» Agnitum Outpost Firewall Pro

Пару дней назад Symantec AntiVirus 2005 нашел в системе какую-то бяку и предложил удалить какие-то файлы, каюсь, запоминать название этих файлов я не стала. Для удаления пришлось загружать какой-то EXEшник и в процессе промелькнуло упоминание ad-aware, после удаления и система и Интернет работали "как часы". Но вот на следующий день Интернет перестал работать Я - к прову, а он: "У вас, видимо, файрволл запрещает выход, попробуйте его отключить." И, действительно, отключение сервиса Аутпоста оживило интернет В журналах его никаких новых записей не появилось. Чтобы совсем уж без защиты не остаться пришлось включить встроенный в систему файрволл. Но должны же быть какие-то способы вернуть все "как былО"?

Подскажите, если мое изложение проблемы напомнило об успешных методах решении такой же проблемы. Пожалуйста.

Аутпост - Pro 2.6.452
ОС - WinXP+SP2
Соединение с нетом - выделенка

aezh
Для начала посмотри в журнале по какой причине ОР блокирует инет. Может тебе самой все станет ясно. Если нет, пиши.

aezh
Переинстал без сохранения настроек не пробовала? А то мало ли что...

Я посмотрела в логах Norton AntiVirus, как именно называлась программа, которую он предложил удалить, и я удалила - Adaware.GAIN

Dimon Hill, как-то нет ничего полезного ни в истории заблокированных, ни разрешенных нет

YuraH, а мне край как нужны настройки файера для eMule Хоть на бумажке их записывай.

Стал глючит аутпост пишет:
Узел подменяет свои ip адреса
mac атакующего 02-00-20-00-02-00
ip атакующего 255.255.255.255

и после блокирует все соединения.
Что за прикол???
Раньше такого небыло!!!!!!!!!!!!!!

outpost 3.0.530.5706 (426)
xp sp1 + некоторые update

aezh

Цитата:

нужны настройки файера для eMule

в шапке спец темы: http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=600#lt

_http://rapidshare.de/files/5407390/Outpost_Firewall_v.3.0.542.431.rar.html

Widok, спасибо. И все же броузер блокировался, до тех пор пока не удалила из системы Ad_Muncher, он все просил соединение loopback(127.0.0.0)

Outpost блокирует загрузку страниц если запускается до начала серфинга. Запуск после какой либо страницы - все в порядке. Использую dial-up. Кто-нибудь сталкивался?

Последнее время у меня списках соединений браузера (Опера) появляется Block Incoming DCOM. OF это добро блокирует и пишет, что, собственно, "Blocking Incoming DCOM". От этого не грузится весь веб, то есть страницы. Блокируются соединения с провом! Из-за этого самого DCOM'а. Подскажете, что это такое?

renee
Нет времени на разъяснения. В приложениях для SVCHOST.EXE сними галочку с "Block Incoming DCOM". По-умолчанию её кстати там и не должно быть.

renee
Надо удалить правило "Blocking Incoming DCOM". Подробнее читай на стр.20

Contru
Dimon Hill
спасибо за быстрый и лаконичный ответ. помогли.
Dimon Hill

Цитата:

Подробнее читай на стр.20

там говорилось, что правило "приехало" из китайской сети, так вот - у меня ничего подобного не было!

renee
Где-то там есть объяснение orvman-а по этому поводу. У него была другая версия происходящего. Полистай топик.

Попробовал протестировать Outpost Firewall Pro ver. 2.7.493.5421 (416)
на предмет уязвимости на сайтах так вот на
pcflank.com выдает что порты 21, 23, 80, 135, 137, 138, 139 closed
а на www.grc.com все порты stealthed как это понимать?

Kapit2003

Цитата:

pcflank.com выдает что порты 21, 23, 80, 135, 137, 138, 139 closed
а на www.grc.com все порты stealthed как это понимать?

По-моему это одно и то же. Не совсем closed, скорее stealthed. В общем, смотри "шапку"

Цитата:

Статус stealthed означает успешное "прикрытие".

aezh

Цитата:

Ad_Muncher, он все просил соединение loopback(127.0.0.0)

Все правильно, так и должно быть. Долго объяснять..., кажись уже вылаживал инфу где-то....

Searcherix
Цитата:

Outpost блокирует загрузку страниц если запускается до начала серфинга. Запуск после какой либо страницы - все в порядке.

Также, долгая история. Логи и подробности нужны... Может дело в нестандартном браузере, либо в адресе (см. выше) либо в плагинах... , а ткнуть пальцем можно в ..п.

renee

Цитата:

Последнее время у меня списках соединений браузера (Опера) появляется Block Incoming DCOM. OF это добро блокирует и пишет, что, собственно, "Blocking Incoming DCOM". От этого не грузится весь веб, то есть страницы. Блокируются соединения с провом! Из-за этого самого DCOM'а

Вырубай службу.... Многое зависит от настроек и т.д...

Kapit2003
Цитата:

на pcflank.com выдает что порты 21, 23, 80, 135, 137, 138, 139 closed
а на www.grc.com все порты stealthed как это понимать?

Дело в принципах теста, хотя принцип один - на твой адрес идут пакеты - Каждый тест определяет это по своему, есть варианты... Долго объяснять...

Цитата:

по-моему это одно и то же. Не совсем closed, скорее stealthed. В общем, смотри "шапку"

Читаем в базе данных.., что означают закрытыу, открытые и т.д. порты....

Теперь Анонс.Впервые В РУНЕТЕ перевод статьи Paranoid2000 "A guide to Producing a Secure Configuration for Outpost".
http://forum.five.mhost.ru/kb2 - Статья называется "Руководство по созданию безопасной конфигурации Outpost"

P.S. Для особо умных и т.д. - Администрация Нашего Форума обращает Ваше Пристальное Внимание на инструкции и Правила пользования...

orvman

Цитата:

P.S. Для особо умных и т.д. - Администрация Нашего Форума обращает Ваше Пристальное Внимание на инструкции и Правила пользования...

Цитата:

llow DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
и Где удаленный адрес <DNS сервера провайдера>
Разрешить эти данные

Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет

Что я эти два правила не понял. Обяснишь?

Что такое AntiSpyWare плагин, в смысле где его брать? Если это варез, то искать буду в другом форуме (правила знаю). Базы под него есть, а самого плага нет.
Спасибо.

SIMSR
Там в секции " D1 - Указание адресов DNS серверов" все же расписано.
Если приложение запрашивает DNS сервер провайдера, то исходящие для него разрешены по первому правилу. Если обратится не к серверу провайдера, то исходящие блокируются по второму правилу и появится сообщение. Дальше надо смотреть, что за приложение и зачем ему другие адреса.

kraft
Anti-Spyware модуль встроен в новых версиях Outpost 3-х. Устанавливается автоматом при инсталяции любого билда 3х версий. Последняя бета v.3.0.542.5722 (431)

Evgeny T

Цитата:

Там в секции " D1 - Указание адресов DNS серверов" все же расписано.

У меня протокол PPPoE. Насколько я понимаю, я сразу с ADSL модема попадаю на маршуритизатор. Там происходит по 53UDP авторизация, и выдыча мне свободного IP из зарезервированных. Но проблема в том, что меняется и первый окет IP адреса. Тогда что, мне разрешать для SVHOST авторизацию по 53UDP для диапазона 92.xxx.xxx.xxx. по диапазон 99.xxx.xxx.xxx.? Пробовал, после этого инета нету. Просто нету.
Вот поэтому и возник вопрос для
Цитата:

Для особо умных

из того руководства, на которое ссылается orvman. Что значит в данном руководстве и в моем случае волшебная фраза
Цитата:

DNS сервера провайдера

?

SIMSR

Цитата:

DNS сервера провайдера

смотриться в настройках сетевого соединения.

SIMSR

Цитата:

Что я эти два правила не понял. Обяснишь?

- ДНС (сверка имени и ИПа) идет по УДП протоколу, удаленному адресу /адрес прова/порт53 - локальный, стек портов 1024-5000(можно в реестре сменить). То есть, порт 53 для прововского адреса (только!) открыть надо, иначе инета не будет, иначе как по ИП-адресам.
Для остальных адресов соединение с УДП и порта 53 открывать не следует. Вот и всё.

//офф, кривые настройки у стены.. нет чтоб последнее правило по умолчанию закрывало всё, что не открыто явно... морочиться каждый раз дважды...//


Добавлено:

Цитата:

То есть, порт 53 для прововского адреса

Тьху, соединение для исходящих пакетов с твоего стека 1024-5000 на ИП прова-порт 53 и обратно разрешить.
Цитата:

я сразу с ADSL модема попадаю на маршуритизатор.

- А адрес маршрутизатора пров не указал?

Цитата:

Тогда что, мне разрешать для SVHOST авторизацию по 53UDP для диапазона 92.xxx.xxx.xxx.

Хм.. а варианта настройки "мой адрес" не существует?

ОС - Windows 2000 Prof. SP4
Недавно установил Outpost Firewall Pro - 2.7.492.5421(416).
До этого стояла гораздо более старая версия, всё работало нормально.

Сейчас перед завершением работы или выходом пользователя из системы Windows стал надолго замирать на сообщении "сохранение параметров...". После этого он всё же выключается, но в журнале остаются записи:

Приложение:

Цитата:

Тип: Ошибка
Источник: Userenv
Событие: 1000
Пользователь: SYSTEM

Не удалось выгрузить ваш файл реестра. Если используется перемещаемый профиль, то ваши параметры не реплицированы. Обратитесь к системному администратору.

Подробно: Отказано в доступе. , номер сборки ((2195)).

Система:

Цитата:

Источник: Service Control Manager
Событие: 7031
Пользователь: Нет данных

Служба Outpost Firewall Service была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 0 мсек: Нет действия.

Если перед выключением (выходом) вручную закрыть Outpost с остановкой службы, то выключение происходит быстро, как было обычно раньше.

Что можно предпринять?

SIMSR
Цитата:

Что я эти два правила не понял. Обяснишь?

Извиняюсь, но Вы внимательно читали руководство? Evgeny T все прояснил.
Как сказал bredonosec
Цитата:

ДНС (сверка имени и ИПа) идет по УДП протоколу, удаленному адресу /адрес прова/порт53 - локальный, стек портов 1024-5000(можно в реестре сменить). То есть, порт 53 для прововского адреса (только!) открыть надо, иначе инета не будет, иначе как по ИП-адресам. Для остальных адресов соединение с УДП и порта 53 открывать не следует. Вот и всё.

Все верно он сказал, хотя может быть еще и TCP, но не в этом дело....

SIMSR Дело в том, что если делать настройки жесткие, то не следует окрывать порты на все IP подряд, а т.к. ты явно не пропишешь IP, то любой софт (например троян) ломанется по любому из адресов по 53 порту и ты об этом даже не узнаешь... Вот поэтому и сказано там, что прописывать адреса прова и все.
Другая ситуация в нижеследующем:
Цитата:

Но проблема в том, что меняется и первый окет IP адреса. Тогда что, мне разрешать для SVHOST авторизацию по 53UDP для диапазона 92.xxx.xxx.xxx. по диапазон 99.xxx.xxx.xxx.?

Дело в провайдере. Узнай какие DNS есть у него. Дело в том, что их может быть куча и зависит это от его настроек, обычно их дают два, у нашего провайдера их пять, но официально предоставляется два. Есть еще выход - прописать IP ДНС'а ближайшего узла, предоставляющего и реализующего ДНС, в такой ситуации это будет ДНС другого прова, но тут могут быть траблы с подключениями, глюками, если сетка медленная, загруженность сервера, дальний канал и т.д., также все зависит от настроек подключения и настроек провайдера... (возможно, что в данной ситуации ты получаешь IP DNS через DHCP...)
Если вкратце, то прописывай все ДНС Вашего провайдера. Либо ставь их админу ящик пива, и пусть он пропишет у себя для твоего адреса (если будет DHCP, то тут придется ковыряться например в сторону МАК-адреса для твоей инициализации в системе на стороне провайдера), конкретный выделяемый DNS. Лучше всего, когда у тебя есть реальный IP, а не сетка провайдера, когда тебе выделяется сначала внутренний адрес, а потом через НАТ ты лезешь в Инет....
Надеюсь хоть что-то прояснил, путанно, вскольз и кратко, где-то даже грубо, с точки зрения реализации и т.д., - но это отдельная долгая тема, тонны литературы вылаживать здесь не буду....
SIMSR, судя по твоим постам в этой ветке насчет ОР - ты человек не глупый, я уверен, ты сам разберешься и поймешь все сам, внимательно перечитай все разделы руководства, даже те, которые на твой взгяд тебе неинтересны. В будующем это избавит тебя от многих вопросов.

Вот народ жалуется, что скажете по этому поводу?

Так говориш что оутпуст крутой фаервол несогласен.
Найдена уязвимость Опасность Низкая(но проблем может быть много) удалёный пользыватель может с помошью специально сформированого пакета заставить Оутпуст расть да того пока весь Винт незабьёт
В данный момент возможности устранить уязвимость не сушествует
Это было 1,5 месеца назад.
Источник De6EF#(www.xakep.ru)
Сам тогда тестил,отослал только один пакет, за два дня сьел более четырёх с половиной гигов.
Конечно можете подумать что какя проблема можно переставить...А проблема исть и ищо какая написать флудер под эту уюзвимость несоставляет большего труда даже для Delphi/C програмиста.

Вышел релиз v3.
Кто-нибудь поверх 2.7 ставил? Как полет?

Поставил поверх, вроде нормально все.

Всем привет.
у меня стоит Outpost Firewall Pro ver. 2.7.485.5401 (412)
задался вопросом : общее количество МБ, которые я получил/отправил за некий период.
иду в журнал "История разрешенных". и вижу только сеансовые данные принято/отправлено. Итоговых данных никаких.
Можно ли как то их получить? или только вручную на калькуляторе складывать ?