Серверы и компьютеры, подключенные к интернету подвержены атакам и сканированию различных скриптов, программ и злоумышленников. А поскольку известно, что во всех системах могут быть уязвимости, то лучше, чтобы извне было видно минимум портов.

Некоторые порты должны быть видны постоянно, например, порт веб-сервера, другие используются только системными администраторами, а еще одни, вообще, должны быть доступны только локально. Несмотря на то что все сервисы имеют методы авторизации, и не позволят подключиться кому попало, они могут быть уязвимы, поэтому все лишнее лучше закрыть. В этой статье мы рассмотрим как закрыть порт iptables. Мы закроем нужные порты полностью, а также сделаем некоторые из них доступными на время, после попытки подключения к определенному порту.

В этой статье я не стану подробно рассматривать все возможности Iptables, виды цепочек и как работает эта служба. Все это мы рассмотрели в статье . Вместо этого, перейдем ближе к делу. Чтобы заблокировать порт нам сначала нужно понять и за что они отвечают. Чтобы посмотреть какие порты слушаются локально, можно использовать утилиту netstat:

sudo netstat -ntulp

Для анализа портов, доступных извне используется программа nmap:

Как видите, извне у нас, кроме стандартных портов веб-сервера, доступны mysql, ftp, dns и другие сервисы. Некоторые из них не должны быть доступны публично. Это не критично, но и нежелательно. Мы можем очень просто закрыть такие порты с помощью iptables. Общий синтаксис команды для блокировки порта будет выглядеть вот так:

$ iptables -A INPUT -p tcp --dport номер_порта -j DROP

Например, если мы хотим заблокировать порт iptables mysql, то необходимо выполнить:

sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

Можно закрыть порт для определенного интерфейса, например, eth1:

sudo iptables -A INPUT -i eth1 -p tcp --dport 3306 -j DROP

Или даже для ip и целой подсети. Например, закрыть все подключения к порту 22 SSH кроме IP адреса 1.2.3.4:

sudo iptables -A INPUT -i eth1 -p tcp -s !1.2.3.4 --dport 22 -j DROP

Здесь знак восклицания означает инверсию, то есть применить ко всем кроме этого. Можно убрать этот знак и указать только IP, к которым нужно применить запрет. Мы рассмотрели как закрыть порт iptables в цепочке INPUT, которая отвечает за входящие соединения, это более применимо к серверам. Но что, если нужно закрыть подключение к удаленному порту из этого компьютера или нашей сети? Для этого существует цепочка OUTPUT.

Например, заблокируем попытки отправки почты подключением к любой машине по порту 25:

sudo iptables -A OUTPUT -p tcp --dport 25 -j DROP

Также, как и раньше, вы можете указать исходящий сетевой интерфейс, только теперь он указывается опцией -o:

sudo iptables -A OUTPUT -o eth1 -p tcp --dport 25 -j DROP

После того как вы завершите с настройкой портов нужно сохранить все созданные правила, чтобы они остались активными даже после перезагрузки. Для этого выполните:

sudo iptables-save

Чтобы посмотреть текущие правила для каждой из цепочек выполните:

sudo iptables -L -n -v

Такая команда покажет все правила, а если вы хотите только информацию о заблокированных портах, выполните:

sudo iptables -L -n -v | grep -i DROP

Очистить все правила в случае возникновения проблем можно командой:

sudo iptables -F

Закрыть порты iptables, кроме разрешенных

По умолчанию политика для цепочек INPUT и OUTPUT - разрешать все подключения, а уже с помощью правил мы указываем какие подключения стоит запретить. Но если вы хотите закрыть все порты кроме разрешенных iptables. То нужно поступить по-другому. Мы поменяем политику по умолчанию, так чтобы она запрещала все и разрешим только доступ к нужным портам.

Например, меняем политику для цепочки INPUT:

sudo iptables -P INPUT DROP

Затем разрешаем все входящие соединения от локального интерфейса:

sudo iptables -A INPUT -i lo -j ACCEPT

Затем разрешаем доступ к портам 80 и 22:

sudo iptables -A INPUT -i eth0 -p tcp --dport 80 --match state --state NEW -j ACCEPT
$ sudo iptables -A INPUT -i eth0 -p tcp --dport 80 --match state --state NEW -j ACCEPT

Как скрыть порт iptables?

Закрыть порт, это очень хорошо, но что если он нужен нам открытым и желательно, чтобы для других этот же порт был недоступен. Существует такая технология, как Port Knocking, которая позволяет открывать нужный порт только для определенного ip адреса и только после обращения его к нужному порту. Например, нам нужно защитить SSH от перебора паролей и несанкционированного доступа. Для этого все пакеты, которые будут приходить на порт 22, 111 и 112 мы будем перенаправлять в цепочку SSH.

Как вы уже догадались, порт 22 нам непосредственно нужен, на порты 111 и 112 будут включать его и отключать соответственно. Когда пользователь обратится к порту 111 мы укажем системе, что нужно присвоить всем его пакетам имя ssh, при обращении к порту 112 уберем этот флаг. А если пользователь решит зайти на 22 порт, то проверим присвоено ли этому пакету имя SSH, если да, то пропустим, в противном случае - отбросим.

Сначала создаем цепочку SSH:

sudo iptables -N SSH

Перенаправляем пакеты:

sudo iptables -A INPUT -p tcp --dport 22 -j SSH
$ sudo iptables -A INPUT -p tcp --dport 111 -j SSH
$ sudo iptables -A INPUT -p tcp --dport 112 -j SSH

При обращении к порту 111 присваиваем IP адресу имя, сам пакет дальше не пускаем:

sudo iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 111 -m recent --set --name SSH --rsource -j DROP

При обращении к 112 убираем имя у IP:

sudo iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 112 -m recent --remove --name SSH --rsource -j DROP

И нам осталось только проверить имеет ли наш пакет, который пытается обратиться к 22 порту имя SSH и если да, то мы его одобряем:

sudo iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 22 -m recent --rcheck --name SSH --rsource -j ACCEPT

Вот и все. Теперь для того чтобы открыть наш SSH порт будет достаточно попытаться подключиться к порту 111 с помощью telnet. Утилита сообщит, что произошла ошибка во время подключения, поскольку мы отбросили пакет:

telnet ip_адрес 111

Но зато теперь вы можете получить доступ к сервису SSH на порту 22. Чтобы снова закрыть порт выполните:

telnet ip_адрес 112

Даже при открытии, этот порт доступен только вашему ip адресу и больше никому другому. Но нужно заметить, что это не панацея. Кто-либо может случайно запросить порт, который предназначен для активации, и таким образом, открыть себе доступ к службе SSH. Так что надежные пароли и ключи шифрования это не отменяет.

Выводы

В этой статье мы рассмотрели как закрыть порт iptables, а также как его скрыть с возможностью подключения, когда это будет необходимо. Надеюсь, эта информация была для вас полезной.

Что такое компьютерные порты? Как закрыть порты?

В этой статье я попытаюсь на пальцах объяснить, что такое компьютерные порты, как они используются, для чего нужны и чем может быть опасно оставлять неиспользуемые порты открытыми.

Давайте представим себе страну, пусть это будет Испания. Она омывается морями и океанами и конечно же имеет много морских портов.

Каждый порт специально оборудован для приема различных грузов. Суда, приходящие из различных стран мира заходят в порты на разгрузку или погрузку. Обычно каждый из этих кораблей имеет пункт (порт) назначения. Например судно из Южной Африки постоянно приходит на разгрузку в порт Cartagena и никогда ни в один из других портов. Несмотря на то, что в Испании существуют специально оборудованные порты, практически каждое судно может бросить якорь в любой бухте, например у города Bilbao, взять на борт груз и спокойно уплыть. Для того чтобы этого не произошло нужно иметь хорошую пограничную команду, которая будет постоянно контролировать береговую линию и не даст привести в страну или вывезти из нее груз.

Страны и океаны это конечно все интересно, но цель у нас немного иная, поэтому теперь попробуем провести параллель с вашим компьютером. Ваш компьютер после выхода в интернет становится похож на страну из нашего примера. Он получает IP и становится известным в сети под этим именем. Ваш компьютер так же как и в примере имеет множество портов.

Многие программы, которые работают с сетью рассчитаны на подключение к определенным портам. Как видно из рисунка, интернет браузеры, например Internet Explorer, используют в своей работе порт 80. Почтовые программы, например Outlook Express, используют 2 порта, для отправки почты порт 25 и для приема 110 порт. Если вы усатновите программу для обмена файлами emule, то она откроет, необходимые для своей работы порты 4662 и 4672. Таким образом, если ваш компьютер не защищен, то каждая программа, установленная на вашем компьютере сможет открыть, необходимый ей порт. Точно также любая программа извне может подключиться к любому порту вашего компьютера. Например, вам могут одним из многих способов подбросить программу - трояна (пример - I-Worm.MyDoom), которая откроет на вашем компьютере порт (пример - 3127), через который спокойно вынесет всю вашу важную информацию. Чтобы этого не произошло необходимо пользоваться программами, которые предназначены для закрытия неиспользуемых портов. Такие программы называют Firewalls. Что это за программы и как с ними работать мы узнаем с вами в следующей статье. А пока проверьте ваш компьютер на наличие открытых, наиболее опасных портов, это вы сможете

Пройдя наш тест " " вы обнаружили, что ваша система имеет один или несколько открытых портов и незнаете как их закрыть? Не беда, мы постараемся вам помочь.

Как можно закрыть порты?

Первый и самый простой вариант - это завершить работу программ или служб, которые используют эти порты (можно сказать открывают). В первую очередь это порты 135-139, 445, Это можно сделать вручную, что требует определенных знаний и навыков. Чтобы немного упростить вам эту задачу мы рекомендуем использовать небольшую программку , объемом всего 50 kB. Скачав ее и запустив, вы увидите следующее окошко

Вам останется только нажать кнопки с надписью Disable и Close, после чего перезагрузить компьютер. В итоге все индикаторы должны быть зеленого цвета. Это будет означать, что порты 135-139, 445 и 5000 закрыты.

Эта методитка поможет закрыть вам всего несколько портов и ни в коем случае не заменит установку Firewall

Второй вариант - это установка программы Firewall и создание правил для закрытия портов. Выбрать фаерволл и узнать как его установить вы можете, почитав наши руководства в разделе " ".

А теперь небольшой инструктаж по созданию правил для закрытия портов в различных фаерволах. Для закрытия определенного порта вам нужно выбрать используемый вами Firewall из списка ниже и повторить действия, указанные в руководстве, изменив всего лишь одну деталь, это номер порта.

Серия сообщений " ":

все об Интернете

Часть 1 -

По умолчанию в операционной системе Windows имеется несколько открытых портов, которые используются для разных сетевых протоколов. В большинстве случаев эти протоколы и связанные с ними порты и службы Виндовс совершенно не нужны - для работы в сети Интернет достаточно одного стандартного протокола TCP/IP. Кроме того, некоторые открытые порты делают компьютер уязвимым для хакерских атак. В этой статье рассказывается о том, как отключить ненужные открытые порты в Windows XP.

Для того, что бы узнать, какие порты открыты, потребуется консольная программа FPORT , которую можно скачать , или программа TCPView (её можно скачать ), либо программа CurrPorts (скачать ).

Распаковав программу FPORT , файл программы fport.exe следует поместить в директорию с операционной системой (например, C:\WINDOWS ), и теперь можно будет вызвать эту программу, создав ярлык с параметром cmd /k fport или введя эту последовательность команд cmd /k fport в окне запуска программ (Пуск --> Выполнить) . Здесь вызывается командный процессор (cmd ) с праметром /k , этот параметр указывает командному процессору не закрывать своё окно после выполнения программы fport.exe .

Запустив утилиту fport.exe , можно увидеть список открытых портов:

FPort v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Pid Process Port Proto Path 756 -> 135 TCP 4 System -> 139 TCP 4 System -> 445 TCP 404 -> 1028 TCP 404 -> 123 UDP 0 System -> 123 UDP 0 System -> 137 UDP 0 System -> 138 UDP 756 -> 445 UDP 4 System -> 500 UDP 0 System -> 1900 UDP 4 System -> 4500 UDP

Это типичные открытые порты в только что установленной операционной системе Windows XP SP3.

Так же эти открытые порты могут быть показаны программой TCPView :

И программой CurrPorts :

Назначение портов

• 123 - Network Time Protocol (NTP) - синхронизация часов компьютера.
• 135 - Удаленный вызов процедур (RPC).
• 137 - NetBIOS -Пртокол для работы с локальной сетью - (служба netbios-ns - служба имен NETBIOS).
• 138 - NetBIOS - Пртокол для работы с локальной сетью - (служба netbios-dgm - служба дейтаграмм NETBIOS).
• 139 - NetBIOS - Пртокол для работы с локальной сетью - (служба netbios-ss - служба сеансов NETBIOS).
• 445 - TCP/IP - MS Сетевой доступ (служба microsoft-ds).
• 500 - IPSec (VPN tunneling) - Internet Key Exchange (IKE).
• 1028 - порт динамически выделяемый операционной системой Windows, для этого используются порты с номерами больше 1024.
• 1900 - UPnP.
• 4500 - IPSec (VPN tunneling) - NAT traversal.

В данном примере для работы в сети интернет нужен только один порт - 1028 с протоколом TCP. Остальные порты можно отключить.

Отключение открытых портов

Для отключения портов 123, 135, 138, 139, 445, 500, 1900 и 4500 потребуется программа PORTS OFF , которую можно скачать . Эта программа позволяет отключить как ненужные порты, так и ненужные службы - Удалённый реестр (Remote Registry Service ) и Службу сообщений (Messenger ).

Программа предназначена для операционной системы Windows XP/2000/2003.

Как пользоваться программой PORTS OFF .
Установив необходимые переключатели в положение OFF , следует нажать кнопку Apply , после чего потребуется произвести перезагрузку компьютера, что бы изменения вступили в силу. После первого использования программы настройки, связанные с портами 135, 137-139 и 445 будут сохранены и при необходимости их можно будет легко восстановить (для этого предназначены кнопки Restore Default ).

С отключёнными портами компьютер защищён от хакерских атак и и червей-вирусов. Следует отметить, что при отключении порта 123 системное время на компьютере необходимо будет корректировать вручную, так что этот порт можно в принципе оставить открытым или использовать для синхронизации времени какую-либо стороннюю программу, например, NIST , которую можно скачать . Для синхронизации внутренних часов компьютера эту консольную программу следует запускать со следующими параметрами:

nist.exe ntp.okstate.edu -s

Здесь ntp.okstate.edu - имя сервера точного времени (можно использовать другой сервер, например, time.windows.com );
-s - параметр, указывающий программе произвести синхронизацию системных часов компьютера.

Что бы каждый раз не набирать эти команды, можно сделать ярлык для запуска утилиты NIST :

Параметры ярлыка выбраны такими (cmd.exe /k nist.exe ntp.okstate.edu -s ) для того, что бы консольное окно вывода не закрывалось после выполнения.

Данная статья будет посвящена следующему вопросу: каким образом открыть порт в Windows 7. Стоит отметить, что приведенная инструкция-схема имеет силу только в случае, если на компьютере работает предустановленный штатный брандмауэр (другими словами, FireWall).

Приведем последовательность всех шагов, нужных для непосредственного открытия портов в такой операционной системе, как Windows 7. Инструкция не очень сложная по этому разобраться сможет каждый пользователь даже не самый опытный.

Открываем порты на Windows 7

Шаг 1. Через «Пуск» следует открыть «Панель управления».

Шаг 3. Заходим в «Доп. параметры».

Шаг 4. После предыдущего этапа обязательно должно появиться окошко под названием «Брандмауэр Windows в режиме повышенной безопасности». После этого в списке, находящемся слева, нужно кликнуть на «Правила для входящих подключений».

Шаг 5. Обращаем свое внимание на список справа, где, как нетрудно догадаться, следует выбрать категорию «Создать правило». Такая процедура откроет «Мастер создания нового правила».

Шаг 6. Мастер должен спросить Вас о типе создаваемого правила. В данном случае, нужно выбрать «Для порта», продолжив создание кнопкой «Далее».

Шаг 7. Следующим вопросом будет, соответственно, номер создаваемого порта (либо диапазон). Нужно вводить номер в ячейке под названием «Определенные локальные порты». Важно, что если нужен именно диапазон, то использовать необходимо дефис. Кликаем «Далее».

Шаг 8. Разрешаем подключение и нажимаем опять «Далее».

Шаг 9. Для каких профилей нужно использовать создаваемый порт? В данном случае, выделяем три: Публичный, Доменный и Частный.

Шаг 10. Нужно задать имя нового порта и, по желанию, определенное описание. В заключение, подтверждаем создание правила кнопкой «Готово». Увидеть только что созданное правило можно в самом начале всего списка.

Открыть порт в Windows 7 важные замечания

1. В том случае, если на компьютере поставлен внешний FireWall (отдельно), то, соответственно, настройку проброса портов нужно находить именно в нем. Отметим, что в некоторых случаях антивирусные программы по умолчанию заменяют функции стандартного FireWall.

2. Если подключение к Интернету происходит через модем/роутер, то открытие портов нужно проводить непосредственно на устройстве.

3. Учитывать также необходимо следующее: есть случаи, когда создание новых портов закрыто непосредственно самим провайдером. Тогда любые действия не приведут к успеху, и следует обратиться к провайдеру.

Проблема

Проблема Брандмауэра windows (windows Firewall) заключается не в том как закрыть все порты, а в том, как открыть только необходимые. И главное, что сходу хрен поймешь, каким образом ограничить подключение к некоторым портам по IP адресам клиентов. По отдельности решить эти задачи не сложно, но чтобы было вместе - не встретил ни одного толкового руководства, поэтому и написана данная заметка. Так же, найденное решение не предполагает установки стороннего фаервола.

Недостатки Брандмауэра windows: - Если создать запрещающее правило для всех портов, а потом разрешающие для необходимых, то они не попадают в белый список, т.к. запрещающие правила приоритетнее разрешающих. Т.е. если запрет на подключение по порту существует, то разрешение на этот порт работать уже не будет.

Нет приоритетов правил, как в нормальных фаерволах, чтобы сначала указать открытые порты, а последним задать запрещающее правило для всех остальных.

Допустим, есть VPS на винде, но у хостера нет внешнего фаервола, которым можно прикрыться. Свежеустановленная винда торчит наружу как минимум 135/tcp, 445/tcp, 49154/tcp и 3389/tcp (если включен RDP) портами даже в публичной сети (Public network), что требует исправления.

Алгоритм

Есть три типа портов, это: - Общедоступные порты, которые должны быть открыты для всего интернета. Пусть будут 80 и 443 (http и https) - Фильтруемые порты, доступные только с определенных IP адресов. Возьмем 3389 (RDP) - Все остальные, должны быть закрыты Требуется: 1. Создать правило, запрещающее всё, кроме трех вышеобозначенных портов. 2. Для общедоступных больше делать ни чего не требуется.

3. Для фильтруемого создать разрешающее правило, указав белые адреса.

Секрет в том, что при запрещении всех портов надо явно указать разрешенные. Иначе, как было сказано выше, не получится открыть нужные.

Пример

Задача 1: оставить открытыми для всего интернета 80, 443 и 3389 порты. Все остальные закрыть. 1. Создать новое правило для входящих подключений 2. Тип правила (Rule Type). Настраиваемые (Custom) 3. Программа (Program). Все программы (All programs) 4. Протокол и порты (Protocol and Ports). Тип протокола (Protocol type) - TCP. Локальный порт (Local port) - Специальные порты (Specific Ports). В поле вписать диапазон портов, за исключением 80, 443 и 3389. Должно выглядеть так - 1-79, 81-442, 444-3388, 3390-65535 5. Область (Scope). Локальный (local) - Любой IP-адрес (Any IP address). Удаленный (remote) - Любой IP-адрес (Any IP address). 6. Действие (Action). Блокировать подключение (Block the connection). 7. Профиль (Profile). Выбрать на свое усмотрение. Если не уверен, то выбрать все.

8. Имя (Name). Назвать его, например, Block_TCP.

Теперь указанные порты открыты для всего интернета, но, как минимум, не безопасно открывать всем порт RDP и желательно ограничить подключение только со своих IP адресов.

Задача 2: оставить открытыми для всего интернета 80 и 443 порты. Ограничить подключение на порт 3389 только с разрешенных IP адресов. Все остальные закрыть. Шаги 1-8 аналогичны предыдущей задаче, т.е. создается правило, разрешающее коннект по трем указанным портам. Для фильтрации по IP надо создать второе правило: 9. Создать новое правило для входящих подключений 10. Тип правила. Настраиваемые 11. Программа. Все программы 12. Протокол и порты. Тип протокола - TCP. Локальный порт - специальные порты. Вписать порт 3389 13. Область. Локальный - Любой IP-адрес. Удаленный - Указанные IP-адреса. Сюда вписать белый список IPшников или подсетей, которым разрешен коннект по данному порту 14. Действие. Разрешить подключение. 15. Профиль. Выбрать на свое усмотрение. Если не уверен, то выбрать все.

16. Имя. Назвать его, например, RDP.

Если фильтруемых портов несколько, то создается по одному правилу на каждый порт.

Ну и чтобы стать совсем защищенным - создать правило, блокирующее все UDP соединения.

Задача 2 из консоли

Для хардcoreщиков приведу вторую задачу в виде консольных команд:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=1-79,81-442,444-3388,3390-65535 name="Block_TCP" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=3389 remoteip=192.168.0.0/24,x.x.x.x name="RDP" netsh advfirewall firewall add rule dir=in action=block protocol= UDP name="Block_All_UDP"

В конечном итоге, в гуёвине должно выглядеть так: Для правила RDP:

Для правила Block_TCP:

UPDATE

Выяснилось, что приведенный выше синтаксис командной строки не работает на WS2008R2, а конкретно - перечисления в любом параметре, поэтому пришлось разбивать два правила на восемь:

Netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=1-79 name="Block_TCP-1" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=81-442 name="Block_TCP-2" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=444-3388 name="Block_TCP-3" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=3390-65535 name="Block_TCP-4" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=80 name="HTTP" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=443 name="HTTPS" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=3389 remoteip=192.168.0.0/24 name="RDP-1" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=3389 remoteip=x.x.x.x name="RDP-2"

notessysadmin.com

Как закрыть порты, блокируем протоколы

Как закрыть порты и протоколы

Привет всем читателям блога. Сегодня мы поговорим о портах windows и как их закрыть.Чтобы защитить компьютер, не обязательно пользоваться брандмауэром: вы можете вручную закрыть порты и блокировать некоторые протоколы.

Брандмауэр способен защитить персональный компьютер и сеть от незваных гостей. Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы.

Некоторые порты и протоколы могут быть использованы для атаки на вашу систему. Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым. Во многом известный троян Back Orifice, дающий отморозкам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338.

Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны для работы, например порт 80 должен быть открыт, если вы хотите просматривать web-страницы.

Как закрыть порты

Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties) - откроется папка Сетевые подключения (Network Connections). Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties).

На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры(Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering) и щелкните на кнопке Свойства(Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only).

Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP. Как устранить ошибки в портах читайте далее Однако закрыть все порты - это не выход. Нужно указать системе, через какие порты можно

передавать данные. Запомните, что если вы хотите просматривать web-страницы, необходимо открыть порт 80! Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add). Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.

Получение списка имеющихся в системе портов

Существует как минимум два способа:

1. Список доступных портов можно узнать, проанализировав ключ реестра

HKEY_LOCAL_MACHINE/HARDWARE/DEVICEMAP/SERIALCOMM 2. Можно поочередно попробовать открыть порты COM1 .. COM9, таким образом удастся установить все доступные порты (т.е. порты, не открытые другими приложениями).

Как отключить ненужные службы windows XP Вы можете узнать здесь

Как изменить динамический IP-адрес, для обхода времени ожидания на файла обменниках читайте далее Вот вкратце вы ознакомились, как можно закрыть порты.

jumabai.blogspot.ru

Как закрыть порты?

66652 08.08.2009

Твитнуть

Плюсануть

Пройдя наш тест "безопасность вашего компьютера" вы обнаружили, что ваша система имеет один или несколько открытых портов и незнаете как их закрыть? Не беда, мы постараемся вам помочь.

Как можно закрыть порты?

Первый и самый простой вариант - это завершить работу программ или служб, которые используют эти порты (можно сказать открывают). В первую очередь это порты 135-139, 445, Это можно сделать вручную, что требует определенных знаний и навыков. Чтобы немного упростить вам эту задачу мы рекомендуем использовать небольшую программку windows Worms Doors Cleaner, объемом всего 50 kB. Скачав ее и запустив, вы увидите следующее окошко

Вам останется только нажать кнопки с надписью Disable и Close, после чего перезагрузить компьютер. В итоге все индикаторы должны быть зеленого цвета. Это будет означать, что порты 135-139, 445 и 5000 закрыты.

Эта методитка поможет закрыть вам всего несколько портов и ни в коем случае не заменит установку Firewall

Второй вариант - это установка программы Firewall и создание правил для закрытия портов. Выбрать фаерволл и узнать как его установить вы можете, почитав наши руководства в разделе "Статьи".

А теперь небольшой инструктаж по созданию правил для закрытия портов в различных фаерволах. Для закрытия определенного порта вам нужно выбрать используемый вами Firewall из списка ниже и повторить действия, указанные в руководстве, изменив всего лишь одну деталь, это номер порта.

Инструкции составлены для самых активно используемых на данный момент фаерволов. Возможно в будущем мы будем пополнять архив, если в этом будет необходимость.

Твитнуть

Плюсануть

2ip.ru

Закрываем порты и блокируем протоколы

Чтобы защитить компьютер, не обязательно пользоваться брандмауэром: вы можете вручную закрыть порты и блокировать некоторые протоколы.

Брандмауэр способен защитить персональный компьютер и сеть от непрошеных гостей. Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы. Некоторые порты и протоколы могут быть использованы для атаки на вашу систему. Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым. Печально известный троян Back Orifice, дающий злобным хакерам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338. На сайте www.sans.org/resources/idfaq/oddports.php находится список портов, используемых различными троянами. Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны для работы, например порт 80 должен быть открыт, если вы хотите просматривать web-страницы. Полный список стандартных портов можно найти по адресу www.iana.org/assignments/port-numbers.

Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties) - откроется папка Сетевые подключения (Network Connections). Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties). На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры (Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering) и щелкните на кнопке Свойства (Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only). Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP.

Однако закрыть все порты - это не выход. Нужно указать системе, через какие порты можно передавать данные. Запомните, что если вы хотите просматривать web-страницы, необходимо открыть порт 80! Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add). Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.

Обратите внимание, что сетевые службы и приложения используют сотни различных портов TCP и UDP. Если вы разрешите только работу с web-сайтами (порт 80), то вы не сможете использовать другие ресурсы Интернета, такие как FTP, электронная почта (e-mail), совместный доступ к файлам, потоковый звук и видео и т. д. Поэтому данный способ подходит только тогда, когда вы хотите свести к минимуму число сетевых служб и приложений, работающих на вашем компьютере.