» Agnitum Outpost Firewall Pro

Нужно ли разрешать svchost.exe исходящий трафик по TCP на удаленные порты:
1) http?
2) https?
3) LDAP (удаленный порт 389)? Что это вообще такое?
Это было прописано в дефолтных правилах Аутпоста.

Возвращаясь к теме тяги Аутпоста в сеть при старте системы, начатой на предидущей стр. хочу уточнить что вызывается он процессом MPRExe. Вся гадость в том, что при каждом старте приходится каждый раз подсказывать Ауту что же ему делать. Это невыносимо!

Abysssss

Цитата:

как себя будет вести Outpost Firewall 3.5 при одновременной работе с Касперский 6?

У меня они любят друг-друга

ivanovand
А зачем Вам эти правила? Если необходимости нет, то и включать незачем. Стандартные правила предусматриваются на все случаи жизни, даже есть правило для "удалённого рабочего стола"!

Цитата:

LDAP (удаленный порт 389)? Что это вообще такое?

Ну, Google - полезная вещь, иногда помогает!
http://www.gracion.com/server/whatldap.html
Abysssss
Блин, где-то читал про это, да забыл... Может, в антивирусных темах?

Outpost Firewall Pro ver. 3.5.639.6210 (457)
есть программа которая при запуске проверяет включены ли компьютеры или нет (ICMP)
так вот при запуске показывает что все выключены, а если сразу же обновить то показывает реальное состояние

в настройках выключен детект фрагментированых ICMP и разрешены как эхо-запросы так и эхо-ответы

где копать?

chifram
Давайте посмотрим, что происходит в момент запуска: может, Outpost просто не сразу определяет, разрешать ли доступ проге или нет? С выключенным Outopst проблемы нет?

Цитата:

а если сразу же обновить то показывает реальное состояние

Из этого следует, что доступ проге разрешается в нужном объёме. Надо смотреть, не пишется ли в сетевой активности для данной проги что-то типа "определение правила"?

AlexanderFirst
Цитата:

хочу уточнить что вызывается он процессом MPRExe.

Так у тебя какая то из 9х/Me винда стоит? А я тебе утилитку под NT посоветовал Если на dial-up сидишь, можно отключить его совсем. Надо в свойствах сети в свойствах TCP/IP галочку снять напротив клиента для сетей Microsoft

Я уже понял и у меня стоит патч для задержки 2000 мс для 98, но УВЫ!
Видимо мало.
А как выставмть в реестре больше я не знаю ( там параметр шестнадцатиричный)

compag

Цитата:

Так у тебя какая то из 9х/Me винда стоит?

Ага, я тоже сначала так подумал, да и сомнение взяло: в этих операционках никаких служб нету, и службы Outpost, соответственно, тоже.
AlexanderFirst
Чуть не забыл, сними две галочки:
Сервис - Загружать новости Agnitum и Сервис - Загружать информацию о плагинах
Как это я раньше не сообразил, эх я!

Что то сообщение только наполовину отправилось, выше смотри, исправил я пост

compag

Цитата:

Если на dial-up

Нет ADSL
Viewgg

Первым делом были сняты. Не то.

Добавлено:
Может правило надо создавать для mprexe?

NothingAnother
а в Касперском у тебя отключен Веб-антивирус? Или работает вместе с Аутпостом?

Viewgg
Я был бы ооочень признателен, если бы ты смог вспомнить где именно видел это. хотя бы фразу какую, чтоб через поиск попробовать...

Viewgg
Цитата:

попрошу выложить полный набор правил для svchost от Paranoid2000 или дать ссылку, иногда правила для DNS из руководства не хватает.

???

ivanovand
Цитата:

И находим здесь: (порты UDP) Порт 31337 (Back Orifice). Как это понимать такие предустановки?

Да нет. Вы не поняли. Сами исключения вписываются там внизу в строке. А это лишь описание какой троян какой порт использует. И это никак не влияет на работу ОР. А вот если Вы сами ручками впишите туда порты, вот только тогда ОР не будет обращать внимание на эти порты.
Цитата:

(ALG FTP)
Поясните, плиз, что это за приложение, за что отвечает, нужно ли пускать его в Интернет?

http://support.microsoft.com/default.aspx?scid=kb;ru;832017

Цитата:

В Журнале Аутпоста фигурирует процес SYSTEM, это сам Аутпост или что там еще? и зачем он ломиться на удаленный 53 (ДНС)?

Это Служба доменных имен (Domain Name System, DNS). В справке в ОР - "управление кэшем DNS" можно вкратце почитать.

Abysssss

Цитата:

Скажите, пожалуйста, а как себя будет вести Outpost Firewall 3.5 при одновременной работе с Касперский 6?

Будет. Если отключить защиту от сетевых атак. А иначе кина не будет.

Worster
Цитата:

"Сетевой доступ такому-то блокирован. Такой-то и такой-то изменил область памяти".

Какой именно процесс? А вообще - очень подозрительно. Антивирус какой? Базами последними проверялись?

ivanovand
Цитата:

Нужно ли разрешать svchost.exe исходящий трафик по TCP на удаленные порты

Все зависит от того, чего Вы хотите, что используете и т.д. и т.п., в большинстве случаев это не нужно.

orvman
Помогите в след проблеме
установлен Outpost Firewall Pro ver. 3.5.641.6214 (458) (кста поставил его уже давно), вдруг при попытке запуска ICQ 2003b сразу после установления соединения аськи с инетом начались такие симптомы - черный экран и никакой реакции, только перезагрузка через "reset". Один раз вместо черного экрана появился синий с неправильной кодировкой (я только смог прочесть это "driver_IRQL_NOT-LESS_OR_EQUAL tcpip.sys - address EFDDDCO5 base at EFDD1000, DATESTAMP 3d6de222")......Пробовал отключать в Касперском защиту от сетевых атак - не помогло....Пробовал пеерставить аську но эффекта ноль, .....могу ее запускать без этой проблемы только когда выгружаю оутпост.....раньше все работало нормально, в доверенных приложениях аська стоит....может переставить оутпост или это деле в мастдае (XPHE, SP1)? Или это вирус?

Цитата:

это деле в мастдае (XPHE, SP1)?

Да нет, все должно прекрасно работать.

Цитата:

tcpip.sys

Это драйвер протокола TCP/IP

Цитата:

Пробовал отключать в Касперском защиту от сетевых атак - не помогло....

Не пробовать нужно, а отключить раз и навсегда.

Цитата:

driver_IRQL_NOT-LESS_OR_EQUAL

Сказать что-либо определенное никто не сможет. Проблема может быть в чем угодно, в том числе и из-за вирусной активности или железа, нестандартных драйверов и т.д. и т.п.
Первым делом я бы перетащил аську из Доверенных в Пользовательский уровень. Обязательно. И создал стандартное правило, которое предложит сам ОР.
Если не поможет, то переинсталлировал бы ОР. Но сначала удалил бы его с параметром /u
Если и это не поможет, то переинсталляция Каспера.
Но дело может быть еще в аське, может в ней дыра/несовместимость и т.д.

2orvman
Можно отключить кэширование dns для svhost, попробовал засунуть адрес первичного dns сервера в список исключенных для кэширования но он все равно вытаскивает его из кэша, смотрел в логах. Т.е. пишет что заблокирован использован кэш dns.

Abysssss, используй один файрвол: ОР, или файрвол от каспера!

LArV
У меня установлен KAV 6, а не KIS 6. Поэтому файрволла у меня как такового сейчас нету.

Abysssss, в KAV 6 тоже есть модуль который следит за сетью и решает давать доступ или нет, по-этому этот модуль нужно отключить! (может он так прямо и не называется как файрвол, но выполняет некоторые его функции)

orvman


Цитата:

...какая версия у Вас. Сможете проверить у себя в локальной сети это в двух вариантах?
1. с изменением параметров реестра
2. без изменений

У меня лично стоит версия OF 3.5.641.6214 (458). ОС - Windows XP SP2 + Updates.
До изменения параметра реестра - записи ошибки в системном журнале присутствуют. После увеличения HungAppTimeout до 25000 - ошибка пропала.

По-поводу того, поможет ли это на других ПК у нас в локалке - необходимо время на проверку. На данный момент я поработал только с ещё одним ПК пользователя с ОС Windows 2000 SP4 + Updates, версия OF 3.5.738.460. В системном журнале аналогичная (но не в точности, см. код события) ошибка:

"Тип события:    Ошибка
Источник события:    Service Control Manager
Категория события:    Отсутствует
Код события:    7031
Дата:        10.04.2006
Время:        11:48:39
Пользователь:        Нет данных
Компьютер:    UserPC
Описание:
Служба Outpost Firewall Service была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 0 мсек: Нет действия."

Пока, кроме выгрузки вручную OF перед выключением ПК, избавиться от этого сообщения никак не получилось...

LArV
а он случайно называется не вот так: "Веб-антивирус"? единственное, что хоть как-то связано с сетью.

Abysssss, наверное тебе лучше в теме по касперу спросить, как его отлучить от контроля над сетью.

Abysssss
У меня стоят Outpost 3.5.641.6214 (458) и Технический релиз KAV 6.0.0.299. У Каспера включены и Веб-Антивирус и Почтовый антивирус. Была пролема в том, что Каспер блокировал инет, не давал подключиться по VPN. После запуска патча "PatchOB", рекомендованного на форуме бетатестеров Касперского http://forum.kaspersky.com/index.php?showtopic=1813&st=60 , проблем с сетью не наблюдается. Все модули и в Outpost и в Касперском включены (как по-умолчанию). Модуль DNS в Outpost не отключал - работает и кэширует без проблем.

Есть еще один момент. Если ставить Каспера с триальным ключем на месяц, то все спокойно и в сеть он не лезет. Если ставить с действующим ключем (я пробовал от 5-й версии), он вроде бы тоже не лезет, но начинает прослушивать транзитные пакеты локалки по протоколу OSPF, просит разрешить еще протокол IGMP и протокол 139. Разрешать или запрещать без разницы - практически все окно "Сетевая активность" в Outpost забито этими событиями. Посмотрел снифером - вроде ничего особенного - широковещательные запросы маршрутизаторов на адрес 224.0.0.5...(Зачем это надо... Предполагаю, что он проверяет на скольких еще машинах в локалке стоит этот же лицензионный ключ. Где-то в форумах пробегала информация, что один человек поставивший Каспера на двух машинах в локалке, не смог его установить на третьей, так как Каспер этот ключ уже не принял. Но это так, предположение.) Отключение у Каспера этих сетевых модулей, то есть чисто антивирусом у меня лично ничего не изменила - по прежнему пытается слушать транзитные пакеты, просит разрешить протоколы OSPF, IGMP и 139. (Хотя, может это зависит от конфигурации локалки, а у Вас все будет ОК)
Да, еще вот что. Хорошо бы перед установкой 6-го Каспера потереть реестр дополнительными утилитами "RemoveKAV.exe" и "KisKav6Remove". Последняя есть на ftp сервере Каспера ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/
А больше вроде ничего существенного замечено не было.

Evgeny T
Спасибо за такой полный и исчерпывающий ответ!

Когда я в Сети, здесь, на форуме, и запущен сабж, то Ява не работает - при клике на нике пользователя, или на "Цитировать" ничего не происходит. Это так и должно быть? Это как-то можно настроить, чтоб, значить, работало?

geomex
Цитата:

попробовал засунуть адрес первичного dns сервера в список исключенных для кэширования но он все равно вытаскивает его из кэша, смотрел в логах. Т.е. пишет что заблокирован использован кэш dns.

1. Модуль DNS - Свойства - разное - записи DNS - удалить его.
2. Только потом прописать в исключения.
Вот только тогда он не будет браться оттуда, ну и вноситься тоже, т.к. он у нас уже в исключениях стоит.

sayanvd
Цитата:

кроме выгрузки вручную OF перед выключением ПК, избавиться от этого сообщения никак не получилось...

Ага, понятно. А пинги проходят во время выключения/перезагрузки машины? В смысле насчет той дыры в ОР.

Abysssss

Цитата:

Evgeny T
Спасибо за такой полный и исчерпывающий ответ!

Ага, EvgenyT рулит.

Eliza

Цитата:

Когда я в Сети, здесь, на форуме, и запущен сабж, то Ява не работает - при клике на нике пользователя, или на "Цитировать" ничего не происходит. Это так и должно быть?

Модуль Интерактивные элементы - Веб-страницы. Копать там.

orvman
Дык хочется иногда порулить
Каспер устанавливает сетевые драйверы и в связке с драйвером Outpost у предыдущих бет-версий 6-ки на моей win2000 наблюдались жуткие зависания - помогал только "reset". В общем опять был конфликт драйверов, сеть пропадала. Щас пока все нормально, продолжаю тестить эту связку Outpost и KAV. Сдается мне, что это для домашнего применения будет самый лучший тандем. Даже наверное от Ad-aware откажусь за ненадобностью.

Цитата:

chifram
Давайте посмотрим, что происходит в момент запуска: может, Outpost просто не сразу определяет, разрешать ли доступ проге или нет? С выключенным Outopst проблемы нет?

Цитата:
а если сразу же обновить то показывает реальное состояние     

Из этого следует, что доступ проге разрешается в нужном объёме. Надо смотреть, не пишется ли в сетевой активности для данной проги что-то типа "определение правила"?

с выключеным проблемы нет
в сетевой активности (насколько я помню) такого не пишет
можете сами проверить
http://rapidshare.de/files/17711027/wmnet.rar.html

orvman
Какой именно процесс? А вообще - очень подозрительно. Антивирус какой? Базами последними проверялись?

Антивирус Norton 2005, базы от 06.04.05. Сканировал два раза - чисто. Первый раз блокировался IE -изменение памяти SVHOST, затем - ослик, ему поменял память IE, затем AvantBrowser - что-то там еще. Дальше отслеживать не стал - сообщения посыпались одно за другим - в общем полная блокировка доступа.
Чем можно отследить процесс изменения памяти? Менеджеров и оптимизаторов памяти не установлено.

Worster, если ты уверен, что вирусов нет, ты пробывал отключать NAV? Возможно проблема в нем, т. к. он тоже интегрируется в систему (и поглубже чем другие, такие как KAV) и ложит лапу на сеть и следит за процессами. Изменение памяти может быть следствие его работы, как антивируса.
Если после отключения, "Изменение памяти" будет все равно происходить, значит большая вероятность, что у тебя действительно сидит вирус. Нужно лечить комп с CD.