Geser
21.09.2004, 21:27
Сейчас справедливо говорят, что для нормальной защиты компьютера обязательно нужен межсетевой экран (firewall)
Это в принципе верно. Однеко если ваша активность в Интернете сводится только к проверке почты и просмотру сайтов, а настройка firewall-а для вас что-то из области научной фантастики, то Вы можете довольно надёжно защитить свой компьютер от атак извне без всякого firewall-а.
Как это сделать?
Очень просто.
Правой кнопкой по My Network Places (Мое сетевое окружение) -> Properties (Свойства) -> правой кнопкой по Local Area Connection (Подключение по локальной сети) -> Properties (Свойства) -> уберите галочку у File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) -> щёлкните по НАДПИСИ Internet Protocol (TCP/IP) (Протокол Интернета (TCP/IP)) -> Properties (Свойства) -> Advanced (Дополнительно) -> Options (Параметры) -> щёлкните по TCP/IP filtering (Фильтрация TCP/IP) -> Properties (Свойства) -> пометьте в трёх колонках пункты Permit only (Только) -> в колонке TCP Ports (TCP-порты) нажимайте Add (Добавить) и добавляйте один за другим порты: 20, 21, 25, 80, 8080 и 110 -> Ok -> Ok -> Ok -> Ok. Машина попросится перезагрузиться и Вы, естественно, скажете ей ДА! Таким образом Вы закрываете все порты кроме нужных для Вас, и Ваш компьютер станет непробиваем снаружи.
Естественно что при таких настройках не работают P2P клиенты типа Казы и Мула, ICQ и другие программы для обмена сообщениями и т.д. Кое что можно настроить, а кое что - нет. Собственно, из-за ограничений данного метода защиты и созданы межсетевые экраны.
Примечание:
File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) отвечает за расшарку ресурсов в сети и, если Вы хотите иметь доступ к ресурсам машины через сеть, то этот пункт должен остаться помеченным.
Если у Вас есть локальная сеть - нужно установить протокол IPX/SPX на всех машинах - участниках сети.
- Поясню о портах, которые мы открыли:
80 или 8080 - это порт для HTTP сервиса, то есть, чтобы гулять по интернету, этого достаточно, так же этого достаточно и для HTTP сервера. Если Вы больше ничем не пользуетесь, то больше ничего и не открывайте.
20 и 21 - FTP клиент/сервер. Если Вы лазаете по FTP или предоставляете свою машину как FTP сервер - откройте эти порты. Хотя есть FTP сервера, работающие через другие порты. Это придётся настраивать отдельно, если понадобится.
25 и 110 - почтовый клиент, то есть POP3 и SMTP. Если Вы не пользуетесь почтовой программой, а получаете почту через HTTP сервис, например, заходите на сайт hotmail.com, то и эти порты можете не открывать.
Использованы отрывки из статьи Андрея Девейкина "Интернет-САМБО (самооборона без “оружия”)" http://www.donkeyhot.net/journal/no6/sambo.asp
Это в принципе верно. Однеко если ваша активность в Интернете сводится только к проверке почты и просмотру сайтов, а настройка firewall-а для вас что-то из области научной фантастики, то Вы можете довольно надёжно защитить свой компьютер от атак извне без всякого firewall-а.
Как это сделать?
Очень просто.
Правой кнопкой по My Network Places (Мое сетевое окружение) -> Properties (Свойства) -> правой кнопкой по Local Area Connection (Подключение по локальной сети) -> Properties (Свойства) -> уберите галочку у File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) -> щёлкните по НАДПИСИ Internet Protocol (TCP/IP) (Протокол Интернета (TCP/IP)) -> Properties (Свойства) -> Advanced (Дополнительно) -> Options (Параметры) -> щёлкните по TCP/IP filtering (Фильтрация TCP/IP) -> Properties (Свойства) -> пометьте в трёх колонках пункты Permit only (Только) -> в колонке TCP Ports (TCP-порты) нажимайте Add (Добавить) и добавляйте один за другим порты: 20, 21, 25, 80, 8080 и 110 -> Ok -> Ok -> Ok -> Ok. Машина попросится перезагрузиться и Вы, естественно, скажете ей ДА! Таким образом Вы закрываете все порты кроме нужных для Вас, и Ваш компьютер станет непробиваем снаружи.
Естественно что при таких настройках не работают P2P клиенты типа Казы и Мула, ICQ и другие программы для обмена сообщениями и т.д. Кое что можно настроить, а кое что - нет. Собственно, из-за ограничений данного метода защиты и созданы межсетевые экраны.
Примечание:
File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) отвечает за расшарку ресурсов в сети и, если Вы хотите иметь доступ к ресурсам машины через сеть, то этот пункт должен остаться помеченным.
Если у Вас есть локальная сеть - нужно установить протокол IPX/SPX на всех машинах - участниках сети.
- Поясню о портах, которые мы открыли:
80 или 8080 - это порт для HTTP сервиса, то есть, чтобы гулять по интернету, этого достаточно, так же этого достаточно и для HTTP сервера. Если Вы больше ничем не пользуетесь, то больше ничего и не открывайте.
20 и 21 - FTP клиент/сервер. Если Вы лазаете по FTP или предоставляете свою машину как FTP сервер - откройте эти порты. Хотя есть FTP сервера, работающие через другие порты. Это придётся настраивать отдельно, если понадобится.
25 и 110 - почтовый клиент, то есть POP3 и SMTP. Если Вы не пользуетесь почтовой программой, а получаете почту через HTTP сервис, например, заходите на сайт hotmail.com, то и эти порты можете не открывать.
Использованы отрывки из статьи Андрея Девейкина "Интернет-САМБО (самооборона без “оружия”)" http://www.donkeyhot.net/journal/no6/sambo.asp