» Comodo Firewall Pro / Comodo Internet Security

Обязон расскажу

gjf

Цитата:

HIPS = Host Intrusion Prevention System, другое название - проактивная защита.

В Comodo его функции выполняет модуль Defense+.

Вы его не устанавливали?

Я не знаю. Ставил всё по-умолчанию. Как его включить?

nedved

Цитата:

в глобальных правилах для DNS прописал не зоны а просто айпи 192.168.1.4(ист) 192.168.1.1(53)пол)

Можно попробовать убрать адреса DNS и оставить только порты

Zkraft

Цитата:

Скажите амигосы, комод лучше или хуже оутпоста? Снес оутпост поставил комод тока что

Сменил месяц уже как Оутпост на Comodo Internet Security 3.5, и очень доволен. Систему тормозит меньше, серьезных гадов с тех пор на компе больше не наблюдал. Ну в паре с антивирем, конечно. В первый раз вижу чтобы бесплатная прога платный аналог превосходила!

Подскажите решение.

Установлен Комодо 3.8.61948.459 beta (на 3.5 та же ситуация) без антивируса (стоит авира премиум). При загрузке компа (не всегда, но зависимость не уловил) локальная сетка ругается на "подключение ограничено или отсутствует", приходится завершать сеанс текущего пользователя (без перезагрузки) и заходить опять - почти всегда проблема исчезает и подключение к локальной сети появляется.

Без комодо такой проблемы при загрузке не возникает.

Что подкрутить в настройках?

Ke
Правой кнопкой нажми на иконку в трее и посмотри Defense+ Security Level.

AlaRic, я как-то потерялся: а версия фаера у тебя какая стоит ? А то вроде и пишешь про GR/AR, а логи на русском. Всё-таки тройка стоит ?

И чтобы изменения в правилах начали нормално функционировать (особенно после того, как были блокировки, а ты их потом разрешил), надо комп перегрузить. Может в этом весь секрет неработоспособности изменений правил ?

Если не поможет, тогда выложи свои настройки в GR и настройки для svchost.exe и для "Windows Operating System" в AR.

---

---

nedved,
Цитата:

1.вот когда стоит последнее запрещающее правило - постоянно лочит:

Значит надо сделать разрешающие правила и для DNS-серверов провайдера.
А по поводу портов: DNS-запросы от лица системы теперь идут с больших портов, а такие же запросы от приложений идут с маленьких портов. Т.е. в твоём случае в Сетевом мониторе пропиши разрешающие с портов 1025-65535, а в Мониторе приложений можно сузить эти диапазоны.
Цитата:

2. стоит параллельно с comodk 2.4 Avira Antivir Premium
вот когда торрент закончил качать, через файл авировсого WebGuard продолжаються идти подключения...вида:

А там фигурирует твой порт для торрента ? Тогда просто до других компов информация о том, что ты уже закрыл торрент-клиент не дошла, вот они и долбятся.
А чтобы в журнале не было такого мусора, отключи протоколирование в последнем запрещающем правиле, либо сделай перехватывающие блокирующие без протоколирования (на предыдущей странице я приводил свои такие правила).

---

---

Цитата:

Скажите амигосы, комод лучше или хуже оутпоста? Снес оутпост поставил комод тока что

Zkraft, по последним версиям не скажу, но я сам когда-то ушел с аутпоста 4 на COMODO 2.4 по нескольким причинам (основная - нежелание работать совместно моего нового принтера и аутпоста, а потом уже увидел и более простые настройки COMODO, и меньшее поедание ресурсов, и отсутствие бредовых блокировок vpn и др.).

---

---

acm1899,
1. Тройка удобнее в настройке, есть удобные опции - группы портов, зоны, предустановленные политики, есть возможность делать несколько конфигураций и быстро переключать их, ресурсов немного больше потребляет (на совсем дохлых/древних компах будет тормозить систему), а то, что не русского, так там не особо мудрёный и английский. Так что я бы посоветовал тройку.
2. Есть разные режимы - Firewall Behavior Settings - по описанию выбери нужный, а типовые правила для разных программ есть в шапке - Predefined Firewall Policies и просто в шапке - можешь создать такие политики, а потом выбирать их при запросе новых приложений.
Можно, конечно, выбрать режим Safe Mode - там будут создаваться правила самим фаером для сертифицированных приложений, но они будут слишком общими (хотя можешь их потом сам подредактировать), но лучше использовать Custom Mode и для всех приложений самостоятельно создавать правила (например, на основании предустановленных политик).

---

---

Цитата:

Установлен Комодо 3.8.61948.459 beta (на 3.5 та же ситуация) без антивируса (стоит авира премиум). При загрузке компа (не всегда, но зависимость не уловил) локальная сетка ругается на "подключение ограничено или отсутствует", приходится завершать сеанс текущего пользователя (без перезагрузки) и заходить опять - почти всегда проблема исчезает и подключение к локальной сети появляется.

Без комодо такой проблемы при загрузке не возникает.

Что подкрутить в настройках?

EugeneVas, фаер блочит DHCP-запросы. Посмотри на стр. 86 мои настройки и особенно правила 1 и 8. Секрет точно в них.
Т.е. либо у тебя не разрешены исходящие DHCP-запросы, либо DHCP-сервер тебя не может пропинговать и не отправляет тебе в связи с этим сетевые настройки.

WIGF

Цитата:

фаер блочит DHCP-запросы. Посмотри на стр. 86 мои настройки и особенно правила 1 и 8. Секрет точно в них.
Т.е. либо у тебя не разрешены исходящие DHCP-запросы, либо DHCP-сервер тебя не может пропинговать и не отправляет тебе в связи с этим сетевые настройки.

Спасибо за ответ, попробую настроить.

Добавлено:
WIGF
Еще вопрос: в твоих правилах есть пункт "3. Разрешение всех исходящих:
Allow IP Out From IP Any To IP Any Where Protocol Is Any" - не приведет ли это к возможности всяческих проникших шпионских программ беспрепятственно отправлять мои данные?

По поводу 8 пункта настроек "Allow ICMP In From IP In [Trusted] To IP Any Where ICMP Message Is ECHO REQUEST" будет ли работать данное правило, если в списке есть еще такое (было по умолчанию) "Block ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST"?

EugeneVas

Цитата:

По поводу 8 пункта настроек "Allow ICMP In From IP In [Trusted] To IP Any Where ICMP Message Is ECHO REQUEST" будет ли работать данное правило, если в списке есть еще такое (было по умолчанию) "Block ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST"?

Если запрещающее правило будет выше чем разрешающее, то, соответственно, разрешающее работать не будет. В твоем случае получается что, разрешены входящие ICMP с зоны Trusted на любой IP, если тип ICMP.... (отрабатывает разр. правило). Далее: все остальные ICMP-пакеты запрещены, если тип ICMP... (см. заперщающее правило). ИМХО немного не правильно, надо в блокирующем правиле изменить тип ICMP на ANY.

подскажите, так толком и не понял, поставил комод
на компе стоял антивирус Аваст. Аваст ругается на сетевые атаки(при включенном встроеном в винду фаерволе не ругался). Я так понимаю, что комод не правильно работает чтоли раз до него не доходит?
вычитал, что ужно ставить сначала комод. а потом аваст, поможет ли это?

При установке в GR последнего запрещающего правила "Block And LOG IP In/Out From IP Any To IP Any Where Protocol Is Any" перестают работать все приложения, которым необходим доступ к инету (хотя в AR им дан уровень "Trusted Application"). Сильно плохо, если не будет этого запрещающего правила?

Еще вопросы:

Как скопировать правила из GR в буфер (а то приходится картинкой сохранять, чтобы при переустановке все так как было настроить, да и здесь хотелось бы показать для исправления глупостей)?

В отчетах модуля Defence+ некоторое приложение выполняет действие "Access Memory" по отношению к объекту "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe". Приложение надежное. Пробовал делать его "Trusted Application", вручную разрешать ему все виды действий - все равно идут отчеты о его доступах к памяти (каждые несколько секунд). Как этого избежать?

млин, очень странный фаервол
за сутки ни одного заблокированного входящего, хотя нахожусь в сети с дохренищей компов.. Аваст словил уже две попытки эксполита по 135 порту а этот молчит как партизан

tekhoa
Как настроил - так и работает.

2 EugeneVas
Цитата:

Еще вопрос: в твоих правилах есть пункт "3. Разрешение всех исходящих:
Allow IP Out From IP Any To IP Any Where Protocol Is Any" - не приведет ли это к возможности всяческих проникших шпионских программ беспрепятственно отправлять мои данные?

Ну так соединения ещё должны быть разрешены в AR для конкретного приложения. Поэтому дырки никакой нет.
Цитата:

При установке в GR последнего запрещающего правила "Block And LOG IP In/Out From IP Any To IP Any Where Protocol Is Any" перестают работать все приложения, которым необходим доступ к инету (хотя в AR им дан уровень "Trusted Application"). Сильно плохо, если не будет этого запрещающего правила?

Это правило необязательно (выше написал почему). И вот тут ещё почитай по логике работы фаера - Network Security Policy (AR и GR друг друга дополняют и работают совместно, а не изолированно друг от друга).
Цитата:

Как скопировать правила из GR в буфер (а то приходится картинкой сохранять, чтобы при переустановке все так как было настроить, да и здесь хотелось бы показать для исправления глупостей)?

В буфер - никак.
Сохранение/восстановление настроек осуществляется с помощью Miscellaneous -> Manage My Configurations.

---

---

tekhoa, чтобы что-то сказать, надо хотя бы увидеть правила в GR. Может у тебя там во всех блокирующих правилах отключено протоколирование. Вот и не отображается ничего в журнале.

я как поставил. так ничего нигде не трогал

tekhoa, стандартными настройками мало кто пользуется. И я вот не помню какие они по стандарту...
В журнале совсем никаких блокировок ?
Посмотри в AR правила для Windows Operating System. Какие там ? Если всё разрешено, то к тебе благополучно подключаются все, кому не лень. А если запрещено и выключено протоколирование, то молча всё блокируется.

И стоит попробовать всё стереть, а потом поставить COMODO, перегрузить и поставить AVAST (как ты сам написал выше). Может какой модуль в Авасте раньше перехватывает входящие и они некорректно понимаются фаером COMODO.

спасибо за советы
попробую разобраться
а чем правило Windows Operating System отличается от Трастед апликайшн?
и если процесс System допусти хочет принять соединение откудато по 445 порту то что с ним делать?

WIGF - большое спасибо за советы по настройке!

Заключительный (надеюсь) вопрос: мой комп подключен к локальной городской сети и подключается к интернету через VPN-соединение. Дома находятся еще 2 компа, которым я раздал инет со своего не через роутер, а путем сетевых плат и витой пары (то есть в моей машине 3 сетевухи - одна для подключения и 2 для раздачи дальше).

Интернет раздается через прокси-сервер моей машины (программа CCProxy). Остальные компы забирают инет путем программы-соксификатора Proxifier (все запросы программ она направляет через SOCKS протокол на прокси-сервер основной машины).

Чтобы Комодо не мешал раздаче инета я добавил зоны 192.168.0.1 и 192.168.0.3 (IP-адреса сетевух, через которые подключены компы) в доверенные (разрешены все входящие и исходящие соединения).

Комодо на моей машине настроен по рекомендациям WIGF с 86 страницы темы.

Вопрос: как обезопасить эти 2 машины от сетевых угроз (антивирус, естественно, установлен на каждой)? Не ставить же на каждую из них Комодо? Или нужно добавить в Комодо на моей машине какие-то специфические правила?

Подход, конечно, дилетантский, но как мог, так и подключал...

tekhoa

Цитата:

а чем правило Windows Operating System отличается от Трастед апликайшн?

Тем же чем отличается сапог от телевизора - это совершенно разные вещи, их сравнивать нельзя.
WOS - процесс, Trusted Application - это набор правил (в данном случае разрешающих все соединения). Вроде как раньше для WOS были по умолчанию правила в COMODO, разрешающие всё подряд, а это не есть GOOD.
Цитата:

и если процесс System допусти хочет принять соединение откудато по 445 порту то что с ним делать?

Такие соединения надо заблокировать. Скорее всего это червячки по сети гуляют.

---

---

Цитата:

как обезопасить эти 2 машины от сетевых угроз (антивирус, естественно, установлен на каждой)? Не ставить же на каждую из них Комодо? Или нужно добавить в Комодо на моей машине какие-то специфические правила?

EugeneVas, именно ставить, потому что через раздающий комп ты можешь ограничить только соединения по протоколам/направлениям/портам (и то не знаю, как COMODO с прокси сейчас работает, раньше жалобы были на то, что он такие соединения вообще не видит), а установка фаера такого как CIS - это ещё и контроль сетевой активности на уровне приложений, не говоря уже о модуле Defense+, который будет контролировать и активность приложений на компе (по доступу к реестру, разным действиям и т.д.).
А чтобы COMODO не мешал раздаче интернета, по идее достаточно поставить галочку в настройках:
Firewall -> Advanced -> Firewall Behavior Settings -> Alert Settings -> This computer is an internet connection gateway
Для общего доступа этого достаточно, а для прокси - не знаю. Может и правда стоит все соединения с другими двумя разрешить, хотя не очень такой способ мне нравится, но другого не скажу, т.к. в такой конфигурации сам не работал, здесь практика покажет что и как надо сделать.

Почему Комодо блокирует следующую активность - UDP from 10.130.36.26 port 631 to 10.131.255.255 port 631. Первый IP из локальной сети, второй - неизвестно что. Мой адрес вообще здесь не фигурирует. В чем смысл блокировки?

Запись в журнале возникает при включении лога для следующей записи в GR "Block And Log TCP OR UDP In From IP Any To In [мой адрес в локалке] Where Source Port Is Any And Destination Port Is Not 1777" - где порт 1777 это порт для входящих соединений в StrongDC.

Цитата:

В чем смысл блокировки?

У тебя наверное в этом правиле (или в каком-то другом) стоИт галка "Логировать, если нарушается правило" (перевод вольный). Т.е. все отклонения в правилах от разрешённых будут отмечаться в журнале.

vitsat

Цитата:

У тебя наверное в этом правиле (или в каком-то другом) стоИт галка "Логировать, если нарушается правило" (перевод вольный). Т.е. все отклонения в правилах от разрешённых будут отмечаться в журнале.

Это само собой, в посте у меня написано об этом. Я спрашивал, почему блокируется активность, которая идет не с моего и не на мой IP-адрес?

скажите какие правила можно сделать для процесса svchost.exe?
я так понимаю под ним могут быть разные службы.
у меня сеть PPPoE, кабель. dhcp вроде нет, никаких шар нет
я пока что дал ему исходящие Web browser
и не совсем ясно с бегунком Alert Frequency Level. в какое его положение лучше ставить.
я так понял он задает промолчит ли фаер и воспользуется какими то правилами либо попросит новые.
я вчера запускал почту outlook, игру по сети, телнет, пинг. и фаер сам прописал для них только исходящие правила, при этом меня не спросил, как будто знает, что эти приложения нормальные. А я то как раз хочу, чтобы какая-нить зараза не вылезла в сеть без моего ведома. Или это надо поставить в дефенсе бегунок на Safe mode?
Сейчас там Clean PC. то есть он сам обучается?

Цитата:

Почему Комодо блокирует следующую активность - UDP from 10.130.36.26 port 631 to 10.131.255.255 port 631. Первый IP из локальной сети, второй - неизвестно что. Мой адрес вообще здесь не фигурирует. В чем смысл блокировки?

EugeneVas, я думаю, что адрес 10.131.255.255 - это броадкаст-адрес твоей подсети, а значит на этот адрес отправляются пакеты для всех. Вот этот 10.130.36.26 отправил пакет на 10.131.255.255 и т.о. отправил его всем, кто в твоей подсети, в т.ч. и тебе. Только разрешать его не надо (скорее всего эти соединения вредоносного характера), а лучше ещё и убрать протоколирование в указанном тобою правиле, чтобы в журнале не отражался подобный мусор.

---

---

Цитата:

скажите какие правила можно сделать для процесса svchost.exe?

tekhoa, вот такие можно:
1. разрешить TCP исходящие на порты 80, 443 - для обновления виндоса;
2. разрешить исходящие DNS-запросы;
3. у меня ещё исходящие DHCP-запросы, но у тебя этого нет, как ты говоришь.
Всё остальное у меня запрещено.
По PPPoE не знаю, не пользовался.

И ты не про тот бегунок написал. Ты пишешь про сеть, а настройки режимов указываешь для модуля Defense+, который отвечает за активность приложений на компе и за доступ их к различным функциям и параметрам системы.
Если говоришь именно про сеть, то лучше поставить Custom Mode и тогда всё у тебя будет фаер спрашивать - Firewall Behavior Settings.

tekhoa
Только проверь положение svchost.exe. Иногда он может быть в нестандартной папке, тогда это 100% вирус.

Столкнулся со странной проблемой:
В любом режиме кроме Block all фаерволл пропускает любой трафик, независимо от aplication rules. Кто нибудь с таким сталкивался? Версия 3.5 Также в просмотре активных соединений и событий фаервола информация не обновляется.
Возможно это изза windows 7 проблемы?

Ребята, кто стучится вечно по TCP/UDP на порт 22225 и 30520? В последнее время просто завал. Это что-то софтовое или новая эпидемия?

Цитата:

Возможно это изза windows 7 проблемы?

Не понял 3,5 на 7ку ставится?

Как можно через CIS 3.5 последить за одним ексешником, куда он обращается и по каким портам, а затем это в удобном виде показалось бы ?

gjf, может это от предыдущего владельца IP, если провайдер выдаёт динамические внешние IP, либо у кого-то комп заражён и ему почему-то очень надо к твоему приконнектиться. Вариантов много. Посмотри с помощью Wireshark, может что в самих пакетах дельное увидишь.

---

---

Цитата:

Как можно через CIS 3.5 последить за одним ексешником, куда он обращается и по каким портам, а затем это в удобном виде показалось бы ?

Nuke142, проследить можно, если во всех правилах для данного приложения включить протоколирование, а вот посмотреть в удобном виде - это смотря что подразумевается под удобным видом. Можно и в журнале фаера посмотреть, а можно экспортировать журнал фаера в HTML, потом открыть полученный файл в WORD'е и делать с ним всё, что хочется.