Фильтрация TCP/IP [Архив] - Клуб экспертов THG.ru

alvd

16.03.2009, 17:00

Настраиваю сервер x64 для работы с RDP. Надо, чтобы работали:
1. RDP
2. Печать
3. Браузер
4. FTP
5. Синхронизация времени

Не разрешаются адреса сайтов, т.е. сайты открываются только по ip. Список открытых портов:

IP-протоколы
icmp ( 1 ) internet control message protocol (ping-icmp)
tcp ( 6 ) transmission control protocol
udp ( 17 ) user diagram protocol
TCP/UDP-порты
echo (TCP: 7) ping-tcp
ftp-data (TCP: 20) ftp, data
ftp (TCP: 21) ftp, control
time (TCP: 37) timserver
rlp (UDP: 39) resource location protocol
nameserver (TCP/UDP: 42) host name server
nickname (TCP/UDP: 43) whois
domain (TCP/UDP: 53) domain name server
dhcp (UDP: 67) dhcp
http (TCP: 80) WWW
hostname (TCP: 101) hostnames
ntp (UDP: 123) network time protocol
netbios-ns (TCP/UDP: 137) netbios name service
netbios-dgm (UDP: 138) netbios datagram
netbios-ssn (TCP: 139) netbios session
print-srv (TCP: 170) network postscript
https (TCP/UDP: 443) https
printer (TCP: 515) spooler
RDP (TCP: 3389) remote desktop

Какой порт забыл?

chaynik

16.03.2009, 18:46

nslookup работает?

Добавлено через 2 минуты 1 секунду
Не разрешаются адреса сайтов, т.е. сайты открываются только по ip
Браузером или ping thg.ru тоже не разрешается имя в адрес?

alvd

16.03.2009, 19:20

Уже уехал, проверил не всё. ping по имени тоже не идёт. Посмотрел логи WinPCap с ноута (на нём все порты открыты) - похоже что ответ приходит на произвольный порт с большим номером, номер которого генерится системой при запросе. Вот кусок лога (inauka.ru)

16:26:17.949876 IP notebook.64336 > ns.rialcom.ru.53: 34676+ PTR? 245.245.71.80.in-addr.arpa. (44)
16:26:18.177119 IP ns.rialcom.ru.53 > notebook.64336: 34676* 1/2/2 (135)
16:26:18.522247 IP ns2.rialcom.ru.53 > notebook.53876: 62672 NXDomain 0/1/0 (121)
16:26:18.522305 IP notebook > ns2.rialcom.ru: ICMP notebook udp port 53876 unreachable, length 156
16:26:18.626264 802.1d unknown version
16:26:20.280519 IP notebook.50969 > ns.rialcom.ru.53: 45306+ A? inauka.ru. (27)
16:26:20.298253 IP LV.137 > 192.168.1.255.137: UDP, length 50
16:26:20.302863 IP LV.137 > 192.168.1.255.137: UDP, length 50
16:26:20.426253 IP ns.rialcom.ru.53 > notebook.50969: 45306 1/2/2 A 91.202.99.7 (119)
16:26:20.432642 IP notebook.1997 > 80.93.53.80.peterhost.ru.80: F 3195944946:3195944946(0) ack 1959543277 win 64989
16:26:20.433049 IP notebook.1999 > 80.93.53.80.peterhost.ru.80: F 1203413312:1203413312(0) ack 1836597526 win 64562
16:26:20.433558 IP notebook.2017 > 80.93.53.80.peterhost.ru.80: F 2952071737:2952071737(0) ack 1620819184 win 65535
16:26:20.433911 IP notebook.2008 > 80.93.53.80.peterhost.ru.80: F 2852190204:2852190204(0) ack 2299346442 win 65388
16:26:20.434347 IP notebook.2011 > 80.93.53.80.peterhost.ru.80: F 3203632786:3203632786(0) ack 401204912 win 65115
16:26:20.434701 IP notebook.2005 > 80.93.53.80.peterhost.ru.80: F 1012399998:1012399998(0) ack 366802060 win 64913
16:26:20.435054 IP notebook.2009 > 80.93.53.80.peterhost.ru.80: F 1690498941:1690498941(0) ack 3992943902 win 65535
16:26:20.438726 IP notebook.2031 > 91.202.99.7.80: S 2579270805:2579270805(0) win 65535 <mss 1460,nop,nop,sackOK>
16:26:20.439060 IP notebook.2003 > 80.93.53.80.peterhost.ru.80: F 1129213847:1129213847(0) ack 856109379 win 64299
16:26:20.439463 IP notebook.2015 > 80.93.53.80.peterhost.ru.80: F 955115782:955115782(0) ack 2903074610 win 65535
16:26:20.439841 IP notebook.2001 > 80.93.53.80.peterhost.ru.80: F 1182642768:1182642768(0) ack 1434537631 win 65535
16:26:20.440227 IP notebook.2013 > 80.93.53.80.peterhost.ru.80: F 153577967:153577967(0) ack 2208708025 win 65118
16:26:20.534922 IP 80.93.53.80.peterhost.ru.80 > notebook.1997: . ack 1 win 65534
16:26:20.536601 IP 80.93.53.80.peterhost.ru.80 > notebook.1999: . ack 1 win 65534
16:26:20.538073 IP 80.93.53.80.peterhost.ru.80 > notebook.2017: . ack 1 win 65534
16:26:20.539121 IP 80.93.53.80.peterhost.ru.80 > notebook.2008: . ack 1 win 65534
16:26:20.550659 IP 80.93.53.80.peterhost.ru.80 > notebook.2011: . ack 1 win 65534
16:26:20.551445 IP 80.93.53.80.peterhost.ru.80 > notebook.2005: . ack 1 win 65534
16:26:20.552424 IP 80.93.53.80.peterhost.ru.80 > notebook.2009: . ack 1 win 65534
16:26:20.554816 IP 80.93.53.80.peterhost.ru.80 > notebook.2003: . ack 1 win 65534
16:26:20.555624 IP 80.93.53.80.peterhost.ru.80 > notebook.2015: . ack 1 win 65534
16:26:20.558778 IP 80.93.53.80.peterhost.ru.80 > notebook.2001: . ack 1 win 65534
16:26:20.560495 IP 80.93.53.80.peterhost.ru.80 > notebook.2013: . ack 1 win 65534
16:26:20.568241 IP 91.202.99.7.80 > notebook.2031: S 144553585:144553585(0) ack 2579270806 win 5840 <mss 1360,nop,nop,sackOK>
16:26:20.568303 IP notebook.2031 > 91.202.99.7.80: . ack 1 win 65535
16:26:20.568839 IP notebook.2031 > 91.202.99.7.80: P 1:396(395) ack 1 win 65535
16:26:20.625410 802.1d unknown version
16:26:20.664063 IP 91.202.99.7.80 > notebook.2031: . ack 396 win 6432
16:26:20.696608 IP 91.202.99.7.80 > notebook.2031: . 1:1361(1360) ack 396 win 6432
16:26:20.709192 IP 91.202.99.7.80 > notebook.2031: . 1361:2721(1360) ack 396 win 6432
16:26:20.709240 IP notebook.2031 > 91.202.99.7.80: . ack 2721 win 65535
16:26:20.799376 IP 91.202.99.7.80 > notebook.2031: . 2721:4081(1360) ack 396 win 6432
16:26:20.811686 IP 91.202.99.7.80 > notebook.2031: . 4081:5441(1360) ack 396 win 6432
16:26:20.811731 IP notebook.2031 > 91.202.99.7.80: . ack 5441 win 65535
16:26:20.824249 IP 91.202.99.7.80 > notebook.2031: . 5441:6801(1360) ack 396 win 6432
16:26:20.907012 IP 91.202.99.7.80 > notebook.2031: . 6801:8161(1360) ack 396 win 6432
16:26:20.907062 IP notebook.2031 > 91.202.99.7.80: . ack 8161 win 65535
16:26:20.919383 IP 91.202.99.7.80 > notebook.2031: . 8161:9521(1360) ack 396 win 6432
16:26:20.931915 IP 91.202.99.7.80 > notebook.2031: . 9521:10881(1360) ack 396 win 6432
16:26:20.931950 IP notebook.2031 > 91.202.99.7.80: . ack 10881 win 65535
16:26:21.008025 IP 91.202.99.7.80 > notebook.2031: . 10881:12241(1360) ack 396 win 6432
16:26:21.020362 IP 91.202.99.7.80 > notebook.2031: P 12241:13601(1360) ack 396 win 6432
16:26:21.020418 IP notebook.2031 > 91.202.99.7.80: . ack 13601 win 65535
16:26:21.033703 IP 91.202.99.7.80 > notebook.2031: . 13601:14961(1360) ack 396 win 6432
16:26:21.038459 IP LV.137 > 192.168.1.255.137: UDP, length 50
16:26:21.038931 IP LV.137 > 192.168.1.255.137: UDP, length 50
16:26:21.065190 IP 91.202.99.7.80 > notebook.2031: . 14961:16321(1360) ack 396 win 6432
16:26:21.065241 IP notebook.2031 > 91.202.99.7.80: . ack 16321 win 65535
16:26:21.077802 IP 91.202.99.7.80 > notebook.2031: . 16321:17681(1360) ack 396 win 6432
16:26:21.089840 IP 91.202.99.7.80 > notebook.2031: P 17681:19041(1360) ack 396 win 6432
16:26:21.089890 IP notebook.2031 > 91.202.99.7.80: . ack 19041 win 65535
16:26:21.158855 IP 91.202.99.7.80 > notebook.2031: P 23121:24481(1360) ack 396 win 6432
16:26:21.158917 IP notebook.2031 > 91.202.99.7.80: . ack 19041 win 65535 <nop,nop,sack 1 {23121:24481}>
16:26:21.163553 IP 91.202.99.7.80 > notebook.2031: P 24481:24952(471) ack 396 win 6432
16:26:21.163584 IP notebook.2031 > 91.202.99.7.80: . ack 19041 win 65535 <nop,nop,sack 1 {23121:24952}>
16:26:21.176324 IP 91.202.99.7.80 > notebook.2031: . 24952:26312(1360) ack 396 win 6432
16:26:21.176381 IP notebook.2031 > 91.202.99.7.80: . ack 19041 win 65535 <nop,nop,sack 1 {23121:26312}>
16:26:21.178260 IP notebook.50708 > ns.rialcom.ru.53: 57656+ A? images.izvestia.ru. (36)
16:26:21.211046 IP 91.202.99.7.80 > notebook.2031: . 26312:27672(1360) ack 396 win 6432
16:26:21.211107 IP notebook.2031 > 91.202.99.7.80: . ack 19041 win 65535 <nop,nop,sack 1 {23121:27672}>
16:26:21.223384 IP 91.202.99.7.80 > notebook.2031: . 27672:29032(1360) ack 396 win 6432
16:26:21.223435 IP notebook.2031 > 91.202.99.7.80: . ack 19041 win 65535 <nop,nop,sack 1 {23121:29032}>
16:26:21.261656 IP 91.202.99.7.80 > notebook.2031: . 19041:20401(1360) ack 396 win 6432
16:26:21.277101 IP 91.202.99.7.80 > notebook.2031: . 20401:21761(1360) ack 396 win 6432
16:26:21.277162 IP notebook.2031 > 91.202.99.7.80: . ack 21761 win 65535 <nop,nop,sack 1 {23121:29032}>
16:26:21.300485 IP 91.202.99.7.80 > notebook.2031: . 21761:23121(1360) ack 396 win 6432
16:26:21.300607 IP notebook.2031 > 91.202.99.7.80: . ack 29032 win 65535
16:26:21.316906 IP notebook.2032 > 213.199.167.252.443: S 3614394760:3614394760(0) win 65535 <mss 1460,nop,nop,sackOK>
16:26:21.336911 IP 91.202.99.7.80 > notebook.2031: . 30392:31752(1360) ack 396 win 6432
16:26:21.336940 IP notebook.2031 > 91.202.99.7.80: . ack 29032 win 65535 <nop,nop,sack 1 {30392:31752}>
16:26:21.378080 IP 91.202.99.7.80 > notebook.2031: . 31752:33112(1360) ack 396 win 6432
16:26:21.378115 IP notebook.2031 > 91.202.99.7.80: . ack 29032 win 65535 <nop,nop,sack 1 {30392:33112}>
16:26:21.408866 IP 91.202.99.7.80 > notebook.2031: . 33112:34472(1360) ack 396 win 6432
16:26:21.408901 IP notebook.2031 > 91.202.99.7.80: . ack 29032 win 65535 <nop,nop,sack 1 {30392:34472}>
16:26:21.444377 IP 91.202.99.7.80 > notebook.2031: . 29032:30392(1360) ack 396 win 6432
16:26:21.444636 IP notebook.2031 > 91.202.99.7.80: . ack 34472 win 65535
16:26:21.468177 IP 213.199.167.252.443 > notebook.2032: S 210943069:210943069(0) ack 3614394761 win 16384 <mss 1360,nop,nop,sackOK>
16:26:21.468222 IP notebook.2032 > 213.199.167.252.443: . ack 1 win 65535
16:26:21.468795 IP notebook.2032 > 213.199.167.252.443: P 1:103(102) ack 1 win 65535
16:26:21.533432 IP 91.202.99.7.80 > notebook.2031: P 35832:37192(1360) ack 396 win 6432
16:26:21.533468 IP notebook.2031 > 91.202.99.7.80: . ack 34472 win 65535 <nop,nop,sack 1 {35832:37192}>
16:26:21.604259 IP 213.199.167.252.443 > notebook.2032: . 1:1361(1360) ack 103 win 65433
16:26:21.616631 IP 213.199.167.252.443 > notebook.2032: . 1361:2721(1360) ack 103 win 65433
16:26:21.616663 IP notebook.2032 > 213.199.167.252.443: . ack 2721 win 65535
16:26:21.635782 IP 91.202.99.7.80 > notebook.2031: . 37192:38552(1360) ack 396 win 6432
16:26:21.635798 IP notebook.2031 > 91.202.99.7.80: . ack 34472 win 65535 <nop,nop,sack 1 {35832:38552}>
16:26:21.722051 IP 91.202.99.7.80 > notebook.2031: . 38552:39912(1360) ack 396 win 6432
16:26:21.722088 IP notebook.2031 > 91.202.99.7.80: . ack 34472 win 65535 <nop,nop,sack 1 {35832:39912}>
16:26:21.739908 IP 213.199.167.252.443 > notebook.2032: . ack 103 win 65433
16:26:21.759958 IP 213.199.167.252.443 > notebook.2032: . 2721:4081(1360) ack 103 win 65433
16:26:21.760167 IP notebook.2032 > 213.199.167.252.443: . ack 4081 win 65535
16:26:21.764196 IP 213.199.167.252.443 > notebook.2032: P 4081:4510(429) ack 103 win 65433
16:26:21.765028 IP notebook.2032 > 213.199.167.252.443: P 103:285(182) ack 4510 win 65106
16:26:21.788443 IP LV.137 > 192.168.1.255.137: UDP, length 50
16:26:21.788916 IP LV.137 > 192.168.1.255.137: UDP, length 50
16:26:21.814197 IP 91.202.99.7.80 > notebook.2031: . 34472:35832(1360) ack 396 win 6432
16:26:21.814256 IP notebook.2031 > 91.202.99.7.80: . ack 39912 win 65535
16:26:21.893022 IP 91.202.99.7.80 > notebook.2031: . 39912:41272(1360) ack 396 win 6432
16:26:21.905243 IP 213.199.167.252.443 > notebook.2032: P 4510:4553(43) ack 285 win 65251
16:26:21.917587 IP notebook.2032 > 213.199.167.252.443: P 285:1232(947) ack 4553 win 65063
16:26:22.056875 IP 213.199.167.252.443 > notebook.2032: . 4553:5913(1360) ack 1232 win 64304
16:26:22.057783 IP 213.199.167.252.443 > notebook.2032: FP 5913:5958(45) ack 1232 win 64304
16:26:22.057836 IP notebook.2032 > 213.199.167.252.443: . ack 5959 win 65535
16:26:22.058226 IP notebook.2032 > 213.199.167.252.443: F 1232:1232(0) ack 5959 win 65535
16:26:22.080185 IP notebook.2031 > 91.202.99.7.80: . ack 41272 win 65535
16:26:22.153432 IP 91.202.99.7.80 > notebook.2031: . 41272:42632(1360) ack 396 win 6432
16:26:22.165751 IP 91.202.99.7.80 > notebook.2031: . 42632:43992(1360) ack 396 win 6432
16:26:22.165798 IP notebook.2031 > 91.202.99.7.80: . ack 43992 win 65535Сейчас вникаю, пока непонятно. Открывать диапазон стандартными средствами влом, потому что неудобно, а реестр править на сервере как-то ИМХО преждевременно, должен быть более простой путь.

Нарыл по теме
http://communitas.org.ua/2009/02/19/35/
http://dic.academic.ru/dic.nsf/ruwiki/288037
http://antonio.mccinet.ru/composed/ports.html

пока не помогает...

Хочу посмотреть как в Линуксе сделано. Других идей нет пока.

P.S. Если только сделать брандмауэром. Но в организации есть видимо хвосты от руткитов, периодически прёт сетевая активность, а брандмауэр в плане защиты явно слабоват, да и быстродействие сети снижает.

P.P.S. при фильтрации только TCP работает. Значит надо искать UDP. Уже легче...

P.P.S.2 нашёл ещё две статьи. Вдумчиво раскуриваю.
http://support.microsoft.com/kb/956188/ru
http://technet.microsoft.com/ru-ru/library/cc938196(en-us).aspx (http://technet.microsoft.com/ru-ru/library/cc938196%28en-us%29.aspx)

P.P.S.3
РЕШЕНО
Итак, в пакете, уходящем на DNS-сервер, указан динамический порт для ответа. Значит, надо сузить диапазон портов.
1. Создаём в реестре
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\
ключ MaxUserPort типа dword и присваиваем ему значение не менее 5000 - этим для динамических портов выбирается диапазон 1024..5000
2. Там же создаём параметр ReservedPorts типа reg_multi_sz и пишем в него строку, например 1024-4995 - этим мы отучаем Windows использовать динамические порты из указанного диапазона
3. В п. "Фильтрация TCP/IP" открываем дополнительно UDP-порты 4996, 4997, 4998, 4999, 5000
4. Перезагружаем систему. Всё!

P.S. Чтобы корректно работали все функции и открывались все сайты, диапазон портов должен быть
1. не менее 64
2. начинаться со значения, кратного 64
3. быть непрерывным

Спасибо всем кто помогал в решении проблемы.
Тему можно закрывать.