Можно ли заменить стандартные исходящие порты 80,53,443 на другие?

Question

[R O]

В настройках роутера нужно закрыть все порты,но чтобы интернет работал. Включаю контроль доступа. Разрешаю исходящие 80,443 и 53 порт. (Всё остальное -запрещено).
Вопрос в чём: Можно ли стандартные исходящие 80,443 и 53 заменить на нестандартные порты (если да,то какие?) ,(для безопасности своей сети) и чтобы интернет работал?

Answer 1

[Ziptar]

Послушай, уважаемый, ты не тем занимаешься. Во-первых, интернет, на усреднённом роутере на базе лини, мало связан с доступом к роутеру и доступом роутера куда-либо. Цепочка forward не пересекается с цепочками input и output. Кроме того, само оперирование понятиями "входящие" и "исходящие" требует осознания того, к чему ты эти понятия применяешь - к пакетам, или к соединениям, потому что это разные вещи, и на разных роутерах эти разные вещи могут называться одинаково.
Что касается "можно ли заменить" - да, принципиально можно. Да, на большинстве роутеров можно. Нет, не на всех роутерах это можно сделать предусмотренным производителем путём. И интернет тут, как правило, вообще ни при чём. Но самое главное - это не нужно. Безопасности это не добавляет.

Comments

[R O]

Кому не нужно? Вам? Может если я задаю такой вопрос,значит возникла необходимость? Кому не нужно,об этом париться не будет.

[Ziptar]

R O, я повторяю: безопасности это не добавляет.

[R O]

Хоть пакеты,хоть соединения. Чтоб ничего не лезло из интернета. Судя по всему,именно через эти порты ко мне подключается один чел из интернета. Сначала,вроде как,удаленно заражает, потом от меня по исходящим ему пакеты летят.

[R O]

Yokaze, это всегда успеется))

[Ziptar]

R O, а вот не "хоть". Если ты оперируешь соединениями, то на исходящие с 80 и 443 закрывать нет вообще никакого смысла, поскольку на входящие соединения и ответы на них это никак не повлияет. Кроме того, для http и https соединений исходящие порты, как правило, из динамического диапазона, а не 80 и 443. Надо закрывать на входящие соединения, причём со стороны только WAN, если не хочешь лишиться доступа к роутеру из локалки.
53 на исходящие соединения трогать не просто бесполезно, а при стандартной конфигурации - выстрел себе в ногу, ибо сам себе блокируешь днс-запросы на внешку.
И не надо ничего никуда менять, надо просто закрыть фаерволом входящие соединения со стороны WAN. И не будет проблем.

[mayton2019]

R O,

Чтоб ничего не лезло из интернета.

смотри. Во первыйх ты закрываешь не то и не там. А во вторых с точки зрения современной
инфо-безопасности закрытия портов уже недостаточно чтобы считать работу безопасной.
Векторы атаки - более сложные. Например если ты читаешь почту - то уже фактически
можешь быть атакован и ниакакие порты на это не повлияют.

Твое желание закрыть хоть что нибудь или как-нибудь - граничит с бесполезной активностью.
Ты лучше разберись как ты первый раз был заражен. Проведи расследование. Потом создай
условия на учебной машине. Разберись что за пакеты потом от тебя летят. Какое приложение
или процесс это делает. Что внутри этих пакетов. Короче займись анализом причин смерти.

После этого - придумай что делать дальше.

[Ziptar]

mayton2019, прошу отдельно отметить тот момент, что "недостаточно" не равно "необязательно", потому что обязательно. Во избежание...

[mayton2019]

Yokaze, это вот к автору вопрос.

Answer 2

[CityCat4]

Нет. Потому что эти порты открыты не тобой :) Это кто-то где-то открыл порты, а ты просто знаешь их номер. И если ты их не откроешь, то ты просто не попадешь туда, но от этого тому, кто их открыл - ни жарко, ни холодно, пофиг ему.

Answer 3

[Saboteur]

1. ты похоже не понимаешь что ты делаешь и зачем, и как именно работает сеть
2. прикол в том, что это не исходящие, а входящие порты. Зачем ты их открываешь/закрываешь на своем роутере - непонятно.
3. все порты можно поменять, но не там, где это делаешь ты. И смысла в этом нет. Ты даже не понимаешь зачем закрывают порты.

p.s. не занимайся глупостями. Пароль на роутере должен быть непростым и биос свежим.

Comments

[R O]

Действительно. Ну зачем закрывать входящие особенно. Просто пароли нужно поменять. Все проблемы всегда в паролях. Что бы ни случилось, меняйте пароли и вас никто не взломает, удаленно к вам не подключится. Пароли!

[Станислав Макаров]

@Irven76

Можно ли стандартные исходящие 80,443 и 53 заменить на нестандартные порты (если да,то какие?)

Как ты себе это представляешь? Пойти к Гуглу, Яндексу и Ф**буку и попросить их слушать специально для тебя порт 3443 специально чтобы ты мог подключиться?

[Saboteur]

R O,

Действительно. Ну зачем закрывать входящие особенно.

Скажи, у тебя стоит браузер или сервер?
Ты понимаешь, в какую сторону смотрит "ВХОДЯЩИЙ" порт?
Подсказка: сервер к тебе бегает, или ты ходишь на сервер?

P.S. Тебе уже несколько человек сказали, что ты неправильно понимаешь как работает сеть.
Вместо того, чтобы огрызаться, либо просто делай как советуют, либо изучи работу сетей на базовом уровне.

Answer 4

[Владимир Коротенко]

Маленькая скучная лекция почему раньше было плохо и кто это все испортил.
итак изменить порт вы можете, но для домашнего роутера, все они должны быть закрыты.
Кроме того так как адресов 4 версии всего лишь 4 миллиарда, то их не хватает и за одним адресом сидят десятки а то и сотни людей.
Так что для вас без разницы открыт или закрыт порт все равно на него ни кто не достучится.
Единственное что нужно открывать для домашнего пользователя это мультикастинг

Answer 5

[Drno]

На домашнем роутере при стандартной заводской настройке входящие соединения обычно закрыты.

Исходящие - это доступ к веб. 80,443 - http протокол, 53 днс.
Закроешь их на исходящие - сломаешь себе инет

Comments

[Владимир Коротенко]

с чего бы это?
исходящие разрешены а вот входящие не зачем

[R O]

По-моему, там ничего "по-умолчанию" не закрыто. Скорее открыто всё. И надо закрывать лишнее.

[Drno]

R O, на домашних роутерах все входящие по умолчанию закрыты

Вы не там ищите проблему

[Drno]

Владимир Коротенко, прочитайте внимательнее)

Answer 6

[Griboks]

Конечно можно. В роутерах есть настройка nat. Там можно задать соответствие между параметрами всех пакетов, которые поступают на роутер: src ip, src port, protocol, dst ip, dst port. Проблема только в том, что придётся обучать всё ПО работать через нестандартные порты.

Comments

[Владимир Коротенко]

mstsk 192.168.1.1:3388
в чем сложность?

[Griboks]

Владимир Коротенко, ну, если блокировать все порты на роутере, а затем опять открыть их на компе, то это будет бесполезная трата времени.