» Jetico Personal Firewall

2Seva I

Цитата:

что делать со сквозными пакетами

Если ты имеешь в виду транзит через твой комп, то с этим можно поиметь геморрой. Если же обычная одноранговая сетка, то на чужие пакеты можно внимания не обращать, IMHO.
Протокол как номер - это интересно... А эта фишка у тебя недавно появилась или постоянно?

Seva I
Да, нельзя. Суппорт так ответил.
Жаль.

2XenoZ
Цитата:

Если же обычная одноранговая сетка, то на чужие пакеты можно внимания не обращать, IMHO

Сеть, в принципе, одноранговая, но хватает своих нюансов. Домашняя сеть из порядка 300 компов, нет централизованного управления - куча типа-админов, которые пробуют управлять своим сегментом, стоят разные ОС, много зараженных компов, раздача в сети идет по Netbios и по FTP.... В общем, есть все Думаю, поэтому и появились протоколы 88AD и 139. По адресам похожи на обычные broadcast, поэтому если нужные не хотелось бы блокировать

Цитата:

А эта фишка у тебя недавно появилась или постоянно?

Скорее всего с самого начала, первый раз я про них спрашивал еще 2 месяца назад http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=1040#4.

2Sanc4eZ
Цитата:

Да, нельзя. Суппорт так ответил. Жаль.

А было бы неплохо работать с группами IP.
Если есть связь с супортом. просьба попросить их прокоментировать эти протоколы, я бы и сам спросил, но, боюсь, моего английского не хватит чтоб все объяснить

2Seva I
Тут погуглил немного, нашел кой-чего о протоколе [more=88AD]
Цитата:

Цитата: When I run ethereal from my Wndows XP computer on home network (I have a netgear router that provides DHCP and DNS services), I see a broadcast packet every 2.5 seconds from source ximetaTe_18:02:a2 using protocol 0x88ad. I have googled this, but have not found anything. Could some one please tell me what this is?

Perhaps somebody from Ximeta (or XiMeta, or XIMETA, or however they capitalize it) can.

The IEEE list of registered Ethernet types at

    http://standards.ieee.org/regauth/ethertype/eth.txt

says 88AD is assigned to XiMeta Technology Americas Inc., with the comment

We are manufacturing a series of devices that are connected to the Ethernet requiring secure data transmission. Because of the security reasons, the communication between
the devices is done through a proprietary
communication protocol instead of well known
protocols such as IP. We therefore need
an Ethertype Field for the Ethernet frame
to embed our proprietary communication protocol.

The "proprietary" part suggests that some of the security might be security-through-obscurity - "we're secure because we don't use that insecure TCP/IP!", as suggested by their page at

    http://www.ximeta.com/technology/ndas/index.php

so perhaps they won't tell you what it is, however.

Do you have one of their devices?

    http://www.ximeta.com/

If so, it's probably sending out packets looking for a server, or something such as that.

Помогите решить проблему. NForce4 + x2 3800+ x800GTO. Стоит XP SP2 Prof Corp Eng со всеми апдейтами. Стоит Каспер 6.0 с настройками по умолчанию. Ставлю Jetico1. Запускаю CS 1.6 + прогу ssclientwin3.0(античит). Пока еще не вник в настройки правил Jetico, делаю "разрешать все" , запускаю античит, контру, возвращаю в профиль "optimal", играю. Через некоторое время с вероятностью 99% - BSOD с различными кодами ошибок(чаще всего klif.sys - от каспера). Обычно BSOD возникает при смене уровня, но бывает и просто во время игры. Что делал - играл с настройкой "разрешать все", выгружал Jetico, останавливал каспера с "разрешать все у джетико" - не помогло. Помогает только деинсталяция Jetico, тогда все становится ок. Пробовал ставить 2bety, так она комп подвешивает на этапе определения правил. Что нибудь подскажите, а то стенка понравилась... ?

2pkt123
Не хочу показаться пристрастным, но проблема, скорее всего в Касперском. Сам по себе антивир неплохой, пробовал как-то шестерку билд 300, но с Джетикой его подружить мне не удалось.
Цитата:

"Касперский" не любит никого, кроме себя.
© (не помню, кто)

Какая-то доля правды здесь есть, IMHO. Мои эксперименты закончились тем, что его снес. Насчет 2беты: 10-й разлив у нее особо глючный.

Цитата:

...выгружал Jetico, останавливал каспера...

Это не спасает, т.к. драйвера продолжают работать, по крайней мере у Джетики так.

Странно у меня KAV 6.0.303 и Jetico 2.0.10 beta очень хорошо уживаются
проблем не наблюдаю.

Проблемы только в контерстрайке. В остальном проблем нет.

pkt123
Антивир вырубать пробовал?

2Kapit2003

Цитата:

Странно у меня KAV 6.0.303 и Jetico 2.0.10 beta очень хорошо уживаются
проблем не наблюдаю.

Я пробовал KAV 6.0.300 и Jetico 1.0.1.61. А с бетой 2.0.0.10 тебе повезло, раз прижилась , на форуме Wilders Security ей весьма недовольны.

Добавлено:
2pkt123
Можешь попробовать такой вариант: временно снести/полностью вырубить каспера (чтобы не фонил), в Джетике в Ask User над правилом Ask создать правило Reject All с включением лога на него. Запустить CS, если повиснет - перегрузиться, будет ругаться - не обращать внимания. Потом выйти из игры, посмотреть в логе Джетики, чего CS хочет, и настроить соответствующие правила. Я с HL2 долго возился, пару раз по RESET'у перегружался, пока выяснил все, что ей надо.

Цитата:

pkt123
Антивир вырубать пробовал?

Конечно.

Цитата:

Можешь попробовать такой вариант: временно снести/полностью вырубить каспера (чтобы не фонил), в Джетике в Ask User над правилом Ask создать правило Reject All с включением лога на него. Запустить CS, если повиснет - перегрузиться, будет ругаться - не обращать внимания. Потом выйти из игры, посмотреть в логе Джетики, чего CS хочет, и настроить соответствующие правила. Я с HL2 долго возился, пару раз по RESET'у перегружался, пока выяснил все, что ей надо.

Спасибо, попробую.

2pkt123
(вдогонку...)
Блин, забыл .

Цитата:

над правилом Ask создать правило Reject All с включением лога на него

И еще такое же в Process Attack Table.

ok

2XenoZ
Цитата:

Тут погуглил немного, нашел кой-чего о протоколе 88AD

Большое спасибо, теперь понятно - значит, в сетке есть такие девайсы.
Цитата:

Цитата: А было бы неплохо работать с группами IP

Ты про что? Поясни.

Цитата:

но много протоколов опредяется как 139.

139 это вообще-то номер порта..
Цитата:

incoming packet 10.10.255.255 255.255.255.255

- можно обозначить как поиск шар на всех доступных компах. (бо по 139 потру идет доступ к шарам через нетбиос по ТСР)

Цитата:

много зараженных компов, раздача в сети идет по Netbios и по FTP....

- вот может как раз с зараженных и идет основная масса запросов на 139 порт?

2konik

Цитата:

Цитата: но много протоколов опредяется как 139.

139 это вообще-то номер порта..

ооочень жаль что jetico1 не запускается сервисом... а вот последняя бетка (10) на самом деле "сыровата".. мб мне "повезло", но за 15 минут работы 4 бсода... это жестко... ждемс когда доделают...

Все таки подружил каспера6 и jetico1ю Всем спасибо.

У кого какой опыт есть в настройке Jetico2 под клиент bitTorrent?
Сегодня обнаружил, что куча блокированных UDP пакетов (в логе) на
239.255.255.250, порт 1900, на самом деле это *нужный* uPNP трафик для перенаправления портов, без которого bitTorrent клиент в локалке за рутером нормально работать не сможет. Судя по всему, рутер uPNP понимает и умеет.

Кто смог настроить правила под bittorrent?

Цитата:

но протокол 139 тоже существует

- У него другое имя есть? Или для чего юзается? В описании 7-слойной структуры протоколов не помню чтоб видел такое..

Цитата:

ооочень жаль что jetico1 не запускается сервисом...

Запускается прекрасно с помощью 3rd party: FireDaemon или SrvAny, или еще каких..

Такой вопрос:
Пользуюсб мирандой, сборкой LEM'a
http://new.lemnews.com/miranda/

Иногда выходят обновления для модулей. Я их соответсвенно обновляю. Но Jetico молчит. Пропускает миранду в сеть. Так и должно быть ?
На мой взгляд он должен сообщить, что типа произошли изменения и т.д.
Или я чего-то не понимаю ?!

Дык ты же обновляеш модули а не сам исполняемый файл миранды. Так и должно быть. Вот когда саму миранду обновишь - Jetico снова спросит пропускать или нет...

Yarylo
А если троян обновить незаметно для меня ICQ.dll
А в этой dll будет функция отправки (ICQ) хакеру моего пароля и уина ?

Добавлено:
Outpost кстати, сообщает об изменении модулей.
Хотя могу и ошибаться. Давно уже его не использую.

Sanc4eZ
Следить за троянами это функция антивируса. Если троян ПОДМЕНИТ ICQ.dll - Jetico ничего не скажет. Но троян если будет пытаться ИЗМЕНИТЬ существующую длл-ку - Jetico даст знать

Yarylo
Ясно. Спасибо за инфу.

Yarylo
Если троян подменит ICQ.dll то Jetico определит неправильную контрольную сумму.

Подскажите пожалуйста, как в jetico дать разрешение на домашнюю сеть?
Он намертво блокирует выход всех подкомпьютеров в интернет. Раньше все было нормально, но переставил винду, и начались проблемы.

wezir
Только что сделал следующее:
1. Закрыл миранду
2. Обновил ICQ.DLL
3. Запустил Миранду

Jetico без вопросов пустил её в инет.

Добавлено:
А вот когда обновил QIP (exe файл), тогда Jetico выдал запрос.
Т.е. имхо Yarylo прав.

всетаки решил разобраться с jetico и

ситуация:
запущен фтп-сервер, в фаере след правила:
в Application Table перв правило
-> MyFTP     debug     any    any    C:\Program Files\Gene6 FTP Server\G6FTPServer.exe
т.е. если какая-л активность связана с фтп-сервером идем в отдельн таблицу.
    
в MyFTP
accept    info    any    any    
т.е. для целей отладки разрешено вобще все.

в System IP Table также переход в отдельн табл и в ней разрешены на in\out 20 и 21 порты (только активн режим).

при всем при этом скорость скачки с фтп просто вообще никакая. - около 30 килобайт-в-сек при том что без фаера или в режиме allow all скорость до 11.3 мегабайт-в-сек.... загрузка процессора не выше 20%. пробовал обе версии джетико результат примерно одинаковый. т.е. если в фаере создается правило для контроля за конкретным приложением (G6FTPServer.exe) то функционирование фтп-сервера становится неудовлетворительным...

вопрос... возможно я не до конца разобрался в джетико и неправильно составил правила?. или почему все так плохо?.. фаер мне канеш оч понравился по возможной степени контроля происходящего на компьютере. но вот ситуация с фтп неясна... спасибо.

*updated*
хм. проблема исчезла сама. понимаю это звучит нелепо, но скорость стала нормамльной *сама по себе* возможно дело было не в джетико.. мда.