» Comodo Firewall Pro / Comodo Internet Security

WhiteyR, а как же
Но чтобы не выкладывать самому, я дам ссылку на топик на ру-борде, в котором всё есть:
Код: http://forum.ru-board.com/topic.cgi?forum=35&topic=40442

А как понимать вот подобное:

02.07.2008 16:01:14    C:\Program Files\Opera AC 3.5.2\Misc\MultiAC.exe    Blocked    192.168.1.42    Type(8)    89.108.67.204    Code(0)

В смысле что за тип и что за код вместо портов?

AndreyAgrh, это какая-то штука из Оперы зачем-то занимается пингом адреса cp132.agava.net (89.108.67.204).
(Type(8) - это исходящее сообщение ICMP Echo Request)

Вопрос скорее сюда - http://forum.ru-board.com/topic.cgi?forum=5&topic=26701#1 - и это вопрос по работе этой сборки Оперы.

WhiteyR
Не торопись. Локальное прокси решение имеет свои плюсы и минусы. НОД сейчас напоминает решето по количеству пропускаемых вирусов (поверь печальному опыту). Кроме того сокет-решение второй версии, как пишут в сети, позволяет некоторым скриптам и эксплоитам всё-таки пройти защиту.
Поставь общие блокирующие правила на веб-модуль и будь счастлив!

Поюзал тут третью версию, впечатление что продукт еще сыроват.
За первый час 2 раза машину перезагружал по ресету благодаря Punto Switcher.
Не порадовало, что иногда для применения каких-то правил приходилось перезагружать машину, иначе они не работали...
Оч. хотелось бы видеть вместо айпишников нормальные адреса - когда прога (Feed Demon) ломиться на 2 десятка сайтов, нельзя разобрать куда ее можно пускать, а куда нет.
Разок я не смог через диспетчер задач убить прогу - Comodo судя по всему не дал, хотя на его запрос я дал разрешение.
И последнее: использовал сразу Custom Policy Mode + Paranoid Mode

AndreyAgrh
Параноид - он и в Африке параноид А если серьёзно, то...

Имхо решение с IP лучше. Неуверен, сколько занимает рессольв по IP, но если соединений много - файервол будет крыть DNS запросами. Тем паче, что самостоятельно разобраться с IP не составляет труда даже штатными средствами.

Для каких правил нужен перегруз? Attack Detection Settings?

А чтобы убить прогу разрешение надо давать не убиваемой проге, а убивающей, то бишь taskmgr.exe с правами Windows System Application.

Согласен, есть некоторые глюки, но не настолько.

Цитата:

Custom Policy Mode + Paranoid Mode

Ну а чего тут удивляться ? В таком сочетании будет максимальное количество алертов и, соответственно, максимальная загрузка компа. А выдержит ли это испытание комп (сразу такой уровень безопасности) зависит от мощности компа и от количества запущенных программ... Мне было бы жалко свой комп так мучать
AndreyAgrh, если есть уверенность, что комп чистый, то лучше для начала поставить Safe Mode + Clean PC Mode, позапускать все доверенные программы (не только те, которые в инет выходят, но и всякие редакторы и т.п.), а потом уже ставить Custom Policy Mode + Paranoid Mode и играться с оставшимися приложениями.

Дык я эти режимы поставил как раз из-за Feed Demon'а.
это Rss читалка, но эта собака вчера 10 метров отправила в инет чего-то!! Ну не могут 20 запросов скушать столько!!
Кроме этого на компе Avira Personal стоит + стоял до Comodo UnHackMe.
Комп должен быть чистый, т.к. его купили новеньким всего 2 месяца назад.
Что касается других режимов фаера - изначально поставил именно Safe Mode, но меня совсем не порадовало, что он что-то там без меня разрешает+ никаких алертов, а лишний трафик идет все равно, хотя и меньший чем совсем без Comodo.

> А чтобы убить прогу разрешение надо давать не убиваемой проге, а убивающей, то > бишь taskmgr.exe с правами Windows System Application.
Это понятно, только один момент. Приложение, которое нужно было убить отлаживалось в дельфе и повисло, а заодно оно сетевое (БД) и работало с СОМ портом.
Может в этом дело было..

AndreyAgrh, если сам трафик нужно проанализировать, то для этого нужны Wireshark (с GUI) или TCPDump (без GUI). Обе программы бесплатные.

WIGF
+1

AndreyAgrh
Я бы ещё GMER поставил и сделал полный скан. Симптомы настораживающие.
А UnHackMe зачем снёс? Он Комоду не мешает, у них функции разные.

Подскажите. При отсутствии глобальных правил и созданных правил для приложений, надо еще эти самые глобальные прописывать? Или наоборот создать глобальные, а всех вкинуть в трастовые?
И еще для данного фаервола:
- если исходящие значит source port - это от меня, а destination port - кому и соответственно наоборот, входящие - destination port это мне, а source port от меня?
Или я чегото не догоняю?

SoulWar

Цитата:

При отсутствии глобальных правил и созданных правил для приложений, надо еще эти самые глобальные прописывать?

При отсутствии запрещающих - не надо. Просто по умолчанию (а еще в результате работы стэлс-визарда) создается глобальное правило, блокирующее все входящие. Вот из-за него и создаются дубликаты входящих правил в AR и GR.


Цитата:

Или наоборот создать глобальные, а всех вкинуть в трастовые

В таком случае Комод у тебя превратится в простой блокировщик портов. Но, imho, ради этого держать его не стОит, так как есть более стабильные и менее требовательные программы.


Цитата:

если исходящие значит source port - это от меня, а destination port - кому и соответственно наоборот, входящие - destination port это мне, а source port от меня?

Так и есть.

Цитата:

Я бы ещё GMER поставил и сделал полный скан. Симптомы настораживающие.
А UnHackMe зачем снёс? Он Комоду не мешает, у них функции разные.

Да мне почему-то подумалось что они будут дублировать друг друга.
GMER вот поставил, но он выдает кучу инфы, не совсем ясно что оттуда можно выловить. Просканировал комп, вроде никаких не известных файлов и драйверов не увидел..

Еще обнаружил, что svchost при включении компа лезе по каким-то диким адресам в инет:
209.84.1.126
204.160.120.125
4.23.49.126
и т.д. WHOIS показывает что это Level 3 Communications, Inc.

Правила работают сверху вниз или наоборот?
Т.е. Первое блокирующее все, а потом разрешения или вначале разрешения, потом блокировать все?

SoulWar, правила работают сверху вниз - AR и GR.
Стандартная логика организации защиты в фаере: разрешить то, что нужно и можно, а остальное запретить.
Т.е. в общем виде: сначала разрешающие, а потом завершающее, блокирующее всё, но могут быть исключения.
Например, если надо запретить броадкастовые запросы, кроме DHCP, то в начале GR надо поместить вот эти 2 правила, а потом уже писать остальные (разрешающие и завершающее блокирующее):
• Allow UDP Out From IP Any To IP Is In [broadcast] Where Source Port Is 68 And Destination Port Is 67
• Block TCP and UDP Out From IP Any To IP Is In [broadcast] Where Source Port Is Any And Destination Port Is Any

Добавлено:
AndreyAgrh, почитай тут про эту Level 3 Communications, Inc.

AndreyAgrh
Ну вообще-то по логам GMERа книги писать можно, оффсайт тебе в помощь.
Посмотри, какие у тебя там службы на компьютере запущены и прибей ненужные. Только ОСТОРОЖНО - не убей систему. Что не знаешь - лучше спроси.

До этого момента дела с Сomodo не имел, использовал Agnitum Outpost. Раньше пользовался режимом обучения, было достаточно просто, но по некоторым причинам мне аутпост не нравился. Посмотрел на этом сайте голосование и обнаружил, что большинство считают лучшим Comodo, поэтому решил попробовать поставить его. Компьютер с Vista Ultimate x86.

Наверняка тема обсуждалась, но я пока нахожусь в начале топика... Написал из-за возникшей проблемы: инет платный, раньше трафик контролировала DM Meter. Сейчас забыл его поставить, сижу читаю топик по этой теме. Случайно решил проверить статистику у провайдера, обнаружл утечку трафика. Поставил снова DM Meter и вижу, что что-то качается. Зашел в Comodo во вкладку Active Conections, нашел пару процессов, которые что-то закачивают - забанил их. Но вот DM Meter все равно показывает, что идет какой-то процесс скачивания. Это даже не скачивание, а какой-то обмен пакетами, график у DM Meter весь "рваный".

После установки Comodo, не работало ничего кроме аськи и обновления времени Windows. Как я понял для аськи создались правила автоматически. Браузер Firefox отказался работать.
Обновление Виндовс не работало тоже. После моего шаманства над правилами заработало и обновление и браузер.

Скажите, как определить, что качается и как это забанить? Я полагаю, что закачка информации - дело рук Висты, но ведь в Active Connections все тихо...

Lassetti, чуть выше на этой странице я написал ссылки на проги Wireshark и TCPDump. С их помощью можно увидеть всё, что захочется (Wireshark удобнее, т.к. с GUI).
Ну а дальше можно банить в COMODO того, кто провинится.

Материться охота. Обнаружил, что это качает ekrn.exe принадлежащий NOD32. Вот сижу бьюсь, чтобы настроить обновление с неоф зеркала, а эта хрень в не спрашивая меня закачивает что-то, хотя там в обновлении стоит нужный мне сервер, но при попытке обновить появляется -сервер не найден.

Lassetti, лучше ключик получи на 3 месяца и пусть качает с оф.сайта.
Способы получения вот тут - http://forum.ru-board.com/topic.cgi?forum=2&topic=3414 (выбирай вариант 2. Китай).

Кстати Lassetti Nod32 пропускает весь трафик через себя, поэтому или в нем надо запретить контроль интернета или комодо будет видеть что только он и лезет в интернет

Цитата:

Кстати Lassetti Nod32 пропускает весь трафик через себя, поэтому или в нем надо запретить контроль интернета или комодо будет видеть что только он и лезет в интернет

Достаточно Ноду сказать чтобы проверял траффик только тех прог, которые помечены как броузеры.

Spirits
Он по умолчанию всех новичков воспринимает, как браузеров.

а как насчет совместной работы PuntoSwitcher и Комода ? Машину не вешает Комод как в старых версиях ? Вплоть до 3.0.24.368 это у него проблема... Просто хочу пересесть с Аутпоста(заманали синие экраны) на Комод.

Уважаемые гуру, подскажИте, а что в памяти сервис cmdagent.exe конкретно делает...? ...меня терзают смутные сомнения что он как раз PLUS'овский A-VSMART удалённый доступ к клиентским машинам и даёт ...

Globulopolis
Да вроде нет такой проблемы.В новых сборках.

Globulopolis, проблема не в фаере, а в пунте. Он глючит со многими хипсами. Поэтому пока не исправят эту проблему разрабы пунты - она никуда не уйдет.
Хотя с другой стороны жить можно и с "доверенным в D+" путно.
PS: кстати машину никто не вешает, а просто блокируется GUI. Ждешь таймаута (120сек по умолчанию) и продолжаешь работать.

Globulopolis
hapatsa
Работает отлично и ничего не вешает. Могу скрин систрея привести как доказательство

D555
Это и есть хипс с файерволом.

gjf
Если сначала ставить пунтоса, а затем Comodo, то еще как вешает.. =)

AndreyAgrh
У меня просто было наоборот