Static packet filters на Windows 2003 Server
 

Решил составить небольшую памятку по настройке портов и протоколов на сервере. Возможно, будет полезна ещё кому-нибудь, кроме меня. На истину в последней инстанции не претендует; список портов составлен исходя из моих обычных потребностей. Поправки, комментарии, дополнения — welcome!

Итак, задача: защитить локальный интерфейс сервера на базе Win2k3 Srv от угроз с помощью стандартных средств. На машине работает VPN-сервер (через RRAS), поэтому нельзя использовать службу Windows Firewall / ICS. Basic Firewall с локальным интерфейсом тоже использовать нельзя (см. Basic Firewall, раздел Considerations when using Basic Firewall), поэтому используем static packet filters (Файл 24770, Файл 24769).

Предполагается, что данный сервер и все компьютеры, которые должны иметь к нему доступ через локальную сеть, находятся в подсети 192.168.33.0/24; в этой же подсети находится диапазон адресов для VPN-соединений.

1. DHCP-клиент

   Позволяют получать по DHCP IP-адреса для локального интерфейса и VPN-соединений (Файл 24771). Не нужны, если и для того, и для другого используются статические IP-адреса.

   • Inbound Filters:
     • Protocol: UDP; Destination port: 68
   • Outbound Filters:
     • Protocol: UDP; Destination port: 67
2. DHCP-сервер

   Позволяют раздавать IP-адреса по DHCP.

   • Inbound Filters:
     • Protocol: UDP; Destination port: 67
   • Outbound Filters:
     • Protocol: UDP; Destination port: 68
3. DNS-клиент

   Позволяют разрешать DNS-имена. Практически необходимо при работе в Интернете и в составе домена.

   • Inbound Filters:
     • Protocol: UDP; Source port: 53
     • Protocol: TCP; Source port: 53
   • Outbound Filters:
     • Protocol: UDP; Destination port: 53
     • Protocol: TCP; Destination port: 53

   По поводу открытия TCP-порта 53 см. Active Directory Replication over Firewalls.
   
4. Исходящий ping

   Позволяют проверять доступность других компьютеров посредством утилиты ping. Полезная вещь.

   • Inbound Filters:
     • Protocol: ICMP; ICMP type: 0; ICMP code: 0
   • Outbound Filters:
     • Protocol: ICMP; ICMP type: 8; ICMP code: 0
5. Входящий ping

   Позволяют проверять доступность этого компьютера посредством утилиты ping. Может быть нежелательно с точки зрения безопасности; с другой стороны, удобно.

   • Inbound Filters:
     • Protocol: ICMP; ICMP type: 8; ICMP code: 0
   • Outbound Filters:
     • Protocol: ICMP; ICMP type: 0; ICMP code: 0
6. Разрешение имён NetBIOS

   Обеспечивают корректную работу Сетевого окружения — в сочетании с фильтрами Общий доступ к файлам и принтерам (сервер), Общий доступ к файлам и принтерам (клиент), Active Directory.

   • Inbound Filters:
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 137; Destination port: 137
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 138; Destination port: 138
   • Outbound Filters:
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 137; Destination port: 137
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 138; Destination port: 138
7. Общий доступ к файлам и принтерам (сервер)

   Обеспечивают доступ к общим ресурсам этого компьютера.

   • Inbound Filters:
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 139
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 445
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 445
   • Outbound Filters:
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 139
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 445
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 445

   По моим наблюдениям, достаточно открыть только TCP-порт 445, однако, если верить Active Directory Replication over Firewalls, это не так. В открытии TCP-порта 139, полагаю, точно есть необходимость, если в сети есть клиенты pre-Windows 2000.
   
8. Общий доступ к файлам и принтерам (клиент)

   
   Обеспечивают доступ к общим ресурсам других компьютеров.

   • Inbound Filters:
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 139
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 445
     • Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 445
   • Outbound Filters:
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 139
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 445
     • Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 445

   См. примечание к набору фильтров Общий доступ к файлам и принтерам (сервер).
   
9. VPN-сервер

   Позволяют подключаться к этому VPN-серверу. На маршрутизаторе должна быть настроена переброска TCP-порта 1723 на этот компьютер.

   • Inbound Filters:
     • Protocol: TCP; Destination port: 1723
   • Outbound Filters:
     • Protocol: TCP; Source port: 1723
10. VPN-клиент

    Позволяют подключаться к другим VPN-серверам.

    • Inbound Filters:
      • Protocol: TCP; Source port: 1723
      • Protocol: Other; Protocol number: 47
    • Outbound Filters:
      • Protocol: TCP; Destination port: 1723
      • Protocol: Other; Protocol number: 47
11. HTTP-клиент

    • Inbound Filters:
      • Protocol: TCP; Source port: 80
      • Protocol: TCP; Source port: 8080
    • Outbound Filters:
      • Protocol: TCP; Destination port: 80
      • Protocol: TCP; Destination port: 8080

    Порт 8080 используется, в частности, для доступа к веб-интерфейсам устройств и для авторизации на некоторых сайтах (http://ifolder.ru).
12. HTTPS-клиент

    • Inbound Filters:
      • Protocol: TCP; Source port: 443
    • Outbound Filters:
      • Protocol: TCP; Destination port: 443
13. FTP-клиент

    • Inbound Filters:
      • Protocol: TCP; Source port: 20
      • Protocol: TCP; Source port: 21
    • Outbound Filters:
      • Protocol: TCP; Destination port: 20
      • Protocol: TCP; Destination port: 21

    Вероятно, открывать эти порты бесполезно - работать FTP-протокол со static packet filters все равно не будет, т. к. требуется дополнительное соединение по порту, сообщаемому сервером.
14. SMTP-клиент

    Позволяют почтовым клиентам отправлять почту по SMTP.

    • Inbound Filters:
      • Protocol: TCP; Source port: 25
    • Outbound Filters:
      • Protocol: TCP; Destination port: 25
15. POP3-клиент

    Позволяют почтовым клиентам принимать почту по POP3. Обычная схема работы.

    • Inbound Filters:
      • Protocol: TCP; Source port: 110
    • Outbound Filters:
      • Protocol: TCP; Destination port: 110
16. IMAP-клиент

    Позволяют почтовым клиентам принимать почту по IMAP. Лично мне этот порт понадобился лишь однажды.

    • Inbound Filters:
      • Protocol: TCP; Source port: 143
    • Outbound Filters:
      • Protocol: TCP; Destination port: 143
17. NTP-клиент

    Позволяют обновлять показания часов из Интернета. Удобно.

    • Inbound Filters:
      • Protocol: UDP; Source port: 123; Destination port: 123
    • Outbound Filters:
      • Protocol: UDP; Source port: 123; Destination port: 123
18. ICQ

    Позволяют работать ICQ (и клонам) "родным" способом.

    • Inbound Filters:
      • Protocol: TCP; Source port: 5190
    • Outbound Filters:
      • Protocol: TCP; Destination port: 5190
19. RDC-клиент

    Позволяют подключаться с этого компьютера к другим через Remote Desktop Connection. С серверами обычно более актуальна противоположная задача. Если, конечно, сервер не является одновременно рабочей машиной сисадмина.

    • Inbound Filters:
      • Protocol: TCP; Source port: 3389
    • Outbound Filters:
      • Protocol: TCP; Destination port: 3389
20. RDC-сервер

    Позволяют подключаться с других компьютеров к этому через Remote Desktop Connection. Распространённый способ удалённого управления серверами.

    • Inbound Filters:
      • Protocol: TCP; Destination port: 3389
    • Outbound Filters:
      • Protocol: TCP; Source port: 3389

    Если после экспериментов со static packet filters к серверу невозможно подключиться по VPN, RDC может оказаться спасательным кругом — если, конечно, заранее настроить переброску TCP-порта 3389 на сервер или, по крайней мере, обеспечить доступ к маршрутизатору из Интернета.
    
21. DNS-сервер

    Позволяют принимать запросы на разрешение DNS-имен и отвечать на них. Необходимы, если на компьютере поднят DNS-сервер.

    • Inbound Filters:
      1. Protocol: UDP; Destination port: 53
      2. Protocol: TCP; Destination port: 53
    • Outbound Filters:
      1. Protocol: UDP; Source port: 53
      2. Protocol: TCP; Source port: 53

    По поводу открытия TCP-порта 53 см. Active Directory Replication over Firewalls.
    
22. Active Directory

    Обеспечивают функционирование контроллера домена Active Directory (в т. ч. репликацию, хотя в этой части ещё не тестировал). Наборы inbound- и outbound-фильтров идентичны.

    • Inbound Filters / Outbound Filters:
      1. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 88
      2. Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 88
      3. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 88
      4. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 88
      5. Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 135
      6. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 135
      7. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 135
      8. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 135
      9. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 48152
      10. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 48152
      11. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 48153
      12. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 48153
      13. Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 389
      14. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 389
      15. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 389
      16. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 389
      17. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 636
      18. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 636
      19. Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 3268
      20. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 3268
      21. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 3269
      22. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 3269
      23. Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 1512
      24. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 1512
      25. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 1512
      26. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 1512
      27. Source network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Destination port: 42
      28. Source network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Destination port: 42
      29. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: TCP; Source port: 42
      30. Destination network: 192.168.33.0 / 255.255.255.0; Protocol: UDP; Source port: 42

    Фильтр 1 нужен для работы протокола Kerberos, конкретно - для получения с любой машины домена списка расшаренных (общих) ресурсов других машин домена.
    Фильтр 2 нужен для работы протокола Kerberos, конкретно - для нормальной регистрации на машине под доменным пользователем: при отсутствии процесс логина занимает 5-10 минут (отмечу, что из 8 рабочих станций подопытного домена это наблюдалось только на одной, хотя, по идее, должно было на всех).
    Фильтры 5-8 нужны для работы RPC endpoint mapper, работают только вместе с фильтрами 9-12 после добавления в реестр на всех контроллерах домена следующих данных:

    Код:

    ---

    REGEDIT4

;0000bc18 и 0000bc19 - 16-ричные эквиваленты 48152 и 48153, их можно заменить на другие значения в диапазоне от 1024 до 65535, изменив, естественно, и значения в фильтрах 9-12.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"TCP/IP Port"=dword:0000bc18

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters]
"RPC TCP/IP Port Assignment"=dword:0000bc19

    ---

    В целом данный набор фильтров содержит, очевидно, излишества, однако копаться дальше в этом вопросе я посчитал нецелесообразным. Подробнее см. Active Directory Replication over Firewalls.
    
23. DrWeb Enterprise Suite 5 и выше

    Обеспечивают функционирование DrWeb Enterprise Server версии 5 (и выше) на этой машине. Наборы inbound- и outbound-фильтров идентичны.

    • Inbound Filters / Outbound Filters:
      • Protocol: TCP; Destination port: 2193
      • Protocol: UDP; Destination port: 2193
      • Protocol: TCP; Source port: 2193
      • Protocol: UDP; Source port: 2193
24. DrWeb Enterprise Suite 4

    Обеспечивают функционирование DrWeb Enterprise Server версии 4 на этой машине. Наборы inbound- и outbound-фильтров идентичны.

    • Inbound Filters / Outbound Filters:
      • Protocol: TCP; Destination port: 2371
      • Protocol: UDP; Destination port: 2371
      • Protocol: TCP; Source port: 2371
      • Protocol: UDP; Source port: 2371
25. uTorrent

    Позволяют полноценно функционировать торрент-клиенту uTorrent v2.2.21738 с настройками:

    Код:

    ---

    incoming port = 45202
net.outgoing_port = 45203
net.outgoing_max_port =45210

    ---

    На маршрутизаторе должна быть настроена переброска TCP/UDP-порта 45202 на этот сервер.

    • Inbound Filters:
      1. Protocol: TCP; Source port: 45203
      2. Protocol: TCP; Source port: 45204
      3. Protocol: TCP; Source port: 45205
      4. Protocol: TCP; Source port: 45206
      5. Protocol: TCP; Source port: 45207
      6. Protocol: TCP; Source port: 45208
      7. Protocol: TCP; Source port: 45209
      8. Protocol: TCP; Source port: 45210
      9. Protocol: TCP; Destination port: 45202
      10. Protocol: UDP; Destination port: 45202
      11. Protocol: ICMP; ICMP Type: 3; ICMP Code: 0
      12. Protocol: ICMP; ICMP Type: 3; ICMP Code: 1
      13. Protocol: ICMP; ICMP Type: 3; ICMP Code: 2
      14. Protocol: ICMP; ICMP Type: 3; ICMP Code: 3
      15. Protocol: ICMP; ICMP Type: 3; ICMP Code: 5
      16. Protocol: ICMP; ICMP Type: 3; ICMP Code: 6
      17. Protocol: ICMP; ICMP Type: 3; ICMP Code: 7
      18. Protocol: ICMP; ICMP Type: 3; ICMP Code: 8
      19. Protocol: ICMP; ICMP Type: 3; ICMP Code: 9
      20. Protocol: ICMP; ICMP Type: 3; ICMP Code: 10
      21. Protocol: ICMP; ICMP Type: 3; ICMP Code: 11
      22. Protocol: ICMP; ICMP Type: 3; ICMP Code: 12
      23. Protocol: ICMP; ICMP Type: 3; ICMP Code: 13
    • Outbound Filters:
      1. Protocol: TCP; Destination port: 45203
      2. Protocol: TCP; Destination port: 45204
      3. Protocol: TCP; Destination port: 45205
      4. Protocol: TCP; Destination port: 45206
      5. Protocol: TCP; Destination port: 45207
      6. Protocol: TCP; Destination port: 45208
      7. Protocol: TCP; Destination port: 45209
      8. Protocol: TCP; Destination port: 45210
      9. Protocol: TCP; Source port: 45202
      10. Protocol: UDP; Source port: 45202
      11. Protocol: ICMP; ICMP Type: 3; ICMP Code: 0
      12. Protocol: ICMP; ICMP Type: 3; ICMP Code: 1
      13. Protocol: ICMP; ICMP Type: 3; ICMP Code: 2
      14. Protocol: ICMP; ICMP Type: 3; ICMP Code: 3
      15. Protocol: ICMP; ICMP Type: 3; ICMP Code: 5
      16. Protocol: ICMP; ICMP Type: 3; ICMP Code: 6
      17. Protocol: ICMP; ICMP Type: 3; ICMP Code: 7
      18. Protocol: ICMP; ICMP Type: 3; ICMP Code: 8
      19. Protocol: ICMP; ICMP Type: 3; ICMP Code: 9
      20. Protocol: ICMP; ICMP Type: 3; ICMP Code: 10
      21. Protocol: ICMP; ICMP Type: 3; ICMP Code: 11
      22. Protocol: ICMP; ICMP Type: 3; ICMP Code: 12
      23. Protocol: ICMP; ICMP Type: 3; ICMP Code: 13

    Подробнее см. uTorrent and static packet filters.
    
26. NetHASP LM (клиент)

    Позволяют "видеть" HASP-ключи — установленные как на других машинах сети, так и локально.

    • Inbound Filters:
      • Protocol: UDP; Source port: 475
    • Outbound Filters:
      • Protocol: UDP; Destination port: 475

    Номер
27. NetHASP LM (сервер)

    Позволяют сделать установленные на этом сервере HASP-ключи видимыми с других машин сети.

    • Inbound Filters:
      • Protocol: UDP; Destination port: 475
    • Outbound Filters:
      • Protocol: UDP; Source port: 475

    Номер порта может быть другим — см. C:\Program Files\Aladdin\HASP LM\nhsrv.ini.
    
28. Система лицензирования БИТ (клиент)

    Позволяют подключаться к серверу лицензий БИТ.

    • Inbound Filters:
      • Protocol: TCP; Source port: 10500
      • Protocol: UDP; Source port: 10500
    • Outbound Filters:
      • Protocol: TCP; Destination port: 10500
      • Protocol: UDP; Destination port: 10500
29. Система лицензирования БИТ (сервер)

    Позволяют функционировать серверу лицензий БИТ.

    • Inbound Filters:
      • Protocol: TCP; Destination port: 10500
      • Protocol: UDP; Destination port: 10500
    • Outbound Filters:
      • Protocol: TCP; Source port: 10500
      • Protocol: UDP; Source port: 10500

Microsoft, по своему обыкновению, приложила все усилия, чтобы сделать настройку static packet filters по возможности более неудобной — нельзя изменить порядок фильтров, дать комментарии к фильтрам, изменить размер окна с фильтрами, сохранить введённые фильтры без их немедленного применения... В общем, много чего нельзя. Вот несколько хитростей, которые могут облегчить вам жизнь:

• Первым делом добавьте в список фильтр, разрешающий всё (не забудьте выбрать радиокнопку Drop all packets except those that meet the criteria below — по умолчанию выбрана другая). При наличии такого фильтра остальные никакого действия оказывать не будут. Удалите его после завершения настройки и повторной проверки всех фильтров.
• В окне фильтров дважды щёлкните по правой границе каждой колонки. После этого в окне будет умещаться вся информация из всех колонок.
• Постарайтесь минимизировать применения изменений - не надо жать Apply после ввода каждой записи, это не лучшим образом сказывается на стабильности системы: пакеты могут не идти при правильно настроенных фильтрах. В такой ситуации обычно помогает перезапуск RRAS, но иногда может потребоваться и перезагрузка сервера. При удаленной работе перед экспериментами рекомендую ввести в консоли shutdown /r /t 600 /f, а по окончании — shutdown /a. Возможно, это избавит вас от внеочередного визита в офис.

Большое спасибо

t1nkoff, благодарю за благодарность :), однако хочу предупредить: там не всё правильно, надо добавить ещё кое-какие фильтры, иначе нормально не будет работать Active Directory и NetBIOS. К сожалению, сейчас абсолютно времени нет, надеюсь добраться до тестовой сети в ближайшие дни. Обязательно внесу исправления. Пока же этот список как 100%-ное руководство к действию, увы, рекомендовать не могу.

По результатам последней правки получилась относительно работоспособная совокупность фильтров. Относительно - потому что есть по крайней мере два тонких момента:

1. Тестирование производилось в домене с одним контроллером - если контроллеров несколько, наверняка потребуется открыть дополнительные порты.
2. Есть проблемы с перенаправлением папок, точнее, с синхронизацией автономных файлов на одной из машин. Если открыть все TCP-порты, проблемы исчезают.

Исследования продолжаются.

Raistlin, я не совсем понял, что такое "порт 0" ?

exo, это значит "any". Т. е. в фильтре ставишь 0, а в списке потом видишь "any".

Помогите в настройке VPN клиента CISCO не находит по DNS сервер.