У Вас, наверное входящие по udp с других домашних компьютеров запрашивает?

По всей видимости да

Нужна помощь.
Есть городская сетка провайдера с адресами 172.16.0.0\15. Купил D-Link DIR-400 и за ним уже организовал свою домашнюю сетку с адресами 192.168.0.0\24. В домашней сетке ПК и ноутбук. Надо что бы внутри домашней сети весь трафик ходил без проблем.
В Global Rules есть три правила. Одно блокировка ICMP запросов. И два для домашней сетки:

  1. Action: Allow, Protocol: IP, Direction: OUT, Source Address: Any, Destiation Adress: Zone: HOME-NETWORK, IP Details: ANY.
  2. Action: Allow, Protocol: IP, Direction: IN, Source Address: Zone: HOME-NETWORK, Destiation Adress: Any, IP Details: ANY.
    Так вот различные приложения постоянно спрашивают разрешения на подулючения то к ПК то к ноуту. Но почему они не используют глобальные правила. Почему? Может что надо в глобальные правила добавить.

И еще вопрос. На DIR-400 настроил port forwarding порта 21 на ПК. Вот как будет определять COMODO такой запрос пришедший из сетки провайдера? Как запрос от адреса из 172.16.0.0\15 или как запрос от 192.168.0.1 (адрес DIR-400) Если как от 192.168.0.1, то наверно стоит этот IP убрать из доверенной зоны HOME-NETWORK.
Спасибо.

Для начала - в каком режиме стоит Файервол?
По поводу постоянных запросов на подключение к другому компьютеру - для исходящих соединений есть схемка
https://forums.comodo.com/index.php?action=dlattach;topic=26651.0;attach=23502;image
Я её рисовал только для Исходящих. Для входящих не успел ещё =)
Изучай, может это поможет разобраться

Custom Polyce Mode. Всегда!

А что, получается по схеме глобальные правила применяются после правил приложений?

Для ИСХОДЯЩИХ - да. И это логично. ведь выходить в сеть пытается конкретное приложение. Может одному ты разрешаешь, а другому запрещаешь. Если сразу применять ГР, то получатся непонятки. Для входящих - наоборот. Вначале ГР, что тоже логично =) Вначале смотрим разрешено ли вообще, а уж потом разгребать с приложениями.

понятно, значит все-равно придется каждое приложение настраивать для локальной сетки. (:SAD)

а что можете сказать по этому вопросу:
На DIR-400 настроил port forwarding порта 21 на ПК. Вот как будет определять COMODO такой запрос пришедший из сетки провайдера? Как запрос от адреса из 172.16.0.0\15 или как запрос от 192.168.0.1 (адрес DIR-400) Если как от 192.168.0.1, то наверно стоит этот IP убрать из доверенной зоны HOME-NETWORK.

Все таки кто-нибудь знает “правильные” правила для system?
Чем вообще он может/должен заниматься?

Мои правила (создавал не я, т.е. либо были либо через обучение):

Allow TCP In source IP in [192.168.0.15] Dest IP Any SourcePort Any DestPort Any
Allow System To Send Requests If The Target Is In [Home]
Allow System To Receive Requests If The Sender Is In [Home]
Allow&Log IP Out Source IP Any Dest IP Any Protokol Any

  • [Home] - это сам комп - зона тоже сама создалась

Сильно смущает первое правило…

По логу выяснил что систем у меня лезет
с 137 на 137 порт (UDP)
с 138 на 138 порт (UDP)
на 445 порт (TCP)
на 139 порт (TCP)
других вариантов в логе не было, два последних крайне редкие

Нашел следующее:
Список портов, используемых службами операционной системы Windows NT 4.0:

Задача Статические порты


Обзор ресурсов сети UDP:137,138
Репликация каталогов UDP:138 TCP:139
Просмотр событий TCP:139
Совместное использование файлов TCP:139
Вход в систему UDP:137, 138 TCP:139
Сетевой вход в систему UDP:138
Сквозная проверка подлинности UDP:137,138 TCP:139
Системный монитор TCP:139
Печать UDP:137 138 TCP:139
Редактор реестра TCP:139
Диспетчер серверов TCP:139
Доверительные отношения UDP:137 138 TCP:139
Диспетчер пользователей TCP:139
Диагностика Windows NT TCP:139
Безопасный канал Windows NT UDP:137 138 TCP:139

Вроде нужно и важно, но что из этого реально лезет в сеть?
Особенно широковещательные 137/138…
Скорее всего Обзор ресурсов сети, конечно… Или?
И, самое неприятное, что эти же 137/138 периодически лезут за пределы домашней сети, где Обзору ресурсов сети делать совершенно нечего!!!

В связи с последним в начало списка правил поставил следующее:

Block&Log UDP Out Source IP Any Dest IP not In [HomeNet] SourcePort in [137-138] DestPort Any

Хотел типа заблокировать запросы 137/138 за пределы домашней сети…

  • [HomeNet] диапазон адрессов домашней сети…

Но чувствую, что правило работает как то не так…

Итого каковы “правильные” правила для system?
Как правильно сформулировать правило для моего случая?

Имхо.

Если сидеть за маршрутизатором (длинк какой-нибудь типа 300-400), то можно воспользоваться мастером скрытых портов и файер сам раздаст правила.

У меня домашний д-линк и Системсу полностью разрешен весь ИП-траф вх/исх в моей локальной сети.

вот мои правила для system’a и svchost’a
комп - ноут, os - win7, мобилен - подключаюсь к разным сетям в основном через wi-fi

Процесс System

  1. ICMPv6:
    Allow/ IP/ Out/ Any/ [ff00:0:0:0:0:0:e000:16] Mask:120/ ICMPv6
  2. ICMP:
    Allow/ ICMP/ Out/ Any/ [224.0.0.22/255.255.255.0]/ Any
  3. 139:
    Deny/ TCP&UDP / In/Out/ Any/ Any / 137-139 /137-139
  4. 445:
    Deny/ TCP&UDP / In/Out/ Any/ Any / 445/ 445
  5. IGMP:
    Deny/ IP/ Out/In/ Any/ Any/ IGMP
  6. Block and Log All Unmatching Requests:
    Block And Log/ IP/ ‘In/Out’/ Any/ Any/ Any

Процесс svchost.exe

  1. DHCP (Dynamic Host Configuration Protocol):
    Allow/ UDP/ Out/ Any/ Any/ 68/ 67
  2. DHCPv6
    Allow/ UDP/ Out/ Any/ Any/ 546/ 547
  3. LLMNR (Link-Local Multicast Name Resolution) (Windows 7 DNS):
    Allow/ UDP/ Out/ Any/ [224.0.0.252] / Any /5355
  4. LLMNRv6 (Windows 7 DNS):
    Allow/ UDP/ Out/ Any/ [ff00::e000:fc] / Any /5355
  5. UPnP
    Allow/ UPD/ Out/ Any/ [239.255.255.250]/ Any/ UPnP Ports
  6. UPnPv6
    Allow/ UPD/ Out/ Any/ [ff02::c]/ Any/ UPnP Ports
  7. DNS:
    Allow/ UDP/ Out/ Any/ Any/ Any/ 53
  8. Time Update
    Allow/ UPD/ Out/ Any/ 207.46.197.32/ 123/ 123
  9. HTTP Ports:
    Allow/ TCP/ Out/ Any/ Any/ Any/ HTTP Ports
  10. Block and Log All Unmatching Requests:
    Block And Log/ IP/ ‘In/Out’/ Any/ Any/ Any

UpnP ports = 1900, 3702, 5357-5358
HTTP Ports - стандартные

Насколько правила соответствуют потребностям? Не открывают ли они чего лишнего и наоборот?

Чё-то дофига вы им позволяете.

Мой svchost:

Разрешить UDP исх. из IP 192.168.1.2 в IP 8.8.8.8 порт источника любой, порт назначения 53
Разрешить UDP исх. из IP 192.168.1.2 в IP 8.8.4.4 порт источника любой, порт назначения 53
Блокировать всё остальное.

System заблокирован наглухо.

Всё! Нечего больше в нете винде лазить! Если бы можно было, то и svchost’a не пустил бы…

Вам видимо не приходится постоянно подключаться к разным сетям. Если я пропишу исходящий IP не в каждой сети я смогу запросить IP нужного мне сайта, так как IP с которого буду запрашивать может быть занят другим компом.

Попробую конечно резануть system, и upnp, http с loop’ом у svchost’a. проверим как полёт будет проходить SCRATCH

Вам видимо не приходится постоянно подключаться к разным сетям. Если я пропишу исходящий IP не в каждой сети я смогу запросить IP нужного мне сайта, так как IP с которого буду запрашивать может быть занят другим компом.
Иногда приходится. Но суть в том, что бы максимально урезать доступ этим гадам - svchost и system. System вообще что там делает? Я его заблокировал полностью и всё работает. Вопрос - нафига он вообще там (в интернете) нужен?

Согласен.
И еще браузер - в песочницу (Sandboxie). :wink:

Ну, браузер как кто хочет. Всё таки пользователь его сам запускает и сам разрешает ему в сеть лезть, а вот svchost я вынужден туда пускать, так пусть он тогда урезан будет по полной, раз уж заблокировать нельзя.

имхо, IE стоит в песочницу, а ту же Opera или Mozilla можно и так - файлы, которые через них скачиваешь, в системе не сохраняются, а это проблема для меня.

P.S. уже пару дней с урезаным svchost’ом и запрещённой system. Вроде полёт нормальный. Из разрешённых для svchost’a оставил только правила 1,2,3,4,7,8,10 из перечисленных выше.