» Jetico Personal Firewall

Я, вот, не пойму всего этого. В опциях этого и других файрволлов есть опции "рахзрешать только с этого порта", или с "этого ip" итд, но ведь ip и порт легко подменить. ip.

Во всяком случае, в доках фришного ipfw я читал про этот момент..

Кто что знает на счет этого момента. Как jetico справляется со спуффингом и подменой mac?

Народ, кто-нибудь смог успешно пользовать Jetico в системе с двумя сетевыми картами и включенным ICS?

Если да, точто необходимо прописать в правилах для успешного пропуска транзитных пакетов?

dariusii
А Stateful...Inspection, как думаешь, для чего часом?

приветствую всех участников форума. долгое время пользовался Agnitum Outpost, пока он совсем не достал чрезмерной требовательностью и тормознутостью. установил Jetico, просто прелесть, очень радует, но возникли проблемы с созданием правил. Для основных (browser, e-mail, ftp) я использовал шаблоны. подскажите, желательно подробнее, создание правил на примере двух приложений, например, ICQ клиент &RQ и IRC NeoRaTrion, а дальше думаю сам разберусь. и еще, что нужно подредактировать в стандартном профиле (Optimal Protection) для закрытия дыр.

Я так понимаю, IDS (даже простейшей) у него нет? И прикрутить нельзя?

Народ! Не пинайте ногами. Только что поставил JPF, перечатал всю тему, перечитал Help, разобрался чуть-чуть с таблицами, но так и не понял - где посмотреть, какие правила назначены для applications? Особенно для того, которое уже запускалось, но сейчас не запущено? И как их изменить или удалить? Или, как добавить правила до первого запуска программы, чтобы при запуске всё уже было настроено и пресекало доступ в инет?
И ещё. Запускаю в первый раз, например, пустой FlashGet (на закачку ничего нет). Выскакивает предупреждение. Говорю - разрешить, категория FTP Client. Опять выскакивает. Опять то же говорю. Опять выскакивает. И так до тех пор, пока не выберу Application Trusted zone. И так со всеми прогами. Что я делаю не так?

Разжуйте для чайника, пожалуйста, в деталях как, например, разрешить для explorer.exe выход в инет, а для приложений, запущенных им, нет? Что, где, куда кликать-создавать?

И ещё вопрос - как сделать, чтобы в лог не писалось сообщение о работе emule

Цитата:

Block All not Processed IP Packets

А то весь лог только из этого и состоит

h0st
Щёлкаем правой кнопкой мышки на Optimal Protection, выбираем Insert table. Переименовываем его соответсвенно задачи, в правом окне щелчком правой унопкой мышки создаём соответсвенное правило, с определёнными портами под конкретную задачу.
Затем ICQ и т.д. относим к созданному правилу.
vzbzdnov

Цитата:

какие правила назначены для applications? Особенно для того, которое уже запускалось, но сейчас не запущено?

Ask User и Process Attack Table (соответсвенно обстоятельствам).

Цитата:

Говорю - разрешить, категория FTP Client. Опять выскакивает.

Чтобы не было вопросов, должна стоять галочка Remember my answer.
Цитата:

как, например, разрешить для explorer.exe выход в инет, а для приложений, запущенных им, нет? Что, где, куда кликать-создавать?

Да тут не раз уже детально писалось.
Цитата:

как сделать, чтобы в лог не писалось сообщение о работе emule

Так лог о работе emule или Block All not Processed IP Packets? Это не одно и тоже... т.к. второе показывает лог на блокировку любых незапрошенных пакетов.

Добавлено:
Herr Kaleun
Если как у обычных фаеров, то нет. Можно логи настроить соответственно (что мне и помогает в этом деле).
Вчера, к примеру, наблюдал "массовую атаку" на свою машину...

Цитата:

Чтобы не было вопросов, должна стоять галочка Remember my answer

стоит

Цитата:

второе показывает лог на блокировку любых незапрошенных пакетов.

вот-вот... как такое убрать из лога?

vzbzdnov

Цитата:

стоит

В таком случае, стоит посмотреть, действительно ли emule относится к FTP Client (на всякий случай, правила сохранить вручную).

Цитата:

вот-вот... как такое убрать из лога?

Поставить Log level в Block All not Processed IP Packets на disabled.

Цитата:

Поставить Log level в Block All not Processed IP Packets на disabled.

А где ж такое найти? Всё Configuration перелопатил, везде лог выключен

Добавлено:

Цитата:

В таком случае, стоит посмотреть, действительно ли emule относится к FTP Client

Речь шла не о муле, а о FlashGet. Что это, как не FTP Client?

Добавлено:
Нашёл, где выключить! System IP Table-Block All not Processed IP Packets
Cпасибо за помощь!

народ... это подозрение на "atacker installs system-wide windwos hook" уже порядком достало... Бывает, пытаешься просто передвинуть окно, сохранить файл или установить какую-нибудь программу, а выскакивает ЭТО (((
Как победить???

namchik
Разделить единственное правило процесс-атак на шесть (по числу возможных атак) и разрешить hook и скрытые окна. Прочее можно запретить для всех, кроме drwtsn32.exe.

vzbzdnov

Цитата:

Речь шла не о муле, а о FlashGet. Что это, как не FTP Client?

Sorry! Конечно же о FlashGet. В Ask User посмотри (поле Action), он (FlashGet) омечен как FTP Client?

ArtLonger
пасиб. создал правила, теперь тестирую...


еще такие вопросы: 1. правила в "Ask User" выполняются в порядке "сверху вниз" ?
2. Если в правиле (application rule) в настройках "Packet Parameters - Application" не указывать конкретного приложения, то это правило будет применяться для всех программ?

Странная, довольно таки, ситуевина.
1. Разрешаю firefox. В askuser ему полный доступ стоит.
Гружу firefox и пытаюсь зайти на сайт firefox. Набираю в поисковике домашней странички mozilla любое слово и жму enter - 0 эмоций. Затем, пробую нажать на любой ссылке - то же самое. Тогда, говорю в jetico "allow all" и все начинает работать.

2. Пробую сделать пинг по любому адресу из комстроки - "ошибка доступа к драйверу net..."
jetico молчит и ничего не предлагает. Сбрасываю его настройки в дефолтные - тож самое.

Через некоторое время все само собою начинает работать.

В логах чисто.

И тормоза странные в сетке.

Добавлено:
Странная, довольно таки, ситуевина.
1. Разрешаю firefox. В askuser ему полный доступ стоит.
Гружу firefox и пытаюсь зайти на сайт firefox. Набираю в поисковике домашней странички mozilla любое слово и жму enter - 0 эмоций. Затем, пробую нажать на любой ссылке - то же самое. Тогда, говорю в jetico "allow all" и все начинает работать.

2. Пробую сделать пинг по любому адресу из комстроки - "ошибка доступа к драйверу net..."
jetico молчит и ничего не предлагает. Сбрасываю его настройки в дефолтные - тож самое.

Через некоторое время все само собою начинает работать.

В логах чисто.

И тормоза странные в сетке.

Иногда, вообще нет доступа к сетке. Я бы еще понял, что постоянно нет доступа.

Во всяком случае, после перезагрузки приходится ждать минут 10, пока все не восстановится.

Еще раз запустил визард, загрузил дефолные настройки - не то.

Что бы отправить эту мессагу, пришлось вообще все разрешить. Хотя, "ask user" почти чист. за исключением дефолных записей в нем "ask" и "continue".

Помогите плиз.
Никак не могу настроить правило для VMware, точнее для компонента vmnat.exe.
Создашь правило для vmnat.exe под браузер в вирт. системе, там же не работает ася, при том, что заработает она только когда удалишь все правила для vmnat.exe и начнешь создавать заново.
Попросту говоря, в виртуальной системе работает только то, для чего в джетике первое правило было создано.
Доходит дело до абсурда: даже сайт работает только тот, который первым вбил в строку(т.е. для которого в джетике ip разрешил. Пробовал ставить даже трастед зоне, не помогает.
Я уже устал для каждого шага в инете удалять-создавать все по новой

Бред!!! и еще раз Бред!!!

Пока, не разрешил приложению C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe доступ в сеть, система не могла ни ip получить от dhcp, ни в сеть выйти.

Похоже, это приложение глубоко встраивается между драйвером сетевухи и ядром. Тоже, как модуль. Я в шоке. Ну и какой это файрволл после всего этого?

А пока не разрешил проге C:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe доступ в сетку, не смог отправить эту мессагу.

Нет, уж. Я лучше переконтуюсь на дефолтном файрволле, как-нибудь.

Хороший то он хороший, но вот что то не работает как сервис.. шатдаунится при logout.
Понимаю, что personal и free, но не сидеть же все время залогиненным.
Или только GUI вырубается? в списке сервисов я его не заметил.

Cheery
а если вручную запускать?

ЗЫ. мне оно не нужно - дайалап-с... ((((

To All
1. правила в "Ask User" выполняются в порядке "сверху вниз" ?
2. Если в правиле (application rule) в настройках "Packet Parameters - Application" не указывать конкретного приложения, то это правило будет применяться для всех программ?

namchik

Цитата:

а если вручную запускать?

а нафига мне такой гемор ? знаю я это.. бесплатный почтовик так запускается, но с файером это перебор.
варез нельзя, покупать лень, пришлось поставить аутпост первой версии..
всего то нужно надоедливые хосты забанить, что шлют тупые запросы на вебсервер.

Cheery
ну тады оставайся на аутпосте... либо попробуй ZoneAlarm Free )))

namchik

Цитата:

ну тады оставайся на аутпосте... либо попробуй ZoneAlarm Free )))

он не подходит по соглашению.. бесплатен только для личного использования.

Цитата:

ZoneAlarm is free for individual and not-for-profit charitable entity use (excluding governmental entities and educational institutions).

вторая часть этого не подходит..
но это уже оффтоп



Цитата:

1. правила в "Ask User" выполняются в порядке "сверху вниз" ?

да, обычно..
учитывая, что новые по умолчанию вставляются туда

Cheery,

Цитата:

Или только GUI вырубается? в списке сервисов я его не заметил.

только GUI

Кто знает в чем может быть проблема. При установка новых программ для работы в нете, нет запросов на создание новых правил. Программы просто говорят что немогут выйти и нет.

HSWT
Могу предположить что есть правило которое не спрашивает если что, а сразу запрещает.

у меня такая же проблема, не могу никчему подключиться сразу после установки....
сижу за проксей, что и как поднастроить, посдкажите плиз, иль пришлите настроенный конфиг, плиз

Очень глупый вопрос, но хочу наверняка убедиться.
Если мы в Jetico вообще никак не указываем лок./уд. адрес или лок./уд. порт, то это то же самое как если бы мы выбрали для этого локального ил удалённого адреса или порта "все"?
Это как бы подразумевается по умолчанию, но что-то у меня в последнее время сомнения возникли...

И ещё вопрос.
В каких случаях может отсекаться (резаться) limited broadcast - 255.255.255.255 ?
И я не просто так спрашиваю, был прецедент...
А ведь в Jetico он забит для DHCP сразу и в IP-таблице и для системных приложений (svchost.exe и services.exe)...
Нельзя ли вместо limited broadcast - "255.255.255.255" использовать "все"?

freedom83
Ну, а правила для прокси создавать не пытался?
Den_Klimov
Какие сомнения?

kesic
Ладно я понял - ты уверен. Считай успокоил.
А по поводу limited broadcast что-нибудь скажешь?

Den_Klimov
Так адрес 255.255.255.255 именно и используют как limited broadcast address, для удобства рассылки/приёма дейтаграмм так сказать.
А вообще, мою изолированную рабочую станцию это как-то обходит...