» Agnitum Outpost Firewall Pro (фаервол)

PODs
Начинайте поиск с официального сайта
на странице http://www.agnitum.ru/support/ в базе знаний статья за номером KB ID: 1000175

Есть еще форум специально посвященный Outpost, ссылка на него в шапке

latin
да, я это уже читал. Не устраивает, потому как вся локала в таком случае попадает в доверенную зону, а мне как раз нужно от неё и защищаться.... (((

PODs
в какой-то версии сабжа при содании правила после выбора протокола можно было еще поставить галки на "локальный, транзитный, nat"
Сейчас что-то найти не могу..

w0mbat
ага, было такое и даже есть Только вот в одну сторону, а вот обратно как??? (((

PODs

Цитата:

да, я это уже читал.

тогда повторю еще раз
Цитата:

Помни, правильно заданный вопрос это половина ответа

Конкретизируйте ваши требования, что делали, что требуется.
w0mbat
PODs

Цитата:

в какой-то версии сабжа при содании правила после выбора

Цитата:

га, было такое и даже есть

Было немного по другому в 3.5 в outpost.ini можно было задать параметр включающий NAT для сети в целом.
В общем PODs что вы хотите получить и что значит
Цитата:

Только вот в одну сторону, а вот обратно как???

в вашей интерпретации.

latin
Судя по тому, что ты написал

Цитата:

Было немного по другому в 3.5 в outpost.ini можно было задать параметр включающий NAT для сети в целом.

то ты всё понял. Конкретизирую: стоит прокси UserGate. Через NAT пользователи получают почту, отправляют её, общаются по протоколу ICQ. Так вот аутпост 4 блокирует эти самые пакеты NAT как транзитные.
А это -
Цитата:

Только вот в одну сторону, а вот обратно как???

значит, что в аутпосте можно их разрешить в глобальных правилах только в одну сторону, т.е. создаешь правило "TCP-исходящее-разрешить локальный, транзитный и NAT". При этом в бате видно содержимое почтового ящика, а вот получить почту из него невозмсожно, т.к. входящие пакеты блокируются фаером, а правила на входящие транзитные пакеты сделать нельзя! Только ручками перебирать порты. Вот что я имел ввиду.
А теперь насчёт
Цитата:

Было немного по другому в 3.5 в outpost.ini можно было задать параметр включающий NAT для сети в целом.

- это было даже не в 3, а во второй версии, в настройках сети возле колонки "доверенная" появлялась ещё одна, где можно было разрешить эти самые транзитные пакеты. Как это активировать в 4 версии я не знаю (

PODs

Цитата:

это было даже не в 3, а во второй версии, в настройках сети возле колонки "доверенная" появлялась ещё одна, где можно было разрешить эти самые транзитные пакеты. Как это активировать в 4 версии я не знаю (

И далее было тоже, параметр называется ShowNATColumn, значение true (1, yes). Но вы правы, как я помню, в 4-ой он уже не обрабатывается (хотя попробуйте). Есть вариант установить как доверенную сеть.
Ну и использовать те рекомендации которые приведены в статье.

Другие варианты сейчас предложить навряд ли получиться.
Или есть какие-то ограничение на использование тех рекомендаций которые указаны в статье (доверенная зона, диапазон портов)?

latin

Цитата:

Или есть какие-то ограничение на использование тех рекомендаций которые указаны в статье (доверенная зона, диапазон портов)?

да в том то и дело, что локалку полностью я контролировать не могу, пользователи иногда такого нахватаются..... Поэтому и помещать её в доверенную зону я не хочу.

Цитата:

параметр называется ShowNATColumn, значение true (1, yes).

да, именно он, но он не работает в 4 версии, я уже пробовал. Вот такие вот пирожки

PODs
Да... прискорбно. Другого решения я пока не знаю.



Попробуйте отписать в Агнитум, возможно помогут. Вариант два - на форуме ОР спросите или, если с английским дружите, на англоязычном задайте вопрос, там агнитумцы чаще тусуются.

Если найдете решение сообщите здесь, интересно...

Добавлено:
Вариант три - откатиться на предыдущую версию.

PODs
В 4 версии не пробовал, но в старых даже при простом добавлении параметра ShowNATColumn, ICS не появлялась часто, нужно было соблюсти несколько условий: при инсталле ОР надо что б галка в сетевых настройках подключения "Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера" уже стояла, обходилось проставлением этой галки и созданием нового конфига, и для "alg" что б все правила по дефолту были. Попробуй может поможет.

Ого как всё закручено. В Агниуме сказали, что у них персональный фаер, а не для сервера )))))). На предыдущую версия откатываться как то не хочется, попробую вариант Dimitr1s. Мож поможет

Если я правильно вас понял, то вам надо создать правило, выбрать TCP и в исходящем направлении проставить типа пакета. Оно?

MikeZ

Цитата:

Если я правильно вас понял, то вам надо создать правило, выбрать TCP и в исходящем направлении проставить типа пакета. Оно?

Почти, почитай внимательнее предыдущие посты. В исходящем проблем то нету, а вот во входящем.....попробуй там поставить транзитные пакеты

To all

Бета-версия для Vista нормально работает? Можно ставить?

Люди установил демку аутпоста время кончилось теперь предлагает купить можно как нибудь обмануть

Скажите, пожалуйста, что означает ошибка 103?
Через некоторое время работы сканера spyware вылетает эта ошибка и приложение немедленно завершает работу (программа вылетает).
Версия 4.0.1025.7828 (700).

liptondoping

Цитата:

Люди установил демку аутпоста время кончилось теперь предлагает купить можно как нибудь обмануть

Можно. Оплачиваешь квитанцию на 699 рублей и тебе приходит ключ.
Вообще-то тебе в варезник. Прочитай первую строчку в шапке.

Harrier
Вторую бету можете попробовать, но я бы не стал. Сейчас очень много исправлений и улучшений, а та еще сыровата.
Alwira
Пишите в суппорт. Срочно. А чтобы конкретно сказать надо смотреть логи. В каталоге Agnitum Share есть журналы работы, файлы .log и .0, посмотрите что там конкретно написано. Можете сархивировать их и выложить где-нибудь, посмотрим.
А подключение у вас через прокси?

latin

Просто что-то такая вроде бы уважаемая фирма и программа никак не подготовились к Vista.

Harrier
latin
Я вчера ставил бетку вторую-снес нафик в ужасе полчаса назад когда с работы пришел-интернет вообще отвалился, то есть он есть но проги не видят,куда ты их в какие правила не добавляй, на каждый чих выскакивает окно с предложением создать правило-нажимаю ок-вываливается серое окошко с ошибкой-короче снес нафик, будем ждать оф. релиза...
А сейчас ищу альтернативу...вроде ZA чето там мутит...

Outpost стал жрать много памяти (160-200мб) и периодически сильно загружать процессор (30-60%) . Из-за чего это может происходить? По журналу не могу отследить никакой взаимосвязи соединений с загрузкой процессора. Версия Outpost 4.0.1024.7809 (700)

Noobie

Цитата:

Outpost стал жрать много памяти (160-200мб) и периодически сильно загружать процессор (30-60%) . Из-за чего это может происходить? По журналу не могу отследить никакой взаимосвязи соединений с загрузкой процессора. Версия Outpost 4.0.1024.7809 (700)

Пробуй поочередно отключать плагины и понаблюдать за загрузкой память и процессора. Имхо скорее всего это модуль анти-шпиёна, но нужно проверять, каждая система не повторима!

Top10

Цитата:

Пробуй поочередно отключать плагины и понаблюдать за загрузкой память и процессора. Имхо скорее всего это модуль анти-шпиёна, но нужно проверять, каждая система не повторима!

Выключил все модули - ничего не изменилось.
Отключил Outpost - загрузка стала меньше и реже.
Выгрузил Outpost - грузит систему процесс Svchost примерно на 25% каждые секунд 20.
Загрузился под другим пользователем - никакой заргузки нет.
В чем может быть дело?

Noobie

Цитата:

Выгрузил Outpost - грузит систему процесс Svchost примерно на 25% каждые секунд 20.

Под этим процессом может скрываться десяток программ и служб, в том числе и "нехороших", антивирь стоит? В автозагрузке нет ничего подозрительного?

Так, всем кому интересно как побороть проблему с транзитными пакетами (и НАТ в том числе) посвящается!
После долгой переписки с Agnium и чтения всех их рекомендаций, по которым мне нужно открыть чуть ли не всё, что можно, что бы эти транзитные пакеты наконец то начали проходить, я решил сам найти выход из данной ситуации.
После долгих тренировок я пришёл к следующему:
1) для правильной работы транзитных пакетов мы делаем следующее - создаём глобальное правило "входящие-TCP-локальный порт 5190 (ICQ), 25 (SMTP), 110 (POP3)-разрешить";
2)если мы пользуемся НАТ правилами для аськи, почты то создаём глобальное правило "исходящее-локальное-TCP-удалённый порт 5190, 25, 110-разрешить";
3)если почта идёт через прокси то порты 25 и 110 в исходящих можно не задавать.
Далее по аналогии можно провести такую операцию для всех портов, по типу FTP (21) и т.д. Вот вроде бы и всё. У меня с такими настройками всё работает.
Кому интересно стучитесь, помогу. Будем разбираться вместе

Harrier

Люди, кто ставил вторую бетку 2008 с поддержкой висты, как впечатления?
Очень важно подскажите плз..
Спасибо.

С включенным аутпостом попасть в тырнет невозможно ни при каких настройках.
Снес. Пришлось отказаться от Висты пока не появится нормальный релиз аутпоста.

Kuningas
Чтобы не мучать систему, есть такой замечательный инструмент - VMware Workstation
Ставишь эту программу, устанавливаешь виртуальную систему, ставишь на виртуальную систему любые беты Outpost'a и можешь тестировать сколько душе угодно. Как только понравилась работа очередной версии Outpost'a - ставишь его на реальную систему.

http://www.pcflank.com/
"Stealth Test"

TCP "ping" non-stealthed     
TCP NULL stealthed     
TCP FIN stealthed     
TCP XMAS stealthed     
UDP          stealthed

Как закрыть дырку ? Спасибо!

Sanc4eZ

Цитата:

TCP "ping" non-stealthed
TCP NULL stealthed
TCP FIN stealthed
TCP XMAS stealthed
UDP stealthed

Параметры-Системные-ICMP - Входящий эхо-запрос галка снята?

Top10


Цитата:

Параметры-Системные-ICMP - Входящий эхо-запрос галка снята?

Эти настройки по дефолту.
Эхо-запрос: В(снята галка), Из(есть галка)