» Agnitum Outpost Firewall Pro

To NaxAlex , Eugen65
Надеюсь у Вас прокси не стоит. Модуль DNS-кеширование. Отключаем.

To eika

Цитата:

А вы случаем не имеете отношение к Агнитуму?

Абсолютно никакого. Перепробовал кучу всяческих фаеров. То одно не устраивает, то возможности не те, то с настройками ... и т.д. Остановился на ОР. Просто фанат.

Цитата:

Цитата:типа обязательно 192.168.0.1 - шлюз
Это "фича" OF?

Ну я и говорю - микрософт с ICS будет работать если только на шлюзе 192.168.0.1 - они сами все это и придумали и ввели эту технологию на машинах со своими продуктами, а уже потом все остальные разработчики софта подхватили, т.к. большинство же софта пишется под windows, и Agnitum не отстал. Поддерживает именно их технологию, видимо для совместимости (может именно поэтому ОР и не является серверным - и, наверное и не будет ???).
http://www.microsoft.com/Rus/IsvSolutions/solution.aspx?SolutionId=ef0f01c1-458d-4238-9a3d-76bb3de0faa0
Кстати, пока не забыл если у кого XP и после SP2 проблемы - статья здесь
http://support.microsoft.com/default.aspx?scid=kb;ru;884130

Цитата:

Цитата:хотя я хитрыми методами делал и другие адреса, но это уже другая история
Расскажите плз, раз уж упомянули

Ага, тоже интересно? Да я тоже этим сильно заинтересовывался. Значит так - описывать не буду - вот прямой линк:
http://forum.sources.ru/index.php?showtopic=67794
Если не получится по ссылке, то вот, где найти :
Форум на Исходниках.RU
Системы, Сети, Технологии
Сетевые Технологии
страница 6 от 13.11.04 "Только ли через 192.168.0.1"
Не буду рекламировать, но очень интересный форум - очень много полезного и познавательного, особенно для админов.

Цитата:

outpost.ini - раздел [DisableNetworkForHiddenProcesses] - удаляем iexplore.exe оттуда.

http://forum.five.mhost.ru/showthread.php?threadid=217
Опять же - познавательно.

Цитата:

А в версии 2.5. - все ОК
http://forum.five.mhost.ru/kb/index.php?page=index_v2&id=14&c=1
Не понял, где ОК, о чем конкретно речь?

Я имею в виду транзиты. И скрытым смыслом - типа обновиться до 2.5. (2.1 - уже не катит - устарел и много дыр, если только вручную ручками править правила под уязвимости, но для этого, согласись, нужно быть уже чуть-чуть гуру. Это мое мнение)

Просмотрел все страницы (версия для печати) и думаю что тема настройки правил для треклятого SVCHOST.EXE так и не расписана так что бы было всем понятно и по русски (!!!). Нашел в здесь (не помню на какой странице) ссылку но она по аглицкий, может добрые люди переведут ее и выложат ее здесь.
http://www.outpostfirewall.com/forum/showthread.php?t=9858
кому не влом конечно. Это было бы очень полезно для тех у кого неважно с буржуинскими языками
И еще вопрос подкажите пожалуйста, постоянно SISTEM стучиться по адресу: mail.opera.ru. - это где то троян?
ЗЫ. думаю не надо брать в расчет постов типа разрешить все (SVCHOST.EXE) и т.п.

gati
Цитата:

и думаю что тема настройки правил для треклятого SVCHOST.EXE так и не расписана так что бы было всем понятно и по русски (!!!).

уже больше года, путём проб и экспериментов для svchost запретил всё, кроме "вычитаных" в официальном FAQ DNS Resolution-a и Allow Time Synchronisation.... не знаю правильно ли я сделал, но к явным косякам пока не привело....
p.s. надеюсь кто нибудь прокоментирует.

gati

Цитата:

думаю что тема настройки правил для треклятого SVCHOST.EXE так и не расписана так что бы было всем понятно и по русски

Расписана, почитай Настройка персональных файерволов (firewall rules), (или выведи эту тему в версии для печати (она небольшая), и поиском по SVCHOST пробегись.

orvman
To all Проблема все таки к сожелению остаеться(( Не понять почему((

Люди! вот что сегодня нашел и обалдел. Честно содрал с сайта

"Сегодня будем проверять Ваши стенки на наличие уязвимостей.
А делать мы это будем при помощи маленькой утилитки pcAudit LeakTest, так называемый демо-троян.
Качаем программу здесь http://www.firewallleaktester.com/leaks/pcaudit2.exe
Запускаем, видим такое окно.
[EXT]
Нажимаем Next, соглашаемся, далее можно вбить своё мыло, впоследствии на него прийдет отчет, но можно этого не делать, нажимаем Continue.

Видим такое окно.
[EXT]
Далее запускаем какую нибудь программу и вбиваем туда несколько слов,
или можно запустить браузер и заполнить какую либо web форму. Нажимаем Continue, "троян" пытается отправить полученную у Вас информацию.
[EXT]
Далее появляется окно опять жмём Countinue.
[EXT]

Вот в принципе и всё. Если у Вас появилось что то вроде этого, то всё в порядке система защищена.
[EXT]

Если же появилась такая надпись:
[EXT]
то тут уже стоит призадуматься. Нажимаем View Report и смотрим что же именно сумел отправить демо-троян.

Специалисты прокоментируйте плизз и посоветуйте

ЗЫ. заметил что если не запускать браузер (Opera, IE) рипорт ОК, но как только запущен любой из браузеров содержание Мои Док тут же отправляется трояном
вот из лога:
7:48:04opera.exeOUT TCPwww.pcinternetpatrol.comHTTPBrowser HTTP connection
у Оперы открыт только 80 порт (

Не понимаю я чего-то. Вполне себе мирные фтп подозреваются в сканировании портов:
16:42:28 Обнаружена атака Обнаружено сканирование портов с адреса ftp.dtsearch.com (порты: TCP (5006, 5005, 5004, 5003, 5002, 5001))
В который раз уже такую надпись вижу с разными фтп. Как интерпретировать, скажите, пожалуйста.

ghosty, у меня частенько такое бывает, уже привык. Причем хоть с фтп-клиентом, хоть с флэшгетом. С одним и тем же сервером сабж бывает за ночь корректно поработает, а на другой день и сканирование вплоть до блокировки. Правда недавно правила подчистил и дури почти не наблюдается, не блокирует по ip и то хорошо.

Yanson

Цитата:

Правда недавно правила подчистил

Спасибо. А какие именно правила?

И отчего это все-таки случается, кто-нибудь в курсе?

Никак не возьму в толк, что это за ALG.EXE все время появлятся в настройках приложений на пользовательком уровне ? Я его удаляю оттуда, он снова сам появляется, я его перетаскиваю в блокированные, а он опять обратно. Что это за Application Layer Gateway Service, что ему там надо-то ? Может он шпионит потихоньку, и стоит его совсем с компа удалить ?

stasss
Об этом уже писалось, это не шпиииён.
Чтоб после перезапуска Outpostа он не появлялся нужно отредактировать preset.lst
[Microsoft ALG Service]
VisibleState: 0
Group: Auto
убрать Group: Auto
там еще есть также сделанное, но уже к правилу браундмаура относящеся, если не ошибаюсь.

egor23
Спасибо, получилось !


Цитата:

Об этом уже писалось

Дык поиск то не работает, а читать всю ветку пондряд ...

orvman

Цитата:

Надеюсь у Вас прокси не стоит. Модуль DNS-кеширование. Отключаем.

Никаких прокси и отключение DNS кеширования не помогает. Долбаное глючище. Если ешё неделю не найду решение снесу его к ... Надо искать альтернативу. Может кто чего подскажет?

stasss

Цитата:

поиск то не работает

В правом верхнем углу каждой страницы есть пункт Версия для печати. Жми туда, а дальше юзай поиск...
http://forum.ru-board.com/misc.cgi?action=printtopic&forum=5&topic=11492

Eugen65

Цитата:

Надо искать альтернативу. Может кто чего подскажет?

http://forum.ru-board.com/topic.cgi?forum=5&topic=0044&start=1920#lt

а вот я смотрю очень часто в своих ^постах^ народ предлагает редактировать файлы настройки субжа, как то preset.lst, outpost.ini и т.д. , а интересно, откуда информация про эти параметры? Это просто "обрывки информации", найденные пользователями эксперментально или есть где нибудь всё это как-то собраное вместе и с описаниями?

Цитата:

Спасибо. А какие именно правила?

ghosty, я к слову на диал-апе. Во-первых я основательно почистил компоненты. Убрал разрешение с DHCP и PPTP, а также в правилах для SVCHOST заблокировал все что касается UPnP.

orvman

Цитата:

Абсолютно никакого. Перепробовал кучу всяческих фаеров. То одно не устраивает, то возможности не те, то с настройками ... и т.д. Остановился на ОР. Просто фанат.

Понял.

Цитата:

Поддерживает именно их технологию, видимо для совместимости (может именно поэтому ОР и не является серверным - и, наверное и не будет ???).

Вряд ли поэтому. Скорее дело в концепции - гибрид - это всегда компромисс.

Кстати, в Агнитуме работа идет на серверной версией, где-то (м.б. даже тут) пробегала ссылка на статью.

Цитата:

Кстати, пока не забыл если у кого XP и после SP2 проблемы - статья здесь
http://support.microsoft.com/default.aspx?scid=kb;ru;884130

Не, ну это было до момента выхода версии OF с оф. поддержкой XP SP 2.

Цитата:

Ну я и говорю - микрософт с ICS будет работать если только на шлюзе 192.168.0.1 - они сами все это и придумали и ввели эту технологию на машинах со своими продуктами, а уже потом все остальные разработчики софта подхватили, т.к. большинство же софта пишется под windows, и Agnitum не отстал.

Цитата:

http://forum.sources.ru/index.php?showtopic=67794

Что-то я в том топе не увидел никаких явно высказанной инфы, что мол "только 192.168.0.1", как и вообще к.л. конкретики касательно неработоспособонсти варинтов отличных от 192.168.0.1...

Я не говорю что это не так, просто предметного разговора в том топике не было, все на уровне предположений.

Цитата:

http://forum.five.mhost.ru/showthread.php?threadid=217

Да, понятно, но это скажем там не "отсутствие Интернета", а скорее особенности работы совместно с IE. На хождение/не хождение пакетов эта фича не влияет.

Цитата:

Я имею в виду транзиты. И скрытым смыслом - типа обновиться до 2.5. (

Именно скрытым, т.к. про версии там ничего не сказано да и вообще продолжения истории (дискусси по этому вопросу) как я понял, там нет. Поэтому и переспросил

А вот интересно, был у меня диалап, так этот аутпост постоянно выводил сообщения об атаках каких-то, то порты кто-то сканировал, и так стабильно, за час пара подобных сообщений вылетала. Тут неделю как пересел на ADSL, так ни гу-гу, тишина полнейшая, ну хоть бы разик чё-нить такое выдал - нифига. Версия таже, ничего не переустанавливал. К чему бы это ?

stasss

Цитата:

сообщения об атаках каких-то, то порты кто-то сканировал

Параметры > Подключаемые модули > Детектор атак оповещение включено? Уровень тревоги? Поставь максимальный.
Цитата:

так ни гу-гу, тишина полнейшая

Так радоваться надо Видимо все сканы ловят ещё на подступах.

Wandron

Цитата:

Параметры > Подключаемые модули > Детектор атак оповещение включено?

Да. Уровень "Обычный". Он же меня оповещал, когда на диалапе сидел.
Я с одной стороны радуюсь, с другой сомнение гложет, вдруг что не так, вдруг аутпост не защищает как надо


Цитата:

Видимо все сканы ловят ещё на подступах.

А что, с ADSL так делают провайдеры что-ли ?

stasss
У тебя же фаер стоит, у них тоже может. Только у них серверный. В AO можно блокировать атакующего. Видимо там тоже можно. Хотя я не специалист, но рассуждая логически...

stasss

Цитата:

А вот интересно, был у меня диалап, так этот аутпост постоянно выводил сообщения об атаках каких-то, то порты кто-то сканировал, и так стабильно, за час пара подобных сообщений вылетала. Тут неделю как пересел на ADSL, так ни гу-гу, тишина полнейшая, ну хоть бы разик чё-нить такое выдал - нифига. Версия таже, ничего не переустанавливал. К чему бы это ?

Ethernet-модем? Если да, то дальше должны догадаться сами...

Добавлено:
Да, и если модем работает в режиме роутера и он более-менее приличный (в смысле, модем), то в нем должна быть фича маппинга портов (называется что-то типа port mapping, port forwarding). При помощи нее можно замапить все порты на хост с OF.

И все будет по прежнему (ну не учитывая того что фильтрует ADSL'ный пров и ваш ADSL'ный модем (такие модемы сейчас уже не редкость)

Друзья, может знает кто, как отключить кэширование веб страниц с включенным аутпостом? Происходит следующее - при заходе на некоторые страницы, загружается их кэшированный вариант, и приходиться обновлять их вручную...
При отключении аутпоста все работает как и должно, тоесть сразу загружаеться обновленный вариант... Какие-нить идеи по этому поводу?
З.Ы. этот топик просматривал, ничего дельного не нашел...

MrZerga
Дай линки на эти страницы. Отправляемый запрос есть возможность глянуть?

eika

Цитата:

Ethernet-модем?

USB Zyxel 49$

Сегодня заметил за Outpost'ом(2.5.375.4822 (374)) что в разделе Attack Detection все показатели на нуле, попробовал просканять себя http://www.pcflank.com/scanner1.htm?from=menu главно файр весь трафик оттуда блокирует и в лог пишет что заблокировал, но в разделе Attack Detection это вообще никак не отображается, все на нуле. С настройками Attack Detection'а все нормально. Вот и думаю или это глюк этой версии, или ключа, а может что-то делаю не так...
После перезагрузки аутпоста Attack Detection стал работать нормально...

Тоже попробовал http://www.pcflank.com/scanner1.htm?from=menu
Все тоже самое - трафик оттуда блокирует и в лог пишет что заблокировал, но Attack Detection ни очем не оповещает. После перезагрузки Outpost (2.5.375.4822 (374)) все равно не оповещает Ключ как у всех, наверное, от Сары Меер

Народ такая проблема! Стоит соединиться с интернетом, а потом разъединить соединение и опять подключить блокируется обмен данными - значок соединения висит, а пакеты не проходят! Качалка и опера сразу выдают ошибку как будто соединения нет совсем! Не знаю на что уже грешить толи файрвол виноват толи ось с сп2! Лечится перезагрузкой винды! Помогите разобраться!

Muslim

Цитата:

Не знаю на что уже грешить

Попробуй отключить DNS плагин.

Barral

Цитата:

Попробуй отключить DNS плагин.

Раньше такого вроде не было! Грешу всё таки на СП2