» Agnitum Outpost Firewall Pro (фаервол)

gringored

Цитата:

Скажите, вот ко мне постоянно ломится кто-то на порт 1028 с адресов 24.64.***.*** и всё это на приложение svchost.exe Полазив по инету я выяснил, что это из кабельных сетей Канады ко мне стучатся в гости. Вот хотел спросить: 1) Что им надо? 2) Как все запросы кучкой на этот порт позапрещать? Когда всплывает предупреждение, я жму - Создать правила - Другие, Блокировать входящие, на порт 1028, с адреса 24.64.121.204
Но через 10-20 минут снова такая же история, но уже с другого адреса. Может кто-то сможет подсказать?

Если хочешь полностью запретить доступ на этот порт - в правиле не указывай IP-адрес вообще. А если хочешь запретить доступ только для адресов 24.64.*.* - в правиле укажи подсеть 24.64.*.* с маской 255.255.0.0

Цитата:

Если хочешь полностью запретить доступ на этот порт - в правиле не указывай IP-адрес вообще. А если хочешь запретить доступ только для адресов 24.64.*.* - в правиле укажи подсеть 24.64.*.* с маской 255.255.0.0

Кста, порядок обхода или приоритет правил в посте какой? Запрещающие приоритет, или те, что выше в списке?
Просто если приоритет по порядку обхода, то можно разрешить для своего ДНС серва (для его ИП-адреса) на данный порт соединение для приложения свхост, а ниже правило, запрещающее поток для свхоста. Если же запрещающее имеет приоритет выше разрешающего, то вероятно, через диапазоны ИП-ов можно закрыться..

bredonosec

Цитата:

Кста, порядок обхода или приоритет правил в посте какой? Запрещающие приоритет, или те, что выше в списке?

Вот порядок обработки правил Он подходит к текущим версиям, больших изменений нет.
Цитата:

на других стенках таки встречаются настройки типа "when not running -> block all traffic"

Если это то о чем я думаю, то посмотрите Насиройка-Политики-Дополнительно.

latin

Цитата:

Вот порядок обработки правил

ясно, по категориям. В одной категории порядок обхода как-то соблюдается? Или есть блокировка против создания перекрывающихся правил?
(ну, значит, разрешение на днс серв через "Application/Global Rules with "Ignore Component Control" flag", а потом - глобальный запрет через глобальные правила)

Цитата:

Если это то о чем я думаю, то посмотрите Насиройка-Политики-Дополнительно.

- спасибо, у меня другая стена, в которой я давно разобрался Это было к вопросу MasMaX
http://forum.ru-board.com/topic.cgi?forum=5&topic=22409&start=160#9

bredonosec

Цитата:

В одной категории порядок обхода как-то соблюдается? Или есть блокировка против создания перекрывающихся правил?

Вы имеете в виду возможность коллизий? В одной группе правила выполняются в порядке убывания, т.е. сверху вниз. Для приложений с игнор.компонентов имеют приоритет по сравнению с глобальными с игнор.компонентов.
Цитата:

Это было к вопросу MasMaX
http://forum.ru-board.com/topic.cgi?forum=5&topic=22409&start=160#9

Понятно. Давно тему не отслеживал. У него вообще что-то не понятное.

MasMaX Будьте добры, поподробнее сформулируйте вопрос

Добавлено:

Цитата:

спасибо, у меня другая стена, в которой я давно разобрался

если не секрет, то какой? Так, спортивный интерес и для общего развития

поставил Outpost, в настройках ничего не менял. инет странички стали открываются оч долго, некотырые вообще не хотят. и значек инет соединения (два монитора) в трее не мигает. выгружаю Outpost, всё становиться нормально.
подскажите, в чем дело?

KLERIK2222
Цитата:

поставил Outpost, в настройках ничего не менял. инет странички стали открываются оч долго, некотырые вообще не хотят. и значек инет соединения (два монитора) в трее не мигает. выгружаю Outpost, всё становиться нормально.
подскажите, в чем дело?

В настройках. И драйвере. И плагинах.
А если серьезно, то какое подключение к Инету? Есть ли локальный прокси? Вообще поподробнее о софт- и хардваре. В частности сетевых и защитных программах. Какая версия/сборка ОР.
Для начала отключите постоянную защиту Спайваре, отключите кеширование ДНС, ну и дальше смотреть надо.
В последней 1007/591.145 есть подозрение на неоптимизированный драйвер (до конца еще не проверил икакой именно пока точно не скажу)

подключение модемное. Dial Up. прокси нету. браузер Maxton (на основе IE) вин ХР СП2. антивирус НОД32. Outpost Pro 4.0 (1007/591.145) . отключал все модули, не помогло. и еще, если посмотреть в "сетевая активность" то там все время svchost.exe куда то лезет. почему, ведь это файл винды?

KLERIK2222
Цитата:

если посмотреть в "сетевая активность" то там все время svchost.exe куда то лезет. почему, ведь это файл винды?

Потому и лезет, что винды В шапке есть ссылка на базу знаний Прочтите о безопасной конфигурации, настройте в соответствии с рекомендациями. Это если в друг и не уберет тормаза, то по крайне мере сможет их снизить, да общую безопасность повысите.

KLERIK2222
Для приложения svchost.exe обязательно нужно прописать правило для твоих DNS - серверов, эти правила должны разрешать соединение по протоколу UDP на порты 1025-1030, как входящие, так и исходящие. Правила эти должны быть выше по отношению к запрещающему правилу Block Incoming DCOM, подробнее можно контролировать в журнале.

AlexxSei
Цитата:

DNS - серверов, эти правила должны разрешать соединение по протоколу UDP на порты 1025-1030, как входящие, так и исходящие.

Я как-то не так понял или что-то изменили в протоколе? Порт для DNS по умолчанию 53, для DNS по UDP как такого не требуется понятие исходящие/входящие соединение. Безопаснее в глобальных отключить DNS, а для каждого приложения создать своё правило для резольвинга и добавить в глобальные правило для блокировки прочих DNS запросов.
Код: Где протокол UDP
и Где удалённый порт 53
и Где удалённый сервер IP-адреса DNS сервера вашего провайдера
Разрешить эти данные

Вопрос по 4 версии. WinXpSp2 + Outpost + BitDefender
1. При попытке синхронизации времени с time.nist.gov постоянно сообщение - ошибка. Правило для времени (svchost) брал с форума - разрешить по протколу UDP удаленный порт NTP. В журнале Agnitum пусто. Но работает с другими серверами времени. Почему нет никакой инфы по заблокированным/усеченным пакетам?
2. При пользовании дефрагментаторов встроенным в Xp (автодефраг-оптимизация при простое)получаю сообщение об ошибке в системном журнале + Outpost выдает сообщение,
что пресечена попытка изменени файлов. С этим можно как нибудь бороться или за удовольствие пользования надо платить?
3.Как подружить Outpost и BitDefender. В основе BitDefender лежит приложение Vservise, но скан идет другим приложением - Bdlite. Для этих двух разрешил все - оконные перехватчики, взаимодействие с DDE итд. Но - не помогает. При сканировании BitDefender выдает статистику. При нажатии в BitDefender кнопки показать отчет (он создается в блокноте-текстовый файл) ничего не происходит. Видимо не запускается сам блокнот?...
В общем это расстраивает больше всего. А в журнале Agnitum опять пусто...

KUSA
2. Отключить защиту файлов Outpost. Однако теоретически это повышает уязвимость. На практике мне не встречались случаи, когда какой-нибудь троян пытался нахимичить с Outpost'ом.

Mylord666
Это для дефрагментатора - понятно, но если честно не хотелось-бы.
Может есть еще что-нибудь?

KUSA
Если не ошибаюсь в BitDefender есть файервол? Не отсюта ли ноги растут?

Top10

Цитата:

Если не ошибаюсь в BitDefender есть файервол? Не отсюта ли ноги растут?

Ошибаешься. Его можно не ставить при установке.

KUSA К сожалению с BitDefender мало знаком, но что смогу расскажу
В BitDefender есть контроль портов/трафика/какой-нибудь сетевой драйвер или что-то подобное? ОР расценивает его вообще-то как файрволл.
1.
Цитата:

Почему нет никакой инфы по заблокированным/усеченным пакетам?

Это странно само по себе. Попробуйте при синхронизации времени временно отключить BitDefender (извините за тавтологию). посмотрите что будет в журнале ОР. Еще, в ОР создайте специальное правило для этого сервера и разрешите пакеты на 123 порт TCP/UDP.
2.
Цитата:

С этим можно как нибудь бороться или за удовольствие пользования надо платить?

При постоянной самозащите издержки производства. Но, на время сканирования можно отключить самозащиту.
3. Я так понимаю в модуле Anti-Leak во вкладке исключения он у вас прописан? Если да, то попробуйте в файле checkfw.ini закоментировать все строки относящиеся к BitDefender. Еще можно создать в папке ОР файл wl_hook_data.cfg и прописать в нем файлы которые не должны контролироваться Anti-Leak вообще, это так же отключит для этих программ контроль компонентов. И как крайняя мера в самом крайнем случае отключите Anti-Leak вообще или из настроек ОР или (предварительно выгрузив ОР) переименуйте файл wl_hook.dll

latin
Давай на ты.
1.
Цитата:

В BitDefender есть контроль портов/трафика/какой-нибудь сетевой драйвер или что-то подобное? ОР расценивает его вообще-то как файрволл.

Нет, не уствновлен,
см выше я не ставил фаер. Выключал BitDefender. В смысле останавливал монитор (сам BitDefender выгрузить не реально, так как 10 версия тоже имеет встроенную защиту) Правило для времени брал с форума, и ведь со всеми другими серверами времени оно работает.
Цитата:

и разрешите пакеты на 123 порт TCP/UDP

Прости, а откуда TCP?
2.
Цитата:

Но, на время сканирования можно отключить самозащиту.

Это никак не нельзя, потому что - оптимизация при простое - не выключать же самозащиту как только уходишь от компа.
3. Да прописан, но пока не помогает.
Цитата:

Еще можно создать в папке ОР файл wl_hook_data.cfg и прописать в нем файлы которые не должны контролироваться Anti-Leak вообще

Подожди, а разве это не одно и то-же просто в Anti-Leak оключить все .exe BitDefender?

Добавлено.
Понимаешь, фаер хорош, приглядываюсь к покупке. Но не решив этих проблем, не смогу потратить денег.

KUSA
Цитата:

Нет, не уствновлен, см выше я не ставил фаер.

Я когда писал этого еще не было Не установка компонента точнее ГУИ к нему не всегда значит не установка его составляющих. У некоторых производителей это так, так что вполне возможно и здесь тоже самое.
Цитата:

Прости, а откуда TCP?

Для некоторых требуется. Проверь.
Цитата:

Это никак не нельзя, потому что - оптимизация при простое - не выключать же самозащиту как только уходишь от компа.

Понимаю тебя попробуй это: в каталоге с ОР должен быть файл sf_report.ini, если нет создай его. Пропиши в нем следующее: Имя секции (в квадратных скобках) - полный путь и имя файла на которое ругается. Параметр - Flags=2 значение указывает либо на то что не реагировать на это приложение, либо на то что просто не выкидывать аллерт. Есть еще у этого параметра значение 1 при таком раскладе орет благим матом Значение 3 не знаю и других тоже (как эксперимент, с ним разбираюсь пока сам т.к. он появился где-то со 1005/1007 сборки).
Цитата:

Цитата: Еще можно создать в папке ОР файл wl_hook_data.cfg и прописать в нем файлы которые не должны контролироваться Anti-Leak вообще

Подожди, а разве это не одно и то-же просто в Anti-Leak оключить все .exe BitDefender?

KUSA
Что-нибудь: Вспомнил. В Diskeeper есть возможность задать файлы и папки, которые не нужно дефрагментировать. Есть ли список исключений во встроенном - не знаю.

1. В правилах для самого OP указано "HTTP Connection". Это нужно для апдейта Spy-базы или ещё для чего-то?
2. p2p клиентов можно размещать в "доверенных" ? Какие-то уже есть рекомендации для наиболее распространенных приложений. Дайте, плиз скриншот, у кого уже настроено всё.
Благодарю заранее.

mwm

Цитата:

Какие-то уже есть рекомендации для наиболее распространенных приложений.

Так вроде тут -Настройка персональных файерволов (firewall rules)

mwm
Цитата:

1. В правилах для самого OP указано "HTTP Connection". Это нужно для апдейта Spy-базы или ещё для чего-то?

Еще для получения новостей о продукте и плагинах, для обновления самого ОР, а не только Анти-спайваре плагина, для соединения с центром управления если используется совместно с Офис Секьюрите от того же производителя. Однако, лучше это соединение ограничить.
Цитата:

2. p2p клиентов можно размещать в "доверенных" ?

Можно, но не нужно.
Цитата:

Какие-то уже есть рекомендации для наиболее распространенных приложений.

KUSA вам дал хорошую ссылочку, еще сходите на неофициальный русский форум (адрес в шапке) там в архиве много разных примеров.
Цитата:

Дайте, плиз скриншот, у кого уже настроено всё.

Это не поможет т.к. настройки в каждом конкретном случае индивидуальны за некоторыми исключениями.

KUSA, спасибо. Там спрошу.

latin

Цитата:

лучше это соединение ограничить.

Так может быть удалить его вовсе ? Или токо галку снять ?
Зачем оно, если не обновляешься ?

mprexe - ему больше не разрешать ничего запускать ?

mwm
Цитата:

latin

Цитата:

Цитата: лучше это соединение ограничить.

Так может быть удалить его вовсе ? Или токо галку снять ?
Зачем оно, если не обновляешься ?

Цитата:

Далее если уж вообще хотите отключить, то в этом правиле вместо "Разрешить эти данные" поставьте галочку на "Блокировать эти данные"

А почему именно так, нельзя просто галку снять у правила ?

При конннекции OP выдает что-то вроде:
|_| - разрешить mprexe.exe и дальше запускать скрытые процессы ?

mwm Можно. Но так надёжней.
Цитата:

При конннекции OP выдает что-то вроде:
|_| - разрешить mprexe.exe и дальше запускать скрытые процессы ?

А что это за файл? К какому приложению он относиться? Если не уверены, то лучше пока не кого ни куда не пускать. В дальнейшем можно и пустить.

Господа, подскажите какие правила установить для проги Strong DC++.
У нас, в городской сети - скачка файлов только через нее. Как не настраиваю фаер, прога работает, только когда ее в доверенные премещаю, но меня это не совсем устраивает...

latin Про mprexe.exe уже обсуждалось в этой теме
MPREXE.EXE - Win32 Network Interface Provider, системная программа Win9x.

mrdime

Цитата:

Господа, подскажите какие правила установить для проги Strong DC++.

Смотри что блокируется при её запуске и создавай правила вручную.


Цитата:

MPREXE.EXE - Win32 Network Interface Provider, системная программа Win9x.

Господи и он еще работает!