» Agnitum Outpost Firewall Pro

Viewgg, благодарствую за подробное пояснение!

Читаю по ссылке: Svchost.exe - не простой случай. Он требует различные сетевые доступы для выполнения базовых сетевых задач. Но предоставление ему полного доступа сделает систему уязвимой для RPC эксплоитов, таких червей как Blaster и Welchia/Nachi. Поэтому создание соответствующих правил для этого приложения имеет решающее значение.
То есть я должна открыть Журнал ОР, найти там Svchost.exe, посмотреть, его протокол и, если он UDP, то создать такое Правило:
Allow DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
и Где удаленный адрес <DNS сервера провайдера>
Разрешить эти данные
Так?

Боже... (хватается за голову)... никогда не осилить мне этой премудрости...

Пошла качать pdf'ки... может, там попроще расскажут...

Добавлено:
Ну, вот открываю Журнал событий модуля Детектор атак (текущая сессия) и что вижу:
Oбнapyжeнныe Aтaки 0
Oбнapyжeнo cкaниpoвaниe пopтoв 0
Oбнapyжeн зaпpoc нa coeдинeниe 4

Инфopмaция o пocлeднeм coбытии

IP-aдpec 59.44.116.198
DNS-имя aтaкyющeгo n/a
Tип aтaки Зaпpoc coeдинeния
Bpeмя coбытия 03:03:03
Пpocкaниpoвaны пopты TCP (SSH)

Через пару секунд уже:

Oбнapyжeнныe Aтaки 0
Oбнapyжeнo cкaниpoвaниe пopтoв 0
Oбнapyжeн зaпpoc нa coeдинeниe 6

Инфopмaция o пocлeднeм coбытии

IP-aдpec 223.119.241.107
DNS-имя aтaкyющeгo n/a
Tип aтaки Зaпpoc coeдинeния
Bpeмя coбытия 03:04:12
Пpocкaниpoвaны пopты UDP (1026)

И т.д. ЭТО ЧТО? Что с этим делать? Это атаки? Почему мне о них не сообщили? Каким-нить всплывающим окном? Это подозрительные процессы? И куда их? Какие мои действия должны быть? И это ведь при том, что сижу в Сети сейчас тихо - ничё не грузится, никакие страницы не открываются, а тут - ТАКОЕ! Хэлп!

Народ всё же вы не моглы бы мне обьяснить как можно заставить оутпост разблокировать неопределённые приложения то есть которым он пишет n\a а то он мне просто блокирует виртуальные машины в режиме моста.

Люди трэба помощь.
Немогу понять что за фигня началась в новых билдах OP ,щас стоит 3.5.641 ,стоит в режиме обучения ,нифига мне не предлагает ,ничерта не спрашивает ,при этом автоматическое создание правил вырублено ,но ему похоже пофиг на всё ,FireFox он в сеть не пускает ,IE тоже ,вообщем никого непускает ,это у меня что-то с руками или это глюки новых билдов???

После обновления AO 2.7 до 4.0 в WinXP Pro SP1 En перестали открываться некоторые программы со встроенным защитным модулем CD-Cops, в частности словари Phrasebuilder Genie и MacMillan English Dictionary (легальные копии!). Переустановка программ не помогает. Быстрый анализ лога FileMon при запуске этих программ не подсказал решения. Никакими сообщениями об ошибках отказ в запуске не сопровождается. Все это очень напоминает ситуацию после установки апдейта Microsoft KB917422, когда программы, использующие ограничение в 2048 байт для стека приложения, переставали запускаться. Проблема была решена с выходом апдейта KB924867. Но в моей системе нет SP2, лишь отдельные патчи и среди них точно нет KB917422.

Заранее благодарен за помощь.

Pasha13

параметра/политики/не создавать правила автоматически

Простите, может кто подскажет как с этим бороться


Цитата:

После сноса Outpost'a винда перестает грузиться, так что приходится восстанавливать её из бекапа. Сносить винду нельзя, а фаервол снести обязательно. У кого-нибудь была такая проблема? Как дейcтвовать?

Цитата:

После сноса Outpost'a винда перестает грузиться, так что приходится восстанавливать её из бекапа. Сносить винду нельзя, а фаервол снести обязательно. У кого-нибудь была такая проблема? Как дейcтвовать?

снос чем делается? анинсталлером? Или чем еще?
Просто вероятность, что некий драйвер не удаляется. А значит, надо лезть в реестр, нажимать поиск по строчке Agnitium или outpost, старательно удаляя встреченное Весьма возможно, что в каком-то ключе встретится ссылка на файл в папке c:\Windows\SYSTEM32\DRIVERS\ или вроде того, которая, по-видимому, и является причиной падений, бо файл уже удален, а загрузить его "треба".

//чисто постучав в шаманский бубен и вспомнив аналогичные грабли с доктором и еще кем-то//

Eliza...
да... тебе лучше последовать своему совету:
Цитата:

Пошла качать pdf'ки...

и хорошо почитать

Eliza

Цитата:

Ну, вот открываю Журнал событий модуля Детектор атак...

Не волнуйся это пока еще не атаки, а всего лишь, как посчитал сабж "подозрительные соединения... И это ты смотрела в самом сабже, а не в журнале (судя по приведенной тобой инфе)

Здравствуйте, подскажите пожалуйста! Как запретить загрузку страницы http://www.apeha.ru/, у меня стоит яндекс, а эта дрянь http://www.apeha.ru/ сама ставится стартовой, хотя на этом сайте никогда не был. Вставил данный адрес в "подключаемые модули/содержимое" и все равно она загружается. Заранее благодарен.

RUSLAN_IRON
Похоже, дело не в Outpost'е, а схватил ты троя.Прогонись антивирями.

OP 3.5.740.6329 (461) в журнале событий нормально показывает разрешенные и заблокированные, но не показывает разрешенные и заблокированные за последние 10 минут (нет ни одной записи, хотя в этом интервале есть записи - вижу по общим разрешенным/заблокированным). Проверил установки - все нормально. Попробовал с другими интервалами - не работает. Работает только с интервалом "сегодня". Это только у меня так?

Xamat
Помимо оутпоста стоит нод32, при проверке они молчат, причем эта проблема у меня уже 2-3 года. Наверное с одной из прогамм, которой постоянно пользуюсь, устанавливаю ссылку на данный сайт. Где-то на ру-боарде пытался разобраться так и не получилось.

Добавлено:
на версии 3.5 оутпоста почему то данная настройка работала, он блокировал данный сайт, сейчас стоит 4.0. он блокирует только страницы содержащие определенные слова в тексте, а в адресе не блокирует.

RUSLAN_IRON

Цитата:

Помимо оутпоста стоит нод32, при проверке они молчат, причем эта проблема у меня уже 2-3 года. Наверное с одной из прогамм, которой постоянно пользуюсь, устанавливаю ссылку на данный сайт. Где-то на ру-боарде пытался разобраться так и не получилось.

Попробуй тогда задать свой вопрос здесь (предварительно прочитав тему с начала - очень там познавательные вопросы и ответы-советы): Помощь в лечении систем от нечисти

RUSLAN_IRON
все дело не в трое скорее всего ,а запуске какой нибудь игрушки
сейчас очень много пираток ,которые пристарте игры прописывают ареху главной страницей,раньше тока при инсталяции игр менялась а теперь где то в запуске игры прописывают

Известная проблема с сообщением в системном журнале событий:

"Тип события:    Ошибка
Источник события:    Service Control Manager
Категория события:    Отсутствует
Код события:    7034
Дата:        03.04.2006
Время:        8:09:55
Пользователь:        Н/Д
Компьютер:    PCName
Описание:
Служба "Outpost Firewall Service" неожиданно прервана. Это произошло (раз): 1.
The Outpost Firewall Service service terminated unexpectedly.
It has done this 1 time(s)."

Эта ошибка регистрируется каждый раз при перезагрузке или выключении ПК. Версии OF разичные, начиная с 2.xx. ОС - Win XP SP2.

Хочу поделиться своими соображениями по этому поводу на основе изыскания в инете.

1. Лично я не замечал аномальностей работы связанные с этим сообщением. Но просто мне (и не только), как сисадмину, эти красные крестики в системном журнале режут глаз (ровно как и знаки вопроса - неизвестные устройства, в Диспетчере устройств ), по этому я и озадачился найти, все-таки, решение.
2. У меня решение заключилось в исправление параметра реестра
HungAppTimeout
в ключе
HKEY_CURRENT_USER\Control Panel\Desktop
на значение 25000,
в то время как параметр WaitToKillAppTimeout я оставил неизменным - 20000.
Смысл в том, чтобы значение HungAppTimeout было больше чем WaitToKillAppTimeout. А по умолчанию HungAppTimeout=5000, WaitToKillAppTimeout=20000.
Подобное предлагалось на User's Support Forum, но там уменьшали WaitToKillAppTimeout до 3500. Просто я думаю, однако, что менее болезненно для системы тайм-ауты увеличивать, а не уменьшать :-\ ... так, на всякий пожарный. А подождать несколько сек. для меня не влом (кстати сказать, особой разницы в скорости выключения ПК я не заметил).
3. Но вообще, строго говоря, данный факт скорее недочет OF чем Windows, так как из множества крутящихся в памяти процессов и служб, почему то незватает времени для завершения именно OF :-\.

PS: я не гарантирую что, мой опыт поможет поголовно всем, а просто довожу до сведения общественности, что это помогло мне.

RUSLAN_IRON

Цитата:

блокирует только страницы содержащие определенные слова в тексте, а в адресе не блокирует.

В таком случае к ОР претензий бысть не может. Надо искать , откуда из системы или реестра подгружает эту бяку. Но это тема не совсем для данного топика. Воспользуйся советом ioppp

SimplyNik

Цитата:

DisableApplicationRulesUpdate=1 - Выключает обновление правил для приложений.

вот эта строчка помогло от окошка того, thnx

sayanvd, очень полезная инфа
Кстати это касается не только OF... а параметр иногда нужно и больше поставить, все зависит от конфигурации компа, установленных программ, конфигурации сети.

Xamat

Цитата:

В таком случае к ОР претензий бысть не может. Надо искать , откуда из системы или реестра подгружает эту бяку. Но это тема не совсем для данного топика. Воспользуйся советом ioppp

В настройках разобрался, надо не весь адрес полностью писать: http://www.apeha.ru/, а только слова из адресов, например: apeha. Теперь ОР блокирует данную страницу, а откуда она берется буду разбираться. Спасибо ioppp за ссылку.

Привет!

Есть в локалке, кроме моего компа, еще 2. Назовем их А и Б. Надо сконфигурировать файрвол так, чтобы:
1. Комп А видел мои расшаренные папки и я видел его папки (соотв, туда-сюда можно было лить файлы)
2. Комп Б НЕ видел мои папки, а я ВИДЕЛ его. Я мог из/в него кипоровать файло, а он с меня ничего забрать не мог.

Версии Outpost'а и Блокпоста последние.

Помогите, а то кроме разрешить/запретить полностью как-то не выходит.

P.S. И как Outpost'у вместо 192.168.х.х указать имя компа, скажем \\CompA?

Eliza
Совершенно верно, правила надо создавать таким образом, кстати, в этом есть чёткая логика. Про пугающие сообщения отвечено было верно. После настройки по инструкции могут быть проблемы с svchost, процесс капризный, часто требует хитрых правил. Вот ту раобраться уже тяжело, придётся у orvman спрашивать, на Руборде он один из лучших специалистов по OP. Кстати, насчёт DNS: можно выключить службу Windows, отвечающую за DNS, тогда запросы будут посылать сами приложения, а не svchost. Об этом в статье тоже написано. Удачи!

кто скажет, кажись с версии 3.51 аутпост перестал задавать вопросы о создании правил для приложения, спрашивает только в том случе если контрольная сумма для данного приложения есть у него в базе, иначе просто блокиреут, как вернуть все взад, как до 3.51?

Прочитал в шапке что

Цитата:

OF по-умолчанию отключает поддержку получения веб-страничек в сжатом виде, т.е. GZIP-компрессию

Последний Outpost тоже отключает gzip?

Добавлено:
И там же в шапке

Цитата:

Устранение сбоев в работе Outpost и KAV6

На сайте KAV говорится о проблемах в работе 6 KAV и 3-го Оутпоста, а с 4 Оутпостом как они уживаются, нужно ли патчить KAV?

maispovis
я ж написал ,что
Цитата:

при этом автоматическое создание правил вырублено

Цитата:

Последний Outpost тоже отключает gzip?

тоже. Посмотри в реестре.

RUSLAN_IRON

Цитата:

Как запретить загрузку страницы http://www.apeha.ru/, у меня стоит яндекс, а эта дрянь http://www.apeha.ru/ сама ставится стартовой, хотя на этом сайте никогда не был. Вставил данный адрес в "подключаемые модули/содержимое" и все равно она загружается. Заранее благодарен.

способы
1. тыркнуть поиск по реестру данной строкой (адресом этим) и найденное убить, а страницы старта и поиска в ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main настроить согласно собственным предпочтениям.
2. (тупой) - внести в банлист ИП = 81.19.70.8
3. (поумнее) - взять спайбот и пошоркать им на тему мусора в системе

Народ, помогите пожалуйста.
Я уже писал как-то, что из-за OP MySQL грузится на 20 сек. больше.
А теперь вообще доступ к MySQL пропала...
Стартую Денвер, жду из-за ОР целых 20 сек, вместо 3-х, пытаюся достучаться http://localhost/Tools/phpmyadmin/index.php а загрузка просто виснет и не заканчивается. Если выгрузить ОР, то всё моментально грузится.

Как решить сей вопрос?

Модерам: в шапке указаны ссылки на старые версии плагинов. Новые, перекомпиленные под 4-ю версию Outpost'а, есть по ссылке:
http://outpostfirewall.com/forum/showthread.php?t=18336

Цитата:

1. Комп А видел мои расшаренные папки и я видел его папки (соотв, туда-сюда можно было лить файлы)

разрешить данному гражданину 137,138,139 порты. Вход и выход (если, конечно, доверяешь ему, бо получить через них можно хорошо.

Цитата:

2. Комп Б НЕ видел мои папки, а я ВИДЕЛ его. Я мог из/в него кипоровать файло, а он с меня ничего забрать не мог.

во-первых, смотреть шапку http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=640#lt (думаю, вариант разрешить для него 137 исходящий, 138 входящий)
или, наверно, можно шаринг на юзер-левел делать (типа, по паролю)



Добавлено:
+ http://www.practicallynetworked.com/sharing/securnet.htm поглядеть чуть - тож на тему шаринга в лане.

SLasH
Почти тоже и у меня ,только кроме денвера он вообще вырубает доступ всем прогам которые хотят установить какое-то соединение ,ни черта не понимаю ,перечитал мануал ,дык там всё так гладко написано про Режим Обучения ,мол если OP видит процесс который ломится в сеть ,то он каждый раз ОБОВСЁМ спрашивает у юзверя ,на практике же в последних билдах ,этого почему-то не происходит ,хотя и автоматическое создание правил вырублено ,и стоит этот самый Режим Обучения ,вообщем хелп!