» Jetico Personal Firewall

AVZ попытался восстановить (я давно с AVZ знаком ) - капец, система упала

прийдется грохнуть ОС

ВСЕМ СПАСИБО ЗА ПОМОЩЬ!!!

StragaN

Сегодня ночью пришлось JPFP V2 прибить у знакомого - он потребовал "Мне хватит и антивируса. Стоял Касперский, ничего не наловил. Не нравится мне твоя Jetica - вопросы задаёт. Вообще и сноси ничего не ставь, одним антивирусом обойдусь. Найду Касперского, поставлю, он вопросы не задаёт и о вирусах не сообщает..." а машина новенькая, там Касперского и в помине не было, за то на второй Касперский "наловил зверей" - один Win32.CIH там "резвился" в количестве 3500 штук, ну и с ним ещё штук тридцать собратьев "по цеху" от файловой мелочи до нескольких разновидностей спам-ботов. Но это его личные трудности - коли ему охота пришла плодить заразу, пусть плодит, у него отделение Управления "К" под боком, в соседнем доме. Им если что идти близко, там вроде никогда бездарей не держали.

Ладно, это прибаутки, а как задачу сноса решил я:

1) удалил процессы jpf.exe и jpfsrv.exe;
2) из Far Manager переход в:

%windir%\system32\drivers

удаляем все драйвера по шаблону имени bc_*.sys, bcp*.sys (эти надо проверять по версии! - похожие имена имеют драйвера Bluetoth стека от Broadcom) и каталог %Prpogram Files%\Jetico;
3) с помощью pserv.cpl удалил драйвера и службы Jetico;
4) Перезапустил систему.

Всё, задачка решена за три минуты, стек не повреждён, игрушки могут без опасений качать и ставить в систему новые трояны, руткиты и вирусы - сам хозяин разрешил им "Плодитесь, плодитесь и размножайтесь...".

Shit, v dobavok i raskladka sletela

Spasibo, uvazhaemyj, za zhelanie pomo4'

snes vse, 4to tol'ko napominalo o Jetico

kak vidish', doprygalsja ya

uxozhu v pereustanovku

THX!

Dimitr1s

Это не сам Jetico, а программа установки при удалении частенько не удаляет его самого и его драйвера если процесс деинсталляции производят при работающей сети и одновременно машину атакуют. Тогда, только как я указал - руками. Потом только в удалить ключи [HKЕУ_CURRENT_USER\Software\Jetco], [HKEY_LOCAL_MACHINE\Software\Jetio] и подключи инсталлятора Jetico в [HKEY_LOCAL_MACHINE\Software\Microsoft].

StragaN

Н-нда. Перестарался. Погляди не удастся ли сделать так:


Код: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

UnInstall Jetico sdelal svoje delo, ssuko

ctfmon zapuwen, v tom to i delo - ja ego vizhu v dispet4ere

snosit' nado OS...nu i gemor((((((

znal by, 4to jetico takaja beda - ne povelsja by na nego

StragaN

Попробуй процедуру REPAIR. Но она тварь кривая откатит систему на момент инсталляции если не удалось создать дискету с файлами \WINDOWS\repair\secsetup.inf, \WINDOWS\repair\security и \WINDOWS\repair\setup.log последней версии. И то работать будет только при наличии данной дискеты. На всякий случай сделай резервную копию данных и попробуй "прорепейрить" систему. Есть шанс, что эта процдура восстановит её работоспособность.

Удачи, Victor_VG

All
Кто-нибудь сталкивался с тем, что JPF2 для некоторых приложений упорно показывает SHA1=0? Если пересчитать вручную - SHA1 становится нормальным, но при следующем запуске этого приложения снова идет запрос с нулевым SHA1.
[more=Два примера...]File: C:\Program Files\QuickTime\QuickTimePlayer.exe
Size: 7677232 bytes
File Version: 7.5 (861)
Modified: 27 мая 2008 г., 10:50:48
SHA1: D9C7D9DEA263893FBC780E46C62D12A37FAA4EAD

File: C:\Program Files\MSN Messenger\msnmsgr.exe
Size: 5674352 bytes
File Version: 8.1.0178.00
Modified: 19 января 2007 г., 12:55:30
SHA1: A583577F1A1E46279678989D9FB6B20BEF49D021[/more]
(для этих приложений JPF2 упорно считает, что SHA1=0 )

XenoZ
Не замечал такого, Messenger погонял, SHA1 нормально всегда определяется, QT то же самое.

XenoZ

Такого глюка мне лично ещё не попадалось. А вот твоя таблица для Corbina подошла. Огромное спасибо! Я только из-за того что эти "орлы" меняли в течении часа и адреса серверов, и адреса клиентов и сервер VPN принимавший подключения, несколько изменил твои правила в примении к Jetico V2 и позволяющие соединения по PTTP и L2TP протоколам VPN.

Для работы по L2TP загружаем файл l2tp-disable-ipsec.reg, запускаем его двойным щелчком, соглашаемся на внесение изменений в Реестр, перезагружается и добавляем в конфигурацию правила (в настройках политики Оптимальная защита отметить чекбоксы Включить протоколы VPN и Включить протоколы Wi-Fi (при необходимости):

Код: Optimal security -> Network -> IP Table:

Примечание: правила 1) и 2) располагаем сразу после правил запрета вверху таблицы IP в разделе -> Оптимальная защита -> Сеть -> Таблица IP :

1) Правило входящие пакеты UDP

Action: accept
Protocol: UDP
Event: outgoing packet
Source address: 85.21.0.0-85.21.0.254
Source port: 1701, 1723
Destination port: 1701, 1723

2) Правило: исходящие пакеты UDP

Action: accept
Protocol: UDP
Event: incoming packet
Source port: 1701, 1723
Destination address: 85.21.0.0-85.21.0.254
Destination port : 1701, 1723

Optimal security -> Application -> User Question -> Network Activity:

Примечание: Правило располагаем на второй сверху строке таблицы.

Action: accept
Protocol : TCP/IP
Event: outbound connect
Application: System
Local port: 1701, 1723
Remote address: 85.21.0.0 - 85.21.0.254
Remote port: 1701, 1723

XenoZ

Цитата:

Кто-нибудь сталкивался с тем, что JPF2 для некоторых приложений упорно показывает SHA1=0?

Иногда, крайне редко, случается, закономерность приблизительно следующая:

висит приложение с доступом в сеть (Firefox)
отключаю сеть (PPPoE)
Security policy -> Allow all
...
Устанавливаю/удаляю софт
...
Security policy -> Optimal Protection
подключаю сеть
...
выскакивает предложение создать правило с доступом в сеть для (Firefox) с SHA1=0

Помогает:
отключаю сеть
закрываю (Firefox)
Shutdown firewall
start firewall
подключаю сеть
start (Firefox)

PS Jetico Personal Firewall v2.0.2.03 + patch

Dimitr1s
Так и я раньше такого не замечал... А тут поставил последний билд.. и вот те раз!.. Ладно, ноднапрягусь немного, разработчикам отпишу - пусть у них голова поболит...

Tim72
Не-е-е.. Танцы с бубном меня уже не устраивают. Сабж уже совсем не бесплатный (1700 с хвостиком руб за годовую лицензию - перебор, IMHO), а посему пусть разрабы танцуют...

Вернемся к настройке виндового VPN/PPTP over ethernet (подключение без шифрования), приведенная выше инструкция для меня не подошла, может кто-то мучается с такой же проблемой

В разделе Optimal Protection -> Network -> IP Table сверху после всех recject'ов создаем 4-е правила

Первое

http://img516.imageshack.us/my.php?image=rule1gc0.png

Второе

http://img95.imageshack.us/my.php?image=rule2wz3.png

Третье

http://img410.imageshack.us/my.php?image=rule3hv4.png

Четвертое

http://img126.imageshack.us/my.php?image=rule4qt7.png

PS. 10.0.0.1 - ip-адрес вашего vpn-провайдера

Avoidr
Правила все правильные, для обычного PPTP, должно всё работать (можно даже ужесточить). У VPN сервера провайдера один IP? Если несколько, то все прописать надо. Что в журнале, какие пакеты режет? Какую ошибку выдаёт при подключении?

Avoidr
Кхе... Если ты про эту инструкцию, то она работать и не будет.
Хоть и указал в ПМ Victor_VG на ошибки, так он поправил не то и не там.
Для VPN-PPTP выглядит примерно [more=так...]
Код: IP Table:
Action - accept
Protocol - PPTP

Action - accept
Protocol - TCP
Event - outgoing packet
Source address:port - адрес_сетевой_карты:1025-4999
Destination address:port - 83.102.254.0/24:1723

Action - accept
Protocol - TCP
Event - incoming packet
Source address:port - 83.102.254.0/24:1723
Destination address:port - адрес_сетевой_карты:1025-4999

XenoZ

Уже переписал. Снова проштудировал мануал, учёл твои советы и переписал. Скоро выложу. Только всё перепроверю лишний раз. Поправленный по твоим советам вариант положил тебе в ПМ. Глянь пожалуйста.

All
Дабы закрыть вопрос по настройкам VPN, добавил типовые правила в шапку.

XenoZ
Можно добавить, диапазон IP посмотреть можно и через cmd, командой nslookup -q=a (имя хоста).

Dimitr1s
[more=vWhois...]Connect to: whois.ripe.net
Host: vpn.spb.corbina.net Adres: 83.102.254.241




inetnum: 83.102.254.0 - 83.102.254.255
netname: CORBINA-P2P-SPB
descr: Corbina Telecom
descr: Russia
country: RU[/more] и [more=nslookup...]nslookup -q=a vpn.spb.corbina.net
Server: dns1.swip.net
Address: 130.244.127.161

Non-authoritative answer:
Name: vpn.spb.corbina.net
Addresses: 83.102.254.242, 83.102.254.239, 83.102.254.238, 83.102.254.236
83.102.254.235, 83.102.254.234, 83.102.254.251, 83.102.254.250, 83.102.254.249
83.102.254.248, 83.102.254.244, 83.102.254.254, 83.102.254.246, 83.102.254.245
83.102.254.243, 83.102.254.247, 83.102.254.255, 83.102.254.240, 83.102.254.241[/more]
vWhois нагляднее, IMHO.
(хотя, можно и добавить... наверное... на любителя)

XenoZ

Цитата:

vWhois нагляднее, IMHO.

У меня сейчас VPN сервер провайдера (вида vpn.lan) и имеет IP адреса, все вида 192.168.0.*. vWhois можно сказать, не дал мне ни чего, а вот nslookup выдал исчерпывающую и правильную информацию: и имя, и IP владельца, и оба IP самого сервера. Ну и плюс, ни чего качать не надо.
P.S. Можно добавить ещё, что PPTP, это тот же GRE, а то люди часто спрашивают "А где GRE протокол в Jetico?".

Использую Jetico1 W2K
Ситуация очень интересная. Использую Прямое соединение с Инет. Есть созданная таблица правил для БРАУЗЕРОВ где стандартно прописаны правила для разных портов WEB серфинга, т.е. 80-83,443 и т.д. Никаких FTP и Mail, только WEB. ВСЕ Работает ОК.
Решил поставить HandyCache. После небольшой корректировки Правил обнаружил ЧТО для выхода в ИНЕТ в правиле для программы достаточно РАЗРЕШИТЬ acces to network и программа лезет через НС в инет. ЛЮБАЯ!!!!!!!!!!.
Пример. IE в его настройках прописал что он ходит в инет через 127.0.0.1:8080. Полез настраивать правило для IE и обнаружил что ему достаточно разрешить правило ДОСТУП В СЕТЬ и все. Про то что он шлет запросы на 127.0.0.1:8080 полный молчок. И другие программы таким образом сняли с настроек прокси IE доступ в сеть и вперед через НС в инет. Хотя до этого их резала таблица правил которая разрешала доступ в сеть а остальное резала (У меня есть таблица (OnlyAccesNetwork) Которая РАЗРЕШАЕТ acces to network и остальное REJECT). Покрутил мозгом и предположил что где-то в недрах ПРАВИЛ Jetico есть правило разрешаю полный доступ к/от 127.0.0.1 по всем портам. Может кто-нибудь сталкивался такой проблемой. Суть задачи такая разрешить ТОЛЬКО определенным программам иметь доступ к на/с 127.0.0.1:8080

AndreyPA

Цитата:

Покрутил мозгом и предположил что где-то в недрах ПРАВИЛ Jetico есть правило разрешаю полный доступ к/от 127.0.0.1 по всем портам.

Первой версией не пользовался, поэтому могу только предполагать: если в Trusted Zone не находится адрес 127.0.0.1, попробуй запустить заново Configuration Wizard и выкинуть из доверенных адресов 127.0.0.1,потом восстанови все таблицы как были, должно помочь. Только зарезервируй перед этим всё.

AndreyPA, Dimitr1s
IMHO, логичнее будет воткнуть в Trusted Zone правило Ask, а там уже разруливать по запросам. (в свое время так на первой Джетике и делал... да и во второй - аналогично)

XenoZ
Цитата:

IMHO, логичнее будет воткнуть в Trusted Zone правило Ask, а там уже разруливать по запросам.

А что это ему даст? Если в Trusted Zone 127.0.0.1 в доверенных, то запросов ни каких и не будет, всё будет так как он описал. А разрулить, по нормальному ситуацию с прокси на/c 127.0.0.1, с помощью Jetico все равно не удастся, т.к. Jetico не может создать правило: где локальный порт, совпадает с удалённым. а куче софта для нормальной работы нужен именно такой localhost:loopback (для той же Jav'ы). Придётся создавать ещё и правила исключения (127.0.0.1 - кроме:8080). Самый простой вариант, собрать весь сетевой софт в одной таблице и разделить правилами и исключениями.
Честно говоря, не могу представить ни одной ситуации, где хоть как то может понадобиться таблица Trusted Zone, я её сразу удалил ( вместе с таблицей Blocked Zone) и с тех пор не вспомнил ни разу.

Цитата:

таблица Trusted Zone, я её сразу удалил ( вместе с таблицей Blocked Zone) и с тех пор не вспомнил ни разу.

поступил аналогично. первая джетика...
вот как у меня выглядит табличка [more="Proxy"]

Код: accept    to Privoxy    disabled    TCP/IP    outbound connection    any    127.0.0.1    any    8118    
accept    to YourFreedom    disabled    TCP/IP    outbound connection    any    127.0.0.1    any    8080    
accept    to YourFreedom    disabled    TCP/IP    outbound connection    any    127.0.0.1    any    1080    
accept    to TOR    disabled    TCP/IP    outbound connection    any    127.0.0.1    any    9050    
accept    to SSH tunnel    disabled    TCP/IP    outbound connection    any    127.0.0.2    any    1080    

Dimitr1s
Цитата:

А что это ему даст? Если в Trusted Zone 127.0.0.1 в доверенных...

Мдя... Если в Trusted Zone вставить правило Ask, запросы-то и появятся. (По умолчанию в Trusted Zone одно правило: Allow All, поэтому и запросов нет) Все это проверено и работает.
И смысл удалять уже существующую таблицу, чтобы потом лепить новую с аналогичными параметрами?

XenoZ

Цитата:

смысл удалять уже существующую таблицу, чтобы потом лепить новую с аналогичными параметрами?

ну, у той таблички - смысл разрешить все и всем в какой-либо зоне (пусть то лупбеки 127.0.0.0/8 или айпи локалхоста). Мне такая табличка не нужна была. Я хочу знать кто куда зачем когда и почему. Даже на лупбек.
Аналогично с блокед зон. Нет у меня такой зоны, куда никому нельзя, есть приложения, которым нельзя никуда...
В общем, все правильно

А табличка "Proxy" у меня висит для браузеров и еще пару софтин...

В общем, правила для диапазона петлевых интерфейсов ничем не отличаются от любых других.

XenoZ AndreyPA пишет:
Цитата:

...предположил что где-то в недрах ПРАВИЛ Jetico есть правило разрешаю полный доступ к/от 127.0.0.1 по всем портам.

отсюда и предложение проверить Trusted Zone (их в 1'ой версии, если не ошибаюсь аж две, да ещё Trusted Addresses) на предмет нахождения и удаления от туда 127.0.0.1.
Цитата:

Мдя... Если в Trusted Zone вставить правило Ask, запросы-то и появятся.

А к чему они там? В его случае нужно создать таблицу (или таблицы) с различным допуском на 127.0.0.1.
Цитата:

И смысл удалять уже существующую таблицу, чтобы потом лепить новую с аналогичными параметрами?

Лепить как раз ни чего не нужно, если нет настойчивого желания разрешать побольше всего и всем, то необходимости в Trusted Zone нет ни какой, как и в Blocked Zone. Даже если кому то и понадобится что то подобное, то полезность этих таблиц всё равно равна нулю, пока Jetico не научится работать по доменному имени.

BasiL
Цитата:

Я хочу знать кто куда зачем когда и почему. Даже на лупбек.

Аналогично. Посему и воткнул (в моем случае) Ask в Trusted Zone (в к-рой у меня кроме loopback'а была еще и локалка).

Dimitr1s
Цитата:

А к чему они там?

А какая разница, откуда запросы обрабатывать?

Резюмируя: каждый рулит так, как ему удобно, благо Джетика позволяет.

XenoZ

Цитата:

Резюмируя: каждый рулит так, как ему удобно, благо Джетика позволяет.

С этим солидарен, оспорить невозможно.

СПАСИБО ВСЕМ

Еще раз проштудировал весь топик а также обнаружил в settings.xml прописанную 127.0.0.1 в Trusted Zone. Как только удалил тут же посыпались в лог сообщения о блокировке пакетов.
Спасибо за много интересных мыслей.
В основном пока mail и browser гоняют пакеты с/на 127.0.0.1 поэтому я пока создал таблицу LocalHost с портами с 1024-5000 тем самым блокировав 8080 Но интересные предложения для таблиц Proxy и Java.
Вот за это мне JETICO и нравится что можно настроить и контролировать ПРАКТИЧЕСКИ ВСЕ. И самое главное для меня можно сделать чтобы не задавала вопрос после настройки. Что надо разрешал что не надо резала и все без вопросов. А если что можно и лог посмотреть что режется и после этого регулировать.
Вот еще один вопрос.
При настройке таблицы LocalHost я использовал "Local Adress" в качестве локального или удаленного адреса и заметил что это срабатывает когда пакет идет и на 127.0.0.1 Теперь встал вопрос ЧТО ЗНАЧИТ "Local Adress" 127.0.0.1 или IP компьютера или то и другое вместе