Почему закрылся ICMP при закрытии TCP-портов встроенным файером??

@Pochemuk · Регистрация: 12.10.2009

Студворк — интернет-сервис помощи студентам

Во избежание всяких неприятностей, типа, сетевых червей (ползають подлые), прикрыл на шлюзовой машинке на внешнем интерфейсе все TCP-порты встроенным файером (Win2K Pro).
Результат обескуражил несколько.
Перестали пинговаться внешние хосты (для контроля работоспособности). Как так? Вроде бы ICMP протокол более низкого уровня, чем транспортные TCP и UDP. И вообще, понятие порта в нем отсутствует. Почему же так произошло? Может быть это я потупил и на самом деле какой-то порт надо открыть?
А то неудобно выходит теперь как-то: если удаленный объект перестает откликаться, приходится останавливать всю программу диспетчеризации, входить администратором, разрешать TCP (предварительно выдернув шнурок из локального интерфейса, дабы паразит не заполз в локалку), перегружаться, пытаться пропинговать объект, снова запрещать порты, давить червяка, снова перегружаться и запускать программу диспетчеризации. Гиморрно!!! Легче уж съездить туда.

@kolobok0 · 04.10.2011, 16:43

Похоже на глюк файервола...

тут вот мона глянуть на сам протокол...
http://www.helloworld.ru/texts/comp/inet/ip/tcpip/icmpspec.html

и в нём есть такая фраза...
'Идентификатор и номер очереди может использоваться отправителем эхо-сообщения с целью идентификации приходящих пакетов. На пример, идентификатор может использоваться в качестве порта подобно протоколам TCP и UDP для идентификации сеанса. Номер очереди может увеличиваться на единицу при посылке каждого эхо сообщения (запроса). '

может файервол не так трактует поля ?
По идее для пинга достаточно ARP и ICMP.

с уважением
(круглый)

@Pochemuk · 04.10.2011, 20:47 **[ТС]**

Интересная мысль. Обмозгую на досуге. Жаль, что в этом встроенном файере нельзя завести список запрещенных портов - только список разрешенных и только входящих.А то бы закрыл только TCP #137 и #139, а не все.

@Pochemuk · 04.10.2011, 21:54 **[ТС]**

Кстати, все каким-то образом само прошло.
Я открыл несколько портов и перегрузил комп. Проверил - есть пинги. Начал порты постепенно убирать и ... убрал все, а оно все равно работает. Вот тут я и пожалел, что забыл проверить пинг до начала внесения изменений.
Но такого быть не может. Танцы с бубнами до упаду.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@Pochemuk 0 / 0 / 0 Регистрация: 12.10.2009 Сообщений: 35

	Почему закрылся ICMP при закрытии TCP-портов встроенным файером?? 03.10.2011, 19:05. Показов 2178. Ответов 3 Метки нет (Все метки) Во избежание всяких неприятностей, типа, сетевых червей (ползають подлые), прикрыл на шлюзовой машинке на внешнем интерфейсе все TCP-порты встроенным файером (Win2K Pro). Результат обескуражил несколько. Перестали пинговаться внешние хосты (для контроля работоспособности). Как так? Вроде бы ICMP протокол более низкого уровня, чем транспортные TCP и UDP. И вообще, понятие порта в нем отсутствует. Почему же так произошло? Может быть это я потупил и на самом деле какой-то порт надо открыть? А то неудобно выходит теперь как-то: если удаленный объект перестает откликаться, приходится останавливать всю программу диспетчеризации, входить администратором, разрешать TCP (предварительно выдернув шнурок из локального интерфейса, дабы паразит не заполз в локалку), перегружаться, пытаться пропинговать объект, снова запрещать порты, давить червяка, снова перегружаться и запускать программу диспетчеризации. Гиморрно!!! Легче уж съездить туда. 0

@kolobok0 50 / 49 / 10 Регистрация: 24.01.2010 Сообщений: 225
	04.10.2011, 16:43
	Похоже на глюк файервола... тут вот мона глянуть на сам протокол... http://www.helloworld.ru/texts/comp/inet/ip/tcpip/icmpspec.html и в нём есть такая фраза... 'Идентификатор и номер очереди может использоваться отправителем эхо-сообщения с целью идентификации приходящих пакетов. На пример, идентификатор может использоваться в качестве порта подобно протоколам TCP и UDP для идентификации сеанса. Номер очереди может увеличиваться на единицу при посылке каждого эхо сообщения (запроса). ' может файервол не так трактует поля ? По идее для пинга достаточно ARP и ICMP. с уважением (круглый) 0

@Pochemuk 0 / 0 / 0 Регистрация: 12.10.2009 Сообщений: 35
	04.10.2011, 20:47 [ТС]
	Интересная мысль. Обмозгую на досуге. Жаль, что в этом встроенном файере нельзя завести список запрещенных портов - только список разрешенных и только входящих.А то бы закрыл только TCP #137 и #139, а не все. 0

@Pochemuk 0 / 0 / 0 Регистрация: 12.10.2009 Сообщений: 35
	04.10.2011, 21:54 [ТС]
	Кстати, все каким-то образом само прошло. Я открыл несколько портов и перегрузил комп. Проверил - есть пинги. Начал порты постепенно убирать и ... убрал все, а оно все равно работает. Вот тут я и пожалел, что забыл проверить пинг до начала внесения изменений. Но такого быть не может. Танцы с бубнами до упаду. 0