Jaké porty povolit pro Windows 7?

Diskuze výhradně o operačním systému Windows 7

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod martinbb 25. 2. 2019 09:46

Dobrý den,
Situace: hobby radioamaterská přijímací stanice pro vzdálený příjem AM stanic z různých zemí celého světa a s dálkovým ovládáním přes internet. Její součástí je i PC s Windows 7 na kterém běží několik SDR přijímačů (v režimu server - klient). Rozhodl jsem se serverové aplikace pro SDR přijímače provozovat na čisté instalaci Win 7 SP1, pouze s doinstalovanými potřebnými doplňky (Microsoft Visual c++ 2010) a některými dalšími programy. Bez aktualizací a zanášení systému dalšími nepotřebnými programy. Otázka je, jaké povolit porty na routeru pro provoz takového systému? Extrém byl povolit pouze porty na kterých běží SDR přijímače, port pro VNC a to všechno ještě jenom na WAN IP adresy odkud se já sám vzdáleně připojuji. Do širokého internetu pak PC přístup neměl. Jenomže jsem si všiml, že takto nejdou synchronizovat ani třeba hodiny, zkusil jsem povolit tedy ještě port 123, jenomže to také nepomohlo, zřejmě je pro hodiny potřeba ještě i něco dalšího (80?). Momentálně je nastavení: porty 0-124 přístup do širokého internetu, porty 124 až 65534 pouze na moje WAN IP (koncová zařízení do kterých se připojuji běží na portech 8000 a výš). Otázka je, jaké porty z vnitřní IP tohoto PC na routeru povolit do širokého internetu, tak aby Win 7 nějak rozumně a bez chyb běžel (nevím kam všude má potřebu se připojovat) a hlavně aby to bylo bezpečné? Opravdu je nutný i port 80? Na web se z tohoto PC samozřejmě nikam nepoleze.
Děkuji.
martinbb
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 25. 2. 2019 12:14

Pozor na to, ze protokol NTP (synchronizace hodin) potrebuje primarne port 123 ale na UDP. Tys predpokladam povolil TCP.

Nic jineho bys potrebovat nemel.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod hunter21 25. 2. 2019 13:37

Ako rádioamatér mám k tomu jednu poznámku. Je to fajnová vec ak to má odpovedajúcu anténu a optimálne QTH. Ja používam klasickú rádiostanicu s anténou 5/8 lambda a 12 radiálmi na 5m stožiari vo výške 4 posch. domu a ani tak to nieje bohvie čo. Kamarát má podobnú výbavu na 12 posch. dome a funguje mu to omnoho lepšie, ale nie preto, že to má na 12 poch baráku, ale preto lebo je blízko vodnej hladiny, ktorá odráža signály z veľkej dialky. Jeho spojenia sú fakt úžasné. Z Bratislavy bežne robí spojenia s ľuďmi, ktorí sa dohadujú ručnými stanicami vo Vysokých tatrách pod lanovkou na smerom Lomnický štít.
hunter21
Pokročilý

Odeslat příspěvekod martinbb 25. 2. 2019 14:10

Díky za odpovědi... no právě, že jsem povolil oba, UDP i TCP... na UDP jsem zvyklý kvůli SDR přijímači Perseus:-) a mám pocit, že se nechtěly srovnat ani hodiny na Raspberry Pi (mám tam dva tyto mikropočítače kvůli přepínání antén), srovnalo se to až když jsem na routeru pustil ten rozsah 0-124, tak jsem si říkal, že tam je potřeba ještě asi něco jiného?? Ale nemohu to dohledat... Navíc co se týče Raspberry, tak pokud bylo přiškrcené (povoleny jenom porty na kterých běží webová ovládací stránka a SSH), tak měly strašně pomalou odezvu v načítání té stránky, to je také divné....

pro hunter21:
jsem za to, že to mohu mít na od bydliště vzdáleném, nezarušeném QTH tolik rád... sice technika je v outdoor Racku a něco stojí temperování skříně v zimě, provoz prodražuje např. i to, že je nutné používat jenom lineární, nikoliv spínané napájecí zdroje apod... ale rádiově je to výborné..to by doma ve městě kvůli rušení nešlo... na té zahradě je prostor pro velké AM antény a hlavně klid... Teď v zimě bylo několik pěkných úlovků - mezi nimi např. slabé, regionální středovlnné stanice z jižní i severní Ameriky a tak....
martinbb
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 25. 2. 2019 14:21

Na NTP je potreba pouze port 123. Ale vetsinou pristupujes na NTP server podle jmena, ktere musis nejdriv prelozit na IP adresu. Takze potrebujes i DNS (port 53/UDP) - na ten jsem predtim zapomnel, omlouvam se.

Kdyz bys to sveho NTP klienta zadal IP adresy NTP serveru (na RPi trivialni, na Windows nevim), tak se bez portu 53 obejdes.

EDIT: " tak měly strašně pomalou odezvu v načítání té stránky, to je také divné" - za to pravdepodobne muze to DNS.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod hunter21 25. 2. 2019 15:20

Tak iste, odpovedajúce QTH umožní veľa vecí. Robil som s týmito SDR hračkami niekoľko rokov dozadu, ale moc ma to nepresvedčilo. Bolo to horšie ako moja rádiostanica a to mám starú 25 ročnú šunku Yaesu FT-757 GX II. Mal som požičané profesionálne SDR-ko IC-R8600. Perfektná vec, len tá cena sa mi moc nepáčila.
hunter21
Pokročilý

Odeslat příspěvekod martinbb 25. 2. 2019 17:01

To JirkaVejrazka: děkuji moc, vyzkouším, zřejmě to bude ono.

To hunter21: Tak ono záleží i na provozu, kterému se věnujete.. u SDR je velkou bolestí rušení, musí se to prostě zapojit / celé navrhnout tak, aby se eliminovaly zemní smyčky, neuzavíraly se rušivé proudy z výpočetní techniky přes anténu atd..atd.. celý ten návrh je hodně složitý a nesmí se nic opomenout...opravdu to není na týdenní / měsíční vyzkoušení a "hraní":-) navíc spousta SDR hračkami opravdu jsou - např. výrobky založené na RTL2832, to vůbec neberu. Kvalitní SDR přijímač je potřeba samozřejmě i zaplatit. Potom je to úplně někde jinde, než starý analogový přijímač. Dále existuje obor tzv. ofsetový DXing (ofsetový dálkový příjem), zde probíhá identifikace velice slabých a velice vzdálených vysílačů podle toho o kolik Hz je ujetá nosná vlna na kanálu, kde je několik stanic najednou a není slyšet modulace zrovna té slabé stanice. To jinak než bez zvětšení na monitoru a bez SDR nejde... ale to by bylo na další diskuzi mimo téma:-)
Každopádně díky za reakce...
martinbb
Kolemjdoucí

Odeslat příspěvekod soban 25. 2. 2019 19:27

Přesně DNS potřebuješ.

A pokud tam máš router a blokuješ odchozí spojení tak z vnitřní sítě pakety odmítej (pak se nečeká na timeout sítě) ale pakety z wan defaultně zahazuj.

Windows dost komunikují do internetu a pokud odchozí pakety zahodíš čeká se na timeout a to je klidně dokáže hodně spomalit.

Tak stejně podle mě na RPI kdy se to asi zaseklo na DNS.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod martinbb 26. 2. 2019 10:37

Díky za reakce, jenom upřesním, je to jednoduchý router, který je umístěn za routerem (nějakým Mikrotikem poskytovatele), původní záměr byl, abych si tam mohl udělat svoji vlastní vnitřní síť, oddělenou od routeru poskytovatele, do kterého já nemám přístup. Za routerem je optika vedoucí v zemi do racku a v racku už je jenom switch. Veřejnou IP má router poskytovatele, na něm jsou určité porty pro koncová zařízení přesměrovány na WAN IP adresu mého routeru a na něm jsem potom tyto porty nasměroval na jednotlivé IP adresy vnitřní sítě přijímací stanice. Omlouvám se za možná nepřesný popis, možná krkolomné řešení, síťařině zase tolik nerozumím. Původně (pár let zpátky) to bylo všechno otevřené a koncová zařízení chráněná jenom hesly, jenomže jsem si všiml, že tam občas byly pingy a pokusy o připojení z IP adres hlavně z Ruska, Nizozemí atd. Tak jsem si začal hrát i s firewallem, router už ale nevyměnil. Firewall v tom druhém (mém) routeru kromě jiného umožňuje povolit / blokovat pakety podle nastavených pravidel (dle LAN, WAN adresy a dle LAN a WAN portů). Je zajímavé, že přímo na tom routeru jdou povolovat / blokovat WAN adresy širokého internetu, i když je ukrytý až za tím routerem poskytovatele a všechno tam přichází defacto z jedné WAN adresy... ale funguje to... Trochu bordel je ale v portech, číslo LAN portu neodpovídá číslu WAN portu... Na svém routeru a ani mezi routerem poskytovatele a mým routerem ale žádné přečíslování nemám.
Je možné že je přečíslování portů a potom opět přečíslování zase zpátky někde na cestě v internetu? Vypadá to tak. Navíc se mi zdá, že toto přečíslování portů se ještě dynamicky mění. Nejsem schopen proto na mém routeru nastavit konkrétní čísla WAN portů, ale jenom čísla LAN portů (jedině, že bych jako WAN adresu nastavil adresu po které to přichází od poskytovatele, ale potom zase nepůjde bez součinnosti s poskytovatelem filtrovat WAN adresy širokého internetu, protože poskytovatel by mi tam pustil všechno).

Každopádně jsem zjistil že, RPI drhnul jenom kvůli portu 123, tedy kvůli hodinám, ne kvůli DNS, po povolení portu 53 (DNS) pak už funguje synchronizace hodin i ve Windows.

Jenom nevím, jestli z dlouhodobého hlediska lze vůbec Windows bez připojení k internetu provozovat? Už teď tam v registru událostí začaly skákat chyby, že se např. Antimalware nemůže připojit na nějaký server Microsoftu atd.. atd... chyb zřejmě časem bude časem ještě víc. Jenomže, co s tím? Za chvíli skončí podpora a..... a nechci být za zpátečníka, ale Windows 10 se mi jako systém na (i když hobby) ale je to defacto server, který má někde na opuštěném místě sám běžet, prostě nelíbí... to s těmi dlaždicemi, reklamami, zprávami, co to neustále stahuje je dobré tak na notebook / tablet / na prohlížení webu... ale na tohle mi to prostě nesedí.
martinbb
Kolemjdoucí

Odeslat příspěvekod hunter21 26. 2. 2019 12:02

Ak ti vadia správy v logu, že nejaký program sa nemôže pripojiť tak máš niekoľko možností:
- odinštaluješ programy, a povypínaš všetky služby ktoré to zapisujú, alebo
- použiješ Linux, ktorý nieje prešpikovaný programami, ktoré sa za každú cenu potrebujú pripojiť k internetu aby niečo niekam poslali. Aj na Linuxe treba niečo povypínať, napríklad aktualizácie.
- budeš pravidelne automaticky mazať log aby si tie spravy nevidel
Ja by som aj to DNS zakázal a zistil si IP adresy NTP serverov aby som nemusel použiť DNS na preklad.
hunter21
Pokročilý

Odeslat příspěvekod soban 26. 2. 2019 12:32

Vypínat DNS není vhodné.

Protože pokud máš zadáno jako NTP třeba 0.cz.pool.ntp.org tak to vrací různé IP podle toho které jsou v provozu a pro rozdělení zátěže.

Viz:

Kód: Vybrat vše
petr@NT-Olomouc:~$ nslookup 0.cz.pool.ntp.org
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   0.cz.pool.ntp.org
Address: 147.231.100.5
Name:   0.cz.pool.ntp.org
Address: 89.221.214.130
Name:   0.cz.pool.ntp.org
Address: 37.187.104.44
Name:   0.cz.pool.ntp.org
Address: 212.96.160.147

petr@NT-Olomouc:~$ nslookup 0.cz.pool.ntp.org
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   0.cz.pool.ntp.org
Address: 89.221.212.46
Name:   0.cz.pool.ntp.org
Address: 82.113.53.40
Name:   0.cz.pool.ntp.org
Address: 81.200.57.13
Name:   0.cz.pool.ntp.org
Address: 193.150.14.191

petr@NT-Olomouc:~$ nslookup 0.cz.pool.ntp.org
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   0.cz.pool.ntp.org
Address: 193.150.14.191
Name:   0.cz.pool.ntp.org
Address: 81.200.57.13
Name:   0.cz.pool.ntp.org
Address: 82.113.53.40
Name:   0.cz.pool.ntp.org
Address: 89.221.212.46


A s portama je to taky jednoduché prostě spojení se navazuje na určitém portu a odpověď používá náhodný port (on není až tak náhodný)

Proto ve firewalu je pravidlo že od navázaných spojení se obráceným směrem pakety propustí.

Proto je na WAN většinou default pravidlo DROP a povolí se pouze příchozí porty.
A na LAN je většinou default ACCEPT a většinou se pouze nějaké porty zakáží většinou pomocí REJECT.

Jinak skoukni https://www.root.cz/clanky/konfigurace- ... mikrotiku/
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod hunter21 26. 2. 2019 12:51

Treba nájsť NTP, ktoré nevracajú rôzne IP adresy. Mal som to tak spravené na stanici, ktorá sa tvárila z internetu ako mŕtvy brouk a používal som ju podobným spôsobom ako tazateľ.
Inak na verejnej adrese je celkom bežné, že sa hackery z celého sveta pokúšajú dosťať do siete. Je to normálne a nič s tým nedá urobiť okrem toho, že sa správne nastaví firewall. Správne nastavený firewall znamená napríklad aj to, že pomocou verejnej adresy nieje možné komunikovať na vnútornej sieti. Túto vec mnohé staršie routríky nemali ošetrenú. Mikrotik to dodržuje, ak si to niekto nenastaví inak.
hunter21
Pokročilý

Odeslat příspěvekod martinbb 26. 2. 2019 13:13

Díky za odpovědi, na Linux bohužel přejít nemohu vzhledem k velice chabému výběru těch SDR programů... ano třeba server s tím RTL2832 bych na tom rozchodil, to běží i na Raspberry, jenže pro nějakou vážnější práci je to k ničemu. Na Linuxu bohužel nejde pořádně rozchodit ani Perseus server..a to nemluvím o tom dalším...

-- 26. 2. 2019 12:47 --

Ještě se chci zeptat, nechápu, co je myšleno větou:

"Správne nastavený firewall znamená napríklad aj to, že pomocou verejnej adresy nieje možné komunikovať na vnútornej sieti. Túto vec mnohé staršie routríky nemali ošetrenú. Mikrotik to dodržuje, ak si to niekto nenastaví inak."

Tak, pokud je přesměrovaný určitý port z VIP do vnitřní sítě, tak se při vzdáleném připojení prostřednictvím VIP na zařízení, které na tomto portu běží vždy dostanu, ne? To je snad i účel, proč se přesměrování portů dělá...abych se na to zařízení zvenku dostal....nebo ne?
martinbb
Kolemjdoucí

Odeslat příspěvekod hunter21 26. 2. 2019 16:09

Ad firewall:
Existuje jedno nešťastné použitie, kedy užívatelia s deravým firewallom v routri majú tendenciu sa pripájať na svoj NAS, alebo hocičo iné na svojej domácej sieti pomocou verejnej adresy. Robia to preto, aby nemuseli prehadzovať nastavenia programov keď prechádzajú z domácej siete na inú sieť, napríklad v práci. Správne nastavený fw túto vec neumožňuje.
hunter21
Pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků