Блокирование портов в домене
 

В общем нужно заблокировать работу компьютеров в сети по некому порту например UDP 32432, по которому работают некоторые сетевые программы, чаты, игры и пр. Вот пробовал через фильтрацию TCP/IP в настройках. ПРоблема в том что там можно разрешить только некоторые порты а остальные отключаются, а как сделать наоборот: отключить работу по одному порту а чтобы все остальные по прежнему работали. Брандмауэр виндовс тоже мало устраивает. может есть какие нибудь сторонние программы для этого?

babki, мой вариант - установка на пути интернет трафика машины под FreeBSD и настройка там файерволла. Для windows есть много файерволлов, но бесплатные работают не очень хорошо, а платные... ну, они платные :) (например, Kerio Winroute & Firewall)

Вы меня не совсем правильно поняли: нужно блокировать не интернет трафик, а трафик между локальными компьютерами в локальной сети. Сформулирую вопрос по другому: как? чем? у комьпютеров , входящих в домен можно блокировать на каждой машине порт UDP 32432 или иной другой? может есть какая ниибудь маленькая программка- служба, которую не убъешь без знания пароля администратора?

WinRoute
Вертеть как хочешь можно. И локально тоже.
Бывает несовместимость с WinXp - в безопасном режиме отключи - не судьба значит. С WinXP SP1 кажется проблема. Давно было.
При первой перезагрузке по-умолчанию блокирует всё.

так и есть не работает winXP SP2 =(

посмотрите Core Force
А еще вроде TMeter это умеет

babki, можно на каждой машине поставить Comodo Firewall, например.

Хорошо, все это сложно, ищу более простое решение: кто может подсказать какие UDP порты используются при работе компьютеров в домене, которые нужно оставить для правильной работы?
123,389, ????,???? еще какие?

babki,
netstat -a
windump
на ДК, включаешь ХР, и мотишь орты на ДК.
с помощью GPO запрети их использование.

Неправильный у Вас подход к администрированию, чем Вас не устраивает Брандмауэр Windows? С помощью него и групповых политик можно разом выставить те или иные блокировки портов на машинах пользователей.

Не силен я пока в этом. вот и мучась..Брандмауэр отключен на рабочих станциях. Вот бы где достать пошаговую инструкцию по его включению и настройке чеез ГПО. И по моему у него нет блокирования портов, а блокируется только некая определенная программа..

Идешь в ГП там (по памяти) Конфигурация компьютера -> Административные шаблоны - > Сеть - > Сетевые подключения - > Брандмауэр Windows включаешь "Защита всех подключений" чтоб пользователи его не могли рубануть (не забудь и службу через политики настроить соответствующим образом) далее в комментариях к параметрам все написано.

P.S. Вобще нужно начинать с того, что права администратора должны быть только у администратора чтоб, юзеры твои не могли устанавливать те же чаты, игры или ещё чего там. К стати порты в сетевых чатах можно менять, будешь за каждым портом бегать?

В том то и дело что чат работает без установки... права админа для него не нужны...

Для этого есть групповая политика домена - запрет запуска определенных указанных программ(как по имени, так и по сигнатуре файла). На форуме есть ветка про это.

Запуск по имени - я пробовал сделать, хитрый пользователь обошел этот запрет за 1 день.. а про сигнатуру можно по подробнее...

http://forum.oszone.net/post-878846.html
Пост №6

почитал, спасибо! но особенно понравилось изменение файла "руками изменить надпись "This program cannot be run in DOS mode.", главное, не изменить ее длину. Можно изменить сигнатуру EXE 'MZ' на 'ZM', можно изменить указатели на минимальный и максимальный объем памяти и т.п. Можно и в PE-заголовке покопаться, там много зарезервированных полей". Интересно через какой период местные юзеры - хакеры обойдут это хеширование. Но все равно спасибо!
ЗЫ. Юбилейное 300 сообщение! с Юбилеем меня!

Таких пользователей надо отключать и на ковер к начальству. имхо лучший способ защиты.