» Agnitum Outpost Firewall Pro

Pyuaumch
Спасибо, тормоза и правда исчезли. Но ведь некоторые говорили, что их и не было при том же блок-листе. Или не том же... есть ведь еще лайт-версия этого блок-листа - его попробую. Ваще-то, меня и без энтого листа все устраивало (он даже больше, чем надо, блокирует), кроме аськовых баннеров - а какие именно записи в этом списке это осуществляют - X3 (и даже не соображу, как это узнать).

Цитата:

но жрет он прилично... почти 23 метра...

Есть маленькая хитрость. После запуска АП кликни два раза по значку АП в трее, чтобы развернуть окно. А потом сново сверни. После такой процедуры АП в памяти будет занимать не больше 6-8 мб.

CkopnuoH
100 %

К сожалению, после перезагрузки Bat все вернулось на круги своя. У кого еще идеи есть, а то привык я к конфигурации OP-Bat-McAfee

вот какая проблема ..
никак не могу подружить сабж и Serv-U.
какие бы ни давал разрешения для серва .. падает он с ошибкой .. при включенном сабже ..
отключаю АП .. все работает ..
давал и разрешение только на конкретный ИП и конкретный порт ..
и полный доступ для проги .. все одно .. падает и все ..
при этом .. перед падением конкретно так нагружая проц ..
что делать . .ума не приложу ..

стоит XP, две учетные записи: пользователя и админа, под администратором в общем нормально, а под ограниченной учетной записью OF запускается так: в трее поевляется иконка башенки, в круглую не меняется, траффик весь блокируется, если кликаешь на иконке, то главное окно не открывается. Если поменять учетную запись на админа, то все ок.
OF работает только под админом? Как можно решить эту проблему?

jjeecckk
Посмотри разрешения на папку фаера, возможно он не может прочитать настройки.

jjeecckk

Цитата:

держать OF в памяти когда интернета нет, для меня смысла нет, только память жрет на халяву.

Запускай ее ручками. В службах Винды убери загрузку как сервис.

Цитата:

А 3,0 версия таким способом не выгружается, просто остается в памяти.

Хе.хе. Наконец-то!!! Это специально сделано, чтоб невозможно было завершить работу ОР из других программ, т.к. этим могут воспользоваться трояны. Либо программ типа "net stop ...". Конечно, есть много методов обхода фаера, например, элементарно это делается в скриптах, типа ReadKey-SendKey (при условии, что пароля в ОР нет - кстати, есть уже готовые примеры для многих крутейших фаеров на *.vbs - кому интересно - могу кинуть линк - P.S. работало на ура в ОР v2.5. - на остальных не пробовал - может кто потестит?) , либо изменением файлика ini - прописью туда стороннего url - типа пусть ОР думает, что это обновление, а затем загрузка стороннего кода со всеми вытекающими последствиями - дело в фантазии и квалификации умников. Агнитум работает над всем этим. И это правильно. Без комментариев.

CkopnuoH

Цитата:

Есть маленькая хитрость. После запуска АП кликни два раза по значку АП в трее, чтобы развернуть окно. А потом сново сверни. После такой процедуры АП в памяти будет занимать не больше 6-8 мб.

Это не хитрость. В этот момент ОР сбрасывает часть своих кодов из оперативки в свои же файлы, например логи. Кстати, кому интересно, что он делает в этот момент, может проверить утилитами - filemon-подобными
Видать это так и задумано. http://forum.five.mhost.ru/kb2/index.php - Вопросы 35 и 36

Naum1

Цитата:

К сожалению, после перезагрузки Bat все вернулось на круги своя. У кого еще идеи есть, а то привык я к конфигурации OP-Bat-McAfee

http://forum.five.mhost.ru/kb2/index.php - "При совместной работе Agnitum Outpost Firewall с антивирусным ПО происходит замедление в работе системы. Как побороть?" - Вопрос 14. Если не получится, то возможно виновата именно связка - OP-Bat-McAfee.
Отписывайся разработчикам. Но на мой взгляд - виноваты Bat+ОР, т.к. есть проблемы у ОР с ним.

sandia

Цитата:

никак не могу подружить сабж и Serv-U.

Кажется прописывал правила для него вот сюда: http://forum.five.mhost.ru/forumdisplay.php?f=38
Но если ты говоришь, что ставил в Доверенные и не помогает, то причина в другом. Нужно смотреть причину блокировки. Дело может быть в Контроле компонентов, Динамической фильтрации, даже в самой проге. Инфы мало. А пальцем тыкать можно и в ж. Давай логи и подробности, что еще работает в реальном режиме времени - антивирус и т.д., мониторы системы и т.д., версия ОР, пробовал создать новый конфиг на автомате и т.д. и т.п.

jjeecckk

Цитата:

стоит XP, две учетные записи

Известная трабла. Вернее это не трабла, а принцип работы такой при ОР+FUS. Когда заходишь под одним все грузится, под вторым нет и т.д. и т.п... - долго объяснять... Инсталлишь ОР на автомате - он спросит - типа для всех пользователей - соглашаешься, если так и делал при инсталле, то пропускаем и идем в "Контроль компонентов" и отключаем его. Результаты в студию. Если не получится - смотришь в логи заблокированных и отписываешь причину.

Где-то прочитал что надо закрывать нулевой сеанс...

1. Открываем редактор системного реестра regedit (находится в c:\windows\) и перейдём к параметру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
2. Выбираем команду EDIT > Add Value и вводим следующие данные.
Имя параметра RestrictAnonymous
Тип данных: REG_DWORLD
Значение 2
3. Перезагружаем компьютер.
Так мы закрыли нулевой сеанс, необходимый для сбора данных о вашем компьютере для последующей атаки.

Так вот изменил, а Outpost Firewall 3, говорит что
изменилось Имя параметра RestrictAnonymous...
это может быть действием шпиона и.т.д...
А на вкладке свойства модуля AntiSpyware, дополнительно
указаны уязвимые объекты системы.
После изменения указанного выше, галочки нет напротив
Windows RestrictAnonymous.
Так вот хотелось бы узнать как быть надо ли что-то менять или нет?

Цитата:

Но если ты говоришь, что ставил в Доверенные и не помогает, то причина в другом. Нужно смотреть причину блокировки. Дело может быть в Контроле компонентов, Динамической фильтрации, даже в самой проге. Инфы мало. А пальцем тыкать можно и в ж. Давай логи и подробности, что еще работает в реальном режиме времени - антивирус и т.д., мониторы системы и т.д., версия ОР, пробовал создать новый конфиг на автомате и т.д. и т.п.

к сожалению он его не блокирует , а serv-u вылетает с ошибкой и останавливается сервер .
контроль компонентов отключен .. все дополнительные приблуды (типа подключаемых модулей ) отключены.
сама прога без аутпоста (с ATGurdе'om) работала без проблем .
еще запущен каспер , ОР 3.0.543.5722 (431) , serv-u пробовал разный и 6.1.0.1 и более ранние.
на автомате и вручную пробовал .. результат один .. падает и все тут ..
по поводу логов ..
сделаю чуть позже вставку ..

Привет. Есть потоянная проблема с OutPost, начиная с версии 2.5.
Описание: Есть локалка, и отдельное подключение к интернет, через VPN. Аутпост переодически (наиболее часто проявляется после отсоединения от интернета) начинает блокировать весь трафик. Вся сетевая активность в окне фаера, замирает. Если курсором на значек аутпоста в трее, то показывается 2 ипишника (в сети и инетовский) хотя соединение с инетом уже было разорвано. Если попытаться подключиться к инету, то соединение происходит, но ИП в интернете не меняется (ИП раздаются динамически). Если отключить локалку, то он все равно видит оба ИП как будто соединение с сетью до сих пор установленно. Лечится это только выгрузкой аутпоста, с его последующим запуском.
В версии 2.1 такого бага нет.
Можно ли как то от этого избавиться.
На данный момент стоит 3.0.530.5706 (426). Блокировка атакующего в детекторе отключена. Контроль компонентов отключен. Контроль памяти процессов отключен.
OS: WinXP SP1.

sandia
может кашпер мешает? попробуй поработать без него...

Цитата:

sandia
может кашпер мешает? попробуй поработать без него...

каспер выключен.

LightStep
Параметры>Подключаемые модули>Детектор атак>Свойства>Ethernet и попробуй снять галки с "Блокировать атакующего когда он подменяет свои IP-адреса" и "Блокировать атакующего при смене MAK-адреса шлюза".
И поставь последнюю версию Outpost.

masgak

Цитата:

Прежде чем воспользоваться преимуществами ограничения прав анонимных пользователей с точки зрения безопасности системы, следует тщательно оценить их целесообразность с учетом потребностей служб и программ в получении анонимного доступа при выполнении стандартных функций

_http://support.microsoft.com/kb/246261/RU/

Если уверен, что тебе нужно RestrictAnonymous=2 + AntiSpyware=вкл., то действительно просто сними галку в св-вах плагина напротив Windows RestrictAnonymous.
Потому что вряд ли у AntiSpyware есть какие-нибудь недокументированные настройки, которые позволили бы ему мониторить RestrictAnonymous, не сбрасывая его при этом в ноль.

хорошо, потестирую с этими настройками. потом собщу результаты...

Accessor

до этого работал уже в связке с каспером и ATGuard'ом .. не было проблем. .
началось все именно после сноса гуарда и установки АП.

sandia

Цитата:

serv-u вылетает с ошибкой и останавливается сервер
...
началось все именно после сноса гуарда и установки АП.

попробуй все-таки переустановить начисто как аутпост так и Serv-U ( перерегистрируй его как сервис)- раз он вылетает то проблемы вероятнее с ним.
У меня Serv-U (еще с v5 => v6.1.01) работает с Outpost v2.1 =>...=> v3.0 без единой проблемы на 3 очень разных компах ( и на прямую и через proxy в организации).
При ошибке в правилах или конфигурации аутпоста для Serv-U (простых как табуретка) сам Serv-U не вылетал бы как происходит у тебя - просто бы не было соединения.
Так что по моему опыту копать надо в сторону либо установок Serv-U либо конфигурации винды.
Кстати надеюсь у тебя WinXP/2k а то разговор бессмыслен - фактически разные программы будем обсуждать.
Для Win98 это все иначе реализовано и сбои как правило специфические для винды98

Spectr
да .. конечно ХР ..
да .. в качестве одной из ошибок .. в алерте .. когда слетает серв-у .. нет коннекта к localhost по порту 43958 .. кажется .. так ..
при этом .. приложению разрешено все ..
и этот порт тоже пробовал открывать .. персонально ..

вот еще о чем подумал ..
динамический DNS в свойствах серва может как-то влиять на такое ?
сейчас отключил .. погляжу .. как будет себя вести ..

ShIvADeSt

Цитата:

jjeecckk
Посмотри разрешения на папку фаера, возможно он не может прочитать настройки.

спасибо, помогло, снял флаг - только чтение.
зы спасибо всем за помощь

OutPost 3.0 в Параметры/Системные/NetBIOS я убрал галочку, но в сети я имею доступ к некоторым компьютерам и естетствено они ко мне имеют доступ. Для обмена файлов я использую DC++. Как закрыть этот доступ?

Поставил последние хотфиксы к Windows XP и этот скотский Outpost (3-я версия) стал вешать систему при скачке с ftp через FAR (через другие клиенты не проверял). После выгрузки Outpost-а всё ok.

P.S. Так же в этот день обновил Ad-Muncher до последней беты и поставил свежие драйвера к Realtek-й сетевухе.

Ни у кого нет такой проблемы?

Van9

Че-то я не врубился, в целях безопасности
когда находишся в он лайне
стоит изменять значение на 2, или не надо
вообще трогать?

sandia

Цитата:

да .. в качестве одной из ошибок .. в алерте .. когда слетает серв-у .. нет коннекта к localhost по порту 43958 .. кажется .. так ..
при этом .. приложению разрешено все ..
и этот порт тоже пробовал открывать .. персонально ..

У меня по 43958 порту идет администрирование serv-u
и соответсвенно в дополнение к стандартным правилам обычного FTP-daemon есть специфические (для Serv-U) правила
1) для Servudaemon.exe
Allow TCP, Inbound, remote host - localhost:loopback, local port - 43958
2) Servuadmin.exe
Allow TCP, Outbound, remote host - localhost, remote port - 43958

Это для локального администрирования, для remote администрирования соответсвенно меняешь для Servudaemon.exe remote host на то с чего управляешь ( либо разрешаешь любому IP соннектиться - но НЕ РЕКОМЕНДУЮ)

masgak
Ну оставь двойку.. А галку тогда в св-вах плагина напротив RestrictAnonymous сними, чтобы он не умничал

masgak
Van9
не морочьте друг-другу голову, внимательно гляньте в эту статью, что давал Van9

Цитата:

Информация в данной статье применима к:
• операционная система Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server

у вас наверняка XPюша, нет повода для волнений.

Spectr
в том вся и загвоздка .. что этот порт у меня разрешен ..
потому как по нему управление идет ..
но в какой-то момент именно этот порт и отваливается .. вернее падает серв-у .. после чего выскакивает алерт . .что нет доступа к порту ..
в следующее падение сниму скрин и покачу .. что получается ..

Вот и снова завис Аутпост. Как всегда, список сетевой активности замер, все процессы которые ломились по сети перестали обновляться. Сам OP быдал баг репорт, с предложением отправить его по инету, к которому я в этот момент уже не мог подсоединиться .
Содержание:
Description: Outpost Firewall Service Fault
Error Signature: outpost.exe+000058b1#(004058b1)_outpost.exe+00006b97#(00446b97)_
Повторюсь, такое начало происходить с версии 2.5.

masgak
Вот ссылка по поводу RestrictAnonymous применимая к Windows XP
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/xpehelp/html/xeconreducenullsessionvulnerability.asp

LightStep Боюсь в Вашем случае это действительно баг ОР. Есть у него проблемы при VPN, начиная еще с ОР v2.5. Могу предположить, что Вы взяли старую конфигурацию ОР с версии 2.1. В этом случае можно создать новую и посмотреть как поведет себя система. Либо полностью переустановить ОР. Хотя проблема может быть в чем угодно, вплоть до железяк.

dxVlad

Цитата:

OutPost 3.0 в Параметры/Системные/NetBIOS я убрал галочку, но в сети я имею доступ к некоторым компьютерам и естетствено они ко мне имеют доступ. Для обмена файлов я использую DC++. Как закрыть этот доступ?

Что Вы имеете ввиду NetBios? Поподробней можно? В Ваших словах нет конкретики...

DiRTy_GaRRy

Цитата:

Так же в этот день обновил Ad-Muncher до последней беты и поставил свежие драйвера к Realtek-й сетевухе.

Вот ты сам и ответил на свою проблему. Переустанавливай ОР, либо драйвера для Реалтека. Дело в том, что некоторые версии драйверов Реалтека не подходят для некоторых карточек, там чипы и т.д. другие, хотя и название одно. Поэтому это и вызывает проблемы. Это реально доказанный факт, да и сам с таким сталкивался. Да и ОР не всегда дружит с такими нестандартными картами из-за несовместимости. Кстати, поэтому разработчики Агнитума в плагине debug и ввели статистику и сбор инфы именно Реалтековских карточек, что опять же доказывает, что есть проблемы...
Цитаты из справки к плагину дебаговому (доступен только для бета-тестеров)
[more] Встречаются следующие виды драйверов:
ICSHARE - драйвер ICS в Win 9x/Me
NdisWan - Intermediate драйвер, обеспечивающий поддержку dial-UP аадптеров
PptpMiniport - драйвер Point to Point Tenneling Protocol в NT 5.0, 5.01
PCINT - драйвер pcint в win98 (неизвестно чей)
PPPMAC - драйвер для Dial-up в win98
PSCHED - ???
Rasl2tp - драйвер Layer-2 Tunneling Protocol в NT 5.0, 5.01
RasPppoe - Драйвер PPP over Ethernet в XP
Raspti - ???
EL90x - драйвер сетевого адаптера 3com90x
rtl8139 - драйвер сетевого адаптера realtek8139 [/more]

P.S. А беты лучше не ставить вообще... - без комментариев...

sandia
Скорее всего у Вас блокируется localhost:loopback:127.0.0.1, либо мешает посторонний запущенный процесс.
Но без логов заблокированных сложно что-либо сказать.