Попытаюсь кратко пояснить типы портов.
Разделить их можно на 2 подгруппы, назовем их "сервисными" и "клиентскими".
Первые, "сервисные" (если конечно следовать спецификации!!!), лежат в пределах [1.. 1023], и используются для сетевых служб.
Например:
Веб-сервер - 80
Ftp-сервер - 20-21
Smtp-сервер - 25
pop3-сервер - 110
Означает это следующее.
Если у тебя на компьютере установлен веб-сервер, и ты хочешь дать возможность откружающим подключаться к нему, ты должен открыть у себя ЛОКАЛЬНО порт#80.
Или же, если у тебя есть ftp-сервер, и ты желаешь сделаьт его доступным, открываешь ЛОКАЛЬНО порты 20-21 (в зависимости от типа соединения).
Второй тип портов, лежит в интервале [1024-65536], и распределяется между программами ДИНАМИЧЕСКИ.
Например. Если ты запрашиваешь из интернета страницу, твой веб браузер получит от системы порт в пределах [1024-65536], после чего, с него будет предпринята попытка соединения с удаленным веб-сервером на порт #80.
После окончания сеанса, порт будет освобожден, и может быть использован другой программой.
Понятно?
Цитата:
Tadjik:
Читаю лог, что блокирует, пытаясь понять что нао окрывать. Ничего не понимаю.
Там Есть remote порт и Local порт/ Чем они отличаются мне не понять
|
Все довольно несложно. Рассмотрим на примере:
Цитата:
|
2005/10/27, 16:18:25.579, GMT +0400, 2054, Device 2, Rule 79, Allowed TCP connection attempt, src=195.209.---.---, dst=194.67.23.102, sport=3711, dport=110
|
Значит, что видно из лога:
Такого-то числа, в такое-то время, на устройстве#2, было обработано правило №79, в результате чего было разрешено (Allowed) соединение по протоколу TCP, от моего ip (src=source), "src=195.209.---.---", к удаленному (dst=destination) компьютеру, "dst=194.67.23.102".
Подключение было установлено с локального порта sport=3711 на удаленный dport=110.
Как нетрудно догадаться, это было соединение на внешний почтовый ящик mail.ru по протоколу POP3.
Рассмотрим другрй пример:
Цитата:
|
2005/10/27, 15:22:44.218, GMT +0400, 2010, Device 2, Blocked incoming UDP packet (no matching rule), src=195.209.225.152, dst=195.209.---.---, sport=1059, dport=53
|
Опять же, такого то числа, в такое то время, на устройстве #2 были ЗАБЛОКИРОВАНЫ (Blocked) входящие (incoming) пакеты по неустановленному правилу (no matching rule). Попытка соединения удаленного компьютера "src=195.209.225.152" к моему раутеру "dst=195.209.---.---", с локального (удаленного) порта "sport=1059" на порт получателя "dport=53".
Как тоже, надеюсь, понятно, какой-то дурик подумал что у меня наружу открыт ДНС-сервер.
Вот, вкартце, пояснил... если чего не понятно, спрашивай...
P.S. И не забывай! Этот фаерволл НЕ РАБОТАЕТ по приложениям! вся политика завязана на настройке правил по портам!!!
P.P.S. Исключений из правил довльно много, например, ICQ.
у нее "сервисный" порт, т.е. тот, на который твой клиент будет соединяться лежит во втором интервале. А именно - порт 5190.
Видимо, данная программа не заявлена в сетевой спецификации, и ей не разрешено использовать "сервисные" порты.
Скорее всего и со скайпом твоим тоже самое.
Выключи все что может пачкать в логах (т.е. все что может использовать интернет), и запусти свой skype-клиент.
Далее смотри в лог. Будут запрещаться исходящие соединения.
Смотришь, на какие удаленные (dport=...) порты они происходят. На всякий случай, встроенным в Виснетик whois-клиентом (1. Необходимо создать правило, разрешающее удаленное соединение на порт #43,
2. потом правой крысой по записи в логе - whois [ip], и далее тебе вылезет информация по компании, которой принадлежит данный айпи-адрес), проверяешь принадлежность данного айпи к сети skype, а потом строишь правило, в котором разрешаешь соединение по протоколу TCP, с локальных портов 1024-65536 на вычисленный тобой удаленный порт(ы).
Также, если уж совсем щепетильно подходить к настройке стены, можно указать диапазон удаленных айпи-адресов, на который возможно успешная обработка данного правила. Если используемых подсетей несколько, и они не перекрываются друг другом, необходимо будет составить несколько правил.
Но, как правило этого не требуется.