» Comodo Firewall Pro / Comodo Internet Security

Wombok, вроде бы быдо недавно в данной теме обсуждение по punto. Отлистай назад. Вроде как надо в Defense+ ему разрешить побольше... Или удалить одно из двух: CFP или Punto... Не помню...
Вот на оф.форуме - punto
Англоязычную часть форума не смотрел. Возможно и там есть что-нить.

Цитата:

Comodo начинает ругаться на Punto Switcher- компьтер виснет наглухо. только перезагрузкаю

Для Punto Switcher надо вручную отредактировать access rights в computer security policy: разрешить доступ к клавиатуре (keyboard->allow), оставить ask для protected COM interfaces, но добавить одну группу в разрешенные (modify->add->COM groups-> Pseudo COM Interfaces - Important Ports). Вообще-то нужен только один "important port" из 3-х, входящих в состав группы, но не знаю, как его вытянуть с помощью browse.
По крайней мере у меня после проделанных манипуляций PS работает без тревог от D+.

Khotckevich
не надо тестировать РАМ - ты только потратишь время.
На этой ошибке я уже наверное собаку съел.
Какие у тебя установлены низкоуровневые прилоения ? Особенно сетевые.
Там какой-то Netlimiter, NetPeeker. Другие шейперы может.
Антивирь какой. Вобщем всё что встраивается в систему и как-то касается сети.
И желательно содержимое дампа памяти выложить.

Также можно обратиться сюда http://forum.oszone.net/showthread.php?t=80297&highlight=000000d1

Khotckevich,

Если подозреваете, что BSOD вызывает последняя версия Comodo (3.0.18), разместите пожалуйста соответствующий малый дамп памяти + необходимую информацию здесь, если знаете английский язык, или здесь, если не знаете.

Помогите, пожалуйста, новичку ! Из соображений FREE-варности пришлось пересесть с любимого и обкатанного Outpost'a на Comodo 2.4.19.185 Русский. И сразу начались проблемы ! С некоторыми из них разобрался посредством чтения форума, но с одной до сих пор бъюсь ! Суть в том, что подключение на работе происходит по VPN. Проблема началась тогда, когда на чисто переставил WinXP. И теперь каждые 5-6 минут подключение VPN отваливается. Приходится постоянно переподключаться. Я не уверен на 100%, что виноват Comodo, но других подозреваемых у меня нет. Помогите, если кто знает, как лечить этот головняк ?

Syrax, хотелось бы увидеть выдержки из лога фаера, чтобы понять, что там режется.
А настройки по VPN в шапке есть, но порты могут быть отличными от стандартных, если vpn сама организация поднимала.

Цитата:

Какие у тебя установлены низкоуровневые прилоения ? Особенно сетевые

Ничего такого нет. Браузер, почтовик, качалка, КИПа, Скайп. Никаких проверяльщик траффа нет

Память протестировал все равно - ошибок нет

Драйвер Нвидиа обновил.

Сам фаер деинсталлировал и переустановил (оставил ту же версию 2.4). Пришлось правда по новой правила набирать. Однако обнаружил интересную весЧь: т.к. помню, что для uTorrenta устанавливал отдельное правило (согласно выбранного порта), не обнаружил там его ВООБЩЕ. Зато обнаружил правило

"Разрешить TCP или UDP ВХ. или ИСХ. ОТ IP (Любой) К IP (Любой) ГДЕ ПОРТ ИСТОЧНИК (Любой) и ПОРТ ПОЛУЧАТЕЛЯ (Любой)"

так это вроде бы как вообще ВСЕ разрешает? Ладно, думаю. Переустановил фаер и ЭТО правило оказалось наверху. Создал новое для уТоррента (согласно сноске в шапке) и поднял его наверх

Антивирус - NOD32 (версия 2.70)

Перерыл - не нашел КАК дать данные дампа памяти. Т.е скачал и установил себе Windows Debugger Utilities, скачал дополнительный скрипт kdfe (который почему то вылетает при обработке дампа и просится в инет - скачивал его с ПРАВИЛЬНОГО места).

Другим дебаггером удалось вырвать это

Цитата:

Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [D:\Download\Программы\kdfe\Mini022208-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055c700
Debug session time: Fri Feb 22 12:30:55.156 2008 (GMT+2)
System Uptime: 0 days 19:47:32.881
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
......................................................................................................................
Loading User Symbols
Loading unloaded module list
................
Unable to load image inspect.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for inspect.sys
*** ERROR: Module load completed but symbols could not be loaded for inspect.sys

а дальше он ругается, что не может прочитать символы.

Все пока. Уж не знаю, со страхом жду ночи (хех) - торрент у меня сам обычно ночью пашет

Добавлено:
Ах да, и что делать с указанным выше правилом (найденным как бы случайно), которое разрешает все? Я его сначала удалил, но тогда у меня и браузер, и уТоррент работать перестали. Что и понятно, в сущности, но откуда оно вообще взялось? (в смысле я же не покупаю пустых бутылок)

Khotckevich, я так понял, что это правило в Мониторе приложений ?
Тогда оно возникло после первоначального согласия на первый входящий запрос по данному приложению. И при условии, что изначально в фаере стоит "Уровень частоты оповещений" в положении "Низкий", как раз и создалось данное правило.
Лучше сразу переводить данный уровень в "Очень высокий", а уже потом, при необходимости, расширять получающиеся правила.
Подробнее тут - Особенности создания правил по запросу

Или это правило в Сетвом мониторе ? Ну, тогда его убить надо.

Цитата:

это правило в Мониторе приложений

Нет. Это именно в сетевом мониторе.

И еще - где можно уменьшить "протоколирование"? Я нашел только размер журнала - 5Мб

Добавлено:
Я ж говорю: убиваю - все хана инету. Браузер даже не пашет, хотя в мониторе приложений про него все расписано

Привет! какой антивирь нормально работает вместе с comodo? - kav 7 ругается на несовместимость...

MusicLover
устанавливаешь сначала kav , потом вторым - comodo , и вноси их в исключения друг у друга.

Цитата:

И еще - где можно уменьшить "протоколирование"?

Протоколирование уменьшается путем отключения данной опции во всех правилах Сетевого монитора. После этого в журнале будут фиксироваться только срабатывания Монитора приложений и анализатора всякого рода атак и т.д.


Цитата:

Я ж говорю: убиваю - все хана инету. Браузер даже не пашет, хотя в мониторе приложений про него все расписано

Khotckevich, для работы браузера входящие соединения не нужны (ну, за исключением скачивания с FTP в активном режиме).
Настройки то сетевые в порядке при отсутствии данного правила ?
Сделай следующее: ПУСК-Выполнить-cmd
Далее набери команду ipconfig /all и посмотри результат (будут ли данные по твоему IP, DNS-серверам и т.д.). Если не понимаешь результат, то тут выложи - посмотрим.

Возможно тебе надо разрешить конкретные входящие, необходимые для работы в сети. Скорее всего дело касается идентификации компьютера, а именно DHCP.
У тебя в настройках соединения прописан конкретный IP ? Предположу, что нет. Лучше бы лог журнала фаера выложил (предварительно включи во всех запрещающих правилах в Сетевом мониторе протоколирование).
Для примера приведу настроки по DHCP, которые я делал в Сетевом мониторе, когда использовал CFP 2:
• Разрешить UDP В/Из от IP любого к IP любому с портов 67,68 на порты 67,68.
Хотя в CFP 3 достаточно прописать только исходящие запросы:
• Разрешить UDP Исх. от IP любого к IP любому с порта 68 на порт 67.
Помимо этого я разрешал только входящие с FTP-серверов, работающих в активном режиме (т.е. передающих данные со своего порта 20 на мой порт в диапазоне 1024-65535). И всё. Но я не пользуюсь P2P-программами.

gameman
спасибо, помогло. Конечно, когда работают оба монитора (kav и defence+) система подтормаживает. Надеюсь, что после обучения будет получше. А монитор comodo не хочется пока отключать. Поконтролирую все тотально пока не надоест...

Цитата:

для работы браузера входящие соединения не нужны

ну отменить их не проблема - в том же сетевом мониторе. Только почему я браузеру не могу предоставить полных прав - я ему доверяю .

АйПи у меня статический и в правилах прописан, и маска подсети и т.д. и т.п. DHCP и DNS серверы прописаны. Тут дело в чем то другом (вот только в чем, блин)

Протокол

Цитата:

Дата/Время: 2008-02-23 22:30:42
Опасность: Средняя
Источник: Сетевой Монитор
Описание:Политика Исходящих Нарушений (Доступ Запрещен, ICMP = PORT UNREACHABLE)
Протокол:ICMP Исходящи
Источник: "мой ай-пи"
Получатель: 89.245.215.150
Сообщение: PORT UNREACHABLE
Причина: Сетевое Правило ID =6


Дата/Время: 2008-02-23 22:30:42
Опасность: Низкая
Источник: Сетевой Монитор
Описание: Информация (Доступ Разрешен, IP = 87.70.122.135, Порт = 32459)
Протокол: TCP Входящий
Источник: 87.70.122.135:2652
Получатель: "мой ай-пи : разрешенный порт для uTorrent"
Флаги TCP: SYN
Причина: Сетевое Правило ID =0

Хотя почему пробивает вторая запись, если торрент не работает - понять не могу

Вот обе эти записи и чередуются

Khotckevich, ни первая, ни вторая запись никак не связаны с тем, что браузер может не работать.
1. Сетевое правило ID =6 у тебя скорее всего - это завершающее правило, блокирующее всё. Можешь перед ним поставить запрещающее правило по любым ICMP, но без протоколирования и замусоривание журнала данным правилом прекратится.
2. Вторая запись пробивается в журнале, потому что у тебя в Сетевом Правиле ID =0 включено протоколирование, а от этого и журнал распухает. В разрешающих правилах вообще не за чем протоколирование включать. Я включал в Сетевом мониторе в разрешающих правилах протоколирование только для FTP, работающих в активном режиме.

И по поводу статики не до конца понял. Ведь статика может быть прописана только для локального соединения, а для подключения к интернету может быть динамический адрес (всё это от типа провайдера зависит). Так вот, если у тебя (как у меня) при включении компа включается локальная сетка, а в свойствах подключения по локалке прописано всё статикой или не прописано (не столь важно), но для подключения к интернету используется дополнительное подключение (у меня по VPN), в котором ничего не прописано и внешний IP адрес определяется DHCP-сервером провайдера, то в таком случае DHCP разрешать нужно.

Всё-таки запрети это правило, разрешающее все входящие, и протоколирование в нём включи, а потом лог покажи, чтобы можно было увидеть, что именно у тебя блокирует интернет при отсутствии такого правила.

А где можно почитать о подробной настройке Comodo для ламеров? Эта темка не очень информативна...

MusicLover, а что именно интересует?
Можно почитать на английском форуме Comodo.

WhiteyR
да собссна какой-то мануал как настраивать самые распространенные приложения и общие правила, как можно проще чтобы все было. Это мой первый фаервол

Сейчас все ходит в сеть без проблем, но есть подозрения что слишком свободно ходит... Возможно он у меня сейчас работает практически в открытом режиме, все поразрешал Надо закрутить болты

MusicLover, ставим Firewall Security Level в Custome Mode, а Defense + в Train with save.. и не пускаем в инет того кому не надо, когда Pop up вылезет..

А так вроде правила для наиболее популярных приложений, что в инет должны лезть есть тут в Шапке..на форуме Comodo есть еще правила для торрента, Emule и мирки..

А так спрашивай.. может придумаем..

Ну попробую тут спросить: у меня сеть из двух компов, один ходит в сеть через другой... Начну с того компа, который непосредственно подключен к инету. Сейчас там у меня:

Allow All Outgoing Requests If The Target Is In [WAN (PPP/SLIP) Interface]
Allow All Incoming Requests If The Sender Is In [WAN (PPP/SLIP) Interface]
Allow All Outgoing Requests If The Target Is In [Broadcom NetLink (TM) Gigabit Ethernet - Packet Scheduler Miniport]
Allow All Incoming Requests If The Sender Is In [Broadcom NetLink (TM) Gigabit Ethernet - Packet Scheduler Miniport]
Block ICMP In From IP Any to IP any where ISMP message is echo request

Это global rules

Как-то слишком много разрешено, по-моему?

Добавлено:
И еще вопрос: вот выскочило только что: System is trying to receive a connection from the Internet
remote 192.168.40.171 не могу блин разобраться, это другой комп обращается или атака из локалки (Application system)

MusicLover, разрешено действительно много, точнее ничего не запрещено, кроме одного типа ICMP...
В общем, типовые настройки для Global Rules такие:
• Allow IP Out From IP Any To IP Any Where Protocol IP Is Any
• Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
• Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
• Block And Log IP In From IP Any To IP Any Where Protocol IP Is Any
С такими настройками рарешены ВСЕ исходящие и 2 типа необходимых входящих ICMP.

Далее уже можно добавлять сюда правила в зависимости от потребностей. Можно ограничить исходящие (хотя это удобнее делать на уровне приложений), можно добавить разрешённые входящие (добавлять их надо до блокирующих правил).
Приведу примеры:
• Разрешение входящих для активного типа FTP-соединений:
Allow And Log TCP In From In [Active FTP Servers] To IP Any Where Source Port Is 20 And Destination Port Is In 1024-65535;
• Разрешение входящих для торрента:
Allow TCP And UDP In From IP Any To IP Any Where Source Port Is In 1024-65535 And Destination Port Is In [Torrent Port];
• Разрешение всех соединений внутри локальной сети (внутри квартиры, например):
Allow IP OUT From IP Any To In [Local Network] Where Protocol IP Is Any
Allow IP In From In [Local Network] To IP Any Where Protocol IP Is Any

По поводу правил "комп через комп в интернет" - не скажу точно, поскольку у самого только один компутер, а обманывать не хочется.

По поводу правил для приложений, то их удобно делать на основе трёх позиций: My Port Sets, My Network Zones и Predefined Firewall Policies - подробнее об этих пунктах написано в шапке.

---

WhiteyR, сформулируй в кратком виде виде правила по торренту и прикрепим в шапке (а то вдруг ты сообщение XenoZ'а не увидел тут - http://forum.ru-board.com/topic.cgi?forum=2&topic=3025#16 ). Ссылку на первоисточник, само собой, тоже дадим (если ты об этом беспокоишься), просто сформулировать надо кратко, а то там на 10 страниц обсуждение...

WIGF
а нельзя ли разрешить для начала все, а потом просто понастраивать приложения? Когда у меня что-то левое происходит, он предлагает выбрать, что с ним делать. Например, было уже несколько атак по локалке (по крайней мере я так думаю ) comodo предложил варианты, что с ними делать. Т.е. нельзя сказать, что он пускает все, так?

Добавлено:
То есть, я правильно понимаю, что "разрешение всего" в global rules просто приводит к тому, что фаер будет при каждом коннекте спрашивать что с ним делать? Но это не делает комп открытым и уязвимым для атак?

MusicLover, смотря какой режим для фаера выбран:
• если стоит Custom Mode, то, действительно, будет спрашивать всегда;
• если стоит Train with Safe, то будет спрашивать для несертифицированных приложений, а для сертифицированных COMODO будет создавать автоматически разрешающие правила;
• если стоит Training Mode, то вообще будет всё разрешать и прописывать правила для возникающих соединений.

Но есть один вопрос (не уверен я, потому что таким образом не эксперементировал): а что будет для входящих соединений, например если кто-нить захочет приконнектиться к порту 445 на твоём компе, а в сетевом мониторе вообще не будет упоминаться ничего о входящих соединениях (ни запрещены они не будут, ни разрешены, ни с запросом, просто не будет такого правила и все) ?
Всегда ли фаер спросит о таких соединениях ? Или же может разрешить, если не будет привязки к конкретному приложению ?
Скорее всего спросит... а вдруг не спросит и разрешит ?
Всё-таки, как говориться "доверяй, но проверяй".
Если хочешь пока всё сам решать для входящих, то поставь в Global Rules последним правилом следующее:
Ask IP In From IP Any To IP Any Where Protocol IP Is Any
По исходящим соединеним всё просто (выше написал какая будет реакция в трёх режимах фаера).

WIGF
ясно... пока оставлю train with safe mode + "все разрешено" в global rules. На самом деле, твои настройки очень похожи на то, какие global rules создает stealth ports wizard если сказать ему скрыть все порты. Но мне такой режим не очень подходит. Начинает вовсю матюгаться utorrent.

uTorrent это, кстати, отдельная песня. В шапке прибиты вообще какие-то левые правила для него... Судя по всему, это одно дополнительное правило на случай если возникают какие-то определенные проблемы (сильно не разбирался) я пробовал настроить правила как советуют на форуме Comodo (в FAQ одна из первых прилепленных тем). Но мне те настройки не подходят. Они для белых людей с IP... Тьфу, для людей с белым IP. У меня же все через зад, т.е., через NAT. Соответсвенно, эти настройки вырубают мне upnp что-таки конкретно ограничивает источники как на отдачу так и на скачивание (воскл. знак в желтом треугольнике меняется на воскл. в красном кружке и uTorrent орет что все закрыто). Я смотрел логи, правда, так и не понял, он поминутно дает отлуп UDP которые вроде как никак не противоречат правилам. Не понимаю.

Так или иначе, я uTorrent пока все разрешил. Чем это чревато? У меня будут открытые уязвимые порты при сканировании портов? Или злоумышленники смогут использовать uTorrent для атак? Не совсем понимаю...

В шапке написаны настройки для версии 2.4.
На сайте же Comodo в FAQ есть настройки для третьей версии.. с ними все хорошо работает..
Если у тебя NAT, то тебе надо просто открыть порт на роутере, а об этом в этом же FAQ написано...

Или вот посмотри тут...

http://forum.ru-board.com/topic.cgi?forum=2&topic=3025&glp#lt - правила для торрента с некторыми разъяснениями

Я не могу "просто открыть порт на роутере"... Роутер - это провйдерский сервер, за которым нас таких еще 3000... О если бы все было так просто. Я не имею никаких инструментов для настройки роутера.

MusicLover, тогда разрешения всего для торрента в твоем домашнем фаере не исправит
Цитата:

(воскл. знак в желтом треугольнике меняется на воскл. в красном кружке и uTorrent орет что все закрыто)

...
Для этого надо платить за свой выделенный IP

WhiteyR
ну как же не исправит? когда я разрешаю все, upnp работает, когда даю правила из форума comodo upnp закрыто и значок меняется как я уже говорил - факт.

Чем опасно разрешение всего для uTorrent?

ЗЫ и я уже говорил, правила работают как-то странновато. Почему они блокируют UDP которые, казалось бы, соответствуют этим правилам?

Странно...надо значит мне проверить..правила..

WhiteyR
у вас правила такие же как в форуме comodo или в чем-то есть различие? Мне на первый взгляд показалось что нет?