» Agnitum Outpost Firewall Pro

TechSup


Цитата:

orvman
Цитата:
не понял прикола. Проясните, Вы хотите сказать, что персональный файерволл, в данном случае - это Outpost, не может перенаправлять пакеты из одной сети в другую? , а значит, судя по Вашим словам не поддерживает NAT и далее элементарный ICS ? Выходит так, что-ли?

Именно....
Поэтому юзер на воркстэйшионе не увидит ничего в своём броузере....
посмотрите какие изошрённые позы народ принимает чтобы заставить эту связку работать

В поддержку orvman

Вот с официального сайта список изменений для
Outpost Firewall Pro 2.5 (build 369/369)
Following is a list of new features
....
o Ability to configure transit packets filtering rules for better performance on the gateway PCs
.....

Да еще 3 года назад мне приходилось немного повозиться чтобы настроить ПОЛНОЦЕННЫЙ ICS на компе с Outpost , тем не менее все это успешно работало.
Теперь же ( кажется где-то с v2.7 сечас стоит v3) это вообще делается без единого телодвижения - Outpost на компе сам автоматом подхватывает вторую подсетку (реализовывал как на Bluetooth так и на Wi-Fi) и корректно обрабатывает транзитные пакеты для второй подсетки
Так например пока десктоп (подключенный к интернету) занят тяжелыми рассчетами, я часто на Palme через bluetooth брожу по интернету (http, https), читаю почту (как POP-SMTP так и IMAP), работает FTP и SSH. И все это заработало в конфигурации аутпоста по умолчанию!!!
Так что Outpost вполне поддерживает элементарный NAT и ICS

Spectr

Цитата:

Да еще 3 года назад мне приходилось немного повозиться чтобы настроить ПОЛНОЦЕННЫЙ ICS на компе с Outpost , тем не менее все это успешно работало.

Можешь привести пример правила?

AccessorСпасибо!
ContruСпассибо!
Благодарю Вас

Vadim39
Попробуй временно отключить модуль AntiSpyware

Цитата:

И так, пока не останавливаю сервис. Смена политик на "разрешать" или "отключить" не помогает.

А вот это уже плохо. Тут одно из двух. Или модули "Детектор атак" и "AntiSpyware" блокируют или несовместимость.

Harrier

Цитата:

Мне не нужно чтобы Outpost блокировал баннеры с одного сайта. Я добавляю адрес этого сайта в модуль "Реклама", как сайт исключение, но Outpost всё равно блокирует баннеры с этого сайта.

Дело в том, что баннеры могут грузиться из скриптов или вообще с других страниц и т.д... Тогда нужно смотреть в сторону не плагина "Реклама", а "Интерактивные элементы". И копать там... Это вкратце.
(Надо будет это как-нибудь в Базу Знаний Agnitum Outpost вписать)

Keiichi
Blockpost работает на ура. Единственная разница в том, что настройки прописывать нужно здесь: Параметры - Подключаемые модули - Blockpost - Свойства. А вот правая кнопка мыши - "Properties..." - увы, не работает.
А вот SuperStealth не тестил, люди говорят, что падает...
И правильно заметил Contru:
Цитата:

Достаточно посмотреть настройки модуля детектор атак, и станет ясно, почему больше не нужен плагин SuperStealth для 3-его Outpost-а

На данный момент, это, конечно, не совсем то, но смысл того, что Агнитум уже посматривает в эту сторону, очевидно. Это нововведение появилось из-за того, что ОР прекрасно справлялся с внешними сетями, а вот во внутренних были некоторые неувязочки.

TechSup

Цитата:

Сделайте запрос в яндекс по фразе "проброс портов outpost" и посмотрите какие изошрённые позы народ принимает чтобы заставить эту связку работать.

Это Вы мне? ..... Ага. И почитать мне еще "Введение в компьютерные сети"-подобные, затем хотя бы элементарные (азы) RFC и т.д. и т.п.... (надеюсь смысл ясен).

А вообще, честно говоря, я был несколько шокирован Вашими словами.
Цитата:

Аутпост не умеет функции "проброса портов" именно поэтому его применение к примеру на машине с простым ICS вызывает проблемы.

Цитата:

функция НАТа в аутпосте отсутствует в принципе,

А ну-ну... Я много раз писал насчет ICS на Неофициальном Русском Форуме Outpost...., а потом выложил в Базе Знаний Agnitum Outpost. Делаем так. Идем по вот этому адресу: http://forum.five.mhost.ru/kb2/index.php - Вопрос 40 - "У меня не получается настроить общий доступ к подключению Интернета по сети в Outpost Firewall". И читаем. Внимательно читаем.
В догонку хочу сказать, что многое мы обсуждали с Paranoid2000 (кто это такой объяснять не нужно?) насчет всего этого. У ОР несколько иной метод реализации NAT, и в ОР есть такие понятия как "Локальные пакеты" , "Транзитные пакеты", "Пакеты NAT". После долгих дискуссий, все это вылезло потом вот здесь: http://www.outpostfirewall.com/forum/showthread.php?t=8394
Всем настоятельно советую читать. Это нужно знать. Скоро на неоф. русском форуме появится перевод (разрешение от Paranoid2000 уже получено), а пока наслаждаемся английским:

Цитата:

Allow NAT Packets:
If Outpost detects that ICS (Internet Connection Sharing) is in use, then this rule will be applied. Packets coming from a network listed in LAN Settings to an outside address and the replies coming back are allowed under this rule (and Stateful Inspection is activated to allow further network connections to be established between that LAN/outside address pair). This is an internal rule which cannot be adjusted.
Transit Rule:
This is applied when neither the destination nor source IP addresses match those of any network interface (i.e. the network packet is passing through the system to somewhere else). Such packets are blocked (with the reason "Block Transit Packets" given in the Outpost log). This is an internal rule which cannot be adjusted.

Как говорится, для тех кто умеет читать английский - без комментариев.
Теперь далее.
Цитата:

Проблема начинается при получении ответа с www.xxx.ru который приходит на рандомный порт сервера. А сервер просто не знает что с ним делать.

???? А это, простите, как? Таблицы маршрутов NAT разве нет? Или Винда теперь вообще уже не поддерживает свой стандартный шлюз ICS 192.168.0.1 ? ... Ведь ОР работает только со стандартной Виндовой реализацией NAT. Другое дело, когда, например, у WinGate есть свой собственный WinGate’s Winsock Redirector Protocol (WRP) (Протокол переадресации Winsock WinGate) - почитать об этом можно тут: http://www.wingate.com/
Теперь по поводу примера: (RFC-1631) наша локальная машина-клиент 192.168.0.10 и исходящим TCP портом 1234 обращается к веб-серверу www.xxx.ru:80. При проходе через NAT-интерфейс (192.168.0.1) исходящий пакет претерпевает преобразования - в заголовке IP заменяется адрес оправителя, и в заголовке TCP заменяется исходящий (source) порт - с 1234 на, например, 61420. В таблицу NAT на нашем шлюзе (192.168.0.1) при этом вносится следующая запись:
Internal IP - Port local - NAT port : 191.168.0.10 1234 61420
Далее, при получении ответа от веб-сервера будет просмотрена таблица NAT и пакет, адресованный на порт 61420 будет откорректирован согласно таблице - в заголовке IP появится внутренний адрес, а в заголовке TCP - порт 1234, теперь уже в качестве входящего порта.
Вот такая вот топология, Уважаемый. Но здесь все просто.
Другое дело при FTP-соединениях. Например, команды PORT и ответ на PASV посылают IP адрес и номер порта в теле сообщения в десятичном представлении. При прохождении через NAT возникает необходимость скорректировать эту информацию в теле FTP-сообщения.... Вот здесь-то перед нашим шлюзом с NAT и стоит проблема - внести изменения в TCP, пересчитать контрольные суммы и размеры пакетов как IP, так и TCP. Вот поэтому у ОР, как и у многих других фаеров, есть проблемы при активно юзающихся p2p или ftp через шлюзовую машинку, когда идет блок пакетов, чаще здесь дело в тайм-аутах соединений + ОР не всегда корректно открывает/закрывает сессию. Многое еще можно сказать насчет так называемой Динамической Фильтрации. У ОР несколько своя реализация. А насчет Динамической фильтрации идем опять же сюда: http://forum.five.mhost.ru/kb2/index.php и внимательно читаем топик насчет Динамической Фильтрации. Многое, что еще можно сказать... Это вкратце. Надеюсь, смысл ясен.
P.S. Во сколько накатал !!! Надеюсь, хоть что-то понятно.


Цитата:

Можешь привести пример правила?

Элементарно.
http://forum.five.mhost.ru/kb2/index.php - Вопрос 40 - "У меня не получается настроить общий доступ к подключению Интернета по сети в Outpost Firewall".
И писалось это не просто так.

P.P.S. Всем спасибо за внимание.

НАРОД! трабл в следующем........

Ставлю Outpost 3.0.543.5722 (431)
Зарезаю ему Update + Feedback + сам Outpost исходящие
Затем перегружаю машину - запускается с предложением включить в IE быструю настройку(блокировка рекламы и бла-бла-бла), отменяю и отключаю Antispy.
Вписываю ключик ( перепробывал уже все!) - перегружаю еще раз машину и пипец.
Получаю сообщение об ошибке что Feedback не может отослать отчет!
И вешает полность сетку - остается только его переустанавливать заново

есть мысли?...... ниче не пойму ..........

orvman
Не очень понял чем вызвана столь агрессивная реакция в мою сторону, однако продолжу обсуждение в привычном мне стиле соблюдения уважения к собеседнику, а не в стиле моего оппонента.

Ключевой момент - Stateful Inspection. Как я понял эта функция и позволяет в полной мере отслеживать НАТ активность. С какой версии он появился? Эксперимент который я проводил был довольно давно и на старой версии аутпоста (какой именно я не помню). Как я понимаю теперь эта возможность появилась. Это радует. Насколько прямо она работает? В моём примере блокировка происходила именно так как я описал.


Цитата:

P.S. Во сколько накатал !!! Надеюсь, хоть что-то понятно.

Не дурнее Вас, поверьте

orvman

Цитата:

Vadim39
Попробуй временно отключить модуль AntiSpyware

Цитата:
И так, пока не останавливаю сервис. Смена политик на "разрешать" или "отключить" не помогает.
А вот это уже плохо. Тут одно из двух. Или модули "Детектор атак" и "AntiSpyware" блокируют или несовместимость.

Пробовал отключать все моодули - не помогает.
Что значит "несовместимость"? Сабж не будет работать с этим видом роутера?

Harrier
У меня стенка версии 2.5.369.4608 (369), то есть старая. Настройки вроде все умолчальные. Честно не знаю, как исправлять Отошлите глюк разработчику, что ли...

Viewgg
orvman

Да и "интерактивные элементы" здесь не при чём. Там я ничего не запрещал. А вот если отключить модуль "реклама", то тогда картинки на том сайте (ссылку на который указывал) отображаются.

народ что значит при попытки загрузки журнала пишет

База даных только для чтение. У вас недосточно прав для просмотра

TechSup
Цитата:

Не очень понял чем вызвана столь агрессивная реакция в мою сторону

Да нет, Вы меня совсем не поняли. Я всего лишь пояснил, что ОР прекрасно работает с NAT. Я извиняюсь, если чем-то обидел Вас.
Цитата:

Эксперимент который я проводил был довольно давно и на старой версии аутпоста (какой именно я не помню). Как я понимаю теперь эта возможность появилась.

Видите, мы же просто не поняли друг друга. Вот смотрите. В предыдущем посте Вы написали, что функция НАТа в аутпосте отсутствует в принципе. Я это понял как за однозначное утверждение (например 2+2=5 и все тут). А версии ОР Вы не указали, вот поэтому я и стал расписывать все в подробностях... Подтверждаю, да, действительно, NAT появился в ОР, начиная только с v2.1. До этого поддержки NAT не было в ОР вообще. А технология Stateful Inspection кажись появилась только с v2.5
Цитата:

Насколько прямо она работает?

Работает в подавляющем большинстве случаев идеально. Есть отдельные единичные проблемы ftp при прохождении через шлюз или в DNS-запросах.
Цитата:

Как я понял эта функция и позволяет в полной мере отслеживать НАТ активность.

Да нет. Динамическая фильтрация это одно, а NAT- совсем другое. Я же выше приводил ссылки, там все расписано. Удачи!

Vadim39
В данном случае это не проблема ОР, копай в настройках Dlink. А инструкции для роутера разве нет? Могу посоветовать сходить вот сюда : _http://www.dlink.ru/phorum/viewforum.php?f=3 , может там что найдешь.

Уважаемые!
Доброе время суток.
Таже проблема что и у Bioswampа!!!
Причем версия чуток постаре. Вернее билд. Но таже 3ка.
Ошибка таже!
Если при старте ФИЗИЧЕСКИ отрубить сетевую - ОУТПОСТ загрузить без этой ошибки и будет пахать нормально. Если нет ВЫЛЕТАЕТ ИНТЕРФЕЙС! правила вроде работают и что то блокируется что то нет. Т.е. сервис вроде как пашет. Проверял на трех машинах.
Просит отправить отчет ((
Спасибо за внимание если ответите.

orvman

Цитата:

В данном случае это не проблема ОР, копай в настройках Dlink. А инструкции для роутера разве нет?

Я бы тоже так подумал, но ведь с версией 2.7 все было в порядке...

Поставил последнюю версию аутпоста, настроил. Но он иногда не пускает на некоторые сайты( без него спокойно захожу) и не даёт закачивать файлы(тоже иногда). Не подскажете в чём проблема?

Цитата:

Kac

Есть мысли?

orvman

Цитата:

Подтверждаю, да, действительно, NAT появился в ОР, начиная только с v2.1. До этого поддержки NAT не было в ОР вообще.

Не буду спорить именно о NAT чтобы не закопаться в терминологии, но поддержка ICS (а следовательно и рудиментарного NAT) была реализована еще в Outpost v1.
И в моей домашней сетке это работало.
Только работало это
Цитата:

If Outpost Firewall installed on a ICS gateway running 95/98/ME/NT/2000/2000+SP1

см http://www.outpostfirewall.com/forum/showthread.php?threadid=3086

А вот на WinXp и w2000+SP2 предлагалось более не обновляться до выхода Outpost v2 и оставаться на знаменитой

Цитата:

ver.1.0.1220 for those who use WinXP/2000sp2+ICS

http://www.outpostfirewall.com/forum/showthread.php?threadid=3199

Я позволил себе напомнить эти факты чтобы отдать должное разработчикам Outpost и освежить эту старую историю когда установив очередное обновление аутпоста вдруг достаточно большое количество пользователей аутпоста оказалось с неработающим выходом в интернет. Шуму на официальном форуме было выше крыши.

Spectr,
Респектище тебе, родной! Действительно с версии 1 ввели. Не знал, не знал. Хотя с другой стороны, это было все в 2002. И уже мало кто сидел на 98 Виндах. Поэтому и считается, что с выходом ОР v2 NAT работает уже на всех системах...
Еще раз Респектище, ты меня постоянно чем-то удивляешь
P.S. ОР v2.1 официально несовместим с XPSP2, хотя у многих работает.

Kac, Bioswamp
1. Удалить feedback из автозагрузки.
2. Закрыть ОР общаться по 803 порту (по желанию).
3. Запретить в ОР автообновления.
4. Удалить в папке с ОР - \log\feedback\ файл feedback.log (а лучше вообще всю feedback грохнуть)
5. Перезагрузиться.
6. Радоваться жизни.

Bioswamp


Пробовал на трех разных машинах с разными кряками....
Мысль токо одна пока... Что то с правилами.. какое то правило глючит системное. Ибо если от сети отрубишь - то запуститься нормально -интерфейс будет (иконка в трее) а потом подрубишь - тоже поработает

Короче летучий голандец глюк

Ко всем насчёт глюков
Выложите свою версию Аутпоста и попросите кого-нибудь, у кого всё работает, послать вам свой конфигурационный файл. Если с ним заработает, то всё хорошо, а если нет - увы!

2 orvman

Спасибо! Буду пробовать! Если ничего не напишу до субботы -значит все заработало!

orvman

Цитата:

Действительно с версии 1 ввели. Не знал, не знал. Хотя с другой стороны, это было все в 2002. И уже мало кто сидел на 98 Виндах. Поэтому и считается, что с выходом ОР v2 NAT работает уже на всех системах...

Рад что сообщил что-новенькое и извини еще раз за занудство но уточню что в 2002 у меня ICS работал именно на w2k+SP2 и на WinXP. Пришлось на шлюзах юзать OP v1 b1220 пока не вышла v2

to Kombat

народ что значит при попытки загрузки журнала пишет

База даных только для чтение. У вас недосточно прав для просмотра

Значит, заходишь в ОР из-под ограниченки, зайди из-под админа и все будет ОК!

orvman
TechSup
Spectr
Дочитал объемное развитие и итог спора с момента последнего появления.
Что ж, могу только сказать что осваивать его начал года наверно 2 назад... уже и не помню какая версия была. И после непродолжительного общения последовал перерыв до появления и установки себе 3.0, которую обкатывал на своей раб.станции, ибо на Internet-сервер и смысло ставить не было (стоит ISA).

Собственно, в таком случае хочу вернуться к вопросу, породившему данное обсуждение, а именно:

Цитата:

* оутпост персональный фаер, а не серверный,
* OF на серверах противопоказан и бессмысленный (не факт!)

Что же в таком случае означает термин "персональный", если этот персональный OF может работать в качестве межсетевого? То что не может организовывать зоны (DMZ)? ... или и это может?
И почему же он противопоказан на серверах?

Стоит аутпост 3.0.543.5722(431)
Немогу с помощью него получить доступ к фтп.
Подключаюсь например тоталкомандером. Он обнаруживает активность спрашивает разрешить или нет я говорю родной батя пускай. Заносит и в итоге нету фтп. Если ввести в режим разрешить все пускает как радного. Проявлялось и раньше в чем бага а?

CoDeR
Цитата:

И почему же он противопоказан на серверах?

http://forum.five.mhost.ru/kb2 - Вопрос №3 - "Можно ли устанавливать Agnitum Outpost Firewall на сервер?". Там вкратце. Еще раз говорю. Сервер, это не просто операционка с названием Windows...Server. Все зависит от того, что на ней юзается. Если это просто домашняя машинка, то о каком сервере может идти речь? Это просто получится WindowsServer и все, одно название, а сама она по своим функциям не будет являться сервером как таковым.

denis255

Цитата:

я говорю родной батя пускай.

Непонятно! Что за сервер? Какое правило создаём для TC? Одно из стандартных или как? Может быть, соединяемся через нестандартный порт? Сюда бы выложить правило, которое создано для TC... P. S. Выкладывать лучше в тег [more]!

Непускает на любой ФТП. Правило для данного приложения разрешено все, хоть танец с бубном. Домой прийду выложу. Причем создавал еще 2 конфигурации таже трабла не пускает на ФТП. Остальное все работает.

denis255
О! Только что думал пожаловаться на эту же проблему! Тыц в тыц ситуация!
Только я ещё подметил что в закладке network activity самого монитора аутпоста, как только я в тотал командре хочу соединитья с фтп, появляется ещё один процесс без названия "n/a" и соединение имнно с тем ip что и фтп с которым я пытаюсь соединится, и аутпост блокирует это дело под предлогом "block transit packets"
Я даже скриншот сделал
http://pixerve.de/pix/1132247454-8757.jpg

сори если это вопрос уже подымался, но как минимум ткните в меня пельцем (или меня носом):
имеем Outpost Firewall Pro ver. 2.7.493.5421 (416), честный, с лайфтайм апгрейд. но дальше этой версии апдейтиться не хочет. говорит, что обновлений программа не требует. (OS Windows XP SP2).
Я был уверен, что так оно и есть, и тройка это бета, потому и не апдейтится.
Сильно удивился, когда подняв на VMware Win200 после апдейта аутпоста получил версию
3.0.543.5722 (431). Это почему так?

yenpox, смотри что у тебя прописано в
\Program Files\Common Files\Agnitum Shared\aupdate\update.ini
для обновления 3.0 на самые свежие версии нужно чтобы параметр ServerDir имел
такое значение

ServerDir=/update_test