[king83]

wertyg спасибо большое все подробно описал!
Насчет первого способа - немножко не то что нужно, мне как раз-то именно к этому ПО нужно дать частичный доступ... что за ПО, никакого секрета нет. Есть платежный терминал (точка по приему платежей) работает под Win2000, в нем непосредственно ПО платежной системы, как раз которое и используется при приеме платежей. В инете - по жпрс.
Так вот, ПО проводит платежи (отправляет данные о платежах на биллинг платежной системы) и принимает (успешно или не успешно проведен платеж и т.д.) - вот эти операции надо разрешить.
Но так же админы платежной системы иногда обнавляют ПО (добавляют операторов и прочее... ) т.е. качается обновление и обновляется на системе непосредственно... вот эту возможность надо запретить.
Исходников ПО не имею. В ПО обновление никак не отключить.
Обмен пакетами с платежами и обновление всегда идет через разные ip адреса, диапозон достаточно широк... у них видимо несколько серверов и программа может связываться с любым.

Вот думаю с настройкой файрвола все должно помочь...

netstat -abn - эта команда показывает только те порты которые используются в данный момент как я понял. А если я не смогу уловить тот момент когда ПО обновляется и соответственно не увижу по какому порту произошло обновление...
Или нужно уловить по какому порту идут данные по платежам, и открытым держать только его?

Спасибо за ответ!

Pili ок, спасибо большое за конкретный совет! обязательно изучу этот файрвол! Вот кажется те строчки которые ты указал и есть прямое решение моей проблемы! :-)
Насчет портов, если я не смогу уловить тот момент когда произошло обновление и соответственно не увижу по какому порту оно было, есть ли какие-то лог-файлы где я могу это посмотреть,т.е. я увижу что обновление было, и потом где-то посмотреть какой порт использовался для передачи файлов мне на систему?

СПасибо!