Как правильно запретить весь исходящий трафик,чтобы защитить свою сеть от доступа извне и оставить себе при этом доступ в интернет?

Question

[R O]

Делаю пока так: (правила в списке запрещать,всё не входящее в список разрешить)
1) все входящие по всем протоколам в любое время ,любая цель, диапазон моих локальных сетей ,настроенных в dhcp,запретить (с 1 по 65535 порт)
2)Также я сделать с исходящими не могу,что можно сделать для защиты от взлома,проникновения, несанкционированного доступа из сети? Может нужно закрыть определенные исходящие порты "уязвимые порты"

Answer 1

[CityCat4]

В таком случае обычно делается так:
- разрешаются порты, с которых идет нормальный рабочий трафик
- а все остальное запрещается

Проблема только в том, чтобы грамотно определить список этих самых портов.

Если у Вас не сервер, то все входящие, инициирующие соединения можно спокойно банить.

Comments

[R O]

Не сервер.
Какие порты нужно разрешить для нормальной работы интернета?

[CityCat4]

R O, 80, 443. Этого как правило достаточно. Но можно встрять с браузерными играми например - они зачастую поддерживают коннект с серверами на нестандартных портах.

[R O]

CityCat4, нужно 80, 443 открыть только исходящие? И чтобы tcp и udp оба были открыты?
И если нужен нестандартный порт (вдруг не работают игры, сериалы,ещё что-то) ,то какой порт (или несколько)можно открыть,чтобы это было Безопасно?

[R O]

CityCat4, ещё 53 порт нужно разрешить? Попробовав только 80 и 443 у меня ничего не работало. Всё верно?
Все протоколы нужно разрешать этих 3 портов? Это безопасно?

[CityCat4]

R O, да, 53 порт конечно

[CityCat4]

R O, У каждой игры свой порт, а то и несколько. Какие порты - обычно выясняют у саппорта игры.

[R O]

CityCat4, подскажите,пожалуйста. На счёт udp,tpc. Исходящие нужно разрешать через оба протокола? Вроде как udp ненадёжным считается..

[R O]

CityCat4, и ещё такой вопрос: у меня значит разрешены исходящие 80,443 и 53. Чтобы работал интернет. Вопрос: Можно ли эти порты ПОМЕНЯТЬ на другие,чтобы интернет работал (для того,чтобы порты были нестандартные и всякие хацкеры удаленно не использовали 443,53,80) ?

[CityCat4]

R O, DNS можно пускать только через TCP, остальному UDP не нужен. Порты поменять нельзя - потому что Вы обращаетесь на удаленные порты, которые открыты кем-то где-то. Порты исходящего трафика хацкеры использовать не могут.

[R O]

CityCat4, спасибо

[R O]

CityCat4, а какие ИСХОДЯЩИЕ порты можно закрыть? Чтобы работал интернет,впн?