» Comodo Firewall Pro / Comodo Internet Security

student24, упс. Невнимательно прочитал. Тогда никакие варианты в голову не приходят. С NOD32 таких глюков нет (определяется именно процесс антивируса при вэб-сёрфинге).

student24, WIGF
На оффоруме этот вопрос тоже задали, пока - тишина. (повеселил ответ нуба )
IMHO, очередной глюк Комода, возможно связанный с самозащитой 5-го Веба.
Ждать, наверное, пока разработчики отпишутся...

А "Windows Operating System" - это "шедевр" творческой мысли... Так комодовцы решили обозвать пакеты, к-рые Комод не может привязать ни к какому приложению (до этого, если не ошибаюсь, было "System Idle Process").

XenoZ

Цитата:

А "Windows Operating System" - это "шедевр" творческой мысли... Так комодовцы решили обозвать пакеты, к-рые Комод не может привязать ни к какому приложению (до этого, если не ошибаюсь, было "System Idle Process").

А почему не может?

Цитата:

Так комодовцы решили обозвать пакеты, к-рые Комод не может привязать ни к какому приложению

Возможно еще и System - аналогично предыдущему -

Есть 2 конфигурации: условно А и Б.
Обе с паролем. Переключится через Manage my Configuration можно только после ввода пароля. Зато кликнув правой кнопкой в трее - Configuration переключайся сколько хочешь между ними и пароль вводить не надо.
Ну как такой маразм можно было упустить ??? Я вот не пойму. Это говорит о полных дебилах в QA. Это даже не баг - это высшей степени маразм.

Кто-то знает ка крешить проблему ? А то получается, что конфы бесполезная для меня вещь.

Насколько критичен HIPS (Defense+) для эффективности защиты CIS как брандмауэра на домашнем компе, если при этом постоянно работает Avira Guard+WebGuard? (Если я верно понимаю назначение HIPS, конечно.)
Так выходит, что совместная работа CIS Defense+ и Avira Guard заметно подтормаживает работу/запуск програм (Виста64), да и Defense+ постоянно верещит, даже в режиме Clean PC. Вот и подумалось, - а оно (Defense+) вообще необходимо в этой ситуации?

Sagus
То, что не поймает антивирус сигнатурами и эвристикой может блокировать HIPS. На первых порах он действительно назойлив со своими вопросами. Зато потом - как за каменной стеной. Однако надо признать, что HIPS - не для домохозяек, нужно элементарно понимать, что происходит и кому что разрешать.

Меня HIPS Комода реально спас от зловреда, попытавшегося стырить все пароли с машины и отослать по фтп доброжелателю. С тех пор не убираю ни при каких случаях - даже если какие-то игрушки тормозят и виснут (так было, например, с GTA4) - после ребута обо всём скажут логи, ну а правила можно и ввести ручками, а не в интерактиве.

Но опять же: если неуверен в своих силах (хотя там по сути элементарных знаний достаточно) - HIPS может оказаться бесполезен.

Принимайте в ряды пользователей CIS(v3.5.57173.439). Чтобы не досаждать кучей вопросов, буду задавать по пару-тройке. Пока что только по файеру. Как я понимаю, его нужно отстроить так, чтобы журнал (протокол) событий как можно менее пополнялся "красными" запретными строками. По правилам приложений пока вопросов нет : немного помучался с uTorrent, т.к. отдача поначалу шла только при одновременной загрузке ; как только останавливал загрузку, то и раздача всех торрентов останавливалась, даже тех, где я единственный сидер. Интересно то, что в протоколе блокировалась огромная масса входящих на порт uTorrent-клиента, которые по-любому были разрешены в правилах приложений... Вывод напрашивался такой, что входящие блокируются единственным умолчательным глобальным правилом или каким-то хитрым внутренним фильтром... После внесения правил, вычитанных на форуме Comodo, раздача пошла на всю ширину канала :

Global Rules (для uTorrent) :
Allow / TCP or UDP / In / From IP Any / To IP Any / Where Source Port Is Any / Destination Port Is *Порт uTorrent-клиента*

Application Rules (для uTorrent) :
Allow / TCP or UDP / Out / From IP Any / To IP Any / Where Source Port Is Any / Destination Port Is Any
Allow / TCP or UDP / In / From IP Any / To IP Any / Where Source Port Is Any / Destination Port Is *Порт uTorrent-клиента*
Block and Log / IP / In\Out / From IP Any / To IP Any / Where IP Protocol Is Any

Ещё по тому же факу из форума я убрал умолчательное правило из глобальных :
Block / ICMP / In / From IP Any / To IP Any / Where ICMP Message Is ECHO REQUEST
и добавил какое-то непонятное для меня правило в приложения :
Application Rules (для uTorrent) :
Allow / IP / Out / From IP Any / To IP Any / Where IP Protocol Is Any
Allow / ICMP / In / From IP Any / To IP Any / Where ICMP Message Is FRAGMENTATION NEEDED
Allow / ICMP / In / From IP Any / To IP Any / Where ICMP Message Is TIME EXCEEDED
Block and Log / IP / In / From IP Any / To IP Any / Where IP Protocol Is Any

Теперь протокол пестрит блокированными входящими :
Для svchost.exe - по 135 порту (TCP)
Для System - по 139 и 445 портам (TCP)
Для W.O.S. - по 22 и 23 портам (TCP) и куче портов диапазона 1024-65535 (Non-Privelege Ports) (TCP & UDP)
А также заметил блокированные исходящие :
Для svchost.exe - c 123-го порта на 123-й (UDP) и с 68-го порта на 67-ой (UDP)

Как теперь разобраться с этими системными запросами (что пускать, а что блокировать ?) , даже не знаю. На XP я использовал файер для домохозяек MDF8.5 В нём по умолчанию системные правила были прописаны. Достаточно было какое-то время "пощёлкать" вскакивающие окошки правил приложений в обучающем режиме, а потом закрыть остатки финальным блокирующим правилом - вот и вся наука. Жаль, что на новых O.C. выше XPSP3 этот простейший файер не работает... Теперь задача выбрать нужное для моего ADSL (WAN - PPoE) соединения из старых правил (надеюсь, вы мне поможете) :

vitsat
uTorrent - поставил-бы просто в Trusted Aplication и забыл о нем.


Цитата:

Теперь задача выбрать нужное для моего ADSL (WAN - PPoE) соединения из старых правил (надеюсь, вы мне поможете)

У тебя например разрешен GRE протокол - в Comodo я его не видел, но если все работает, то может дальше не экспериментировать?

зы - аналогично для emule - Trusted Aplication

Можно ли как-нибудь, кроме глюка, объяснить блокировку сетевым экраном Аваста доступ к безопасному сайту "2009softwarereviews.com"?
У меня стоит Комод 3.0 и СайтАдвизор, но до них дело не дошло.
(подробности в http://forum.ru-board.com/topic.cgi?forum=5&topic=28861&start=220#lt)

KUSA, спасибо за отзыв. А какое правильное финальное блокируещее правило для Comodo ? Имеется в виду глобальное. Или оно вообще не нужно ?
В MDF для всех правил один список, и я немного теряюсь, какие правила прописывать в глобальные ? Вот если бы мне кто-то скинул в личку скриншот своих правил (свои секретные IP заштрихуйте, но укажите хотя бы название правила) для моего типа интернета (ADSL WAN PPoE напрямую с провайдером без локальной сети с динамическим присвоением IP при реконнекте), тогда я бы врубился в смысл.
И не могу врубиться в таких моментах :
1. Allow Access to Loopback Zone - для чего это правило ?
2. В разделе "Network Zone" у меня есть две зоны :
Loopback Zone - [127.0.0.1/255.0.0.0] и "Мой компьютер" - [192.168.1.2/255.255.255.0]
Это правильные параметры ? Или достаточно одной зоны из этих ? Тогда какие параметры оставить ?

решил попробовать comodo (latest СIS 3.5 Vista x64), возникло два вопроса:
1) View Active Connections - трафик у всех по нулям - это баг - или что-то поправить надо?
2) Не дает в локальной сети обращаться к хостам по именам. Т.е. например
ping exampleserver
Ping request could not found host...

по IP - все ok, отключение firewall'а также комодовского помогает, правила попробовал самые разные вплоть до убивания всех блокирующих, в приложениях тоже ничего лишнего. Сформулировать запрос для поиска решения ни здесь ни на форуме COMODO не смог, подскажите куда копать.

cryptonium
Антивирус с веб-монитормо стоит?
В Глобальных Правилах файервола стоит блокировка ICMP?

gjf
сначала - да, но прописывал разрешения для локальной сети
далее удалил все блокировки в принципе - но результат - тот же

vitsat

Цитата:

1. Allow Access to Loopback Zone - для чего это правило ?

Петля обратной связи - можно не торгать (лучше не трогать)

Цитата:

Это правильные параметры ? Или достаточно одной зоны из этих ? Тогда какие параметры оставить ?

Оставь то что есть, если работает ...

Немного не в тему - какие порты разрешать на входящие для протокола ICQ при приёме файлов? Регулярно пытается принимать на 3027, 4952 - с каждым стартом новый порт, пока закономерности не уловил. Так что открыть, чтобы файлы лезли нормально?

Ах, да - пользуюсь Мирандой.

Здравствуйте господа... Поставил на днях сей чудесный фаервол. Всё в нём хорошо, но вот не могу найти вот что:
если посмотреть в лог, то видно что постоянно из инета на тачку приходят входящие, выглядит примерно так:
07.01.2009 1:54:16 Windows Operating System Blocked TCP 94.181.72.227 1545 <мой ip> 29789

так вот - хотелось бы, чтобы перестали логироваться непривелигированные порты, которые отбивает система

в глобальных правилах лишь 3 правила:
1. разрешить все исходящие в локалку
2. разрешить все входящие из локалки
3. запретить все ICMP

а вот "блокировать и логировать всё, что не разрешено" здесь нет. хотелось бы оставить в логах сообщения на запрещённые соединения на порты 0 - 1024.

подскажите как?

Добавлено:
gjf
если не ошибаюсь - то порты из непривилегированного диапазона, раздаются динамически на каждый сеанс передачи.

так что "входящие отовсюду на мою тачку порты 1025 - 65535"

Добавлено:
всё, разобрался

в глобальные добавил ещё 2 правила:

4. разрешить все tcp/udp отовсюду
5. запретить и логировать все tcp/udp отовсюду по портам 1-1023
6. запретить все tcp/udp отовсюду

так правильно делать?

Добавлено:
хотя нет, всё равно проскакивают в логи подобные записи..... хмм.... прошу помощи тогда

zerkms

Цитата:

"входящие отовсюду на мою тачку порты 1025 - 65535"

Что-то очень дыряво выглядит...

gjf
а у тебя миранда вообще какие порты слушает - для начала посмотри

Цитата:

так вот - хотелось бы, чтобы перестали логироваться непривелигированные порты, которые отбивает система

zerkms, сделай такое правило четвёртым в GR:
Block TCP or UDP IN From IP Any To IP Any Where Source Port Is Any And Destination Port Is In [1025-65535]
Соответственно, этим правилом все входящие на порты 1025-65535 будут молча резаться.

WIGF
так они будут резаться и для разрешённых приложений - того же торрент-клиента, например.
мне нужно - просто выключить ведение лога для этих отбоев

zerkms
Она слушает те порты, которые ей говорят - всё зависит от набора плагинов. Вы знакомы с Мирандой?
Сейчас вопрос о работе плагина ICQ, который даёт возможность общения по этому протоколу. А работает он точно так же, как QIP, ICQ, &RQ и кто угодно - в противном случае был бы конфликт клиентов. Так что вопрос конкретно к асе, а Миранда здесь просто не при чём.

Люди, а не подскажите как правильно настроить этот файрвол под Корбину (московскую) ?
Никакой сверхзащиты от файрвола не нужно, нужно просто чтобы он нормально работал с интернетом, торентами и отслеживал программы пытающиеся получить доступ в сеть.

gjf
1. перед тобой есть факт - что при передаче файлов выбирается случайный порт
2. озвучь, какие из используемых тобой плагинов раскупоривают хотя бы один порт на прослушку

PolSmit

Цитата:

как правильно настроить этот файрвол под Корбину

В шапке -"Решения проблем с настройками":
http://forum.ru-board.com/topic.cgi?forum=5&topic=25649&start=0&limit=1&m=13#1

Цитата:

так они будут резаться и для разрешённых приложений - того же торрент-клиента, например.
мне нужно - просто выключить ведение лога для этих отбоев

zerkms, правила обрабатываются сверху вниз. Если срабатывает какое-либо правило в GR, то дальше в GR проверка не идёт. Значит, если выше были разрешены соединения для торрента, то этим правилом они не будут заблокированы. Ну а если этого разрешающего правила нет, то его надо сделать (разрешить входящие от всех на твой порт торрента).
Иначе никак ты не заставишь фаер логировать только то, что тебе хочется: ведь он по правилам действует (прописано LOG -> протоколирует, прописано без LOG -> не протоколирует), а отдельного пункта в настройках, чтобы сделать протоколирование только каких-то портов у COMODO нет, да и вряд ли у кого-то есть, всё с помощью правил делается.

WIGF
твой ответ я не совсем понимаю. правила, которое бы логгировало отбитые соединения на "Windows Operating System" нет - вообще такого приложения и процесса ни в списке правил, ни в винде не существует. это, вероятно, служебный алиас фаервола или служебное правило, вроде "всё что не было обработано - запретить и залоггировать". мне нужно узнать - как выключить логировать отбитые соединения, для которых НЕТ ПРАВИЛ.

zerkms
Вопрос был прямой, а мы начинаем оффтопить про Миранду. Какие входящие порта использует протокол ICQ? Это действительно 1025-65535 или диапазон уже?

gjf
ты сам перешёл на частности. у тебя клиент не открывает сам ни одного порта => проблем безопасности вышеозвученное правило не принесёт.
по теме - насколько я слышал, сам протокол не регламентирует диапазон портов, но конкретные реализации вполне могут выбирать порт и из диапазона уже, чем 1025-65535

zerkms
Понятно в чём недоразумение. Объясню. У меня стоит антивирус с веб-монитором, а значит правила могут быть только глобальные, поскольку все программы выходят в сеть только через веб-монитор, а что разрешено ему - разрешено всем (или никому). Это уже обсуждалось.

Именно по этой причине открывание такого большого диапазона выглядит нерадостно.