» Jetico Personal Firewall

DOE_JOHN
ArtLonger
Да ладно вам, этот фаер итак тяжёл для обычного пользователя, так что не думаю что запуск проги не в качестве службы есть проблема для пользователей, которые оценили достоинства работы Jetico

а что означает опция "override port"?

2greenfox

Цитата:

а что означает опция "override port"?

Обрабатывать (или не обрабатывать) порт при создании/работе правила.
Ставишь птицу - получаешь дополнительный список для настройки порта(-ов).

XenoZ

Цитата:

брабатывать (или не обрабатывать) порт при создании/работе правила.
Ставишь птицу - получаешь дополнительный список для настройки порта(-ов).

т.е. отсутствие этой галки равно её присутствию с установленым значением в поле port в "any"?
А "match inverted" "шо се таке"?

2ILYA83

Цитата:

По тесту http://www.hackerwatch.org/probe/ открыт порт HTTP 80.Как прикрыть ?

Вылез, потестил:
Цитата:

Test complete.
No open ports were found.

Где-то у тебя дырка в настройках. И очень возможно - какие-нибудь разрешенные левые хуки.

Добавлено:
2greenfox

Цитата:

т.е. отсутствие этой галки равно её присутствию с установленым значением в поле port в "any"?

Как я понял, при отсутствии галки порт не обрабатывается вообще, а при наличии со значением "any" принимается любое значение порта.

Цитата:

А "match inverted" "шо се таке"?

Инверсное условие. Пример: порт 80 + нет флажка -> порт 80; порт 80 + есть флажок -> все порты, кроме порта 80.

XenoZ

Цитата:

Как я понял, при отсутствии галки порт не обрабатывается вообще, а при наличии со значением "any" принимается любое значение порта.

ну это я и имел ввиду - разницы то никакой Разве что в производительности, да и то сомнительно - лишнее условие всё равно есть в настройках...
Цитата:

Инверсное условие. Пример: порт 80 + нет флажка -> порт 80; порт 80 + есть флажок -> все порты, кроме порта 80.

угумс, спасибо, буду знать.

Народ! Так никто не слышал, есть ли модуль для Jetico который бы выводил в трей инфо об атаках?

2kesic
Так вроде разрабы никаких дополнительных модулей для Джетики (1) не выпускали. Если не секрет, зачем тебе эта инфа?

Использую версию 1.0.1.61.
Не показывает исходящий трафик, только входящий. Не понятно почему, может кто подскажет.
И ещё, есть куча флэш игр вида *.exe, которые постоянно ломятся в интернет. Существует ли возможность создания универсального правила для них?

jerkyboy
Поподробнее, где не показывает - только на графике или везде?


Цитата:

Существует ли возможность создания универсального правила для них?

А как же! Правило называется "всех нах" и ставится последним. Разрешите только нужным прогам выход в сеть, а остальные пойдут на вышеуказанное правило.

Цитата:

jerkyboy
Поподробнее, где не показывает - только на графике или везде?

Только на мониторе трафика.



Цитата:

А как же! Правило называется "всех нах" и ставится последним. Разрешите только нужным прогам выход в сеть, а остальные пойдут на вышеуказанное правило.

Не совсем понял. Например в Ask user последним стоит

Спросить    информация    все    все    

Если вместо этого поставить

Отклонить    информация    все    все    

То конечно никто больше не пройдёт, кроме тех кто в списке уже есть.

В общем, прошу уточнить где именно можно запретить доступ в сеть приложениям из чёрного списка, но при этом оставить возможность создания правила по запросу для тех, кого ещё не запускал к примеру или установлю позже.

2jerkyboy

Цитата:

Не показывает исходящий трафик, только входящий.

Была схожая проблема, только со входящим, когда поставил погонять KAV 6.

Цитата:

...прошу уточнить где именно можно запретить доступ в сеть приложениям из чёрного списка

В Джетике 1 черный список, если не ошибаюсь, можно создать только для IP, аналогично Blocked/Trusted Zone. Возможное решение: отследить по логам адреса, на к-рые ломятся флэшки, и закинуть их, к примеру, в ту же Blocked Zone.

2 XenoZ


Цитата:

В Джетике 1 черный список, если не ошибаюсь, можно создать только для IP, аналогично Blocked/Trusted Zone. Возможное решение: отследить по логам адреса, на к-рые ломятся флэшки, и закинуть их, к примеру, в ту же Blocked Zone.

Это не выход, флэшек куча. И потом они запрашиваю Доступ к сети. Те, которые swf - с теми проще, закрыл доступ к сети для плеера и всё, все флэшки автоматом в пролёте, а вот с экзешниками туго.

2jerkyboy

Цитата:

Те, которые swf - с теми проще, закрыл доступ к сети для плеера и всё, все флэшки автоматом в пролёте, а вот с экзешниками туго.

А если перегнать exe2swf?

XenoZ

Цитата:

Так вроде разрабы никаких дополнительных модулей для Джетики (1) не выпускали. Если не секрет, зачем тебе эта инфа?

Не секрет - удобства ради

Подскажите в чем может быть проблема. Система windows2003, есть два пользователя, у первого пользователя права администратора, у второго оператор. Проблема в том что при установки Jetico Personal Firewall у первого пользователя загрузка системы достигает 100%, а второй работает нормально. В чем может быть проблема? Неохота менять Firewall.

Есть ещё один вопрос - Как закрыть отдельный порт? Неужели нужно создавать правило на каждое событие, исходящие, входящие, отправка датаграмм и т.д. и указывать этот порт? А ещё ведь есть удалённый и локальный. Это же сколько правил надо создать чтобы запретить любую активность данного порта?

2jerkyboy
В принципе, для одного порта достаточно 2-х:
System IP Table
verdict: reject
description: ...
log: ...
protocol: TCP
event: all
source address: all
destination address: all
source port:
destination port: 445 (к примеру)
Ну, и второе - такое же для UDP.
По моему так...

Цитата:

В принципе, для одного порта достаточно 2-х:
System IP Table
verdict: reject
description: ...
log: ...
protocol: TCP
event: all
source address: all
destination address: all
source port:
destination port: 445 (к примеру)
Ну, и второе - такое же для UDP.
По моему так...

А как же такой вариант -

verdict:Отклонить    
description:Block 445    
log:отключено    
protocol:TCP/IP
event:входящее соединение    
source address:все    
destination address:все    
source port:445
destination port:все    

В случае с 445 портом у меня произошёл именно такой запрос, и именно с локального порта.

Просто мне вдруг подумалось что раз в файле settings.xml можно записать группу портов, то наверняка эту группу можно как то применить (к примеру группы IP можно применять)

Цитата:

event:входящее соединение
source address:все
destination address:все
source port:445
destination port:все

Здесь destination - это на твоей машине, т.е. пришел пакет с 445 на твой any

Цитата:

Просто мне вдруг подумалось что раз в файле settings.xml можно записать группу портов, то наверняка эту группу можно как то применить (к примеру группы IP можно применять)

Только не портов, а адресов . Можно, почему нет. Создаешь новую группу или несколько, заполняешь их нужными адресами, а в конфиге ссылаешься на них аналогично Trusted/Blocked (в Application Table и System IP Table)

Добавлено:

Цитата:

event:входящее соединение

Вообще-то запроса на входящие, IMHO, быть не должно вообще. Он (запрос) может быть на исходящие, а входящие проверяются на ожидаемость (Stateful Inspection) и либо проходят, либо режутся (без запросов).

jerkyboy
Можешь в "System IP Table" сделать следующее:
REJECT Description - Block All not Processed IP Packets / Protocol - any / Event - any / Source address - any / Destination address - any.

2 XenoZ


Цитата:

Здесь destination - это на твоей машине, т.е. пришел пакет с 445 на твой any

Я понимаю Про то и говорю, что необходимо закрыть и с 445 порта и на 445 порт. Соответственно уже не два правила, а минимум 4.


Цитата:

Только не портов, а адресов . Можно, почему нет. Создаешь новую группу или несколько, заполняешь их нужными адресами, а в конфиге ссылаешься на них аналогично Trusted/Blocked (в Application Table и System IP Table)

Да нет Именно портов!!! Вот пример из стандартного файла

<group id="TCP_PORT">
    <var id="non-privileged">
        <value>1024:65535</value>
    </var>
    <var id="ICQ ports">
        <value>442:445</value>
    </var>
</group>

Раз уж сами разработчики такое пишут, значит можно применять! С апишниками то и так всё понятно, а вот если бы и порты также можно было в Trusted/Blocked вот это было бы гуд!

2jerkyboy

Цитата:

Раз уж сами разработчики такое пишут, значит можно применять!

Спорить не буду, вполне возможно. У меня в стандартном такого не было, соответственно и не заморачивался. Ты Джетику, кстати, когда качал? Похоже на любимый ход разработчиков - поменять инсталлятор, нигде об этом не упомянув (хотя размер на сайте не изменился).
А что мешает провести эксперимент? Например:

Код: <group id="IP_ADDRESS">
    <var id="Blocked Zone">
        <value>192.168.0.0:445</value>
    </var>
</group>

Цитата:

Так не должно быть запросов на входящие! Они либо проходят по ожиданию, либо режутся последним (дефолтным) правилом в System IP Table:

Код:
reject Block All not Processed IP Packets any any any any

А у меня вот такое произошло

Отклонить    Block 137    отключено    TCP/IP    отправка датаграмм    System    все    все    все    137    

и тоже с 138 порта. Вот я и подумал что в обе стороны надо закрывать эти порты. А ведь рекомендуют закрывать порты TCP- 135,139,445,5554,9996 и UDP 135,137,138. Вот я и хочу их прикрыть все. Если бы можно было воспользоваться группами портов, то было бы не плохо
Цитата:

Спорить не буду, вполне возможно. У меня в стандартном такого не было, соответственно и не заморачивался. Ты Джетику, кстати, когда качал? Похоже на любимый ход разработчиков - поменять инсталлятор, нигде об этом не упомянув (хотя размер на сайте не изменился).

Качал недавно - 8 сентября.
А этот самый файл settings получился так - я не воспользовался Визардом в начале установки, а потом просто залез в этот файл и там вот такое тело

<?xml version="1.0" ?>
<?xml-stylesheet href='settings.xsl' type='text/xsl'?>

<settings>
<group id="IP_ADDRESS">
    <var id="Trusted Zone">
        <value>127.0.0.1</value>
    </var>
    <var id="Blocked Zone">
    </var>
</group>
<group id="TCP_PORT">
    <var id="non-privileged">
        <value>1024:65535</value>
    </var>
    <var id="ICQ ports">
        <value>442:445</value>
    </var>
</group>
</settings>

2jerkyboy

Цитата:

Отклонить Block 137 отключено TCP/IP отправка датаграмм

Так это, вроде, исходящие .

Цитата:

Вот я и подумал что в обе стороны надо закрывать эти порты. А ведь рекомендуют закрывать порты TCP- 135,139,445,5554,9996 и UDP 135,137,138. Вот я и хочу их прикрыть все.

У меня прописано так:
Application Trusted Zone
reject    warning    TCP/IP    inbound     any    any    135    
reject    warning    TCP/IP    outbound     System    any    any    any    445

System Internet Zone
reject        warning    UDP    inbound     any    any    135    
reject        warning    TCP    inbound     any    any    135    
reject        warning    UDP    any    any    any    137:139    
reject        warning    TCP    any    any    any    137:139    
reject        warning    UDP    any    any    any    445    
reject        warning    TCP    any    any    any    445    

И вопросов не возникало. Периодически просматриваю логи - там видно, что изредка стучатся по 135-му, почаще - по 445-му.

Цитата:

Качал недавно - 8 сентября.

А md5 инсталлятора сюда не кинешь? Любопытно стало: группы "TCP_PORT" у меня точно не было. Оригинал settings.xml:

Код: <?xml version="1.0" ?>
<?xml-stylesheet href='settings.xsl' type='text/xsl'?>
<settings>

<group id="IP_ADDRESS">
    <var id="Trusted Zone">
        <value>127.0.0.1</value>
    </var>
    <var id="Blocked Zone">
    </var>
</group>
</settings>

Цитата:

А md5 инсталлятора сюда не кинешь? Любопытно стало: группы "TCP_PORT" у меня точно не было. Оригинал settings.xml:

1f4932867be2337c9bf19542f9ec0a5d *jpfwall.exe


Цитата:

Добавлено:
Если интересно, я выкладывал свой конфиг с кратенькими комментариями здесь. Правда, давно уже не обновлял...

Я их уже смотрел, спасибо. И за настройки по портам тоже спасибо!

Осталось выяснить мои предыдущие вопросы, а именно - почему на мониторе трафика не видно исходящего трафика. И по поводу блокировки флэшек формата *.exe


Добавлено:
Всё, донастраивался, блин. Исчез вообще из списка протокол UDP. И если не выбрано конкретное событие (исходящее, входящее и тп), то не выбрать вообще никаких данных по локальным и удалённым адресам. Во, номер!!!

2jerkyboy
md5 тот же... Похоже, это неубранный разработчиками "хвост", к-рый затирается при запуске "Configuration Wizard". Хотя, с портами попробую на работе поэкспериментировать - вопрос занятный.

Цитата:

...почему на мониторе трафика не видно исходящего трафика.

Возможно, проблема в какой-то проге. Как уже постил ранее, была у меня схожая проблема, когда гонял KAV 6. Все входящие и исходящие Джетика фиксировала, а на мониторе - входящий трафик по нулям.

Цитата:

И по поводу блокировки флэшек формата *.exe

Цитата:

А если перегнать exe2swf?

Ничего другого пока в голову не приходит .

Цитата:

Всё, донастраивался, блин. Исчез вообще из списка протокол UDP.

И куда? Вообще-то его можно выбрать только в Protocols Table и System IP Table:
Создать->Правило: IP-протокол...->Параметры пакета->Протокол: и т.д.
А если проблемы, то сохрани текущий конфиг под каким-нибудь именем и загрузи заводские установки .

XenoZ
Удалось что-нить в группами портов сделать, я фидел и раньше в файле конфига, но применить его не получается, т.к. выбора такого как с новыми группами адресов нет

2Seva I

Цитата:

...с портами попробую на работе поэкспериментировать...

Не работает, однако . Похоже, действительно "хвост".

2XenoZ


Цитата:

И куда? Вообще-то его можно выбрать только в Protocols Table и System IP Table:
Создать->Правило: IP-протокол...->Параметры пакета->Протокол: и т.д.

Бррр, Чё то я не понял. А что в Ask User нельзя выбирать UDP? А где же составлять правило вроде этого

reject warning UDP inbound any any 135

в System IP Table?

P. S. Надо ещё привыкнуть к этим таблицам. До сих пор не всё понял

Хотел ещё спросить что у тебя за System Internet Zone такая.