» Agnitum Outpost Firewall Pro

Klirik
у меня локальный и удаленный порт в списке заштрихованы
галку поставить соотв. не судьба

RGF, значит отмечено другое действие из этого перечня, отмени его и поставь на нужное.

Velemir

Цитата:

Например прога вываливала ось в синий экран
с ошибкой дров filtnt.sys или подобного.

Цитата:

Недели 2-3 живу спокойно

А в случае, когда "жить" совсем невмоготу - комп даже к инету не подрубается? Проблема такая же!

WinXP SP1a, последний OutPost.

RGF

Цитата:

подскажите туповатому буратине: как закрыть в данной софтине какой либо порт

В шапке же написано.
Цитата:

Я запускаю Outpost и он показывает, что порт 445 открыт.

он используется протоколом NetBIOS, который дает доступ к файлам, если отключить этот протокол, то пропадает возможность пользоваться локальной сетью.

Kто как ставит правила для Generic Host Process for Win32 Services (SVСHOST.EXE) ?
У меня сначало предлагается установить стандартное правило для SVСHOST.EXE, но затем со временем в врежиме обучения (в режиме блокировки инет вообще изчезает) он просит еще. Создаю еще правило - потом опять еще хочет. В конце концов надоедает и приходиться ему все разрешать.

RGF
Сначала протокол выбери, когда выберешь, активируется галка портов...

V0lt


Цитата:

Kто как ставит правила для Generic Host Process for Win32 Services (SVСHOST.EXE) ?

Посмотри пост #5 в ветке
http://www.outpostfirewall.com/forum/showthread.php?t=9858

Спасибо всем ответившим мне. Я понимаю, что порт 445 открывается системой. Этот порт открывается службой NetBios, которую я отключил (локальные сети мне не нужны).
Чтобы такое придумать, чтобы система не открывала порт 445? Т.е. вообще не открывала, независимо от того, прикрывает этот порт Outpost или нет.

Вот поставил отупост, понастроил согласно рекомендаций указанных в предыдущем посте. (Пришлось конечно повозиться, но вроде справился).
Сижу значит анализирую логи. Смотрю на журнал разрешенных и вижу там надпись что проксомитрону (стоит у меня такой) разрешено входящее соединение. В колокне причина написано "Соединение Localhost" ну и куча других записей в которых указаны названия уже мной созданных правил.
Так вот становится непонятным - где взялось правило именуемое "Соединение LocalHost"
это притом что я ручками разрешил проксу лезть наружу только по http портам, а входящие соединения все блокирую указанным правилом.
И даже в системных правилах в правиле "Allow Loopback" сказал блокироваьть вместо разрешать.

Как такое может быть - объясните???

P.S. Притом что попадались правила и в журнале запрещенных которые я так же не создавал например правило именуемое "Запрет транзитных пакетов".....

"Kто как ставит правила для Generic Host Process for Win32 Services (SVСHOST.EXE) ? "


Может и по ламерски но я сделал так
Протокол TCP
Напр. не определено
Где удалённый порт 0-52, 54-64000
Где локальный порт те же
запретит эти данные
У меня всё пашет и он только лазеет на DNS (порт 53, опред общими правилами)

Jun

Цитата:

Чтобы такое придумать, чтобы система не открывала порт 445?

На http://grc.com/port_445.htm
дается простой рецепт


Цитата:

If you really want 445 closed
Any NAT router or personal firewall should be able to block port 445 from the outside world without trouble. But if your use of the Internet does not depend upon "obtaining an IP address automatically" you can firmly close port 445 by following a few simple steps. This page provides step-by-step instructions:
http://www.uksecurityonline.com/husdg/windows2000/close445.htm

По сути просто надо disable NetBIOS over TCPIP


Добавлено
Vik2

После того что ты сделал, у тебя не работает
1) синхронизация времени
2) LDAP служба ( мне она например нужна для быстрого поиска контактных деталей(тел,емэйл) людей

При этом так как ты не сделал правила для UDP, то оставил потенциальные дыры в защите например у тебя открыты для UDP как RPC (то есть знаменитый 135 порт) так SSDP (1900) не говоря уже про остальные порты.


Цитата:

У меня всё пашет и он только лазеет на DNS (порт 53, опред общими правилами)

Конечно пашет, но защиты-то ослаблена и существенно. осталось только подхватить трояна чтобы убедиться в этом.

Нууууу не знаю, есть же общие правила где это все прописано.
Я так понимаю, что сначало выполняются системные а потом уж мною нагороженные.
И ведь это для приложения svchoct.exe
По крайней мере с проверочных сайтов кажет, что все закрыто или стелс?!

pcflank.com
Port: Status Service Description
1900 stealthed n/a n/a

svchost.exe у меня странно ведет себя это вирус или что-то иное help! Блокирую однократно пока или мне у себя вирус искать! Drweb невидет.

23,05,2004
Детектор атак
4:21:58 66.52.249.70 UDP (1026)
4:21:58 66.52.249.70 UDP (135)
История заблокированных
4:21:58 svchost.exe UDP 66.52.249.70 666 Режим обучения
4:21:58 svchost.exe UDP 66.52.249.70 666 Block Remote Procedure Call (UDP)

22.05.2004 4:54:13 svchost.exe UDP 66.52.249.70 666 Режим обучения
22.05.2004 4:54:13 svchost.exe UDP 66.52.249.70 666 Block Remote Procedure Call (UDP)

VDT
Лучше заблокируй.
Порт 666 - порт Трояна,
Порт 135 - порт системный (удаленный вызов процедур RPC) но тебе вряд ли необходим.Об этой дыре много написано.
Использует worm Blast и сейчас еще какой то......
Порт - 1026 на память не помню, но заблокируй на фиг любую активность по этим портам.
P.S.
И не забудь поставить заплатки на ось (так на всякий случай)

vx
то есть происходит приблизительно так как и у меня было???
Ну тады попробуй по шагам.

Снеси оутпост на фиг.
Удали каталог оутпост-а
Почисти реестр
Переустанови дрова мамы и видеокарточки
Установи оутпост заново
Если ставил плагины пока не устанавливай blockpost (Если все заработает поставишь)

Я так делал и у меня пока все работает.
Кстати просмотри системный журнал может быть ошибка возникает в какой нибудь службе или проге (так просто отключи её)

Сори, если пролетало - outpost2 (последние версии) постоянно "забывает" правила для программ - пару недель нормально, а потом просит создать новое для Opera, Becky! и проч. Переустанавливал вчистую, все то же. У кого такое было?

2 All
Уважаемые знатоки! Кто-нибудь может объяснить такой феномен, как полное пропадание резолвинга DNS на машинах в локалке при включении в Аутпосте кеширования DNS. Локалка работает через прокси на шлюзовой машине, там же стоит и Аутпост. НАТ отключен. На самом шлюзе таких проблем не наблюдается. Никакие заклинания и танцы с бубном не помогают. Чего делать-то?!

Vik2

В том то и дело что согласно
http://www.outpostfirewall.com/forum/showthread.php?t=8394

все происходит в обратном порядке то есть
вначале разрешается соединение согласно
Application Rules: (Options/Application...)
а уж затем проверяются
Global Application or System Rules: (Options/System.../Global Application and System Rules/Settings...)

Так что если разрешен UDP для svchost то системные правила уже не сработают
Именно поэтому нужно очень жестко ограничить svchost (который переадресует запросы системным службам) так как рекомендовано в
http://www.outpostfirewall.com/forum/showthread.php?t=9858
а именно разрешив лишь те сервисы что нужно (DNS,DHCP, Time Synchronisation) блокировать все остальное

Block Other TCP Traffic: Protocol TCP, Outoing, Deny/Block
Block Other TCP Traffic: Protocol TCP, Incoming, Deny/Block
Block Other UDP Traffic: Protocol UDP, Deny/Block

А порты конечно будут закрыты ведь трояна то пока еще нет!!!

mvgfirst

Цитата:

И даже в системных правилах в правиле "Allow Loopback" сказал блокироваьть вместо разрешать.

Попробуй просто убрать галку с правила "Allow Loopback"

C0USIN

Цитата:

Попробуй просто убрать галку с правила "Allow Loopback"

Дык сразу так и сделал.... потом поставил галку и запретил такие соединения.

Все равно пишет - где это правло находится которое он называет "Соединение LocalHost" в колонке причина

Jun
Цитата:

Чтобы такое придумать, чтобы система не открывала порт 445?

что бы система не юзала этот порт в свойствах соединения нужно отключить майкрософтовского клиента, расшаривание файлов и принтеров, удалить нетбуй и запретить хождение нетбуя поверх тысипи. но порт будет открыт. оутпост не закрывает порты, он блокирует активность по портам, то есть порт открыт но пакеты по нему не ходят...
mvgfirst
значит ты разрешил лазить проксимитрону на локалхост. если он коннектится к локалхосту не смотря на снятие галки "аллов лупбек" в системных правилах, копайся в правилах... а запрет транзитных пакетов зашит в оболочку, открыть его можно только переписав руками правила для оутпоста... и то не факт. что перезагрузки умолчания не восстановятся, я сам не эксперементировал c этим...
Zilk
не надо юзать персональный оутпост на серверах - возможны баги... шапку читай, да?:))

Цитата:

значит ты разрешил лазить проксимитрону на локалхост. если он коннектится к локалхосту не смотря на снятие галки "аллов лупбек" в системных правилах, копайся в правилах

Я разрешил ему исходящее соединение (только на порты http) все остальные запрещены. И в системных правилах соединения с LocalHost блокируются. Но это события появляется все время когда Опера работает через проксомитрон. Причем отдельно видно что подключилась Опера к проксомитрону (OUT) видно как проксомитрон подключился наружу к сайту(OUT) и видно это "Cединение LocalHost" - что это значит? Проксомитрон сам к себе коннектится????

Как в журнале указать фильтр "не", например, все события с не xxx.yyy.zzz.ttt адресом?

да.. это полезная фишка, ,но мне кажется пока такое нельзя размутить... а жаль,,, ..

Интересует следующий вопрос: как можно заставить Outpost стартовать в самую первую очередь при запуске компа? Дело в том, что до него успевает загрузиться VPN и оттудазалезает MS Blast. Как с ним бороться я знаю и вопрос не в этом просто надоело его убивать каждый раз.

Совет поставить SP4 (у меня win 2000) тоже не подойдет, он напрочь рушит винду.

Если этот вопрос уже где-то звучал, буду благодарен за ссылку.

Ahenk

А разве нельзя поставить заплатку, не устанавливая SP4?

Ahenk
1) Можно скачать отдельную заплатку для закрытия дырки в RPC
2) Попробуй в свойствах Outpost Kernel Driver поставить тип запуска Boot (Загрузка)
Device Manager-Show hidden devices-non Plug-n-Pray...
Удачи

Чё-то я не понял про SP4. У меня win 2000 и SP4 наверное год стоит. И ничто ничего не рушит. Всё нормально. Даже заплатки за полгода только 2 раза скачал (больше не было). Так что win 2000 и SP4 самая безглючная система и дыр уже не осталось.

У меня такая проблема: После установки Outposta и при завершении работы слышен стандартный звук ошибки Windows. И в журнале событий приложений появляется запись:
Цитата:

Тип события: Предупреждение
Источник события: Userenv
Категория события: Отсутствует
Код события: 1517
Дата: 29.05.2004
Время: 21:57:50
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: TATNEFTE-2YQQDA
Описание:
Реестр пользователя TATNEFTE-2YQQDA\Администратор был сохранен в то время, как приложение или служба продолжали использовать его во время выхода из системы. Используемая реестром пользователя память не была освобождена. Реестр будет выгружен, когда он не будет использоваться.

Возможная причина - службы, выполняемые от имени пользователя. Попробуйте изменить настройку служб и задать их выполнение с учетными записями LocalService или NetworkService.

После удаления Outposta запись и звук ошибки пропадают.

Щас на многих сайтах висят баннеры на флешах. Как залочить их в outpost. Может есть специальный плагин?

Panamaaa
Аналогичная ситуация, хотя детали отличаются (W2KSP4 AS EN)

Цитата:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1000
Date: 29.05.2004
Time: 15:51:08
User: NT AUTHORITY\SYSTEM
Computer: ***
Description:
Windows cannot unload your registry file. If you have a roaming profile, your settings are not replicated. Contact your administrator.

DETAIL - Access is denied. , Build number ((2195)).