» Jetico Personal Firewall

2kesic
Атрибут "только чтение" (на конфиг) Джетике пофиг, а права доступа под FAT32 не поставишь (ну слабовата у меня дома машина для игр под NTFS). К тому же, и в NTFS: переписать не сможет, а поменять в текущем сеансе - пожалуйста.

XenoZ
Только что посмотрел. Таки да, мои предположения не оправдались.

2kesic
В принципе, было бы оптимально после загрузки убивать GUI, только как? Может, у него и есть какие-нибудь ключи запуска, но мне такая инфа не попадалась.

XenoZ
Интересно как вариант. Может у разрабов стоит спросить об этом?

2kesic
Была такая мысль, да уж больно хлопотно сотворить письмо на грамотном английском.

XenoZ
Ты имел ввиду следущее?
Создаём таблицу со стандартными правилами (с названием, например, icq) для нужного приложения, запускаем миранду (любую программу), указываем вердикт - icq (созданная таблица). В результате в Ask User создаётся правило - для нужного приложения:
Вердикт - icq
Событие - все
Протокол все
---

2RamCram
Ну да...
Цитата:

результате в Ask User создаётся правило

Только здесь, наверно, точнее было бы сказать создается ссылка на таблицу, чтобы не путаться в терминологии.
И еще, при создании таблицы с правилами, в самих правилах приложение указывать не надо.

Всё, спасибо ! Вроде как разобрался. Достаточно удобно. Только не нашёл - работает ли jetico с mac адресами ? Например в sygate firewall я мог создавать правила с привязкой не только к IP адресу, но и mac-адресу. Что в некот. случаях очень удобно. В jetico есть что-нить подобное ?

2RamCram
В "Protocols Table" есть правило "Allow ARP requests". Если включить лог, то видно, что обращение идет по MAC-адресам. Попробуй поковыряться с ARP-протоколом. Сам не пробовал.

XenoZ
уже смотрел, не совсем то что нужно... Ну ладно, пока и так сойдёт.

XenoZ

Цитата:

Была такая мысль, да уж больно хлопотно сотворить письмо на грамотном английском.

Так у них можно спросить вообще, о способах защиты jpf от обычного пользователя. Думаю, такое письмо не будет сложно состряпать.

2kesic
Закинул им вопросик на сайте. Бум посмотреть...

XenoZ
Что ж, довольно интересно будет услышать их ответ.

2kesic
Получил ответ от саппорта:

Цитата:

Dear Alexander,

Thank you for feedback. The next version will support Access control lists where administrator
can select whether to enable or disable each JPF function for particular user.

> > Problem description: How can I protect Jetico from Simply User in multi-user configuration?

Sincerely yours,
Nail Kaipov

=================================================
Jetico, Inc. phone: +358-9-25173030
Tekniikantie 14, fax: +358-9-25173031
02150, Espoo e-mail: info@jetico.com
Finland http://www.jetico.com

"BestCrypt data encryption software for
Windows 9x/NT/2000/XP and Linux"

"BCWipe data erasing software for
Windows 9x/NT/2000/XP and Unix"

"Jetico Personal Firewall for
Windows 9x/NT/2000/XP"

Latest versions, news, information
from: http://www.jetico.com

=================================================

Похоже, в текущей версии - облом... Хотя, попробую их еще немного подоставать, а вдруг?..

XenoZ
Думаю, что нет смысла их доставать, т.к. похоже что действительно облом с этой версией. Блин, раз заговорили о следующей версии, сказали хотя бы когда ждать. Да, и что-то у меня сомнения возникают, что следующая версия будет бесплатной...

Может кто поделится правилами для вебмани киппера?!

А то надоело каждый раз добавлять всё новые и новые сайты в его таблицу. Может ему разрешить полный оутбаунд по ТИСИПИ?

2kesic
Еще запросил о возможности отключения GUI, и заодно закинул удочку насчет выхода новой версии.
Цитата:

сомнения возникают, что следующая версия будет бесплатной...

IMHO, за хорошую прогу и заплатить не жалко .

XenoZ

Цитата:

Еще запросил о возможности отключения GUI, и заодно закинул удочку насчет выхода новой версии.

Отлично.

Цитата:

IMHO, за хорошую прогу и заплатить не жалко

Тоже верно, только мы не знаем какова она... новая версия, всяко бывает...

Пообщался с разработчиками (в меру своих познаний в английском ) и уяснил следующее: текущая версия Джетики - сугубо персональная. Она может работать (и работает) в "мультиюзере", но:
Цитата:

...Current version does not protect configuration from unauthorized access...

, т.е. "защиты от дурака" не предусмотрено никакой...
А теперь о хорошем:
Цитата:

...Version 2 is almost complete. If things will go smoothly we'll make it in July.

Здесь все дружно стучим по дереву (только не по голове!) и ждем-с...

XenoZ
У тебя две новости, так сказать
По первой, так мы и полагали, а вот второе... довольно заманчиво звучит Thnx что пообщался с разрабами, да запостил результат тут.

Будем надеятся что вторая версия выйдет тоже бесплатной

2Sanc4eZ
Ну, если тебе совсем неинтересно, по каким сайтам шастает твой мешок , возьми за основу стандартную таблицу (Web Browser, например), а удаленные порты укажи те, к-рые запрашивает WebMoney.

Прокомментруйте, плиз, такие записи из лога, что за протоколы такие?

Цитата:

reject    Block All not Processed Protocol Packets    88AD    incoming packet    00:50:22:85:5D:A9    FF:FF:FF:FF:FF:FF    Ethernet II frame    
reject    Block All not Processed Protocol Packets    IPX 802.3 LLC    incoming packet    00:14:85:47:A7:BE    FF:FF:FF:FF:FF:FF    802.3 with LLC frame

Создаю правило для сервера фтп в Ask user. Всё работает, однако при каждом подключении меня спрашивает, разрешить ли такое-то соединение. Всё конечно хорошо, но если я оставил фтп для всех входящих, блин, что ему надо ?

2RamCram
Подробней, плз... (Что создал, что спрашивает...)

2Pivonavt
Начал смотреть... Первая реакция: "Как все запущено!.."
Для начала, разгреби кашу в "Ask User" и "Process Attack Table": запреты - на самый верх, потом переходы (в "Ask User"), а затем разрешения.
Непонятно, зачем у тебя две лишних таблицы "Application Trusted Zone" (в "Ask User" и "aplic"). Все равно переход идет на таблицу в "Application Table"

Process Attack Table:

Цитата:

Принять    Suspicious process activity    отключено    атакуюший внедряет dll в процеcс (системный hook)    G:\Program Files\Total Commander XP\TOTALCMD.EXE
Принять    Suspicious process activity    отключено    атакуюший внедряет dll в процеcс (системный hook)    G:\Program Files\Internet Explorer\IEXPLORE.EXE    
Принять    Suspicious process activity    отключено    атакуюший внедряет dll в процеcс (системный hook)    G:\Program Files\Light Alloy\LA.exe    
Принять    Suspicious process activity    отключено    атакуюший внедряет dll в процеcс (системный hook)    G:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe    
Принять    Suspicious process activity    отключено    атакуюший внедряет dll в процеcс (системный hook)    G:\Program Files\Windows Media Player\wmplayer.exe

Это, в принципе, можно запретить - ну на фига им ловушки в системе, особенно IE ?

Ask User:

Цитата:

Отклонить    отключено    все    доступ к сети    G:\WINDOWS\system32\wbem\wmiprvse.exe

Этой службе доступ к сети разрешить можно.

Цитата:

Принять    отключено    все    доступ к сети    G:\Program Files\VisNetic Firewall\DFW.exe

А вот об этом говорили не раз, и не только в этом топике: два файера в системе - это ...

Цитата:

Принять    отключено    все    доступ к сети    E:\Lan\pcaudit2(6.3).exe

Это правило тебе зачем? Попользовался тестом - сними птицу или вообще убей (во избежание ).
IMHO, многовато у тебя разрешений... Да, что у тебя в "Trusted Zone" висит?

P.S. Первый набросок, буду разгребать дальше...
P.P.S. RamCram & Pivonavt, может вы споетесь?

Хмм... то ли я чего не понял, то ли тут какие-то траблы с этим фаером... Я попробовал настроить фаер на работу только с одной программой - ICQ-клиентом QIP. Не получилось. Точнее, получилось, но не до конца... Как оказалось, для того, чтобы работа QIP, нужно, чтобы были разрешены: Babylon, PGP Disk и ещё куча программ, в т.ч. и Total Commander, если я через него запускаю... Ужасть! %)

2EagleXK & 2All
Может, получится с экспрессивным уклоном, поэтому сразу - без обид !

Работать с Джетикой нужно аккуратно и нежно. Она - девочка исполнительная и послушная, честно пытается сделать все, что приказано. И если в результате возникают траблы, то виновата не она, а увеличенная кривизна рук юзера . Особенно это относится к таблице "Process Attack Table". Ну на фига, спрашивается, в частности, разрешать всем подряд "атакуюший внедряет dll в процеcс (системный hook)" (System-wide Windows Hook), а потом бороться с косяками? По моим исследованиям, большинству приложений, к-рые запрашивают эту функцию, оно и на фиг не нужно. Более того, многие приложения прекрасно обходятся и без доступа к сети. А таблицы, в основном "Ask User" и "Process Attack Table", надо периодически ситематизировать, с приоритетом на параметр запрета. Джетика внутри таблицы обрабатывает правила сверху вниз, по порядку, до первого подходящего. Поэтому желательно на самый верх сдвигать запреты, потом - переходы (если они есть), а уже после - разрешения. Каша в таблицах нежелательна, т.к. легко можно нарушить необходимую последовательность обработки правил, а потом долго париться... На работе Джетикой пользуюсь полгода - никаких нареканий. Неделю назад поставил ее дома, разрулил на троих юзеров - тоже полет нормальный.
Так что, господа и господарки, вердикт: правила для Джетики нужно создавать аккуратно, пользуясь серым веществом , и будет Вам счастье!

Пытаюсь настроить правило для total commander в качестве фтп клиента, не выходит.
Делаю следующее:
Запускаю revert to factory settings.
Пытаюсь подключится к фтп в нашей локалке по адресу 10.2.2.20, галочка использовать пассивный режим выключена.
Вываливается окошко jpf – говорю Handle as Ftp Client
Затем вываливается окошко jpf со следующими данными:

Application    C:\Program Files\Total Commander\Totalcmd.exe    
Event    inbound connection    
Protocol - TCP/IP
Local address - any
Local port - 4838
Remote address - 10.2.2.20
Remote port - any
То есть не проканало правило «ACTIVE mode data channel» в таблице Ftp Client. Единственное различие какое вижу – remote port, в таблице 20 в событии any.
Jpf не распознал remote port?

Ладно, говорю что total commander это Application Trusted Zone.
TC вроде соединяется с сервером, но на команде LIST вешается.
Смотрю лог, а там такая строчка:

reject    Block All not Processed IP Packets    48    TCP    outgoing packet    10.1.1.44 10.2.2.20    4841    63053    TTL: 64; TOS: 0; ID: 0CA3; TCP flags: SYN ACK ; TCP Seq: 1759C61F

То есть jpf не понял, что этот пакет от total commander? Почему не сработало правило Stateful TCP Inspection?

К серверам, с которыми можно включить пассивный режим, нормально подключаюсь.

Подскажите пожалуйста, как правильно настроить.

2xmir

Цитата:

Единственное различие какое вижу – remote port, в таблице 20 в событии any.

Посмотри в логе, с какого порта шел запрос.

Цитата:

total commander это Application Trusted Zone

А что в этой зоне у тебя прописано?

Цитата:

reject    Block All not Processed IP Packets    48    TCP    outgoing packet    10.1.1.44 10.2.2.20    4841    63053    TTL:  64; TOS:  0; ID: 0CA3; TCP flags: SYN ACK ; TCP Seq: 1759C61F

Если это пакет от TC, то судя по порту, это - PASSIVE mode data channel.
P.S. Только что через TC вышел в И-нет на хомяка по FTP-active - никаких проблем...
[more=Моя таблица]Принять    FTP client access to network    отключено    все    доступ к сети    
Принять    Control channel    отключено    TCP/IP    исходящее соединение    все    все    1024:5000    21    
Принять    ACTIVE mode data channel    отключено    TCP/IP    входящее соединение    все    все    1024:5000    20    
Принять    PASSIVE mode data channel    отключено    TCP/IP    исходящее соединение    все    все    1024:5000    40000:65535    
Продолжить    Default action[/more]

Добавлено:

Цитата:

Почему не сработало правило Stateful TCP Inspection?

Ну, здесь оно, похоже, как раз сработало. Джетика ни к чему не смогла привязать этот пакет и , соответственно, его почикала . А почему не смогла - это надо смотреть...

XenoZ, спасибо за разъяснения. Просто документашка для Jetico довольно мутная и я, откровенно говоря, не разобрался с этой фишкой. Теперь буду знать, благодарствую!