17 лет назад 30 октября 2006 в 16:06 1176
Условия задачи такие: компьютер А, подключенный к районной локальной сети с доступом в интернет. Адрес наружу — 192.168.15.хх, маска — 255.255.255.0. Адрес внутрь — 10.0.0.1, маска — 255.0.0.0. Есть второй компьютер — В, подключенный к первому и имеющий адрес 10.0.0.2 и маску 255.0.0.0. На А установлен Norton Internet Security 2005. Как только на компьютере А в "Сетевом соединении" задается опция общего доступа в интернет, с компьютера А невозможно получить доступ по FTP. При этом с компьютера В все работает. При выключении файрволла с компьютера А тоже все работает. При выключенном общем доступе с компьютера А все работает даже при деактивированном файрволле.При выключении NIS и включении брандмауэра XP SP2 тоже все в порядке. Делаю вывод: в файрволле что-то закрыто и это не позволяет получить полный доступ к сетевым ресурсам при включенном общем доступе в интернет. Исследование логов показало, что доступ к FTP-серверу при включенном расшаренном доступе в интернет осуществляется через Microsoft Application Gateway Service, ags.exe, а он в свою очередь — через порт 1026, но этот порт заблокирован на вкладке Trojan Horse Rules в неиспользованных сервисах Windows. После того как данный порт был открыт, все заработало. Вопросы:
1. Что это за сервис — ags.exe, для чего он используется?
2. Почему все работает и без открытия порта 1026?
3. Как повлияет на безопасность открытие порта 1026?

1. Служба шлюза уровня приложения (Application Layer Gateway Service), файл alg.exe (а не ags.exe, как указано у вас; впрочем, судя по всему, в вашем вопросе была опечатка) обеспечивает поддержку плагинов, которые позволяют сетевым протоколам работать через общий доступ к интернет-подключению и при подключении к Сети с помощью брандмауэра. Эта служба нужна при использовании Windows Firewall / ICS для подключения к интернету и, собственно, является их подкомпонентом.
2. Немного не понял ваш вопрос. Но ответ, очевидно, должен быть примерно вот таким: если вы не используете ICS или Windows Firewall, то не используется и Application Layer Gateway Service. Соответственно, порт этот не задействован.
3. Application Layer Gateway Service не привязан жестко к порту 1026 — для своей работы (перенаправления ftp-трафика) ему подойдут и порты диапазона 3000-5000, поэтому могу вам предложить несколько способов решения проблемы. Во-первых, в оснастке "Сервисы" попробуйте вообще отключить данную службу, но, скорее всего, общий доступ в интернет от этого работать лучше вряд ли станет. По крайней мере, выйти в интернет по некоторым протоколам точно не получится.Во-вторых, попытайтесь полностью закрыть сомнительный порт для этой программы — по идее, она должна выбрать другой свободный.
Затем попробуйте включить пассивный режим работы (passive FTP) для ftp-клиента: в этом случае сомнительный порт может не использоваться.И, наконец, ничего не мешает именно для alg.exe упомянутый порт открыть — опасность он представляет, только если на вашем ПК оказался троянец, этот порт использующий. Поскольку alg.exe — легитимная программа, ей можно разрешить работу по всем портам, которые ей необходимы.

Иван Петров
Никто не прокомментировал материал. Есть мысли?