» Jetico Personal Firewall

parovoZZ
Как определяется что:
Цитата:

...пакет, который предназначается для Opera... попадает в таблицу торрента...

то есть когда соединения идут от Оперы, Opera.ехе в логах определяется как uTorrent.exe ? Прописаны ли все пути для обоих exe'шников, во всех ихних правилах? Считается хеш для обоих в "Контрольных суммах", если нет, то пропадут ли косяки если включить?

Джетик в таком случае вообще ничего не видит. В логах, естественно, ничего нет. И причём здесь Opera? Есть ещё аська, антивирус, почта - их джетик тоже не видит, соответственно инет для них обламывается.


И это...сколько соединений может держать джетик?)) У меня как-то дошло до 2500))

Добавлено:
Ещё вдогонку) Почему различаются показания джетики и netstat -a?
Джетик:


C:\Program Files\uTorrent\uTorrent.exe    3440    5    45571159    810319    
C:\Program Files\uTorrent\uTorrent.exe    3440    outbound connect    499    204    0.0.0.0    4871    193.201.98.4    49879    
C:\Program Files\uTorrent\uTorrent.exe    3440    listen datagram    9044    9044    0.0.0.0    6771    0.0.0.0    0    
C:\Program Files\uTorrent\uTorrent.exe    3440    listen datagram    278812    306286    0.0.0.0    15225    0.0.0.0    0    
C:\Program Files\uTorrent\uTorrent.exe    3440    listen    0    0    0.0.0.0    15225    0.0.0.0    0    


netstat:


TCP acer:1062 host-static-92-114-222-137.moldtelecom.md:38251
TIME_WAIT
TCP acer:1066 ppp85-140-18-33.pppoe.mtu-net.ru:28711 TIME_WAI

TCP acer:1825 205.188.9.154:5190 ESTABLISHED
TCP acer:4871 clients.dv-com.net:49879 LAST_ACK
TCP acer:15225 ulmg-4d02b65d.pool.mediaWays.net:50000 TIME_WAI

TCP acer:15225 78.107.150.248:53360 TIME_WAIT
TCP acer:15225 78.107.150.248:53365 TIME_WAIT
TCP acer:15225 80.252.151.89:1898 TIME_WAIT
TCP acer:15225 sa-177-187.saturn.infonet.ee:4919 TIME_WAIT
TCP acer:15225 sa-177-187.saturn.infonet.ee:4934 TIME_WAIT
TCP acer:15225 82.200.253.114:4830 TIME_WAIT
TCP acer:15225 ppp83-237-170-239.pppoe.mtu-net.ru:4068 TIME_WA
T
TCP acer:15225 ppp83-237-170-239.pppoe.mtu-net.ru:4100 TIME_WA
T
TCP acer:15225 customer-232.192.livas.lv:1634 TIME_WAIT
TCP acer:15225 85.21.45.231:3269 TIME_WAIT
TCP acer:15225 ti122110a081-6478.bb.online.no:57089 TIME_WAIT
TCP acer:15225 ip-86-110-187-40.spark-rostov.ru:3593 TIME_WAIT

TCP acer:15225 ip-86-110-187-40.spark-rostov.ru:3773 TIME_WAIT

TCP acer:15225 89.31.88.195:54329 TIME_WAIT
TCP acer:15225 89-178-41-238.broadband.corbina.ru:60839 TIME_W
IT
TCP acer:15225 89.208.180.168:1454 TIME_WAIT
TCP acer:15225 89.208.180.168:1456 TIME_WAIT
TCP acer:15225 ppp91-76-210-219.pppoe.mtu-net.ru:56875 TIME_WA
T
TCP acer:15225 ppp91-77-118-177.pppoe.mtu-net.ru:3342 TIME_WAI

TCP acer:15225 ppp91-122-136-123.pppoe.avangarddsl.ru:3958 TIM
_WAIT
TCP acer:15225 ppp91-122-136-123.pppoe.avangarddsl.ru:3959 TIM
_WAIT
TCP acer:15225 public-42.watson.zp.ua:2293 TIME_WAIT
TCP acer:15225 155-220-112-92.pool.ukrtel.net:46185 TIME_WAIT
TCP acer:15225 93-80-74-167.broadband.corbina.ru:64321 TIME_WA
T
TCP acer:15225 93-80-184-245.broadband.corbina.ru:1470 TIME_WA
T
TCP acer:15225 195.160.253.4:59179 TIME_WAIT
TCP acer:15225 pppoe-1362.urtc.ru:1852 TIME_WAIT
TCP acer:15225 213.171.53.2:2451 TIME_WAIT
TCP acer:15225 host217-114-158-41.pppoe.mark-itt.net:4428 TIME


зы 15225 - слушающий порт торрента

parovoZZ
Извини, но если честно ничего понять не могу, ты сначала пишешь:
Цитата:

Добавил в "Запретить" путь до exe - пока работает.

потом задаёшь вопрос:
Цитата:

А как пакет, который предназначается для Opera, который и обрабатывается таблицей Веб-браузер, попадает в таблицу торрента??? Мне вот это не понятно.

потом:
Цитата:

Джетик в таком случае вообще ничего не видит. В логах, естественно, ничего нет. И причём здесь Opera?

Так с чего подозрение, что:
Цитата:

пакет, который предназначается для Opera, который и обрабатывается таблицей Веб-браузер, попадает в таблицу торрента???

если:
Цитата:

В логах, естественно, ничего нет. И причём здесь Opera?

?
Цитата:

Почему различаются показания джетики и netstat -a?

А к чему отображать состояние TIME-WAIT?

Мне вот тоже не понятно - почему? Если я запрещаю что-то делать торренту, то запрет распространяется на всех остальных(( Что ж это за фильтр приложений, если он путается в приложениях???

А как узнать, для чего svchost лезет в тырнет на 80 и 443 порты? ip не пингуются, некоторые не трасируются (куда-то в домен *.msn.com). Это обновлялка работает или кто-то его просит? И зачем ему отправлять и принимать пакеты localhost по одному и тому же порту?

parovoZZ

Цитата:

Что ж это за фильтр приложений, если он путается в приложениях???

Скорее всего он не путается, а честно обрабатывает таблицы, которые ты сам и составил.

Цитата:

Это обновлялка работает или кто-то его просит?

Да, обновлялка через него работает.
Цитата:

И зачем ему отправлять и принимать пакеты localhost по одному и тому же порту?

При закачке и установке обновлений, svchost требует localhost, как и многие другие проги (тот же IE). Я выкладывал таблицу для svchost.exe, посмотри может подойдёт. Добавлю только: т.к. MS постоянно меняет IP, заморачиваться с этим не целесообразно, а поступать проще, т.к. Билли раздаёт обновления раз в месяц (каждый первый вторник), держи службу "Автоматическое обновление" и два правила для svchost (которые для localhost'а и на удалённые 80-443) выключенными, и запускай их только для обнов, раз в месяц. Ни вопросов, ни проблем не будет.

Victor_VG, да не, местная сеть, обычный нешифрованный VPN-over-ethernet, смотрел как идут пакеты, говорит что пакеты ни к чему отношения не имеет и режет их, при этом в логах ничего нету

Avoidr

Вот тут и возникает вопрос что эти ребятки там накрутили? У друга стоит персональный Керио и всё работает как часы. А здесь ничего не могу понять.

Так хорошо)). У меня джетик иногда теряет определения группы ip adres( Это нормально?

И ещё. Что за состояние соединения close_wait? Netstat -a показывает их всего 4, а джетика за сотню? Кому верить?

Сейчас бьюсь над следующей проблемой.
Есть два сетевых интерфейса. Оба смотрят в инет через локальные сети.
Метрикой задан приоритет.
Как задать для отдельных приложений, чтобы поток шёл на заданный интерфейс
(с большей метрикой), если приложение в соединении указывает локальный адрес 0.0.0.0
Именно для приложений, а не указать для локального 0.0.0.0 желаемый MAC адрес.

basilevs
а при чем здесь Firewall?
здесь спрашивай...
[more=там посмотри]
http://forum.ru-board.com/topic.cgi?action=addbookmark&forum=8&topic=23120
http://forum.ru-board.com/topic.cgi?forum=8&topic=20888#1
http://forum.ru-board.com/misc.cgi?action=printtopic&forum=6&topic=1709
http://forum.ru-board.com/misc.cgi?action=printtopic&forum=8&topic=8062
http://forum.ru-board.com/misc.cgi?action=printtopic&forum=8&topic=5074
http://forum.ru-board.com/topic.cgi?forum=8&topic=23355#1
http://forum.ru-board.com/topic.cgi?forum=8&topic=18476#1
http://forum.ru-board.com/topic.cgi?forum=8&topic=18478#1
http://forum.ru-board.com/topic.cgi?forum=8&topic=13840#1
http://forum.ru-board.com/misc.cgi?action=printtopic&forum=8&topic=5074
http://forum.ru-board.com/topic.cgi?forum=8&topic=23355#1
http://forum.ru-board.com/topic.cgi?forum=8&topic=23000#1
http://forum.ru-board.com/topic.cgi?forum=8&topic=22734#1
http://forum.ru-board.com/topic.cgi?forum=8&topic=22108#1

http://forum.telenet.ru/index.php?s=84a5a3f3abdcd5b4d63d84b0ae9a7e67&act=Print&client=printer&f=33&t=134688

http://support.microsoft.com/kb/315236/ru

http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/route.mspx

http://www.computerbooks.ru/books/os/book-windows-xp/Glava20/Index0.htm

http://forum.ixbt.com/print/0014/030017.html

http://forum.sibnet.ru/index.php?s=fa914984b018e10ee8445a477168724a&&act=ST&f=56&t=654

http://forum.ru-board.com/topic.cgi?action=addbookmark&forum=8&topic=26211

http://forum.ru-board.com/topic.cgi?forum=8&topic=26738#1

http://forum.ru-board.com/topic.cgi?forum=8&topic=26056#1

http://forum.ru-board.com/topic.cgi?forum=8&topic=1063#1
[/more]

Цитата:

basilevs
а при чем здесь Firewall?

Firewall здесь при том, что из-за пересечения IP диапазонов у обоих провайдеров и попыток StrongDC++ пользоваться нулевым адресом, а также дорогом траффике на одном из провайдеров лучшим решением была бы хотя бы резка пакетов, если нельзя указать сетевой интерфейс. Но только для StrongDC++, с остальным можно управиться.

basilevs

Друже, погоди, успеешь запутаться в трёх соснах!

То, как ты ставишь задачу, это уже само по себе задача для комплекса состоящего как минимум из роутера защищённого одним или несколькими входными и выходными брандмауэрами и модуля принятия решений на основе предустановок. Хотим мы того или нет, но мы встречаемся с вопросом решения задачи адаптивно-статической маршрутизации по критерию экономической себестоимости маршрутов. И если ещё свалим в одну кучу и управляемую правилами фильтрацию потока (классическая задача брандмауэра), и задачу распределения трафика по нескольким маршрутам (классическая задача роутера/маршрутизатора), и задачу контроля трафиука с учётом квот и системы произвольных корпоративных правил, то мы сразу выйдем по уровню сложности за пределы функциональности понятия "персональный брандмауэр" как "межсетевой защитный экран" на уровень более мощных комплексов группового или корпоративного назначения, таких например как Kerio WinRoute, UserGate, MS ISA Server и им подобных. Это уже задача для них, а не для простенького персонального брандмауэра с минимальным потреблением ресурсов вычислительной системы, основная функция которого защита только одной конкретной однопользовательской в данный момент времени вычислительной системы путём фильтрации трафика по принципу "разрешено-запрещено системой простых правил".

Усложнение постановки задачи ведёт к усложнению её решения. Именно это факт я и хочу показать. И предмета для спора тут, на данном уровне развития наших технологий и при имеющихся у человечества знаний нет. Приходиться принимать факты как данность.

Victor_VG
Цитата:

не Corbina часом?

Jetico 2.0.2.3, Корбина-Питер (vpn-pptp): подключается и работает без проблем.

XenoZ

В Москве не могу настроить. Сможешь помочь? Там отдел ИТ "экспериментирует" так, что я уже вконец от их "экспериментов" озверел. У нас это "добро" выглядит так: IP серверов подключения tp.corbina.net - с 85.21.0.15 по 85.21.0.18, 85.21.0.20, 85.21.0.21, 85.21.0.69, hdns1.corbina.net IP 213.234.192.8, тип капсуляции VPN L2TP IPSec VPN. Это только в течении одного сеанса работы (за два часа!) Потом сервера меняются. Правда группа адресов 85.21.0.1 - 85.21.0.254 чаще всего стабильно принадлежит серверу tv.corbina.net. А DNS/DHCP/WINS сервера у них вообще "летучие голландцы" - сидят за собственными брандмауэрами в stalsh-режиме, и чтобы получить с них пакет надо выйти на постоянно меняющий свой адрес tv.corbina.net, а его IP ты получаешь подав на него DNS запрос, но пока ты не установишь соединение все попытки связи клиента по 53 порту сервера игнорируют. Вот в итоге и получаешь "ошибка 800". Во всяком случае я пришёл к таким выводам по тому что мне удалось отследить в их московской сети.

Victor_VG
[more=А что там сложного?..]Все настройки есть на сайте Корбины.
Сначала запускается REG-файл:
Код: REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001

Спасибо! А то я совсем уже с этим "добром" запутался.

Цитата:

То, как ты ставишь задачу, это уже само по себе задача для комплекса состоящего как минимум из роутера защищённого одним или несколькими входными и выходными брандмауэрами и модуля принятия решений на основе предустановок.

А вот не правда. Для такой задачи не нужен дополнительный роутер. В линуксе это без особых проблем решается средствами iptables (разметка пакетов) + iproute2 (маршрутизация пакетов).
Правда вот в винде не факт, что это можно легко и дешево сделать.

GQ

Во FreeBSD это то же решается элементарно, как и в любом UNIX-е. А тут мы имеем дело с сознательно урезанной версией сетевой ОС Microft Lan Manager встроенной в систему. Её в своё время специально урезали для того, что бы принудить людей покупать дорогие сервера и для подобных задач. Её возможности для любой клиентской ОС рассчитаны на одноранговую локальную сеть без маршрутизации максимум из 15 - 20 машин. Ограничения специально жёстко прошиты в архитектуре ядра и сетевой подсистемы. Иначе на чём будет кормиться вся свора-контора? У них серверные продукты дают изрядную долю в прибыли. В Microsoft ведь наверху не дураки сидят, а умные бизнесмены.

Привет всем

возникла проблема - после анистолла (версия 2.0.1.4.2206) сетевые карты ушли в несознанку. вында сообщает, что:
"Это устройство работает неправильно, т.к. Windows не удается загрузить для него нужные драйверы (Код 31)"

принудительное скармливание драйверов, удаление из диспетчера и новая установка ничего не дали

подскажите, кто сталкивался с подобной ситуацией, как решить проблему (ОС переустанавливать не предлагать)

WinXP Pro SP3

StragaN

Руками удалить драйвера. Например используя pserv.cpl. На указание на сайте

Цитата:

pserv.cpl is a Windows NT/2000 Control Panel Applet

внимание не обращай - она прекрасно работает под WinXP/2003/Vista. Сам не раз проверял. А 395 Кб её дистрибутива думаю сильно трафик не сожрут. Из простых инструментов для этих дел она оптимальна и наиболее функциональна.

StragaN
Было что-то похожее после какой-то беты. Слетел tcp-ip. Насколько помню, вылечил такой командой:
Код: netsh interface ip reset c:\111.txt

Я делал так:
Удалить руками драйвера джетики( в диспечере устройств включить показ скрытых)
И потом по статье http://support.microsoft.com/kb/325356/ru
Не смотря на то, что статья для 2003 винды, для хр она тоже подошла

Klajnor

Так ядро считай одинаково. В серверных вариантах "всего то и различий" что в ядре - в нём включены те опции которые в клиентских вариантах заменены "заглушками", а так "ни каких отличий".

Victor_VG
Почему-то я тебе не верю.
NT4 Server от Workstation Ничем не отличалось кроме названия и устанавливаемых компонентов.
2000й pro и server, AFAIR тоже.
То есть может там что и отрезано, но на уровне драйверов, а не ядра.


Цитата:

Её возможности для любой клиентской ОС рассчитаны на одноранговую локальную сеть без маршрутизации максимум из 15 - 20 машин.

Ну это совсем ерунда какая-то. Простая маршрутизация на той же XP настраивается с полпинка. Вполне может работать роутером. Другой вопрос, что то, что basilevs хочет сделать - не очень-то тривиально и не совсем понятно как делать и можно ли сделать в винде вообще.

Если смотреть точно, то ты прав модуль ntoskrnl.exe не меняется. Но он не один входит в ядро. Де-факто это микроядро, а ядро в целом это он + HAL + DLL. А в их коде мы отличия найдём и вопрос у нас прост: что каждый из нас понимает под понятием "ядро ОС"? Я как меня в своё время учили понимаю под ним совокупность базовых модулей обеспечивающих функционирование ОС и управляющих работой прикладных модулей ОС.

Victor_VG, XenoZ

спс за советы, но ....

ничего из ваших советов, к сожалению, не помогло.../me матерюсь (как же ОСь не хочется переставлять)

Klajnor

я ручками и убивал

StragaN
Сетевухи не Realtek часом? Была один раз проблема, решилась откатом на "родной", Виндовый, драйвер, ни какой другой брать не хотела, в том числе и Realtek'овский. Или попробовать с родного диска от материнки/карты, если остался.

карты RTL8139D

ставились по умолчанию

переустанавливал (находил в закромах) родные драйверы - ничего не помогает

сопротивляются, стервы, изо всех сил

StragaN
Ну если установка ни виндовых по умолчанию, ни родных дров, не помогает, значит Джетик испоганил что то ещё. Как вариант попробуй сбросить настройки TCP/IP, ещё есть хорошая утилита WinSockFix, может помочь. Так же попробуй AVZ на предмет устранения проблем, то же может хорошо помочь.
Не давно случай произошёл: с помощью Filemon'а копаюсь с Firefox'ом, хотел отследить кое что, вдруг FF падает ни с того ни с сего, перезапускаю, начинает происходить бог знает что. Стал разбираться - оказалось, файл настроек фокса, prefs.js, был перезаписан билебердой какой то, в которой прослеживались строки из журнала Jetico - типа: 2008-06-18 02:55:28    разрешить    Stateful TCP Inspection... и т.п. О как! Посмотри на счёт и такого варианта (порчи какого нибудь, системного файла настроек), хотя тут проще систему переставить будет.