» Comodo Firewall Pro

когда там я бету поставил не помню... см. предыдущие сообщения - с тех пор вылетов системы было раз 5, не меньше

явно вылетает, когда должны работать правила defense+, поэтому я хочу их временно глобально отключить, но не получается

когда беру с торрента, после того как приехал торрент-файл, и он должен открыться микроторрентом (который в это время работает) - в этот момент виндоза синеет, причем происходит это с завидной регулярностью, в ивентах чисто

до установки беты не случалось ни разу

и еще периодически машина слетает при начальной загрузке после выполнения логина, то есть, при старте приложений - но в ивентах опять чисто
до установки беты такого тоже не происходило

немного почистю свой даббл-пост

Если это КОРПОРАТИВНЫЙ прокси, то он изначально все allow

Добавлено:
2_seagram
Нашел, правда в русской версии немного по другому....
А ты какой уровень рекомендуешь ?

Если ты сидишь за корпоративным файером, и твой Комод "просто так" стоит, для отлучения вареза от интернета и не боишься, что тебя могут коллеги по сети кикнуть в синий экран, то уровень можешь ставить любой, при условии, что все правила настроены корректно, и вконце концов, можешь даже оставить правило фильтрации пакетов "РАЗРЕШИТЬ ВСЕ", но не для приложений, если все-таки боишься злобных админов, то в реестре делаешь правило, и по сетке тебя практически никто не достанет:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
SetValue "RestrictAnonymous"=dword:00000001 (1)
но это уже другая история
или блокируешь по своей локали траф по 137-139, 445 TCP+UDP - сеть будет у тебя и вовсе дохлой

Общая (но не глобальная) рекомендация настройки файеров такая
1. Сначала режим обучения, или средний + ОБЯЗАТЕЛЬНОЕ уведомления об алертах + ведение логов приложения и скана портов, некоторые файеры имеют особенность, в которых правило фильтрации пакетов имеют свою ОЧЕРЕДНОСТЬ, а именно, например:
(правило на базе файера Касперского, для почты)
Правило 1
Разрешить сетевой трафик по TCP
удаленный сервер: (мой почтовый)
с локально адреса ххх.ххх.ххх.ххх + лог (с какого порта и на какой идет траффик)
Правило 2, следует за правилом 1 СРАЗУ
Блокировать траффик по ТСР
удаленный сервер: 0.0.0.0-247.255.255.255
удаленный порты: 1-65535
на локальный адрес: ххх.ххх.ххх.ххх
на локальный порты 25, 110
И вот такой результат для вашего внимания (результат и меня самого удивил):
ЛОГ этих правил выложу позже в этом посте

2. Когда все ОК, ставишь уровень ВЫСОКИЙ, когда на этом уровне будут блокироваться все НОВЫЕ приложения, кроме тех, что указаны тобой ранее, то есть "ЗАПРЕЩЕНО ВСЕ, ЧТО НЕ РАЗРЕШЕНО", файер настроен, и дальше ты только смотришь алерты и осуществляешь мелкую профилактику

Если это КОРПОРАТИВНЫЙ прокси, то он изначально все allow правила должны находится внизу (если позволяет файер делать такое) а deny правила находятся вверху.

caspara

Цитата:

Если ты сидишь за корпоративным файером,

Нет дома сеть из двух компов, где модем и принтер общие
СПАСИБО ГРОМАДНОЕ за рекомендации...

Нет дома сеть из двух компов, где модем и принтер общие

Какой компьютер "мастер" а кто "раб"? У кого стоит модем и принтер, может быть 2 сетевые карты стоят одновременно?

Это как, "разрешить другим юзерам" подключение через это сетевое подключение или ты даешь интернет через прокси?

Проясни свою ситуацию...

Добавлено:
Вот пример лога, как работает правила на базе Каспера антихакера (не судите меня за измену Комоду. но больно машина дохлая у меня стоит на интрент-прокси)

Правило 1
вой трафик по TCP
удаленный сервер: (мой почтовый)
с локально адреса ххх.ххх.ххх.ххх + лог (с какого порта и на какой идет траффик)
Я специально не указывад порты, так как с моей стороны они могут быть динамическими, а следовательно, нужно будет писать "динамичсекие правила", что не есть гуд

Лог соединения с моим почтовым:
9:42:40 03.09.2007     входящий     TCP     internetserver : 3968     donbass.net : POP3 (110)     Почта Донецк     Пропущен
или вот еще правило
10:35:36 03.09.2007     входящий     TCP     internetserver : 2544     donbass.net : SMTP (25)     Почта Донецк     Пропущен

а вот лог атак на порты 25, 110

9:59:59 03.09.2007     входящий     TCP     internetserver : SMTP (25)     59.183.45.161 : 3038     Block pochta 25port     Заблокирован
вот еще парочка алертов
10:05:11 03.09.2007     входящий     TCP     internetserver : SMTP (25)     NAT.mega.ultra.super.turbo.adsl.beotel.net : 3907     Block pochta 25port     Заблокирован
10:29:53 03.09.2007     входящий     TCP     internetserver : SMTP (25)     239.69.141.61.broad.sz.gd.dynamic.163data.com.cn : 2579     Block pochta 25port     Заблокирован

я уже не говорю про ПОСТОЯННЫЕ попытки службы system что-то послать по портам 137-139 в интернет какую-то ахинею

на закуску:
9:46:02 03.09.2007     входящий     TCP     internetserver : 445     naboka.donbass.com : 4024     Block 445 TCP     Заблокирован

в основном грешу на основы данного файера, но если какой-то порт открыт для связи с конкретным сайтом, то для него нужно писать сначало allow правило- разрешить с ним связь, а потом всем закрыть доступ на этот порт из сети интернет...

В общим такая иллюстрация получилась...

caspara
Персональный в роли "мастера", у него и модем и принтер, ноут в роли раба..
Поповоду всего остального, скорее в проекте, пробывал на выходных все толком соединить, да что-то не срастается, вот ищу литературу о том как грамотно наладить сеть дома, хотя что интересно, принтер работает, все остальное нет.

Вот, в заначке, остался кусок лога от Комода:

Дата/Время: 2007-03-28 07:23:52
Опасность: Высокая
Источник: Сетевой Монитор
Описание: Заблокирован Анализатором Протокола (Неисправный пакет UDP)
Направление: Исходящий UDP
Источник: МОЙ адрес:6831
Получатель: 83.53.25.165:25297
Причина: Длина пакета UDP и размер шины (1991 байт) не равны
(в соновном, когда работает ослик)

Дата/Время: 2007-03-28 07:23:52
Опасность: Высокая
Источник: Сетевой Монитор
Описание: Заблокирован Анализатором Протокола (Фрагментированный Пакет IP
Направление: Исходящий IP
Источник: МОЙ адрес
Получатель: 83.53.25.165
Протокол: UDP
Причина: Фрагментированные пакеты IP запрещены

Дата/Время: 2007-03-28 07:23:21
Опасность: Средняя
Источник: Сетевой Монитор
Описание:Политика Входящих Нарушений (Доступ Запрещен, ICMP = PORT UNREACHABLE)
Протокол:ICMP Входящий
Источник: 125.89.241.44
Получатель: Мой адрес
Сообщение: PORT UNREACHABLE
Причина: Сетевое Правило ID =10

всеж таки комод лучше, если с нимразобраться "по-хорошему"
Кстатит, мой ДНС периодически меня сканирует порты по UDP, а вот Антихакер эту атаку не обнаруживает... (настройки сканирования скоростей потров вроде все по умолчанию) так что делайте выводы

Господа, а что с Комодовским сайтом и форумом? Весь домен не откликается и даже не пингуется, или это только у меня так?

Volchek
работает нормально

gameman
Ха, и правда заработал. Magic!

как приложению изменить правило, ?
ситуация на примере:
удаляю программу, по завершению деинсталяции, начинает пытаться грузиться страница в опере. тут комодо кричит, типа оперу кто то напрягает. я чтоб не грузилась эта страница запретил это соединение, ну и само собой все соединения запретились потому что ип и порт основные).
полез в комоду, там ненашел где для приложения оперы разрешить все,
нашел тока монитор приложений, вроде бы то, НО, в мониторе опера разрешена!
а в инет оперу не пускает...

FlashBack

лечится перезагрузкой...

а есть вариант без перезагрузки?

Цитата:

как приложению изменить правило, ?
ситуация на примере:
удаляю программу, по завершению деинсталяции, начинает пытаться грузиться страница в опере. тут комодо кричит, типа оперу кто то напрягает. я чтоб не грузилась эта страница запретил это соединение, ну и само собой все соединения запретились потому что ип и порт основные).
полез в комоду, там ненашел где для приложения оперы разрешить все,
нашел тока монитор приложений, вроде бы то, НО, в мониторе опера разрешена!
а в инет оперу не пускает...

Очень похоже на ОЛЕ-автоматизацию в версии 2.4,

то есть в твоей ситуации нужно создать правило
запретить исходящие интернет соединения по ТСР протоколу приложению ОПЕРА, если родительский процесс install.exe или что у тебя сейчас там деинсталлируется (uninstall.exe)

Вообще это одно из правил, которое имеет статус "must have everytime"- так как много программ еще до установки самойц себя напрягаю инсталл.ехе на соединения с интернетом, и все больше программ предлагают при деинсталляции посетить сайт программы и уведомить хозяев, почему вы спрыгнули с ихнего супер-пупер-мега-руль вареза...

Лечится временное это правило, действительно, только перегрузкой ПС

перезагрузка не обязательна при временной блокировке OLE. Достаточно закрыть программу и заново открыть. Только надо подождать пока она завершит свою работу. У меня Firefox пропадает из списка процессов где то через минуту после закрытия программы.

Виста х86 + Comodo Firewall Pro 3.0.8.214 BETA

При установке Network Security Policy в Custom не подымается PPTP VPN, ошибка 806 на стадии авторизации. Если Allow All - все подрубается. В логах прова - чистота. В логах Комодо - тоже. Даже проводил экперимент - Custom + создал 3 правила, в которых разрешил все входящие/исходящие по всем протоколам, портам и адресам - снова 806. Мучаюсь уже 3 дня. Прочитал всю эту тему.

Файрволл нравится - только не работает. Если мысли? Думаю сходить на офф форум, только вот знание английского далеко не идеально...

pollution
Цитата:

Прочитал всю эту тему.

Точно всю?
А это пробовал?

Цитата:

проблему с VPN решил написанием обычного правила для GRE

Цитата:

Второе соединение на TCP порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

(C) Wiki

Цитата:

GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов, разработанный фирмой Cisco. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Номер протокола в IP — 47.

(c) Wiki

Этого мало? Если мало, то где в Comodo найти этот самый GRE?

Добавлено:
Послушал вобщем интерфейс
Пакеты при Allow All



Пакеты при Custom



Как победить?

Добавлено:

В первом случае подключается. Во втором сервер (55.41-42) похоже ждёт от меня (57.23) этот самый GRE... и не может дождаться!!! В GRE-пакетах видимо авторизационные данные передаются.

pollution

ну так же просто, немножко покопал бы, вот скрин с местом, где GRE, айпишники свои в предыдущих вкладках сам поставишь


только не забудь, некоторые сервера VPN имеют странную привычку поднимать обратный коннект, так что правило прийдется писать в обе стороны

Добавлено:

именно по GRE передаются данные по авторизации на VPN - сервер

gameman
Thx конечно, но я уже разобрался. Очень "интуитивный" файрволл оказался, со своей логикой. Ставишь "All" - ему мало, нужно создавать ещё одно правило и указывать конкретно GRE в сетевых правилах и правила приложений. Или "All" у него по значению ближе к противоположному? Ещё и его логи работают плохо, просто ужасно. Но пока это единственный приличный БЕСПЛАТНЫЙ файрволл под висту.

Добавлено:
Вопрос. Если я задал последнее правило, блокирующее всё, по обнаруженной мной логике файрволла нужно ещё создать одно правило, чтобы он блокировал нетБиос?

pollution
нет, после последнего, блокирующего всё, остальные правила не работают

Поставил Comodo 2.4.16.174.

Заметил особенность, после установки комп стал дольше грузиться,
т.е. пока Комод не загрузится (~3-5 мин), все подтормаживает, после загрузки
все нормально. Можно ли убрать эти тормоза и заставить быстрее грузиться?
В аутпосте был интересный режим, когда запрещены все "телодвижения",
кроме официально разрешенных в аутпосте. В комоде можно только полностью запретить трафик.

Timur1976

Цитата:

В аутпосте был интересный режим...

Advanced Security Configuration-Miscellaneous-Firewall Alerts
[ ] Enable alerts (if disabled, the firewall will not display any alerts)
Снимаешь птичку и получаешь искомое.

Кто-то знает, Комод с Каспером когда-нибудь подружатся? а то стоял комод, стал ставить каспера, и КАВ на комод ругается - просит деинсталировать, причем принципиально

T4NUK1
Ну, правильно просит, разве что надо деинсталлировать не комод, а это антивирусное глюкало.

Dead_Moroz

Поддерживаю. Подробнее в ПМ.

Добавлено:
off:T4NUK1

Вполне естественно, бей "конкурента". Он не единственный: [more=AVZ 4.27 vs NOD32]01.09.2007 Ложное срабатывание NOD32 на AVZ 4.27

Уважаемые пользователи AVZ! С момента выхода новой версии AVZ 4.27 антивирус NOD32 детектирует исполняемый файл avz.exe как "вероятно модифицированный Win32/Genetik" (в англоязычном варианте "probably a variant of Win32/Genetik trojan") и уничтожает его. В техподдержку NOD32 отправлено сообщение о данном ложном срабатывании (по почте и средствами самого NOD), однако накакой реакции за прошедшие два дня не последовало и ложное срабатывание сохраняется до сих пор.[/more] . Правда вроде NOD32 исправили... Я бы заменил KAV на Symantec Antivirus Corporate Edition 10.1.6.6010 (есть и официальный русский) и не стал бы мучатся. Слишком много с ним проблем. Лично меня они достали. Он многие брэндмауеры требует снести, мол сам справится... Проталкивают свои продукты таким способом.

P.S.

Nep прости за оффтоп, не выдержал. Достал этот метод "рекламы" навязыванием своих продуктов...

Комод и НОД у меня друг другу не мешают...

T4NUK1
Цитата:

Комод с Каспером когда-нибудь подружатся?

Почему "когда-нибудь"? Они и сейчас прекрасно работают в паре. То, что KAV не хочет ставиться - это просто "защита от дурака", дабы криворукие (имя которым - легион), говоря медицинск. терминологией "не нанесли себе вреда" . Легко обходится изменением порядка инсталляции - сначала KAV, потом Comodo

Dead_Moroz
Не забывай добавлять "имхо"

Ребята, уже разобрался
Сначало ставим Каспера, потом Комод и не забываем в правилах добавлять Каспера в исключения, как это делает Аутпост

NothingAnother
19:11 13-09-2007
Цитата:

Почему "когда-нибудь"?

А потому, что Комодо не даёт аплоадить файлы в И-нет при установленом Касперском.

Добавлено:
Или в 7ке пофиксили это? В этой теме уже пробегало, что Comodo стоит одним из не желательных продуктов при установке Касперского.

Markmaster
Цитата:

Комодо не даёт аплоадить файлы в И-нет при установленом Касперском

Comodo, или Head.sys+Hands.dll? Странно, у меня почему-то даёт - походу, что-то не так делаю...