Частичное ограничение доступа к ресурсам из Internet
 

Всем доброго дня! Кто подскажет решение проблемы...
Есть машина на базе 2000 Server, подключена по GPRS модему в инет. На машине установлено ПО, которое постоянно обменивается пакетами данных с несколькими веб-серверами (протокол точно не знаю, может http, может другое), а так же данное ПО предусматривает удаленное обновление и администрирование (т.е. на эту машину могут посылаться команды на обновление (скачка файлов, перезапись и прочее) в принципе как удаленное администрирование...)
Вопрос! Каким образом можно ограничеть доступ к этой машине из интернет, т.е. требуется оставить возможность обмена информацией (как в одну так и в другую сторону), но одновременно заблокировать возможность удаленного администрирования?
В самом ПО нельзя отключить возможность администрирования. Физического доступа к удаленным ресурсам (из которых можно администрировать данное ПО) не имею...
Может как-то настроить файрвол? Какой посоветуете? Как узнать по каким портам идет обновление, а по каким идет постоянный обмен данными?
Ребятки, помогите, очень нужно! Если есть вопросы - спрашивайте, я уточню то не понятно!

ЗАранее спасибо!

1 - а запускай ПО от имени ограниченной учётной записи. у пущай себе попробуют проадминить.) только этой ограниченной записи дай полный доступ на каталог ПО и в реестре ключики к ним тоже доступ можешь дать. из этого следует что админить из инета можно только это ПО. больше нечего - к остальным ресурсам доступа нет.)
1а- незабывай про резервное копирование.) на тот случай если всёже наадминят.)
2 - настрой фаервол. но для этого нужно знать точно по каким портам работает это самое ПО. в фаерволе указать что доступ к ним можно получить только с указанных адресов. и забей туда надёжные адреса. я так полагаю что это служба поддержки\обновления. если конечно ты им доверяешь. иначе этот способ неподойдёт.(
2а- узнать какие порты использует ПО можно так netstat -abn эта каманда покажит тебе все открытые порты и процессы их открывшие. выбери свой.

з.ы. что за ПО такое? может мне когда-нить пригодиться.)

Если бесплатный - wipfw, добавить правила, разрешающее доступ к портам по которым идет обмен данными с конкретных ip адресов, например
Вместо me можно ставить адрес сервера, вместо any внешние ip адреса. Подробнее можно почитать тут и тут
Как уже выше сказали, про порты netstat или ещё есть tcpview от sysinternals

wertyg спасибо большое все подробно описал!
Насчет первого способа - немножко не то что нужно, мне как раз-то именно к этому ПО нужно дать частичный доступ... что за ПО, никакого секрета нет. Есть платежный терминал (точка по приему платежей) работает под Win2000, в нем непосредственно ПО платежной системы, как раз которое и используется при приеме платежей. В инете - по жпрс.
Так вот, ПО проводит платежи (отправляет данные о платежах на биллинг платежной системы) и принимает (успешно или не успешно проведен платеж и т.д.) - вот эти операции надо разрешить.
Но так же админы платежной системы иногда обнавляют ПО (добавляют операторов и прочее... ) т.е. качается обновление и обновляется на системе непосредственно... вот эту возможность надо запретить.
Исходников ПО не имею. В ПО обновление никак не отключить.
Обмен пакетами с платежами и обновление всегда идет через разные ip адреса, диапозон достаточно широк... у них видимо несколько серверов и программа может связываться с любым.

Вот думаю с настройкой файрвола все должно помочь...

netstat -abn - эта команда показывает только те порты которые используются в данный момент как я понял. А если я не смогу уловить тот момент когда ПО обновляется и соответственно не увижу по какому порту произошло обновление...
Или нужно уловить по какому порту идут данные по платежам, и открытым держать только его?

Спасибо за ответ!

Pili ок, спасибо большое за конкретный совет! обязательно изучу этот файрвол! Вот кажется те строчки которые ты указал и есть прямое решение моей проблемы! :-)
Насчет портов, если я не смогу уловить тот момент когда произошло обновление и соответственно не увижу по какому порту оно было, есть ли какие-то лог-файлы где я могу это посмотреть,т.е. я увижу что обновление было, и потом где-то посмотреть какой порт использовался для передачи файлов мне на систему?

СПасибо!

Да, wipfw ведет логи, для этого в правиле достаточно указать
если все логировать:
а так будут вестись логи только заблокированных пакетов:
Или, если вести лог только определенных правил
Рекомендую для начала оставить 1-ый вариант и/или совмещать правила ведения логов

эта команда показывает все открытые(прослушиваемые) порты. порт для администрирования(оно проводиться через инет, тогда протокол должен быть TCP) должен быть всегда открыт. иначе на него нельзя будет заципиться и админить. так что ты его должен полюбому увидеть.

а вот это правильная мысль. если ты будешь держать открытими только нужные порты, остальные закроешь, то повысишь безопасность своей системе, что есть хорошо.)