Raistlin
12-04-2009, 03:47
Решил составить небольшую памятку по настройке портов и протоколов на сервере. Возможно, будет полезна ещё кому-нибудь, кроме меня. На истину в последней инстанции не претендует; список портов составлен исходя из моих обычных потребностей. Поправки, комментарии, дополнения — welcome!
Итак, задача: защитить локальный интерфейс сервера на базе Win2k3 Srv от угроз с помощью стандартных средств. На машине работает VPN-сервер (через RRAS), поэтому нельзя использовать службу Windows Firewall / ICS. Basic Firewall с локальным интерфейсом тоже использовать нельзя (см. Basic Firewall (http://technet.microsoft.com/en-us/library/cc758437.aspx), раздел Considerations when using Basic Firewall), поэтому используем static packet filters (24770, 24769).
Предполагается, что данный сервер и все компьютеры, которые должны иметь к нему доступ через локальную сеть, находятся в подсети 192.168.33.0/24; в этой же подсети находится диапазон адресов для VPN-соединений.
Позволяют получать по DHCP IP-адреса для локального интерфейса и VPN-соединений (24771). Не нужны, если и для того, и для другого используются статические IP-адреса.
Inbound Filters:
Protocol: UDP; Destination port: 68
Outbound Filters:
Protocol: UDP; Destination port: 67
Позволяют раздавать IP-адреса по DHCP.
Inbound Filters:
Protocol: UDP; Destination port: 67
Outbound Filters:
Protocol: UDP; Destination port: 68
Позволяют разрешать DNS-имена. Практически необходимо при работе в Интернете и в составе домена.
Inbound Filters:
Protocol: UDP; Source port: 53
Protocol: TCP; Source port: 53
Outbound Filters:
Protocol: UDP; Destination port: 53
Protocol: TCP; Destination port: 53
По поводу открытия TCP-порта 53 см. Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx).
Позволяют проверять доступность других компьютеров посредством утилиты ping. Полезная вещь.
Inbound Filters:
Protocol: ICMP; ICMP type: 0; ICMP code: 0
Outbound Filters:
Protocol: ICMP; ICMP type: 8; ICMP code: 0
Позволяют проверять доступность этого компьютера посредством утилиты ping. Может быть нежелательно с точки зрения безопасности; с другой стороны, удобно.
Inbound Filters:
Protocol: ICMP; ICMP type: 8; ICMP code: 0
Outbound Filters:
Protocol: ICMP; ICMP type: 0; ICMP code: 0
Обеспечивают корректную работу Сетевого окружения — в сочетании с фильтрами Общий доступ к файлам и принтерам (сервер), Общий доступ к файлам и принтерам (клиент), Active Directory.
Inbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 137; Destination port: 137
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 138; Destination port: 138
Outbound Filters:
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 137; Destination port: 137
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 138; Destination port: 138
Обеспечивают доступ к общим ресурсам этого компьютера.
Inbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 139
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 445
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 445
Outbound Filters:
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 139
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 445
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 445
По моим наблюдениям, достаточно открыть только TCP-порт 445, однако, если верить Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx), это не так. В открытии TCP-порта 139, полагаю, точно есть необходимость, если в сети есть клиенты pre-Windows 2000.
Обеспечивают доступ к общим ресурсам других компьютеров.
Inbound Filters:
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 139
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 445
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 445
Outbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 139
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 445
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 445
См. примечание к набору фильтров Общий доступ к файлам и принтерам (сервер).
Позволяют подключаться к этому VPN-серверу. На маршрутизаторе должна быть настроена переброска TCP-порта 1723 на этот компьютер.
Inbound Filters:
Protocol: TCP; Destination port: 1723
Outbound Filters:
Protocol: TCP; Source port: 1723
Позволяют подключаться к другим VPN-серверам.
Inbound Filters:
Protocol: TCP; Source port: 1723
Protocol: Other; Protocol number: 47
Outbound Filters:
Protocol: TCP; Destination port: 1723
Protocol: Other; Protocol number: 47
Inbound Filters:
Protocol: TCP; Source port: 80
Protocol: TCP; Source port: 8080
Outbound Filters:
Protocol: TCP; Destination port: 80
Protocol: TCP; Destination port: 8080
Порт 8080 используется, в частности, для доступа к веб-интерфейсам устройств и для авторизации на некоторых сайтах (http://ifolder.ru).
Inbound Filters:
Protocol: TCP; Source port: 443
Outbound Filters:
Protocol: TCP; Destination port: 443
Inbound Filters:
Protocol: TCP; Source port: 20
Protocol: TCP; Source port: 21
Outbound Filters:
Protocol: TCP; Destination port: 20
Protocol: TCP; Destination port: 21
Вероятно, открывать эти порты бесполезно - работать FTP-протокол со static packet filters все равно не будет, т. к. требуется дополнительное соединение по порту, сообщаемому сервером.
Позволяют почтовым клиентам отправлять почту по SMTP.
Inbound Filters:
Protocol: TCP; Source port: 25
Outbound Filters:
Protocol: TCP; Destination port: 25
Позволяют почтовым клиентам принимать почту по POP3. Обычная схема работы.
Inbound Filters:
Protocol: TCP; Source port: 110
Outbound Filters:
Protocol: TCP; Destination port: 110
Позволяют почтовым клиентам принимать почту по IMAP. Лично мне этот порт понадобился лишь однажды.
Inbound Filters:
Protocol: TCP; Source port: 143
Outbound Filters:
Protocol: TCP; Destination port: 143
Позволяют обновлять показания часов из Интернета. Удобно.
Inbound Filters:
Protocol: UDP; Source port: 123; Destination port: 123
Outbound Filters:
Protocol: UDP; Source port: 123; Destination port: 123
Позволяют работать ICQ (и клонам) "родным" способом.
Inbound Filters:
Protocol: TCP; Source port: 5190
Outbound Filters:
Protocol: TCP; Destination port: 5190
Позволяют подключаться с этого компьютера к другим через Remote Desktop Connection. С серверами обычно более актуальна противоположная задача. Если, конечно, сервер не является одновременно рабочей машиной сисадмина.
Inbound Filters:
Protocol: TCP; Source port: 3389
Outbound Filters:
Protocol: TCP; Destination port: 3389
Позволяют подключаться с других компьютеров к этому через Remote Desktop Connection. Распространённый способ удалённого управления серверами.
Inbound Filters:
Protocol: TCP; Destination port: 3389
Outbound Filters:
Protocol: TCP; Source port: 3389
Если после экспериментов со static packet filters к серверу невозможно подключиться по VPN, RDC может оказаться спасательным кругом — если, конечно, заранее настроить переброску TCP-порта 3389 на сервер или, по крайней мере, обеспечить доступ к маршрутизатору из Интернета.
Позволяют принимать запросы на разрешение DNS-имен и отвечать на них. Необходимы, если на компьютере поднят DNS-сервер.
Inbound Filters:
Protocol: UDP; Destination port: 53
Protocol: TCP; Destination port: 53
Outbound Filters:
Protocol: UDP; Source port: 53
Protocol: TCP; Source port: 53
По поводу открытия TCP-порта 53 см. Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx).
Обеспечивают функционирование контроллера домена Active Directory (в т. ч. репликацию, хотя в этой части ещё не тестировал). Наборы inbound- и outbound-фильтров идентичны.
Inbound Filters / Outbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 88
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 88
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 88
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 88
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 135
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 135
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 135
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 135
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 48152
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 48152
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 48153
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 48153
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 389
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 389
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 389
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 389
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 636
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 636
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 3268
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 3268
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 3269
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 3269
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 1512
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 1512
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 1512
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 1512
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 42
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 42
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 42
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 42
Фильтр 1 нужен для работы протокола Kerberos, конкретно - для получения с любой машины домена списка расшаренных (общих) ресурсов других машин домена.
Фильтр 2 нужен для работы протокола Kerberos, конкретно - для нормальной регистрации на машине под доменным пользователем: при отсутствии процесс логина занимает 5-10 минут (отмечу, что из 8 рабочих станций подопытного домена это наблюдалось только на одной, хотя, по идее, должно было на всех).
Фильтры 5-8 нужны для работы RPC endpoint mapper, работают только вместе с фильтрами 9-12 после добавления в реестр на всех контроллерах домена следующих данных:REGEDIT4
;0000bc18 и 0000bc19 - 16-ричные эквиваленты 48152 и 48153, их можно заменить на другие значения в диапазоне от 1024 до 65535, изменив, естественно, и значения в фильтрах 9-12.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000bc18
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters]
"RPC TCP/IP Port Assignment"=dword:0000bc19
В целом данный набор фильтров содержит, очевидно, излишества, однако копаться дальше в этом вопросе я посчитал нецелесообразным. Подробнее см. Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx).
Обеспечивают функционирование DrWeb Enterprise Server версии 5 (и выше) на этой машине. Наборы inbound- и outbound-фильтров идентичны.
Inbound Filters / Outbound Filters:
Protocol: TCP; Destination port: 2193
Protocol: UDP; Destination port: 2193
Protocol: TCP; Source port: 2193
Protocol: UDP; Source port: 2193
Обеспечивают функционирование DrWeb Enterprise Server версии 4 на этой машине. Наборы inbound- и outbound-фильтров идентичны.
Inbound Filters / Outbound Filters:
Protocol: TCP; Destination port: 2371
Protocol: UDP; Destination port: 2371
Protocol: TCP; Source port: 2371
Protocol: UDP; Source port: 2371
Позволяют полноценно функционировать торрент-клиенту uTorrent v2.2.21738 с настройками:incoming port = 45202
net.outgoing_port = 45203
net.outgoing_max_port =45210
На маршрутизаторе должна быть настроена переброска TCP/UDP-порта 45202 на этот сервер.
Inbound Filters:
Protocol: TCP; Source port: 45203
Protocol: TCP; Source port: 45204
Protocol: TCP; Source port: 45205
Protocol: TCP; Source port: 45206
Protocol: TCP; Source port: 45207
Protocol: TCP; Source port: 45208
Protocol: TCP; Source port: 45209
Protocol: TCP; Source port: 45210
Protocol: TCP; Destination port: 45202
Protocol: UDP; Destination port: 45202
Protocol: ICMP; ICMP Type: 3; ICMP Code: 0
Protocol: ICMP; ICMP Type: 3; ICMP Code: 1
Protocol: ICMP; ICMP Type: 3; ICMP Code: 2
Protocol: ICMP; ICMP Type: 3; ICMP Code: 3
Protocol: ICMP; ICMP Type: 3; ICMP Code: 5
Protocol: ICMP; ICMP Type: 3; ICMP Code: 6
Protocol: ICMP; ICMP Type: 3; ICMP Code: 7
Protocol: ICMP; ICMP Type: 3; ICMP Code: 8
Protocol: ICMP; ICMP Type: 3; ICMP Code: 9
Protocol: ICMP; ICMP Type: 3; ICMP Code: 10
Protocol: ICMP; ICMP Type: 3; ICMP Code: 11
Protocol: ICMP; ICMP Type: 3; ICMP Code: 12
Protocol: ICMP; ICMP Type: 3; ICMP Code: 13
Outbound Filters:
Protocol: TCP; Destination port: 45203
Protocol: TCP; Destination port: 45204
Protocol: TCP; Destination port: 45205
Protocol: TCP; Destination port: 45206
Protocol: TCP; Destination port: 45207
Protocol: TCP; Destination port: 45208
Protocol: TCP; Destination port: 45209
Protocol: TCP; Destination port: 45210
Protocol: TCP; Source port: 45202
Protocol: UDP; Source port: 45202
Protocol: ICMP; ICMP Type: 3; ICMP Code: 0
Protocol: ICMP; ICMP Type: 3; ICMP Code: 1
Protocol: ICMP; ICMP Type: 3; ICMP Code: 2
Protocol: ICMP; ICMP Type: 3; ICMP Code: 3
Protocol: ICMP; ICMP Type: 3; ICMP Code: 5
Protocol: ICMP; ICMP Type: 3; ICMP Code: 6
Protocol: ICMP; ICMP Type: 3; ICMP Code: 7
Protocol: ICMP; ICMP Type: 3; ICMP Code: 8
Protocol: ICMP; ICMP Type: 3; ICMP Code: 9
Protocol: ICMP; ICMP Type: 3; ICMP Code: 10
Protocol: ICMP; ICMP Type: 3; ICMP Code: 11
Protocol: ICMP; ICMP Type: 3; ICMP Code: 12
Protocol: ICMP; ICMP Type: 3; ICMP Code: 13
Подробнее см. uTorrent and static packet filters (http://forum.utorrent.com/viewtopic.php?id=66471).
Позволяют "видеть" HASP-ключи — установленные как на других машинах сети, так и локально.
Inbound Filters:
Protocol: UDP; Source port: 475
Outbound Filters:
Protocol: UDP; Destination port: 475
Номер
Позволяют сделать установленные на этом сервере HASP-ключи видимыми с других машин сети.
Inbound Filters:
Protocol: UDP; Destination port: 475
Outbound Filters:
Protocol: UDP; Source port: 475
Номер порта может быть другим — см. C:\Program Files\Aladdin\HASP LM\nhsrv.ini.
Позволяют подключаться к серверу лицензий БИТ.
Inbound Filters:
Protocol: TCP; Source port: 10500
Protocol: UDP; Source port: 10500
Outbound Filters:
Protocol: TCP; Destination port: 10500
Protocol: UDP; Destination port: 10500
Позволяют функционировать серверу лицензий БИТ.
Inbound Filters:
Protocol: TCP; Destination port: 10500
Protocol: UDP; Destination port: 10500
Outbound Filters:
Protocol: TCP; Source port: 10500
Protocol: UDP; Source port: 10500
Microsoft, по своему обыкновению, приложила все усилия, чтобы сделать настройку static packet filters по возможности более неудобной — нельзя изменить порядок фильтров, дать комментарии к фильтрам, изменить размер окна с фильтрами, сохранить введённые фильтры без их немедленного применения... В общем, много чего нельзя. Вот несколько хитростей, которые могут облегчить вам жизнь:
Первым делом добавьте в список фильтр, разрешающий всё (не забудьте выбрать радиокнопку Drop all packets except those that meet the criteria below — по умолчанию выбрана другая). При наличии такого фильтра остальные никакого действия оказывать не будут. Удалите его после завершения настройки и повторной проверки всех фильтров.
В окне фильтров дважды щёлкните по правой границе каждой колонки. После этого в окне будет умещаться вся информация из всех колонок.
Постарайтесь минимизировать применения изменений - не надо жать Apply после ввода каждой записи, это не лучшим образом сказывается на стабильности системы: пакеты могут не идти при правильно настроенных фильтрах. В такой ситуации обычно помогает перезапуск RRAS, но иногда может потребоваться и перезагрузка сервера. При удаленной работе перед экспериментами рекомендую ввести в консоли shutdown /r /t 600 /f, а по окончании — shutdown /a. Возможно, это избавит вас от внеочередного визита в офис.
Итак, задача: защитить локальный интерфейс сервера на базе Win2k3 Srv от угроз с помощью стандартных средств. На машине работает VPN-сервер (через RRAS), поэтому нельзя использовать службу Windows Firewall / ICS. Basic Firewall с локальным интерфейсом тоже использовать нельзя (см. Basic Firewall (http://technet.microsoft.com/en-us/library/cc758437.aspx), раздел Considerations when using Basic Firewall), поэтому используем static packet filters (24770, 24769).
Предполагается, что данный сервер и все компьютеры, которые должны иметь к нему доступ через локальную сеть, находятся в подсети 192.168.33.0/24; в этой же подсети находится диапазон адресов для VPN-соединений.
Позволяют получать по DHCP IP-адреса для локального интерфейса и VPN-соединений (24771). Не нужны, если и для того, и для другого используются статические IP-адреса.
Inbound Filters:
Protocol: UDP; Destination port: 68
Outbound Filters:
Protocol: UDP; Destination port: 67
Позволяют раздавать IP-адреса по DHCP.
Inbound Filters:
Protocol: UDP; Destination port: 67
Outbound Filters:
Protocol: UDP; Destination port: 68
Позволяют разрешать DNS-имена. Практически необходимо при работе в Интернете и в составе домена.
Inbound Filters:
Protocol: UDP; Source port: 53
Protocol: TCP; Source port: 53
Outbound Filters:
Protocol: UDP; Destination port: 53
Protocol: TCP; Destination port: 53
По поводу открытия TCP-порта 53 см. Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx).
Позволяют проверять доступность других компьютеров посредством утилиты ping. Полезная вещь.
Inbound Filters:
Protocol: ICMP; ICMP type: 0; ICMP code: 0
Outbound Filters:
Protocol: ICMP; ICMP type: 8; ICMP code: 0
Позволяют проверять доступность этого компьютера посредством утилиты ping. Может быть нежелательно с точки зрения безопасности; с другой стороны, удобно.
Inbound Filters:
Protocol: ICMP; ICMP type: 8; ICMP code: 0
Outbound Filters:
Protocol: ICMP; ICMP type: 0; ICMP code: 0
Обеспечивают корректную работу Сетевого окружения — в сочетании с фильтрами Общий доступ к файлам и принтерам (сервер), Общий доступ к файлам и принтерам (клиент), Active Directory.
Inbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 137; Destination port: 137
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 138; Destination port: 138
Outbound Filters:
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 137; Destination port: 137
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 138; Destination port: 138
Обеспечивают доступ к общим ресурсам этого компьютера.
Inbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 139
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 445
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 445
Outbound Filters:
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 139
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 445
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 445
По моим наблюдениям, достаточно открыть только TCP-порт 445, однако, если верить Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx), это не так. В открытии TCP-порта 139, полагаю, точно есть необходимость, если в сети есть клиенты pre-Windows 2000.
Обеспечивают доступ к общим ресурсам других компьютеров.
Inbound Filters:
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 139
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 445
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 445
Outbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 139
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 445
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 445
См. примечание к набору фильтров Общий доступ к файлам и принтерам (сервер).
Позволяют подключаться к этому VPN-серверу. На маршрутизаторе должна быть настроена переброска TCP-порта 1723 на этот компьютер.
Inbound Filters:
Protocol: TCP; Destination port: 1723
Outbound Filters:
Protocol: TCP; Source port: 1723
Позволяют подключаться к другим VPN-серверам.
Inbound Filters:
Protocol: TCP; Source port: 1723
Protocol: Other; Protocol number: 47
Outbound Filters:
Protocol: TCP; Destination port: 1723
Protocol: Other; Protocol number: 47
Inbound Filters:
Protocol: TCP; Source port: 80
Protocol: TCP; Source port: 8080
Outbound Filters:
Protocol: TCP; Destination port: 80
Protocol: TCP; Destination port: 8080
Порт 8080 используется, в частности, для доступа к веб-интерфейсам устройств и для авторизации на некоторых сайтах (http://ifolder.ru).
Inbound Filters:
Protocol: TCP; Source port: 443
Outbound Filters:
Protocol: TCP; Destination port: 443
Inbound Filters:
Protocol: TCP; Source port: 20
Protocol: TCP; Source port: 21
Outbound Filters:
Protocol: TCP; Destination port: 20
Protocol: TCP; Destination port: 21
Вероятно, открывать эти порты бесполезно - работать FTP-протокол со static packet filters все равно не будет, т. к. требуется дополнительное соединение по порту, сообщаемому сервером.
Позволяют почтовым клиентам отправлять почту по SMTP.
Inbound Filters:
Protocol: TCP; Source port: 25
Outbound Filters:
Protocol: TCP; Destination port: 25
Позволяют почтовым клиентам принимать почту по POP3. Обычная схема работы.
Inbound Filters:
Protocol: TCP; Source port: 110
Outbound Filters:
Protocol: TCP; Destination port: 110
Позволяют почтовым клиентам принимать почту по IMAP. Лично мне этот порт понадобился лишь однажды.
Inbound Filters:
Protocol: TCP; Source port: 143
Outbound Filters:
Protocol: TCP; Destination port: 143
Позволяют обновлять показания часов из Интернета. Удобно.
Inbound Filters:
Protocol: UDP; Source port: 123; Destination port: 123
Outbound Filters:
Protocol: UDP; Source port: 123; Destination port: 123
Позволяют работать ICQ (и клонам) "родным" способом.
Inbound Filters:
Protocol: TCP; Source port: 5190
Outbound Filters:
Protocol: TCP; Destination port: 5190
Позволяют подключаться с этого компьютера к другим через Remote Desktop Connection. С серверами обычно более актуальна противоположная задача. Если, конечно, сервер не является одновременно рабочей машиной сисадмина.
Inbound Filters:
Protocol: TCP; Source port: 3389
Outbound Filters:
Protocol: TCP; Destination port: 3389
Позволяют подключаться с других компьютеров к этому через Remote Desktop Connection. Распространённый способ удалённого управления серверами.
Inbound Filters:
Protocol: TCP; Destination port: 3389
Outbound Filters:
Protocol: TCP; Source port: 3389
Если после экспериментов со static packet filters к серверу невозможно подключиться по VPN, RDC может оказаться спасательным кругом — если, конечно, заранее настроить переброску TCP-порта 3389 на сервер или, по крайней мере, обеспечить доступ к маршрутизатору из Интернета.
Позволяют принимать запросы на разрешение DNS-имен и отвечать на них. Необходимы, если на компьютере поднят DNS-сервер.
Inbound Filters:
Protocol: UDP; Destination port: 53
Protocol: TCP; Destination port: 53
Outbound Filters:
Protocol: UDP; Source port: 53
Protocol: TCP; Source port: 53
По поводу открытия TCP-порта 53 см. Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx).
Обеспечивают функционирование контроллера домена Active Directory (в т. ч. репликацию, хотя в этой части ещё не тестировал). Наборы inbound- и outbound-фильтров идентичны.
Inbound Filters / Outbound Filters:
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 88
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 88
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 88
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 88
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 135
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 135
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 135
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 135
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 48152
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 48152
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 48153
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 48153
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 389
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 389
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 389
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 389
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 636
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 636
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 3268
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 3268
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 3269
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 3269
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 1512
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 1512
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 1512
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 1512
Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 42
Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 42
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 42
Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 42
Фильтр 1 нужен для работы протокола Kerberos, конкретно - для получения с любой машины домена списка расшаренных (общих) ресурсов других машин домена.
Фильтр 2 нужен для работы протокола Kerberos, конкретно - для нормальной регистрации на машине под доменным пользователем: при отсутствии процесс логина занимает 5-10 минут (отмечу, что из 8 рабочих станций подопытного домена это наблюдалось только на одной, хотя, по идее, должно было на всех).
Фильтры 5-8 нужны для работы RPC endpoint mapper, работают только вместе с фильтрами 9-12 после добавления в реестр на всех контроллерах домена следующих данных:REGEDIT4
;0000bc18 и 0000bc19 - 16-ричные эквиваленты 48152 и 48153, их можно заменить на другие значения в диапазоне от 1024 до 65535, изменив, естественно, и значения в фильтрах 9-12.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000bc18
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters]
"RPC TCP/IP Port Assignment"=dword:0000bc19
В целом данный набор фильтров содержит, очевидно, излишества, однако копаться дальше в этом вопросе я посчитал нецелесообразным. Подробнее см. Active Directory Replication over Firewalls (http://technet.microsoft.com/en-us/library/bb727063.aspx).
Обеспечивают функционирование DrWeb Enterprise Server версии 5 (и выше) на этой машине. Наборы inbound- и outbound-фильтров идентичны.
Inbound Filters / Outbound Filters:
Protocol: TCP; Destination port: 2193
Protocol: UDP; Destination port: 2193
Protocol: TCP; Source port: 2193
Protocol: UDP; Source port: 2193
Обеспечивают функционирование DrWeb Enterprise Server версии 4 на этой машине. Наборы inbound- и outbound-фильтров идентичны.
Inbound Filters / Outbound Filters:
Protocol: TCP; Destination port: 2371
Protocol: UDP; Destination port: 2371
Protocol: TCP; Source port: 2371
Protocol: UDP; Source port: 2371
Позволяют полноценно функционировать торрент-клиенту uTorrent v2.2.21738 с настройками:incoming port = 45202
net.outgoing_port = 45203
net.outgoing_max_port =45210
На маршрутизаторе должна быть настроена переброска TCP/UDP-порта 45202 на этот сервер.
Inbound Filters:
Protocol: TCP; Source port: 45203
Protocol: TCP; Source port: 45204
Protocol: TCP; Source port: 45205
Protocol: TCP; Source port: 45206
Protocol: TCP; Source port: 45207
Protocol: TCP; Source port: 45208
Protocol: TCP; Source port: 45209
Protocol: TCP; Source port: 45210
Protocol: TCP; Destination port: 45202
Protocol: UDP; Destination port: 45202
Protocol: ICMP; ICMP Type: 3; ICMP Code: 0
Protocol: ICMP; ICMP Type: 3; ICMP Code: 1
Protocol: ICMP; ICMP Type: 3; ICMP Code: 2
Protocol: ICMP; ICMP Type: 3; ICMP Code: 3
Protocol: ICMP; ICMP Type: 3; ICMP Code: 5
Protocol: ICMP; ICMP Type: 3; ICMP Code: 6
Protocol: ICMP; ICMP Type: 3; ICMP Code: 7
Protocol: ICMP; ICMP Type: 3; ICMP Code: 8
Protocol: ICMP; ICMP Type: 3; ICMP Code: 9
Protocol: ICMP; ICMP Type: 3; ICMP Code: 10
Protocol: ICMP; ICMP Type: 3; ICMP Code: 11
Protocol: ICMP; ICMP Type: 3; ICMP Code: 12
Protocol: ICMP; ICMP Type: 3; ICMP Code: 13
Outbound Filters:
Protocol: TCP; Destination port: 45203
Protocol: TCP; Destination port: 45204
Protocol: TCP; Destination port: 45205
Protocol: TCP; Destination port: 45206
Protocol: TCP; Destination port: 45207
Protocol: TCP; Destination port: 45208
Protocol: TCP; Destination port: 45209
Protocol: TCP; Destination port: 45210
Protocol: TCP; Source port: 45202
Protocol: UDP; Source port: 45202
Protocol: ICMP; ICMP Type: 3; ICMP Code: 0
Protocol: ICMP; ICMP Type: 3; ICMP Code: 1
Protocol: ICMP; ICMP Type: 3; ICMP Code: 2
Protocol: ICMP; ICMP Type: 3; ICMP Code: 3
Protocol: ICMP; ICMP Type: 3; ICMP Code: 5
Protocol: ICMP; ICMP Type: 3; ICMP Code: 6
Protocol: ICMP; ICMP Type: 3; ICMP Code: 7
Protocol: ICMP; ICMP Type: 3; ICMP Code: 8
Protocol: ICMP; ICMP Type: 3; ICMP Code: 9
Protocol: ICMP; ICMP Type: 3; ICMP Code: 10
Protocol: ICMP; ICMP Type: 3; ICMP Code: 11
Protocol: ICMP; ICMP Type: 3; ICMP Code: 12
Protocol: ICMP; ICMP Type: 3; ICMP Code: 13
Подробнее см. uTorrent and static packet filters (http://forum.utorrent.com/viewtopic.php?id=66471).
Позволяют "видеть" HASP-ключи — установленные как на других машинах сети, так и локально.
Inbound Filters:
Protocol: UDP; Source port: 475
Outbound Filters:
Protocol: UDP; Destination port: 475
Номер
Позволяют сделать установленные на этом сервере HASP-ключи видимыми с других машин сети.
Inbound Filters:
Protocol: UDP; Destination port: 475
Outbound Filters:
Protocol: UDP; Source port: 475
Номер порта может быть другим — см. C:\Program Files\Aladdin\HASP LM\nhsrv.ini.
Позволяют подключаться к серверу лицензий БИТ.
Inbound Filters:
Protocol: TCP; Source port: 10500
Protocol: UDP; Source port: 10500
Outbound Filters:
Protocol: TCP; Destination port: 10500
Protocol: UDP; Destination port: 10500
Позволяют функционировать серверу лицензий БИТ.
Inbound Filters:
Protocol: TCP; Destination port: 10500
Protocol: UDP; Destination port: 10500
Outbound Filters:
Protocol: TCP; Source port: 10500
Protocol: UDP; Source port: 10500
Microsoft, по своему обыкновению, приложила все усилия, чтобы сделать настройку static packet filters по возможности более неудобной — нельзя изменить порядок фильтров, дать комментарии к фильтрам, изменить размер окна с фильтрами, сохранить введённые фильтры без их немедленного применения... В общем, много чего нельзя. Вот несколько хитростей, которые могут облегчить вам жизнь:
Первым делом добавьте в список фильтр, разрешающий всё (не забудьте выбрать радиокнопку Drop all packets except those that meet the criteria below — по умолчанию выбрана другая). При наличии такого фильтра остальные никакого действия оказывать не будут. Удалите его после завершения настройки и повторной проверки всех фильтров.
В окне фильтров дважды щёлкните по правой границе каждой колонки. После этого в окне будет умещаться вся информация из всех колонок.
Постарайтесь минимизировать применения изменений - не надо жать Apply после ввода каждой записи, это не лучшим образом сказывается на стабильности системы: пакеты могут не идти при правильно настроенных фильтрах. В такой ситуации обычно помогает перезапуск RRAS, но иногда может потребоваться и перезагрузка сервера. При удаленной работе перед экспериментами рекомендую ввести в консоли shutdown /r /t 600 /f, а по окончании — shutdown /a. Возможно, это избавит вас от внеочередного визита в офис.