» Agnitum Outpost Firewall Pro

JAPWork

Цитата:

На всякий случай следует еще посмотреть настройки в просмотре журнала событий.
Просто убить в автозагрузке мало.

А что там смотреть?, ничего не нашел.

nektoelin
В детекторе атак можно снять блокировку до ее окончания. Или поосто сделай как сказал denis110674, чтобы он даже не блокировал.

nektoelin
В Аутпосте: Параметры>Подключаемые модули>Детектор атак>Свойства>Ethernet
Сними галки на "Блокировать атакующего, когда он подменяет свои IP-адреса" и "Блокировать атакующего при смене MAC-адреса шлюза".

Как неспециалист, задам наивный вопрос. Очевидно, снятие блокировки коснется не только данного, но и всех прочих "атакующих". Это не оставит ли компьютер беззащитным? Зачем тогда файервол?.. Или подмена JR-адреса и смена МАК-адреса шлюза - вещи, не стоящие серьезного внимания?
P.S. Кстати, сегодня впервые за три месяца сообщение несколько изменилось:
MAC атакующего: 00-12-44-90-34-54
JP атакующего: 217.10.42.1

nektoelin

Цитата:

JR-адреса

IP-адреса

nektoelin
Нужно выяснить, что за компьютер атакует. В крайнем случае можно добавить его в доверенные (см. настройки "Детектора Атак").

Парадокс в том, что в доверенные (в Детекторе атак) узел уже добавлен - а блокировки продолжаются! (Кстати, проблема эта не у меня одной - смотрела в Интернете. Набрала в поисковике "Узел провозглашает себя шлюзом" - и посыпались страницы... Но толкового разъяснения так и не нашла.)
А как выяснить, какой компьютер атакует, не знаю. Подскажите!

Вообще то атаки всегда были, есть и будут. Надо смотреть логи Журнала и если атакующий "не прорвался" то всё нормально. А так и должно быть, если аутпост нормально настроен. Можно ещё запретить соединения по айпишнику атакующего.
А айпишник 255.255.255.255 это вообще что-то непонятное. Кто нибудь знает что это за адрес? Аж интересно.

nektoelin

Цитата:

А как выяснить, какой компьютер атакует, не знаю. Подскажите!

Раньше плагин PcFlank WhoEasy работал отлично, не знаю, совместим ли он конкретно с версией 3.51.759.6511 (на 3.0 я запускал вроде).
Если этот плагин не сгодится, придётся искать аналоги...
iruto

Цитата:

А айпишник 255.255.255.255 это вообще что-то непонятное. Кто нибудь знает что это за адрес?

Это не настоящий IP, а широковещательный, если я не путаю.

Цитата:

Это не настоящий IP, а широковещательный, если я не путаю.

Не путаешь.

Цитата:

Viewgg, "...Раньше плагин PcFlank WhoEasy работал отлично, не знаю, совместим ли он конкретно с версией 3.51.759.6511 (на 3.0 я запускал вроде). Если этот плагин не сгодится, придётся искать аналоги...".

Не придётся -)) тебе сюда
http://slil.ru/23128716
Password на архив: prigorod

Vasily_V_N

Цитата:

В Аутпосте: Параметры>Подключаемые модули>Детектор атак>Свойства>Ethernet
Сними галки на "Блокировать атакующего, когда он подменяет свои IP-адреса" и "Блокировать атакующего при смене MAC-адреса шлюза".

Для Вас, очевидно, мои вопросы наивны, но все-таки повторю: снятие блокировки коснется не только данного, но и всех прочих "атакующих". Не оставит ли это компьютор без защиты? Или подмена JR-адреса и смена МАК-адреса шлюза - ерунда, на которую не стоит обращать внимание? Извините за настойчивость, но все же очень хочется хоть чуточку разобраться...

Добавлено:
Viewgg

Цитата:

Раньше плагин PcFlank WhoEasy работал отлично, не знаю, совместим ли он конкретно с версией 3.51.759.6511 (на 3.0 я запускал вроде).
Если этот плагин не сгодится, придётся искать аналоги...

По поводу IP атакующего: 255.255.255.255 PcFlank WhoEasy пишет:
255.255.255.255
Error occurred during the query.
The network information for the host or domain name your entered cannot be retrieved. Please submit the IP or domain you requested to whoeasv submits pel lank, com
Так что по главной проблеме выяснить ничего не удалось!
А второй IP, который проявлялся (и блокировлся) гораздо реже, всего несколько раз, оказался провайдерским... (Кстати, имеет ли провайдер право на такие штучки?)
И что такое широковещательный IP? - применительно к моей ситуации представляет ли он какую-либо опасность или его можно спокойно разрешать?

nektoelin

Цитата:

По поводу IP атакующего: 255.255.255.255 PcFlank WhoEasy пишет: <...>

Правильно, поскольку это не IP-адрес конкретного компьютера, а некий набор символов формата IP-адреса, если угодно. Так что если заблокировать адрес 255.255.255.255, по идее должны блокироваться все адреса вообще, если разрешить - будут разрешены все адреса. Вроде так, знатоки?

Цитата:

А второй IP, который проявлялся (и блокировлся) гораздо реже, всего несколько раз, оказался провайдерским...

Так я и думал, раз блокировка этого адреса приводит к исчезновению инета. Можете пожаловаться в техническую поддержку, что ещё остаётся...

Цитата:

Для Вас, очевидно, мои вопросы наивны, но все-таки повторю: снятие блокировки коснется не только данного, но и всех прочих "атакующих". Не оставит ли это компьютор без защиты?

Как сказать... Теоретически это снижает уровень защиты компьютера в сети. Другое дело, что других вариантов не остаётся, да и эти функции защиты, мне кажется, не самые критичные, хотя и полезные.

nektoelin

Цитата:

очевидно, мои вопросы наивны

Вопросы совсем не наивны, но как правило, такими штучками пользуется сам провайдер. Вы ведь подключены к локальной сети и через нее к интернету? Я не специалист в сетевых технологиях, но могу предположить, что шлюз интернета не является одной сетевой картой с одним уникальным МАК-адресом, а целым набором карт с разными МАК-адресами. При выходе в интернет вы подключаетесь к той карте, которая наименее загружена в данный момент, т.е. МАК-адрес соответственно меняется. Возможно каждой карте назначен свой IP, отсюда и смена IP.
Я долгое время был подключен именно так и могу сказать, что ни разу не был атакован при отключении этих защит.

На всякий случай руководство пользователя:
http://www.agnitum.com/download/User_Guide_(RU).pdf

Если Outpost сообщает о "My address атаке" (с адреса 127.0.0.1 попытка подключения на разные порты или даже на несколько портов сразу) - откуда она идет? Извне на мой комп (т.е. какой-то комп прикинулся адресом 127.0.0.1 или каким-то образом пытается через localhost подключиться ко мне) или проги на моем компе ведут себя подозрительно для оутпоста и он такое поведение принимает за атаку? Если извне - то по идее такие запросы (от адреса 127.0.0.1) проходить не должны, если правильно заданы настройки локальной сети (адрес и маска). Т.е. например если там прописано 198.162.0.0. и маска 255.255.252.0, то оутпост будет пропускать только запросы от компов с адресами от 192.168.0.0 по 192.168.3.255
А если эта атака извне быть никогда не может - то может лучше вообще снять с нее галочку (если все проги проверены антивирусом, антишпионом и т.п.)? А то за день работы до полсотни записей о My address атаке в журнале собирается и из-за нее пришлось выключить всплывающее окно оповещения об атаках.

Доброе время суток..
Вопрос интересный, бьюсь уже два дня...
Значит так.. outpost 3.51.759.6511 (462) Стоит на win2003rusSP1, развернут терминал под управлением citrixXPSP4// При запуске службы OP наблюдается ошибка с печатью в опубликованной программе (1С) у клиентов..(Задание не встает в очередь, окно "Ошибка печати"..) В логах ОР никаких намеков на блокировку... Если службу ОР выгрузить и начать печать- все ОК, при запуске службы вторично опять все в поряде на какое то время.. (т.е. первый раз как на стену натыкается, а потом как "прорывает", но только на том клиенте на котором эксперементируешь...)
Принтеры настроены как сетевые....
Outpost настроен должным образом..... даже если "разрешить все", ситуация не меняется пока не выгрузишь службу OP///
Нусс, господа, в какую сторону смотреть)))

Azaz99
Ну, раз у тебя
Цитата:

Принтеры настроены как сетевые....
Outpost настроен должным образом..... даже если "разрешить все", ситуация не меняется пока не выгрузишь службу OP///
Нусс, господа, в какую сторону смотреть)))

то попробуй посмотреть сюда:
Цитата:

К тому же у меня с 3.5 постоянно игровые серверы пропадали, приходилось в каком-нибудь cs-мониторе F5 теребить раз пять, пока пробивало и с чатом проблемы были. А новый Outpost наконец-то не мешает жить разрешенным программам на нестандартных портах.

http://forum.ru-board.com/topic.cgi?forum=5&topic=19144&start=840#2

ioppp
Не понял намека.. честно..
В моем случае насколько я понимаю, ОР блокирует то, что он в принципе блокировать не должен.. IP клиента проходит как (если уже в крайность) "доверенная зона".., юзеры на сервак легально под своими реквизитами заходят... тем паче "разрешаю все!! "
Запросы на сетевой принтер доходить должны.... ан нет! Не дает.. Даже отключив все плагины, ничего не меняется..

Доброго времени суток.
Возможно этот вопрос уже задавался, но все же: как прикрать интернет-соединение, но оставить открытым доступ по локальной сети (например для совместного использования принтеров)?

Azaz99
Читай FAQ в шапке (1-й пункт).

Azaz99

Цитата:

Не понял намека.. честно..

Я имел в виду, что там по ссылке бетка 4-го Outpost'а помогла решить схожую проблему, может быть и тебе поможет.

Azaz99
Я версию outpost 3.51.759.6511 (462) вообще пропустил, так и не смог настроить с ней Интернет. На svchost.exe навесили столько непонятных правил, что комп в инет лезть категорически отказался. Но в версии 4.0.582.6830 все рулит нормально! Так что одназначно стоит попробовать!

Kirer
Заблокируй в глобальных правилах соединения на все удаленные порты, кроме портов 135, 137, 138, 139, 445 (т.е. оставь те, к-е используются при работе в LAN). Это правило размести ниже всех. А выше него - оставь те правила, которые тебе требуются (например разрешение ICMP или DNS). Либо создай правило запрета любых соединений на адреса твоего провайдера (задай их по маске).
Если же доступ в интернет идет через шлюз (т.е. адрес шлюза входит в адрес LAN сети) - то тогда настраивай уже его.

AlexxSei
Спасибо, попробую может что и измениться, отпишу..
По по поводу svchost.exe ты прав, ужесточили контроль, но в принципе с инетом траблов не было...
chudlo
То, что ОР не серверный фаир прописано в КБ, на самом деле я считаю, что это не совсем так, если не сказать больше, при должной настройке (перекопал дефолтные правила) все в поряде, юзал на других серваках, не подводил еще, пробовал другие... (Керио и аларм, симантек) С проксей работает на ура, с антивиром (SAV10) тоже в хороших отношениях, в связке с почтовиком разглядывает всю входящую корреспонденцию, да и по количеству багов устраивает.. В принципе, не идеален, но со своими обязанностями справляется....


Добавлено:
Kirer
Вопрос неточный...
1) если фаир стоит на машине с выходом в инет напрямую (модем прикручен к ней) и запретить инет надо для нее, прикрой 80 порт на выход ,
2) если нет общий и двигается через другую машину, надо смотреть как настроен общий доступ к инету (прокся\шара) на др. машине..
3) если данная машина является шлюзом, то необходимо понимать для кого закрыть инет для данной или клиентов...
Принтеры и шара -это нет биос в настройках сети..

dkom
Мда, ламер я... Буду разбираться .

Azaz99
Все гораздо банальнее: есть локалка на 4 компа, к одному подключен принтер (к другим его сложно подключить чисто физически, места нет). И с ЭТОГО же компа необходим выход в интернет по диалапу. Только с этого (это не шлюз и не прокси). В инет с других компов выходить никто не будет (и разганичение доступа не надо). Но общее использование принтера и общих ресурсов этого компа необходимо реализовать. И одновременно прикрыть от поползновений из инета... Сорри, если сумбурно .

Kirer
Попробуйте установить настройки локальной сети, как описано здесь.
dkom

Цитата:

Если Outpost сообщает о "My address атаке"...

Знаете, кажется, был известный глюк, связанный с этой атакой, точно про это писали. Если не лень, поищите в версии для печати этой темы (и предыдущих её частей), а также на неоф. форуме OP (см. шапку).

Viewgg
Читал и тут и на оффициальном форуме оутпоста но как-то не нашел четкого ответа: реально ли кто-то пытается подключиться извне или все сообщения либо совсем ложны либо происходят из-за подозрительной активности программ на моем компе.
Для усиления эффекта защиты рекомендованно отключить в глобальных правилах "Allow loopback", а разрешить loopback в правилах тех приложений, кому это действительно нужно. Больше никакой полезной инфы насчет этой атаки не увидел.
А вообще - в чем смысл такой атаки? Хакер, каким-то образом используя то, что у меня разрешен loopback для всего, пытается через него открыть связь на какой-то порт, отличный от разрешенных для LAN? Или может использовать эту атаку для проникновения извне не так и прсто и можно на нее не обращать внимания?
Судя по частоте записей в журнале - больше похоже на ложные сообщения. Потому как не верится, чтобы кто-либо каждый день по нескольку раз за час пытался использовать такую атаку.
P.S: Кстати, а если в Администрировании (в виндоусе) включить аудит на успех-отказ входа в систему, будут ли там регистрироваться все попытки подключения к компу? Или это только для "оффициального" входа, а подключения через разные хакерские лазейки останется не записанным?

Viewgg

Цитата:

Всего записей: 1000

C юбилеем!

Pitersky

Цитата:

C юбилеем!

шалишь!

Kirer
Усложняешь....
1) если
Цитата:

прикрать интернет-соединение

-закрой 80 порт
2)если
Цитата:

прикрыть от поползновений из инета...

-по умолчанию у ОР все нужные порты прикрыты... (можно поставить общее правило "запретить входящие" последним в списке, после настройки приложений)
А вообще по Dial Up, тем более без постоянного подключения, взломать сеть очень тяжело, (Динамический IP) никто без видимых причин не будет заниматься..
3)принтеры\шара
Настройки сети разрешить нетбиос для нужных компов или в целом по сети
PS А вообще-это основы, в КБ все прописано.. пробегись глазами..