» Agnitum Outpost Firewall Pro

orvman

Цитата:

waxyman

Цитата:
Сталкивался ли кто с такой ошибкой. И какие методы ее лечения.     

Если не ошибаюсь, то C:\Program Files\Agnitum\Outpost Firewall и удалить папку Log

Что хоть это за ошибка была?

Появились ли плагины (кроме BlockPost-а) совместимые с OP v3.51.748.462?

orvman

Попробовал сегодня wipfw. Такой простоты и функционала я еще не видел..

Сорри. Всем спасибо. Останусь на нем. На opennet.ru полно док по ipfw. синтаксис схож.
Знакомые админы тоже советуют именно его изучить. Но вещь, действительно, приятная. Хотя, время покажет. Начало не плохое.
Еще раз прошу прощения за оффтопик

Подскажите пожалуйста в каких файлах хранятся все настройки Outpost?
Собираюсь обновляться и хочется немного подстраховаться.

Urbanchik
В файлах *.cfg в папке Outpost. Это его "конфигурации", их может быть много, загружаются они через меню "Файл".

Urbanchik
Кроме *.cfg ещё и *conf. Там же.

Abs62

Цитата:

Кроме *.cfg ещё и *conf. Там же.

Ага, их всё-таки нужно? Интересно, какая именно информация там хранится, просмотреть их не удаётся... Ещё лежат *.cfg.bak файлы, но это, по-моему, уже лишнее (судя по названию, резервные копии конфигураций, что ли?).

Viewgg

Цитата:

Интересно, какая именно информация там хранится, просмотреть их не удаётся...

Почему не удаётся? Просмотреть несложно, сложно понять содержимое.
А что именно там хранится, надо спрашивать у разработчиков. Настройки, надо полагать.

Цитата:

Ещё лежат *.cfg.bak файлы, но это, по-моему, уже лишнее (судя по названию, резервные копии конфигураций, что ли?).

Они самые. Ещё и *.conf.bak.

Viewgg
Abs62
Спасибо огромное за помошь!

давно уже пользуюсь outpost-ом, но вот после версии 2.7 появились проблемы с ослом, хотя я ему даю полную свободу действий. Появляется сообщение, что :

Сканирование сети
Узел подменяет свои IP-адреса
MAC атакующего : 64-CF-20-00-01-00
IP атакующего : 255.255.255.255

что я могу с этим поделать? Спасибо за помощь.

Создаю правило для приложения lucomserver исходящее - liveupdate.symantecliveupdate.com - разрешить эти данные. все работает. сохраняю конфигурацию. перезагружаюсь - правила для lucomserver отсутствуют. приходится перед каждым апдейтом симантека писать заново. Где подкрутить? спасибо.

artoni
Ну, давать полную свободу приложениям опасно, дучше ограничиться стандартным правилом. Тем более, что проблема не в них.

Цитата:

что я могу с этим поделать?

Снять галочку в настройках модуля "Детектор атак" на вкладке "Ethernet" под названием "Блокировать атакующего, когда он подменяет свои IP-адреса". Всё дело именно в детекторе атак, с его настройками и надо колдовать.
Verwolk
Могу предположить три вещи: или какой-нибудь автооткат системы, или атрибут "Только Чтение" у файлов конфигурации, или отказ в доступе на запись к файлам конфигурации из-за антивируса (Norton, насколько я понимаю?). Для начала проверяем эти три пункта. Бывают случаи, когда OP сам навязывает правила, которые нельзя удалить, но вот про удаление первый раз слышу.

Kurikka

"""
То, что он валит WinXP в BSOD, ясно (всегда было). Это для него норма."""

Это с каких пор?! Валит только прни загрузке -- если предварительно не удалить старый файрболл. Я им пользуюсь периодически года три -- никогда он не был причиной синего экрана при обычной работе.

Viewgg
не знаю, что за автооткат, который откатывал бы правила для файрвола?
файлы конфы на запись разрешены.
у симантека все уведомления включены - тишина и в логах пусто.
нифига не понимаю, щас сделаю системное правило, посмотрю: (

Кто как бореться с обнаружением левых атак с форумов?

У меня настройки уровня тревоги "Обычный" и Outpost постоянно обнаруживает сканирования портов со многих форумов, у меня стоит блокировка атакующего, поэтому эти форумы (абсолютно легальный, например www.autolada.ru) сразу блокируются.

Все форумы в список исключений не занесешь (причем этот спсиок глючит иногда, тк атаки все равно проходят), отключать блокирование атакующего тоже как-то не с руки.

Pluton
Иногда сканирования бывают, но у меня даже на максимальном уровне было всё в порядке, подводил только один узел. Если совсем достаёт, можно отключить распознавание атаки "Сканирование порта" в настройках детектора атак, на безопасность сильно это не повлияет, т.к. сканирование - это ещё не атака, а возможная прелюдия к ней. Остальные атаки будут блокироваться.

Смотрю не я один "атакуюсь" форумами
Есть форум: hxxp://www.u-antona.vrn.ru/forum/archive , я на нем бываю несколько раз в день и постоянно получаю nuke атаку , после разблокирования через пару минут работы ситуация повторяется. С другими сайтами все нормально. Пробовал в список исключений добавлять, и IP адресом , и буквами адрес писал и как в общем тока не изголялся - результат ноль. Такое очучение что детектор атак забивает на белый список.
Еще пользуюсь QIP`ом и с работающим детектором атак подключается с 5 попытки и долго, без него все нормально, взаимосвязь не прослеживается как то.
С какой верси началось и не вспомню, но продолжается после неоднократной переустановки виндов.

ЗЫ После такого странного поведения подумываю над сменой стенки.

PopovSergej

Цитата:

Есть форум: hxxp://www.u-antona.vrn.ru/forum/archive , я на нем бываю несколько раз в день и постоянно получаю nuke атаку , после разблокирования через пару минут работы ситуация повторяется.

Во-первых, какая версия Outpost?
К сожалению, не могу проверить, т.к. сижу под маршрутизатором, и атаки до меня просто не доходят. Если кривой сервер атакует, то Outpost не виноват, и не факт, что атака всё время с одного узла. Логи детектора атак будьте добры сюда в тэг [more]. Если бы ты внимательно прочёл мое сообщение выше, то попробовал бы отключить этот тип атаки в настройках модуля, хотя то, что комп не полетит от атаки, никто не гарантирует.

Сейчас стоит 3.51.748 (только ночью слил), старую перед установкой новой снес и вычистил все руками. До этого стоял 3.0.557.5918. Сейчас полет нормальный, но все равно по привычке жду что произойдет какая нибудь фигня Отключать данный вид атаки не буду, не к чему, это на этом сайте можно и без него, я давно им пользуюсь, а вот если занесет куда то , а там на самом деле атака будет и этот тип атаки будет отключен в детекторе атак.
Я просто не понимаю одного, почему игнорируется белый список?

ЗЫ Как только сработает детектор атак, логи сразу выложу.

PopovSergej

Цитата:

Я просто не понимаю одного, почему игнорируется белый список?

Логи я попросил в основном для того, чтобы выяснить это. Атака точно идёт с того же самого IP, что добавлен в белый список? Или добавлен был IP форума? Если первое, то это просто баг, может, его и исправили, хотя я пользуюсь тоже версией 3.0.557.5918, и белый список с атакой "Сканирование порта" работает как надо.

Цитата:

Отключать данный вид атаки не буду, не к чему, это на этом сайте можно и без него, я давно им пользуюсь, а вот если занесет куда то , а там на самом деле атака будет и этот тип атаки будет отключен в детекторе атак.

Правильно!

Цитата:

старую перед установкой новой снес и вычистил все руками

Отлично, так и надо, если начинаются глюки.

В новой версии отвалились плагины HTTP Record и WhoEasy, это у всех так?

Dimon Hill
да они вроде давненько отвалились
блокПост только прицепили к ней вроде как так..

Добавлено:
PopovSergej
конект может слабенький вот серваки и
долбят тебя на соединение(когда инет подвисает)
отсюда и воспринимается это как атака.ИМХО

Kofein
Коннект GPRS , а он по определению г....
Только почему с этого форума и все? Больше ни разу не видел атак вообще (видимо по такому тощему каналу атаковать невозможно )


А это запись из журнала Детектора атак

22:38:18    Nuke атака    84.17.243.19 -> 84.17.243.19
Или где то в другом месте смотреть?

Добавлено:
Только что увидел ту же ерунду и на новой версии

В последнее время довольно часто сталкиваюсь вот с этим:
17.04.2006 22:42:51    Подмена IP-адреса    255.255.255.255    9E-DF-20-00-01-00
Это глюк АутПоста, или все-таки что-то серьезное?

ghosty
скорее всего глюк, тоже такое случалось у меня.

плагины совместимые c 3.5
http://www.sendspace.com/file/ujp4l5 (~520Kb)
Blockpost
HTTPLog
SuperStealth
TraffLED

front242

Цитата:

плагины совместимые c 3.5

Немножко в сторону, но всё же: плагин PC Flank WhoEasy официально с OP 3.0 вроде не совместим, только со вторыми, однако прекрасно работал у меня. Может, и под последней версией будет? Кому не лень, проверьте!

Viewgg
я вместо WhoEasy стал пользовать SmartWhois имхо ничем не хуже, а плагин пока не соберут под новую версию вряд ли заработает

Установил Программу версия 3.5, скачал с Интернета обновления шпионских модулй и работал. Но потом мне пришлось переустанавливать Windows (образ не помог). Снова установил outpost и пришлось снова качть обновления шпионских модулей? Как сохранить их на диске в отдельной папке? И как их вручную установить? Как сделать так чтобы при обновлении с Интернета не качались обновления программных модулей, а только обновления Outpost firewall Anti-Spyware ? Спасибо всем, кто откликнется!

Viewgg

Цитата:

Немножко в сторону, но всё же: плагин PC Flank WhoEasy официально с OP 3.0 вроде не совместим, только со вторыми, однако прекрасно работал у меня. Может, и под последней версией будет? Кому не лень, проверьте!

не работает!

Добавлено:
Подскажите, что надо сделать, чтобы не выскакивало окошко с предложением загрузить Flash player 8 "макромедии", просто замучилась не возможно открыть страничку на форуме без этого "джаза"!!!?