» Comodo Firewall Pro / Comodo Internet Security

Цитата:

Что-то у меня Комод взбесился и начал блокировать вообще всё подряд. В Журнале пишет "Firefox - заблокирован время такое то". А где-нибудь есть описание на основании чего он блокирует? На основании какого правила? Чтобы мне его отключить.

Ke, правило не пишется, так что надо искать или в GR, или в AR для конкретного приложения.

---

---

Цитата:

установлен CIS_Setup_3.8.64739.471_XP_Vista_x32 - вопрос - а как начисто заблокировать какое-то приложение? Ну чтоб и для локальной сети и для инета, полностью. У меня стоит Лингво и надо запретить искать компы по сети с целью проверки лицензии, так вот создал правило запретить все IP с любых протоколов и направлений, а он все равно как-то в сеть вылазит. Что можно сделать?

Alex_TAV, правила "Блокировать всё для данного приложения" может и не хватить, если на компе установлено что-то, использующее механизм прокси. Например, антивирус с WEB-сканером (NOD32 тройка, Avira) пропускают такой трафик через себя и если нет вирусов в нём, то он разрешается, а само приложение обращается в случае с NOD32 только на 127.0.0.1:30606.
В общем, в этом направлении копать надо.

WIGF

Цитата:

Ke, правило не пишется, так что надо искать или в GR, или в AR для конкретного приложения.

Вот бред то. Как можно дойти в файрволе до третьей версии и не догадаться сделать такую элементарную вещь?

В общем я снёс второй Комод, поставил третий. Для него есть поддержка русского?
Обнаружил, что его сообщения очень малоинформативны. Например Applications:System Port Ms-ds(445). Всё. Ни пути к этой System, ни папки, вообще ничего. Что с ней делать?

Ke, так ты про двойку говорил ? В двойке вроде же указывалось про источник блокировки (Сетевой монитор, Монитор приложений и др.). А в тройке вообще ничего нет такого: только приложение, источник/получатель и порты.
Согласен, что такая вещь бы пригодилась (указание причины блокировки).
Русификации тройки нет, обещали год или полтора назад, а обещанного, как говорится, три года ждут.

Цитата:

Обнаружил, что его сообщения очень малоинформативны. Например Applications:System Port Ms-ds(445). Всё. Ни пути к этой System, ни папки, вообще ничего. Что с ней делать?

Под System очень много всего понимается в COMODO (всё то, что фаер не может определить как какое-то приложение при исходящих соединениях, но при этом понимает, что это от операционной системы идёт). Вроде ни у какого из фаеров такой процесс не проскакивает. Здесь только по портам можно выяснить. Конкретно порт 445 лучше запретить, чтобы никто не влез на твой комп и не начал хозяйничать.

У меня при установке последней версии Comodo (3.8.64739.471) на 64-битную семёрку статус "Defence+ not working proprly"
Ставлю старую 3.5.57173.439 - всё нормально.
Встроенная (в комод) утилита диагностики ничего толкового найти не может, честно в этом признаётся и предлагает составить доклад для диагностики.

1drey, это не последняя версия.
Ссылки на последнюю версию.

WIGF
Ещё, что такое "Windows Operating System"? Её лучше запретить или как?
Чего-то мне третий всё меньше и меньше нравится. Не информативно совершенно.
Почему нельзя указывать путь к программам, а одни какие-то непонятные System?

Ke
System - это т.н. "системный процесс" или "ядро системы". Привязки к конкретному приложению здесь нет. Данный термин используется довольно широко и не только в Комоде.

Windows Operating System - здесь имеются в виду соединения, к-рые Комод не может привязать ни к какому приложению, т.е. неожидаемые соединения.

WIGF, будет ли достаточно отключить фальтрацию http в антивирусе, чтобы CIS нормально работал?

Добавлено:
Я просто что-то не вижу Оперу в списке активности, да и вообще в нем как-то "пусто", только Скайп и Лиса засвечивается, но у меня не только они работают.

WIGF
И с этой версией та же история.

Мне не помогает даже полное отключение NOD32 (тройка), все равно в списках я не вижу: AIMP, играющего интернет-радио, Оперу, Маил.ру Агента. Только Скайп и Лиса засветились в списке активных. Сам же NOD32 сидит с одним открытым портом (если он вообще как-то включен).

Задавал уже вопрос,о запросах TCP на DNS,но его не заметили. Gif,WIGF-ответьте!

Скажите, что нужно сделать, чтобы Комод 3 перестал наконец блокировать этот сайта ( ru-board.com ). Добавил FireFox в Trusted. Чтобы он НИЧЕГО Файрфоксу не запрещал. Но как только пытаюсь сюда зайти, получаю сообщение "сервер не найден". Помогает только отключение чёртова Комода.

За последние двое суток он меня просто зае*** своей параноической блокировкой всех сайтов подряд, которую непонятно как отключить. Прихожу к выводу, что этот Comodo - полное д.. . Что лучше выбрать вместо него?

Ke
Создай для фокса правило разрешить все с протоколированием ( "Log as a firewall...") и посмотри в журнале что именно блокирует, и еще нет ли каких локальных прокси типа HandyCash?

Comodius
В каком разделе находится "Log as a firewall..."?


Добавлено:
Если посмотреть в Firewall->Common Tasks->View Firewall Events, то там нет ни одной блокировки Firefox'а, хотя на самом деле куча сайтов заблокирована.

Цитата:

Ещё, что такое "Windows Operating System"? Её лучше запретить или как?

Ke, для WOS лучше ничего не разрешать.
Единственное, что у меня разрешено для WOS - это на данный момент входящий пинг от DHCP-сервера провайдера:
Allow ICMP In From In [DHCP-server] To IP Any Where ICMP Message Is ECHO REQUEST

---

---

1drey, такое чуство, что создатели никак не разбирутся с 64-битной версией: читаешь описание к каждому обновлению и последнее время там в основном всё касается Висты или 64-битных версий. Это уже только к разработчикам, либо экспериментировать с чистой системой (например, попробовать поставить CIS в виртуалке на 64-битную ось, чтобы не переставлять основную систему).

---

---

m0nty2k5, мне самому интересно. Поэкспериментирую на досуге с NOD32, а то и правда отключение контроля за интернет-трафиком в NOD32 ничего и не меняет...

---

---

Цитата:

Задавал уже вопрос,о запросах TCP на DNS,но его не заметили.

Chauvinist, TCP для DNS-запросов редко когда нужно, с практической реализацией этого я не встречался. Оставь только UDP.

---

---

Цитата:

Что лучше выбрать вместо него?

Ke, COMODO блокирует по правилам. Так что либо у тебя в правилах путаница, либо с системой глюки (возможно COMODO конфликтует с какой-нибудь другой программой), но скорее всего первое.

WIGF

Цитата:

Ke, для WOS лучше ничего не разрешать.
Единственное, что у меня разрешено для WOS - это на данный момент входящий пинг от DHCP-сервера провайдера:
Allow ICMP In From In [DHCP-server] To IP Any Where ICMP Message Is ECHO REQUEST

А что это такое? Это может блокировать сайты?



Цитата:

Ke, COMODO блокирует по правилам. Так что либо у тебя в правилах путаница,

Какое надо создать правило, чтобы Comodo перестал блокировать Firefox раз и навсегда?
Я создал правило для браузера "Allow All Requests". Везде поставил Any.



Цитата:

либо с системой глюки (возможно COMODO конфликтует с какой-нибудь другой программой), но скорее всего первое.

А с чём он может конфликтовать? Других файрволов я не использую пока.


Добавлено:
Где в Comodo можно поставить Any для портов?

Добавлено:
Ну вот, теперь Comodo начал блокировать ifolder.ru . И опять, ни где ни строчки сообщений об этом, блин.

Ke

Цитата:

А что это такое? Это может блокировать сайты?

На предыдущей странице XenoZ написал что это. Блокировка входящих WOS никаким образом не связана с работой браузера.

Цитата:

Какое надо создать правило, чтобы Comodo перестал блокировать Firefox раз и навсегда?
Я создал правило для браузера "Allow All Requests". Везде поставил Any.

Раз поставил "Allow All Requests", а фаер всё равно блокирует, тогда ищи причину блокировки в General Rules.

Цитата:

А с чём он может конфликтовать? Других файрволов я не использую пока.

Бывают ещё и антивирусы, которые переродились в Internet Security, а пользователь всё ещё их антивирусами называет по старой привычке. Если таковых на компе нет, то причина в правилах в самом COMODO.

Цитата:

Где в Comodo можно поставить Any для портов?

В каком смысле где ? Порты можно указывать в правилах в Application Rules и в General Rules. Или вопрос в другом был ?

Цитата:

Ну вот, теперь Comodo начал блокировать ifolder.ru . И опять, ни где ни строчки сообщений об этом, блин.

Покажи свои правила из Application Rules, а то так долго можно гадать.

Немного глупое предположение, но всё-таки: а в каком режиме стоит фаервол ? Уж не в режиме ли "Block All Mode" ?

Сколько не бился с настройкой, все равно при загрузке не может застолбиться в локальной сети (подключение ограничено или отсутствует). Приходится отключать файрволл, и откл/вкл сетевую карту. После того, как комп увидит сеть, включаю комодо и дальше все работает нормально.

Привожу свои настройки GR - подскажите, пожалуйста, что ему еще прописать, чтобы он не блокировал присвоение мне IP-адреса в локальной сети в момент начальной загрузки системы.

Allow UDP Out From IP Any To IP Any Where Source Port Is 68 And Destination Port Is 67
Allow IP Out From IP Any To IP Any Where Protocol Is Any
Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
Allow ICMP In From In [Local DNS] To IP Any Where ICMP Message Is ECHO REQUEST
Block ICMP In/Out From IP Any To IP Any Where ICMP Message Is Any
Block TCP OR UDP In From IP Any To IP Any Where Source Port Is Any And Destination Port Is In [NetBIOS]
Block IP Out From IP Any To IP Any Where Protocol Is 139
Block And Log TCP OR UDP In From IP Any To In [Local DNS] Where Source Port Is Any And Destination Port Is Not 1777

[NetBios] - порты 135, 137, 138, 139, 445.
[Local DNS] - мой адрес в локальной сети.
Последнее правило создано для StrongDC клиента.

EugeneVas,
я может ошибаюсь,но какой смысл в 5 сверху правиле? Разрешить входящие со своего собственного адреса??

AndreyAgrh

Делал по рекомендациям WIGF с 86 страницы темы. Сам я с файрволлами на Вы, использую пару месяцев...

EugeneVas, не так ты понял правило 5.
В этом правиле не твой локальный адрес должен быть в зоне в исходящих, а серверы провайдера или ещё кого-нить, которые потенциально тебя могут пинговать и при отсутствии ответа от тебя (тебя нет в сети или пинг запрещён) не будут предоставлять какие-то важные для тебя услуги.
Включи в эту группу DHCP-сервер и DNS-серверы (последние не обязательно).
IP этих серверов можешь узнать в коммандной строке: ipconfig /all
Как только введёшь в эту зону DHCP-сервер - перегрузи комп и блокировок больше не должно быть (по симптомам видно, что именно в этом проблема).

Увидел одну опечатку в своих опубликованных правилах: в правиле по протоколу 139 у меня на самом деле In/Out (поправил в том посту на стр.86).

В последнем правиле потом (как всё устаканится) лучше убери LOG, а то журнал распухнет от записей о блокировках в локалке.

WIGF, а почему нужно блокировать NetBIOS ?
У меня в AR для System прописано несколько разрешающих :
Allow NetBIOS Name Service : Allow UDP In/Out From IP Any To IP Any Where Source Port Is 137 And Destination Port Is 137
Allow NetBIOS Datagram : Allow UDP In/Out From IP Any To IP Any Where Source Port Is 138 And Destination Port Is 138
Allow NetBIOS Session Incoming : Allow UDP In From IP Any To IP Any Where Source Port Is Any And Destination Port Is 139
Allow NetBIOS Session Outgoing : Allow UDP Out From IP Any To IP Any Where Source Port Is Any And Destination Port Is 139
Block TCP In To Port 445 : Block TCP In From IP Any To IP Any Where Source Port Is Any And Destination Port Is 445

Комплекс из четырёх первых правил я позаимствовал у своего старого файера MDF8.5, где они были прописаны "заводскими" (по умолчанию), но имели более сложный вид с источником вида "Trusted" (в CIS я их самовольно адаптировал), а последнее просто заблокировал по всеобщему мнению здесь на форуме, хотя в старом файере для него был комплекс непростых правил (я не стал адаптировать, а просто заблокировал).
Если первые четыре разрешающих правила несут угрозу, то может быть их тоже заблокировать ?

vitsat
NetBIOS имеет ряд уязвимостей, некоторые пофиксены, но не факт, что все установили соответствующие обновления.
Потому первые два правила я бы разрешил только для того диапазона IP, котрый относится к локальной доверенной сети.
На данный момент множество троянов и бэкдоров используют порты 137,139 и 445 для общения с С&С. При этом конечный порт С&С - это, как правило, 80, 8080 или что-то типа того. Согласно вашим правилам №3 и 4 трояны будут свободно общаться.
При такой "свободе" мне непонятна логика блокирования в последнем правиле. Авторы одумались?

gjf, у авторов было так :

А какую функцию выполняет этот NetBIOS ? Если я полностью заблокирую все правила по портам 137-139 , то это не ограничит функциональность системы ?
А, и ещё : что такое "Trusted" - это DNS провайдера ? Т.е. в виде чего оно прописывается ?

vitsat, NetBIOS - это расшаренные папки на твоём и других компах (папки, к которым разрешён "Общий доступ по сети"). Если это не используется, то следует полностью запретить NetBIOS.
Если используется в локальной сети (например, дома несколько компов), то можно разрешить, но только для внутренней сетки.
"Trusted" по твоей картинке - это как раз та зона, в которой разрешён NetBIOS (домашняя сеть, например).

WIGF

Цитата:

m0nty2k5, мне самому интересно. Поэкспериментирую на досуге с NOD32, а то и правда отключение контроля за интернет-трафиком в NOD32 ничего и не меняет...

WIGF, виновник был 471 билд. Даже дефенс как-то странно работал.
Поставил 477 и все нормально, Опера показывается. Фильтрация трафика в Ноде выключена.

Понял, ребята, становлюсь грамотнее.
Тогда такой вопросец : комп бомбит неделями без выключения (качает USD и торренты), и иногда привязывается какой-нибудь "зомби" и долбит через каждые 2-4сек. на WOS на один и тот же порт. Как забанить его IP, чтобы не засорял журнал ?

vitsat

Цитата:

Как забанить его IP, чтобы не засорял журнал ?

Firewall — Common Tasks — My Blocked Network Zones — Add — A New Blocked Address...

m0nty2k5, виновником на самом деле был не билд. Надо было комп перегрузить, чтобы сетевой драйвер NOD32 выгрузился (сам поигрался с этим и забыл отписАть).

---

---

Цитата:

Тогда такой вопросец : комп бомбит неделями без выключения (качает USD и торренты), и иногда привязывается какой-нибудь "зомби" и долбит через каждые 2-4сек. на WOS на один и тот же порт. Как забанить его IP, чтобы не засорял журнал ?

vitsat, сделай для WOS правило по блокировке всех входящих с этого IP/порта без протоколирования. Ну или сразу для всех пропиши без протоколирования. При необходимости настройки чего-либо по входящим будешь просто временно включать протоколирование.

---

---

2 All
Для пытливых умов, так сказать
У меня Defense+ выключен и поэтому не могу одну вещь проверить.
В общем XenoZ заставил меня проверить работоспособность прописывания в AR пути к файлу маской, т.е. */opera.exe. Так вот в таком виде правила для приложения работают где бы оно на компе не находилось (пробовал только с винтом, т.к. нет под рукой флэшки, но скорее всего и с флэшкой сработает).

Кстати, это может быть решением для пользователей флэшок: прописывать путь к программам либо как */opera.exe (что не очень хорошо), либо как z:\*\opera.exe, что гораздо лучше (но только если флэшка постоянно под одной и той же буквой подключается).

Так вот интересно было узнать как среагирует Defense+, если прописать в нём не полный путь, а со звёздочкой ? Будет запрос на создание нового правила или же по имеющимся разрешениям программа будет действовать ?