» Agnitum Outpost Firewall Pro

---

Офиц. сайт Agnitum Outpost Firewall здесь
Старая тема в Программах здесь и здесь
Смежная тема в Варезнике здесь (все вопросы по серийникам, взлому, хаку и т.д. только в ней!).

---

Качаем последние версии: Pro 4.0 (1007/591.145) (англо-русская | многоязычная) и FREE 1.0.1817

---

Документация: Руководство пользователя | Приступая к работе | Руководство для начинающих | Руководство по сопровождению | Руководство по разработке подключаемых модулей (OF 2.5)

---

Plugins совместимые с v 2.5: BlockPost | HTTPLog | Traffled: Traffic Led v1.25 | Debug-плагин | ARP fIltering aka Dmut SuperStealth plugin

---

Plugins совместимые с v 2.0: PC Flank WhoEasy plugin v1.0 | TraffLed for Outpost Firewall v.2

---

User's Support Forum: http://www.outpostfirewall.com/forum/
* разделы: Announcements | Discussions | Rules and Presets | Plug-Ins | V2 FAQ | Troubleshooting

Неофициальный русский форум Outpost Firewall: http://forum.five.mhost.ru

---

Отправить баг-репорт разработчикам:
1. Загрузите Debug плагин с установите его и перезагрузите ПК.
2. Воспроизведите проблему.
3. Сразу же после воспроизведения проблемы: На иконке Outpost'а в систрее нажмите правой кнопкой мыши и выберите "Save & archive logs"
4. На иконке Outpost'а в систрее нажмите правой кнопкой мыши и выберите "Explore logs folder"
5. Пришлите нам файл logs.zip
6. Пришлите нам вашу конфигурацию (обычно файл с расширением .cfg и файл configuration.ini в папке, куда был установлен Outpost)

После чего все это следует отправить на мыл ticket[гав-гав]agnitum.com
Все Debug-плагины можно найти здесь.

---

Краткий FAQ:
оутпост персональный фаер, а не серверный,
OF есть анализатор сетевой активности приложений, а не пакетный фаер, хотя в ядре это и реализовано,
OF на серверах противопоказан и бессмысленный,
OF не работает рядом c другими фаерами, и c WinRoute тоже (в этой теме поговаривают, что с WinRoute все же работает)
Чтобы отключить ведение журнала, переименуйте файл op_data.dll, предварительно отключив OF.
OF по-умолчанию отключает поддержку получения веб-страничек в сжатом виде, т.е. GZIP-компрессию (подробности).
Программа - включает-отключает GzipEncoding 17kb md5: a62d6599c892cbeb379cdcdcaf2ef2b0
Устранение сбоев в работе Outpost и KAV6
Проблемы при совместной работе Outpost и KAV6
Как блокировать порты в OF - руководство от orvman:
Цитата:

Нужно заблокировать порт TCP 4444. Тогда системное/общее правило будет иметь следующий вид:

Где протокол TCP (если нужно - UDP)
и Где направление Входящее (если нужно - Исходящее)
и Где локальный порт 4444, 4888-4999 (например такие)
Блокировать эти данные
и Пометить правило как Правило с высоким приоритетом
и Игнорировать Контроль компонентов
(последние две строчки применимы к ОР v2.5. и выше)

Да и еще (в шапке насчет 135 порта) - за 135 порт, например в XP, отвечает внутренняя служба Винды - svchost.exe, поэтому в правилах для svchost.exe должно стоять такое же правило.

Внимание! После блокировки портов они по прежнему будут значиться открытыми в различных программах-мониторах портов, что вполне логично, ведь фаерволл не должен оказывать влияние на прослушивание портов другими программами. Но это не значит что теперь порты открыты как и ранее - на самом деле теперь они "прикрыты" Outpost'ом! Проверить это можно прямо в онлайне при помощи PC Flank Advanced Port Scanner. Статус stealthed означает успешное "прикрытие".

База знаний Outpost
Прежде чем задать вопрос, загляните туда, велика вероятность, что свой ответ вы найдёте там!

---

Анти-рекламная база для Outpost: AGNIS Outpost Ad Block List

Результаты тестов Firewall's

Blocklist Manager - менеджер "блэк-листа" или, другими словами, "черного списка" интернет адресов, к которым лучше не подсоединяться...

Текущий релиз Outpost Firewall не устанавливается на Windows Vista, ожидается совместимость в одной из следующих версий файрволла. Подробнее ...

Существует ли плагин, который ограничивает количество (регулирует максимальное число) соединений по портам?

Цитата:

Сколько-то месяцев назад уже писал об этой проблеме:
При переходе с версии 2.ХХ на 3.ХХ появилась одна неприятная вещь - невозможность управлять раутером (Dlink 604) черз web интерфейс. Выглядит так:
Если Аутпост запущен (причем, неважно в каком режиме, даже "разрешать", плюс все модули отключены, и все запрещающие системные правила тоже) то при любом обращении к раутеру последний просит логин и пароль, которые считает неправильными. То есть, чтобы работать с настройками раутера приходится отключать стенку
Думал с версией 3.5 проблема исчезнет, но увы...

Буду очень признателен за совет.

Забыл добавить: последняя версия, с которой не было проблем - OutpostPro-2.7.492_5421

Vadim39
Как же, как же, имею Outpost и это устройство, авторизация действительно не проходит, но нужна она только для настройки устройства. По-моему, ставить старую версию смысла не имеет, если надо настроить, проще выгрузить Outpost: атак в таком случае опасаться не приходится, через маршрутизатор они не проходят, OP используется только как приложенческий фаерволл + ради плагинов, но от троянов OP - не панацея. По-моему, из-за такого устройства можно работать вообще без OP, позаботившись, чтобы никакая плохая программа не стучалась в интернет.

Добавлено:
Если всё же хочется иметь OP, отключить на пару минут - не смертельно в данном случае.

Цитата:

Как же, как же, имею Outpost и это устройство, авторизация действительно не проходит, но нужна она только для настройки устройства.

Все так, но необходимость обратиться к раутеру возникает довольно часто, например, переконнектиться (динамический IP), или сделать reboot раутеру, что тоже иногда требуется. Согласитесь, что необходимость каждый раз выгружать стенку, довольно таки раздражает. К тому же, не знаю у всех ли это так, мне приходится закрывать и открывать заново также и firefox, поскольку будучи запущенным раньше, чем ОР, он почему-то не получает доступа к и-нету. И вообще, это ж явный баг. Если, конечно, нет способа чегой-то там настроить. Собственно поэтому и решил обратиться к уважаемым знатокам.

Помогите в след проблеме
установлен Outpost Firewall Pro ver. 3.5.641.6214 (458) (кста поставил его уже давно), вдруг сегодня при попытке запуска ICQ 2003b сразу после установления соединения аськи с инетом начались такие симптомы - черный экран и никакой реакции, только перезагрузка через "reset". Один раз вместо черного экрана появился синий с неправильной кодировкой (я только смог прочесть это "driver_IRQL_NOT-LESS_OR_EQUAL tcpip.sys - address EFDDDCO5 base at EFDD1000, DATESTAMP 3d6de222")......Пробовал пеерставить аську но эффекта ноль, .....могу ее запускать без этой проблемы только когда выгружаю оутпост.....раньше все работало нормально, в доверенных приложениях аська стоит....может переставить оутпост или это деле в мастдае (XPHE, SP1)? Или это вирус? Памажите, люди добрые....

PilotKO
Скажи, у тебя касперский 5-й стоит?

Vadim39
С IE это тоже происходит? На коннект к рутеру через Agnitum никто вроде бы не жаловался (по крайней мере не могу найти на форумах агнитума), но в теме про Firefox-а кто-то такую ситуацию недавно описывал.

Vadim39
Эта проблема обсуждалась и на форуме DLink, адекватного решения не найдено. Видимо, надо ждать новой прошивки устройства или официально заявить проблему в Agnitum (кто может, прошу сделать).
korn32
Нет, дело именно в Outpost. На форуме DLink, повоторяю, жалоб много. Для справки: http://www.dlink.ru/phorum, дальше просто поищите слово "Outpost"!

budhha 7
да, стоит Pro 5.0.522....

Agnitum Outpost v.3.5 ни с кем не конфликтует из программ ?

ghostmaster
Ну, как же... Во-первых, нельяз ставить другие фаерволлы/баннерорезалки и т.д. Вон у человека с Касперским не поладило что-то... Вообще, рекомендую почитать предыдущую ветку:
http://forum.ru-board.com/topic.cgi?forum=5&topic=15976#1

похоже я нашел ответ на свой вопрос
тут
правда не пробовал ешо.

PilotKO
Об этом и хотел сказать, отключи в Касперском защиту от сетевых атак,
все будет работать. Было у меня и дампы и сеть работала через раз, пока не убрал

budhha 7
отключил, перегрузил, не помогло....
будут еще идеи?

PilotKO
Вспомнил вот что, зайди в Event Viewer, посмотри ерроры,
а может у тебя стоит какой нибудь сниффер или WINPickup ?
Похоже на конфликт 2-х сетевых драйверов..
а может у тебя стоит какая-нибудь самописная снифалка и в тихоря снифает твой траффик (по крайней мере пытается), а Каспер ее естественно не видит...

budhha 7

Цитата:

а может у тебя стоит какая-нибудь самописная снифалка и в тихоря снифает твой траффик (по крайней мере пытается)

в процессах ничего такого нет вроде...

(Грустно)... Люди, а как бы кто просветлил "чайника" об открытых-закрытых портах? По ссылке в "шапке" я почитала, но не очень поняла (или, вернее, совсем не поняла) - что-какие нужно закрывать, а какие - не нужно... ибо глупая...
Вот, к примеру, мой антивирусник с его сетевым экраном (avast!) и сабж - работаю одновременно. Антивирусник периодически сообщает мне об атаках и блокирует их, вот, скажем, их список последний:
06.04.2006 16:33:19 LSASS Exploit (SXP) attack
     from 193.19.71.80:445
06.04.2006 16:33:33 LSASS Exploit (SXP) attack
     from 193.19.71.80:445
06.04.2006 20:06:59 LSASS Exploit (SXP) attack
     from 193.250.115.67:445
06.04.2006 20:07:06 LSASS Exploit (SXP) attack
     from 193.250.115.67:445
06.04.2006 20:08:06 DCOM Exploit attack
     from 70.155.70.108:135

Я так понимаю, следует Аутпосту указать, что эти порты, на которые идёт атака, закрыть - правильно? Или я совсем уже не верно мыслю?

Да, так вот, avast! сообщает об атаках, а смотрю Журнал сабжа - там ничего о них не сказано, ноль атак - это почему?
(Плачет)... Будьте таки добреньки... сами мы не местные... потолковее, для совсем уж дураков - объясните, что происходит, и что делать? А?..
Спасибо.

Цитата:

Эта проблема ( http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=19144#3 ) обсуждалась и на форуме DLink, адекватного решения не найдено. Видимо, надо ждать новой прошивки устройства или официально заявить проблему в Agnitum (кто может, прошу сделать).

Целиком присоединяюсь к этой просьбе!

Eliza
Ну, по порядку. Во-первых, совмещать Outpost с другими фаерами и прочими подобными продуктами не рекомендуется. Это для начала. Далее: Outpost всё же больше приложенческий фаерволл, чем пакетный, так что управление портами - не самый важный нюанс его настройки. Но об этом чуть позже.
Avast видит атаки и блокирует их, но Outpost-то об этом ничего не знает! Потому и не замечает. Попробуйте выключить антивирь, и детектор атак запищит! Скорее всего, вот почему в журнале нет записей об атаках.
Таперича, когда в общмх вопросах разобрались, перейдём к настройке. Во-первых, повторю, что совмещать Outpost с аналогичными продуктами не рекомендуется. Используйте Avast для ловли вирусов, но не атак.
Во-вторых, насчёт портов так беспокоиться не нужно. На первом месте в OP стоит контроль над приложениями, а уже потом - функции пакетного фаера (т.е. такого, который фильтрует протоколы/порты и т.д.). Для отбивания атак есть специальный стандартный плагин, кроме того, системные правила, действующие для всех приложений, но имеющие более низкий приоритет. Это краткий экскурс, как оно работает. Как создать правильную конфигурацию, хорошо написано в руководстве (ссылка в шапке третья снизу). Что же касается портов, то специально закрывать их в OP требуется редко, нужные обычно уже прикрыты стандартными системными правилами. В общем, действуем по инструкции, по ходу задаём вопросы, и всё должно быть в порядке!

Работал, вдруг синий экран (посмотреть здесь) после перезагрузки Outpost просит отправить сведения в компанию. Сталкивался ли кто с такой ошибкой. И какие методы ее лечения. Agnitum Outpost Firewall Pro v3.0.557.5918 (437)

Viewgg, благодарствую за подробное пояснение!

Читаю по ссылке: Svchost.exe - не простой случай. Он требует различные сетевые доступы для выполнения базовых сетевых задач. Но предоставление ему полного доступа сделает систему уязвимой для RPC эксплоитов, таких червей как Blaster и Welchia/Nachi. Поэтому создание соответствующих правил для этого приложения имеет решающее значение.
То есть я должна открыть Журнал ОР, найти там Svchost.exe, посмотреть, его протокол и, если он UDP, то создать такое Правило:
Allow DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
и Где удаленный адрес <DNS сервера провайдера>
Разрешить эти данные
Так?

Боже... (хватается за голову)... никогда не осилить мне этой премудрости...

Пошла качать pdf'ки... может, там попроще расскажут...

Добавлено:
Ну, вот открываю Журнал событий модуля Детектор атак (текущая сессия) и что вижу:
Oбнapyжeнныe Aтaки 0
Oбнapyжeнo cкaниpoвaниe пopтoв 0
Oбнapyжeн зaпpoc нa coeдинeниe 4

Инфopмaция o пocлeднeм coбытии

IP-aдpec 59.44.116.198
DNS-имя aтaкyющeгo n/a
Tип aтaки Зaпpoc coeдинeния
Bpeмя coбытия 03:03:03
Пpocкaниpoвaны пopты TCP (SSH)

Через пару секунд уже:

Oбнapyжeнныe Aтaки 0
Oбнapyжeнo cкaниpoвaниe пopтoв 0
Oбнapyжeн зaпpoc нa coeдинeниe 6

Инфopмaция o пocлeднeм coбытии

IP-aдpec 223.119.241.107
DNS-имя aтaкyющeгo n/a
Tип aтaки Зaпpoc coeдинeния
Bpeмя coбытия 03:04:12
Пpocкaниpoвaны пopты UDP (1026)

И т.д. ЭТО ЧТО? Что с этим делать? Это атаки? Почему мне о них не сообщили? Каким-нить всплывающим окном? Это подозрительные процессы? И куда их? Какие мои действия должны быть? И это ведь при том, что сижу в Сети сейчас тихо - ничё не грузится, никакие страницы не открываются, а тут - ТАКОЕ! Хэлп!

Люди трэба помощь.
Немогу понять что за фигня началась в новых билдах OP ,щас стоит 3.5.641 ,стоит в режиме обучения ,нифига мне не предлагает ,ничерта не спрашивает ,при этом автоматическое создание правил вырублено ,но ему похоже пофиг на всё ,FireFox он в сеть не пускает ,IE тоже ,вообщем никого непускает ,это у меня что-то с руками или это глюки новых билдов???

Pasha13

параметра/политики/не создавать правила автоматически

Eliza...
да... тебе лучше последовать своему совету:
Цитата:

Пошла качать pdf'ки...

и хорошо почитать

Eliza

Цитата:

Ну, вот открываю Журнал событий модуля Детектор атак...

Не волнуйся это пока еще не атаки, а всего лишь, как посчитал сабж "подозрительные соединения... И это ты смотрела в самом сабже, а не в журнале (судя по приведенной тобой инфе)

OP 3.5.740.6329 (461) в журнале событий нормально показывает разрешенные и заблокированные, но не показывает разрешенные и заблокированные за последние 10 минут (нет ни одной записи, хотя в этом интервале есть записи - вижу по общим разрешенным/заблокированным). Проверил установки - все нормально. Попробовал с другими интервалами - не работает. Работает только с интервалом "сегодня". Это только у меня так?

Известная проблема с сообщением в системном журнале событий:

"Тип события:    Ошибка
Источник события:    Service Control Manager
Категория события:    Отсутствует
Код события:    7034
Дата:        03.04.2006
Время:        8:09:55
Пользователь:        Н/Д
Компьютер:    PCName
Описание:
Служба "Outpost Firewall Service" неожиданно прервана. Это произошло (раз): 1.
The Outpost Firewall Service service terminated unexpectedly.
It has done this 1 time(s)."

Эта ошибка регистрируется каждый раз при перезагрузке или выключении ПК. Версии OF разичные, начиная с 2.xx. ОС - Win XP SP2.

Хочу поделиться своими соображениями по этому поводу на основе изыскания в инете.

1. Лично я не замечал аномальностей работы связанные с этим сообщением. Но просто мне (и не только), как сисадмину, эти красные крестики в системном журнале режут глаз (ровно как и знаки вопроса - неизвестные устройства, в Диспетчере устройств ), по этому я и озадачился найти, все-таки, решение.
2. У меня решение заключилось в исправление параметра реестра
HungAppTimeout
в ключе
HKEY_CURRENT_USER\Control Panel\Desktop
на значение 25000,
в то время как параметр WaitToKillAppTimeout я оставил неизменным - 20000.
Смысл в том, чтобы значение HungAppTimeout было больше чем WaitToKillAppTimeout. А по умолчанию HungAppTimeout=5000, WaitToKillAppTimeout=20000.
Подобное предлагалось на User's Support Forum, но там уменьшали WaitToKillAppTimeout до 3500. Просто я думаю, однако, что менее болезненно для системы тайм-ауты увеличивать, а не уменьшать :-\ ... так, на всякий пожарный. А подождать несколько сек. для меня не влом (кстати сказать, особой разницы в скорости выключения ПК я не заметил).
3. Но вообще, строго говоря, данный факт скорее недочет OF чем Windows, так как из множества крутящихся в памяти процессов и служб, почему то незватает времени для завершения именно OF :-\.

PS: я не гарантирую что, мой опыт поможет поголовно всем, а просто довожу до сведения общественности, что это помогло мне.

sayanvd, очень полезная инфа
Кстати это касается не только OF... а параметр иногда нужно и больше поставить, все зависит от конфигурации компа, установленных программ, конфигурации сети.

Eliza
Совершенно верно, правила надо создавать таким образом, кстати, в этом есть чёткая логика. Про пугающие сообщения отвечено было верно. После настройки по инструкции могут быть проблемы с svchost, процесс капризный, часто требует хитрых правил. Вот ту раобраться уже тяжело, придётся у orvman спрашивать, на Руборде он один из лучших специалистов по OP. Кстати, насчёт DNS: можно выключить службу Windows, отвечающую за DNS, тогда запросы будут посылать сами приложения, а не svchost. Об этом в статье тоже написано. Удачи!

maispovis
я ж написал ,что
Цитата:

при этом автоматическое создание правил вырублено