или они закрыты по умолчанию? Например если мне нужен только 80, надо мне закрывать все остальные 65000?

Все зависит от политики безопасности. Обычно закрывают. Если кроме тср 80 ничего не нужно - закрывайте. Спокойнее спать будете.

Правильнее всего открывать только то, что нужно. Нужен 80 - его и открыли. Если же у вас Виндовз или ещё какая троянская мототень, которая сама умеет открывать то, что ей надо, то закрываем всё и открываем только 80. Всё. И никаких проблем.

Причём закрываем-открываем при помощи чего-то, что не зависит от ПО на рабочей станции Windows.

[quote="Arkadi, Goblins Chief"][quote="KSL"]или они закрыты по умолчанию? Например если мне нужен только 80, надо мне закрывать все остальные 65000?[/quote]

Правильнее всего открывать только то, что нужно. Нужен 80 - его и открыли. Если же у вас Виндовз или ещё какая троянская мототень, которая сама умеет открывать то, что ей надо, то закрываем всё и открываем только 80. Всё. И никаких проблем.

Причём закрываем-открываем при помощи чего-то, что не зависит от ПО на рабочей станции Windows.[/quote]

Вообще-то одного 80-го порта не достаточно! или имена резолвить руками ? 53 - надоть. Причём как TCP, так и UDP !
а если где https встретиться ;-) тогда 443, а вдруг выкачать по ftp - 20&21 ...
В общем с портами большая морока ;-(

Я не знаю Вашей ситуации. В моём случае достаточно 80, 20 и 21. Всё. Всё остальное затоптано. На сервере FTP и простейшая гостевушка.

господа!
а как собственно управлять фильтрами, (мне очень стыдно)...
активировано только лишь пукты Inbound IP Filter и Outbound IP Filter, в которых включено Allow all computers to pass except those listed below., где в ячейке Port установил единственное T80, все остальное пусто. Как запретить SMTP, Pop, FTP.?

KSL > закрывать все порты?

- нет, конечно

пример: запрос от браузера на сервер

ОС <случайным> образом выделяет порт браузеру, скажем 12345
браузер с порта 12345 шлет запрос серверу на 80-й порт, принимая ответ от сервера на порт 12345

сервер принимает запросы на всем известный порт 80, а отвечает на них с открытого <случайным> образом ОС другого порта, скажем 54321, освобождая тем самым известный всем порт 80 для приема других запросов

браузер[12345] -> [80]сервер
сервер[54321] -> [12345]браузер
браузер[12345] -> [54321]сервер
...
в общем случае браузер[12345] <-> [54321]сервер

и таких ВСЕМ ХОРОШО ИЗВЕСТНЫХ ПОРТОВ - зарезервированных и зарегестрированных - от 0 до 1024

(+ есть известные, но не зарегистрированные)

в разных ОС политика <случайного> открытия различна
даже не то что в разных ОС - в разных версиях и реализациях протоколов (напр. MS TCP/IP для Win и Novell TCP/IP для того же Win)

во как...

(<случайные> - это т.н. "старшие порты" -- у МС, кажется в районе до 64-х тысяч, у Новеля - до 32-х тысяч)

поэтому правильнее говорить - а какие порты из ХОРОШО ИЗВЕСТНЫХ закрыть?

например: MSBLAST (недавние дела) внедрившийся в компьютер, закачивал тело по протоколу TFTP. Мне TFTP нужен на WAN-e? - Нет, значит - закрыть OUTBOUND для TFTP (destination WAN/source LAN)

примерно такие вот рассуждения...

(на выход закрыть однозначно Микрософтовские 13х и 445)

...

ВСё это конечно так
НО по заявлениям длинка при прописывании внешнего интерфейса автоматически включается нат одной из обязанностей которого наряду ( адресс трансл) является и проверка каждого входящего пакета
получается что если пакет первично был иницирован внешне-то nat его не пропустит ( воти гарантированя защита от взлома внешне)!!
а фаирвалл в принципе нужен - как говорится для каждого индивидульно
кому то не хоца чтоб юзверь на фтп ходил ,кто-то хотет у себя веб сервис сделать,кто-то аську запретить ну и так далее
по моему так - если ошибаюсь поправьте!

Обязательно надо всё позакрывать. Это дополнительная защита от вирусов, хакеров и пионеров. Вспомнить хотя бы Blast...

Александр Р.