REGOLE FIREWALL DEFINITE DALL'UTENTE
Abbiamo visto come Comodo ci dia alcune regole già confezionate ma noi abbiamo anche altre esigenze sul nostro pc come per esempio avere programmi P2P, Messenger, Skype e altro.
Qui vediamo come creare e regole giuste in queste situazioni, con lo stesso procedimento potrete poi crearne altre a volontà.
IMPORTANTE !!!! Per non farvi fare il lavoro due volte vi ricordo che affinchè CIS prenda le regole che impostiamo occorre cliccare su i vari pulsanti Applica e OK che appaiono in basso in ogni finestra, diversamente le regole non vendono attuate.
Con queste regole restringiamo un po' il campo di azione dei sottoindicati programmi per evitare troppe intrusioni senza però limitare la performance in download e upload.
OPERAZIONI PRELIMINARI:
- Eseguite la Procedura Invisibilità Porte presente in "FW - Funzioni Generali" scegliendo la seconda opzione;
- Andate in Firewal – Avanzate – Impostazioni di Comportamento del Firewall – Scheda “Avanzate” e disattivate l'opzione “Blocca Datagrammi IP Frammentati” e scegliete al suo posto “Analizza i Protocolli”;
- Impostate un IP statico sul pc ed aprite le porte del router, per come fare guardate qui, ci sono sia le istruzioni per creare Ip statici che per aprire le porte in decine di router, seguitele!!
Fatte queste azioni ora siamo pronti a configurare i vari programmi P2P.
Tenete presente che i router in commercio sono tantissimi ed a volte occorre fare regole leggermente differenti o integrarle come succede per esempio nel caso dei router
Fritz.Box dove occorre inserire
questa regola per non essere sommersi di connesioni bloccate. Vale solo per quei router ehh non applicatela ad altri.
Importante!! Se non avete ID alto in Emule o Torrent, prima di chiedere aiuto provate brevemente con CIS chiuso, se avete ID basso ugualmente,
non è colpa di COMODO ma del vostro router settato male o del vostro operatore.
EMULE
Controllate sul mulo quali porte avete di TCP e UDP e che queste non siano generate casualmente ad ogni avvio ma siano fisse.
Andate in FW – Avanzate – Policy Predefinite Firewall e cliccate “Aggiungi”
Nome Policy =
EMULE cliccate “Aggiungi” e inserite le seguenti regole
- Regola 1
Azione = Consenti
Protocollo = TCP
Direzione = in Entrata
Descrizione = Regola Protocollo TCP in Entrata
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte – da 1024 fino a 65535
Porta di Destinazione = la porta singola TCP del vostro emule
- Regola 2
Azione = Consenti
Protocollo = UDP
Direzione = in Entrata
Descrizione = Regola Protocollo UDP in Entrata
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = la porta singola UDP del vostro emule
- Regola 3
Azione = Consenti
Protocollo = “TCP o UDP”
Direzione = in Uscita
Descrizione = Regola Protocollo TCP o UDP in Uscita
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = Range di Porte - da 1024 fino a 65535
- Regola 4 (Valida per chi utilizza l'upload dinamico USS con eMule)
Azione = Consenti
Protocollo = ICMP
Direzione = in Uscita
Descrizione = Ping ai server
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Dettagli ICMP = ICMP Echo Request
- Regola 5 (Valida solo per chi usa connessioni dirette ad esempio tramite modem a 56K)
Azione = Consenti
Protocollo = UDP
Direzione = in Uscita
Descrizione = Regola per gli aggiornamenti
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Server DNS (che trovate nei dettagli della connessione)
Porta di Origine = porta singola UDP di emule
Porta di Destinazione = porta singola 53
- Regola 6
Azione = Chiedi (attivate l'opzione Registra l'evento nel Log)
Protocollo = TCP
Direzione = in Uscita
Descrizione = Regola Aggiornamenti
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = Porta singola 80
- Regola 7
Azione = Blocca (attivate l'opzione Registra l'evento nel Log)
Protocollo = IP
Direzione = In/Out
Descrizione = Blocca e registra tutte le richieste che non corrispondono
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Dettagli IP = Qualsiasi
Ora avete creato le regole, date “Applica” e la regola EMULE si posizionerà tra le Policy Predefinite, date ancora “Applica” a questa finestra perchè venga effettivamente creata in CIS.
Andate in Fw – Avanzate- Policy Sicurezza Network e se presente cancellate la veccia regola di emule, poi aprite emule e al pop-up del Firewall date un bel “Tratta come” EMULE e scegliete di ricordare la risposta, ora il CIS agirà in base alle regole fatte e vi avvertirà solo per quelle connessioni Tcp sulla porta 80 di cui ala regola 6 che è impostata su chiedi e relativa agli aggiornamenti server o del programma.
TORRENT E ALTRI P2P
Fate le Operazioni Preliminari viste sopra e poi procedete come indicato:
Nome Policy =
TORRENT
- Regola 1
Azione = Consenti
Protocollo = “TCP o UDP”
Direzione = in Entrata
Descrizione = Regola Protocollo TCP o UDP in Entrata
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = la singola porta di Torrent
- Regola 2
Azione = Consenti
Protocollo = TCP
Direzione = in Uscita
Descrizione = Regola Protocollo TCP in Uscita
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = Range di Porte - da 1024 fino a 65535
- Regola 3
Azione = Consenti
Protocollo = UDP
Direzione = in Uscita
Descrizione = Regola Protocollo UDP in Uscita
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = la singola porta di Torrent
Porta di Destinazione = Range di Porte - da 1024 fino a 65535
- Regola 4
Azione = Chiedi (attivate l'opzione Registra l'evento nel Log)
Protocollo = "TCP o UDP"
Direzione = in Uscita
Descrizione = Regola Richieste HTTP
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = la singola porta 80
- Regola 5
Azione = Chiedi (attivate l'opzione Registra l'evento nel Log)
Protocollo = "TCP o UDP"
Direzione = in Uscita
Descrizione = Regola Richieste HTTPS
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = la singola porta 443
- Regola 6
Azione = Blocca (attivate l'opzione Registra l'evento nel Log)
Protocollo = IP
Direzione = In/Out
Descrizione = Blocca e registra tutte le richieste che non corrispondono
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Dettagli IP = Qualsiasi
Nelle ultimissime vesioni UTorrent usa Teredo e IPV6 e veicola tutto il traffico da IPV6 a IPV4 via SVCHOST, quindi il numero di richieste nonostante le regole sono molte, occorre quindi o sopportare i popup e rispondere ok senva il ricorda oppure disabilitare teredo e IPV6 (che CIS supporterà solo nel 2011).
Per disabilitare Teredo apri il prompt dei comandi con diritti amministrativi, digita il comando seguente:
netsh interface teredo set state disabled
Per disabilitare IPV6 8 volte f come qui detto:
http://support.microsoft.com/kb/929852/it
MESSENGER
Per messenger dobbiamo innanzitutto andare ad agire sui set di porte, creandone 2 famiglie, il tutto per agevolarci poi e non fare una marea di regole tutte uguali che cambiano solo per il numero di porta (che sono tra loro non contigue altrimenti useremmo il range di porte).
Creazione Set di Porte:
Andiamo in Avanzate – Policy Sicurezza Network e clicchiamo la scheda “Set di Porte” e da lì il pulsante “Aggiungi” e “Nuvo Gruppo Porte”.
Diamo a questo nuovo gruppo il nome “
WLM TCP & Skype Ports” (servono dopo anche per Skype ecco il nome da dove deriva, potete anche chiamarle Pippo Pluto o Paperino ma così è più chiaro) ora nel fondo della tabella è apparso il nome di questa nuova famiglia, nella riga subito dopo appare la scritta “aggiungi qui le porte” ci clicchiamo e inseriamo la porta singola
80 e applichiamo, poi dal tasto in alto “Aggiungi” e “Nuova Porta” e inseriamo la
443 e fatto questo diamo OK.
Voi vi chiederete perchè questo lavoraccio? Beh con queste 2 porte raggruppate in una famiglia possiamo evitare il doppio della fatica per configurare Messenger, WLCOMM che è una processo del nuovo Windows Live Messenger 9 e anche Skype.
Come già visto per emule andiamo a creare la regola in FW – Avanzate – Policy Predefinite Firewall e cliccate “Aggiungi”
Nome Policy =
MESSENGER cliccate “Aggiungi” e inserite le seguenti regole
- Regola 1
Azione = Consenti
Protocollo = TCP
Direzione = in Uscita
Descrizione= Regola Login
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = Set di Porte - WLM TCP & Skype Ports
- Regola 2
Azione = Consenti
Protocollo = “TCP o UDP”
Direzione = in Uscita
Descrizione = Trasferimento File
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = Range di Porte - da 1024 fino a 65535
- Regola 3
Azione = Consenti
Protocollo = UDP
Direzione = in Uscita
Descrizione = Rete di rilevamento
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = la singola porta 9
- Regola 4
Azione = Blocca (attivate l'opzione Registra l'evento nel Log)
Protocollo = IP
Direzione = In/Out
Descrizione = Blocca e registra tutte le richieste che non corrispondono
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Dettagli IP = Qualsiasi
Poiché Messenger dalla versione 9 ha un nuovo processo per gestire e sincronizzare i contatti che si chiama
WLCOMM dobbiamo gestire anche lui sebbene sia molto più semplice, andiamo in FW – Avanzate – Policy Sicurezza Network e vediamo se nella tabella è già presentequesto processo. Trucchetto: per fare prima il controllo basta cliccare sull'intestazione “Nome applicazione” e i vari programmi presenti in tabella si espanderanno o si raggrupperanno. Cercate “wlcomm” il cui percorso è del tipo C:\Programi\Windows Live\Contacts\wlcomm.exe; se non è presente è perchè ancora non avete mai aperto WLM o lo avete acconsentito senza ricordare l'azione, in questo caso cliccate a destra il pulsante “Aggiungi” e poi “Seleziona” e poi “Sfoglia” e lo cercate dentro alla cartellina Windows Live; oppure ancora fate partire Messenger ed al pop-up del FW relativo a wlcomm date una azione qualsiasi ma con “Ricorda” e poi in Policy Sicurezza andate a modificarlo.
Ora che lo avete individuato è "semplicissimo" lo andiamo ad aggiungere o modificare e diamo i seguenti comandi:
Azione = Consenti
Protocollo = TCP
Direzione = in Uscita
Descrizione= WLCOM
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = Set di Porte - WLM TCP & Skype Ports
Per chiarimento ecco l'immagine
Perchè vi ho fatto fare tutto questo giro su wlcomm invece di fare 2 regole una per la 80 e una per la 443? Ma per impratichirvi in po' ovvio !!! Tanto le porte erano già state rese una famiglia per messenger.
Potreste pure creare una nuova regola chiamandola WLCOMM e poi affibbiarla al processo. Insomma ci sono mille modi per fare certe cose in CIS basta prenderci la mano.
SKYPE
Seguite le indicazioni di Messenger per creare il set di porte “
WLM TCP & Skype Ports” ora andiamo a creare la regola in FW – Avanzate – Policy Predefinite Firewall e cliccate “Aggiungi”
Nome Policy =
SKYPE cliccate “Aggiungi” e inserite le seguenti regole
- Regola 1
Azione = Consenti
Protocollo = “TCP o UDP”
Direzione = in Uscita
Descrizione = Regola per il login
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = Set di Porte - WLM TCP & Skype Ports
- Regola 2
Azione = Consenti
Protocollo = “TCP o UDP”
Direzione = in Uscita
Description = Trasferimento File
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = Range di Porte da 1024 fino a 65535
- Regola 3
Azione = Blocca (attivate l'opzione Registra l'evento nel Log)
Protocollo = IP
Direzione = In/Out
Descrizione = Blocca e registra tutte le richieste che non corrispondono
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Dettagli IP = Qualsiasi
Ora lanciamo il programma ed al solito avviso da parte del FW trattiamo l'applicazione come SKYPE e ricordiamo l'azione.
WINDOWS MEDIAPLAYER
Essendo un po' impiccione qui lo teniamo sotto controllo con queste regole un poco più restrittive anche se consiglio sempre di usare altri prodotti che non necessitano di codec e sono free.
Per prima cosa dobbiamo creare un altro
Set di Porte analogamente a quanto visto per Messenger, questa volta chiamiamo questa famiglia “
MEDIAPLAYER Ports” e gli diamo tutte queste porte:
80,
443,
1080,
1755,
3128,
8000,
8001,
8080 e
44080.
Andiamo in in FW – Avanzate – Policy Predefinite Firewall e clicchiamo “Aggiungi”
Nome Policy =
MEDIAPLAYER e inserite le seguenti regole
- Regola 1
Azione= Consenti
Protocollo = TCP
Direzione = in Uscita
Descrizione = Regola generale
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = Set di Porte – MEDIAPLAYER Ports
- Regola 2
Azione = Blocca (attivate l'opzione Registra l'evento nel Log)
Protocollo = IP
Direzione = In/Out
Descrizione = Blocca e registra tutte le richieste che non corrispondono
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Dettagli IP = Qualsiasi
Come solito avviate Windows MediaPlayer ed al pop-up del FW date indicazione di trattarla come MEDIAPLAYER e ricordate la scelta.
MIRC
Creiamo un set di porte come visto in precedenza e che chiameremo “
MIRC TCP Ports” e andremo ad aggiungervi la porta
113 singola, il range di porte da
6660 fino a 6669 e anche il range di porte da
1024 fino a 5000
Nome Policy =
MIRC
- Regola 1
Azione= Consenti
Protocollo = TCP
Direzione = in Uscita
Descrizione = Regola Chat
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Qualsiasi
Porta di Destinazione = Set di Porte – MIRC TCP Ports
- Regola 2
Azione = Blocca (attivate l'opzione Registra l'evento nel Log)
Protocollo = IP
Direzione = In/Out
Descrizione = Blocca e registra tutte le richieste che non corrispondono
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Dettagli IP = Qualsiasi
Ora avviate l'applicazione ed agite al pop-up come già detto in precedenza
Clicca qui per Thunderbird by luke1983
Clicca qui per FileZilla FTP Client by luke1983
Clicca qui per BOINC by luke1983
Clicca qui per CFosSpeed Internet Accelerator by luke1983
Clicca qui per Games for Windows Live by luke1983
Clicca qui per Yahoo Messenger by luke1983
Clicca qui per AMSN by Perseverance