» Comodo Firewall Pro / Comodo Internet Security

Здраствуйте. Помогите. Никак не получается заблокировать порты 135,445,1433,2967. Стоит Comodo 2.4.16.174. Интернет(UDP) - Исх GPRS, Вх Спутник(SatGate). Так вот через GPRS переодически проскакивает трафик по этим портам по протоколу TCP. Трафик с подсети мобильного провайдера. Вот лог BW Metra

Цитата:

.......
29.03.2009 22:26:02: 10.16.17.77:1691 -> 77.94.34.185:43537 : 82 bytes, protocol: 17
29.03.2009 22:26:05: 10.16.17.77:1691 -> 77.94.34.185:43537 : 48 bytes, protocol: 17
29.03.2009 22:27:21: 10.16.17.77:1691 -> 77.94.34.185:43537 : 47 bytes, protocol: 17
29.03.2009 22:27:22: 10.16.30.237:4961 -> 10.16.17.77:445 : 48 bytes, protocol: 6
29.03.2009 22:27:23: 10.16.30.237:4961 -> 10.16.17.77:445 : 48 bytes, protocol: 6
29.03.2009 22:28:23: 10.16.17.77:1691 -> 77.94.34.185:43537 : 64 bytes, protocol: 17
29.03.2009 22:28:23: 10.16.17.77:1691 -> 77.94.34.185:43537 : 343 bytes, protocol: 17
.......

В Комодо первым правилом стоит запрет входящего по этим портам и диапазону IP.
Комодо в журнале пишет - политика входящих нарушений(Доступ Запрещен, IP = 10.16.30.237, Порт = MS-ds(445) Флаги TCP:SYN Сетевое правило ID=0 - А трафик пропускает, т.е на самом деле не блокирует...Эти порты у меня в компе вообще закрыты с помощью утилиты Windows Worms Doors Cleaner. NetBios во всех сетевых адаптерах отключен...Уже не знаю, что ставить. Ставил КИС - точно такая-же фигня....

3zna, могу предположить, что BWMeter установил свой драйвер раньше фаера и поэтому для него этот трафик проходит, а после него уже фаер на самом деле его блочит.
Лучше проверить CurrPorts. Он всё верно показывает.

Да, до установки фаера, стоял BWMeter и KAV... CurrPorts показывает, что и остальные(TCPWiev, WWDC...) - этих портов нет среди открытых...А трафик пролетает, редко, в основном вечером, наверно, в моменты повышенной загрузки сервера GPRS-провайдера. Это так-же видно в мониторе сединения и в биллинге у провайдера...Как сделать чтобы фаер его тормозил..

3zna, а откуда такая уверенность, что трафик пролетает, а не блочится фаерволом, если все другие программы кроме BWMeter его не показывают ? То что, показывается в билинге у провайдера - так там всё верно показывается, этот трафик проходит, но блочится уже на компе, поэтому он и показан у провайдера. Вы же свой фаервол держите не у провайдера на сервере, а у себя дома. По вопросам левого входящего трафика надо к провайдеру обращаться: например, возможно существует опция у провайдера, которая полностью закроет весь входящий трафик (имеется в виду неожидаемый трафик).

Русскую версию тройки или CISa когда нить дождемся ?

WIGF, Я же написал
Цитата:

Это так-же видно в мониторе сединения и в биллинге у провайдера...

и в BWMetre....Утром и днем его нет. Так, в этом случае его нигде нет, и в биллинге (у меня получасовые округления кратное 10 kb) - только исходящий

Цитата:

23.03.2009 07:27:00    1    GPRS    I    1.43 *10 кб    0.29
23.03.2009 07:27:00    2    GPRS    I    .03 *10 кб    0.14
23.03.2009 07:57:00    1    GPRS    I    .01 *10 кб    0.14
23.03.2009 08:00:00    1    GPRS    I    .73 *10 кб    0.14
23.03.2009 08:30:12    1    GPRS    I    1.58 *10 кб    0.29
23.03.2009 09:00:12    1    GPRS    I    .60 *10 кб    0.14
23.03.2009 09:30:12    1    GPRS    I    .57 *10 кб    0.14
23.03.2009 09:58:45    2    GPRS    I    .03 *10 кб    0.14

Это проверено уже неоднократно. И провайдер фиксирует только, то, что мне на комп попало...

3zna, я подумал, что монитор соединений тоже к провайдеру относится. Т.е. это относилось к COMODO ?

Провайдер, кстати, фиксирует то, что через его сервер прошло в сторону конкретного адресата, а попало это потом куда-то на комп или было отсечено фаерволом - до этого провайдеру нет дела. Так что это не аргумент.

А как точно выглядит запрещающее правило ?
(локальный IP, я так понимаю, 10.16.17.77)

P.S. У меня тоже бывают входящие соединения на тот же порт 445, но фаер их прекрасно режет, ибо если бы не резал, то давно бы вирусни было полно (ну в тот момент, когда был выключен HIPS у меня).

P.P.S. Если нет доверия к персональным фаерам, то есть очень хороший пакетный фильтр - WIPFW - с его помощью можно закрыть соединения по портам/IP/направлениям/протоколам, но не по приложениям, но я всё-таки думаю, что всё фаер нормально блочит.

EWIGF
Стоит Comodo 2.4.16.174 Rus
У меня сейчас нулевое правило - блокировать весь TCP по портам 135,445,1433,2967,
Первое то-же только UDP. Потом разрешенные. Может лучше диапазон еще добавить IP 10.16.0.0-10.16.255.255 ? Туда же(к этим двум правилам) или отдельно создать новые?
И еще. После добавления(изменения) правил, нужно-ли перезагружать комп ?
PS. Вот опять пишет в журнале опасность - средняя, доступ запрещен...и прекрасно пропустил 48бт на 135 и два раза по 48 бт на 445...

3zna, и всё-таки правило точно верно написано ? (в одном правиле можно это написать)
Блокировать TCP/UDP Вх. От Любого IP К Любому IP, где порт источника любой, а порт получателя [135,445,1433,2967]

Диапазон не нужен. А перегружать стОит, т.к. в течение текущего сеанса правила могут не полностью срабатывать.
А 48 байт он пропустил согласно COMODO ?

Может стОит заново переустановить фаер ? (предварительно я бы и BWMeter снёс). В шапке есть инструкция по установке последней нормальной версии двойки (на другие были жалобы) - именно таким образом устанавливается последняя нормальная русская версия двойки.

Цитата:

Блокировать TCP/UDP Вх. От Любого IP К Любому IP, где порт источника любой, а порт получателя [135,445,1433,2967]

Я бы расширил. Блокировать TCP/UDP на следующие порты: 135..139, 445, 1433..1434, 2967

Цитата:

Я бы расширил. Блокировать TCP/UDP на следующие порты: 135..139, 445, 1433..1434, 2967

А вообще лучше разрешить на вход только порт торрента и DC (если используются), а остальное запретить.

Я TCP входящий не использую, только исходящий для обновления Каспера. Входящий только UDP. Так лучше тогда вообще не указывать порты, а запретить весь TCP-вх для полной уверенности? Хотя в принципе, я ставил нулевым правилом - запретить весь TCP. А первым ставил - запретить по портам...Толку не было.. И действительно-ли версия 2.4.18.184 лучше, чем 2.4.16.174 и что там пофиксено? А то, на оф сайте ничего не нашел про вторую...

WIGF
Тоже верно. Хотя нет - я ещё VNC использую, его оставить. Ещё - Skype. Ну и если стоят серваки - под них по вкусу

3zna, что там пофиксено в 2.4.18.184 по сравнению с 2.4.16.174 - это уже и не вспомнить за давностью времён (можно, конечно, полистать этот топик). СтОит её попробовать поставить.
А по поводу запрета всего входящего трафика и т.п. - тут надо пользоваться одним правилом: "Разрешать только то, что нужно, и тому, кому можно/необходимо, а остальное запрещать". Поэтому можно полностью закрыть входящий и по ситуации (при необходимости) открывать конкретные порты для конкретных программ (ну и в Сетевом мониторе в первую очередь).

Как и где прописать блокировку только для одного IP-адреса? Уже неделю какой-то мудак сканирует порты по протоколу UDP раз по 10 за день. Файерволл блокирует, но всё равно раздражает. Провайдер "делает круглые глаза" и говорит: раз файерволл блокирует, то всё нормально. А вдруг пропустит? Версия Comodo 2.4. Правила в сетевом мониторе выглядят так


Насколько серьёзны эти атаки? И что можно предпринять? Вот так срабатывает блокировка

WIGF
Поставил 2.4.18.184...Что сказать...перевод хуже, чем в 2.4.16.174. После перезагрузки, комп завис намертво, только через Reset(В версии 2.4.16.174 было все нормально). Потом правда, все заработало. Единственные отличия, которые я пока увидел, так, то, что можно журнал экспортировать в HTML, что в 2.4.16.174 никак не получалось. Но самое главное - моя проблема не решилась. Вообще, после установки Comodo, и до этого КИС, создается впечетление, что входящий на GPRS по этим портам(135,445,1433,2967) увеличивается...как это не парадоксально. Я даже нулевым поставил правило - запретить весь IP-трафик на диапазон 10.16.*.* - не помогло. Первым - запретить TCP-вх.
Картинка с настройками тут http://slil.ru/27359898. Сюда, почему-то не получилось вставить.
За три часа 20 нарушений политик входящих по портам 135,445,2967...И почему-то фрагментацию пакетов определяет как опасность высокую, а это - средняя...

Сейчас попробую снести BWMeter(может в нем дело?) и переставить Comodo...

Цитата:

Как и где прописать блокировку только для одного IP-адреса? Уже неделю какой-то мудак сканирует порты по протоколу UDP раз по 10 за день.

10.. помоему локалка.. может сервис есть у вас какойто служебный в сети.. может в виндовсе указать "не отвечать на пинги".. а в комодо создай правило BLOCK и вместо ANY напиши этот IP адрес и порты ANY ачего у тебя версия какая то допотопная? у нас уже 3,8 стоит..

voooov

Цитата:

10.. помоему локалка.. может сервис есть у вас какойто служебный в сети.. может в виндовсе указать "не отвечать на пинги".. а в комодо создай правило BLOCK и вместо ANY напиши этот IP адрес и порты ANY ачего у тебя версия какая то допотопная? у нас уже 3,8 стоит..

Да, это локалка. Причём этот чОрт живёт в моём доме. Где прописывать, на какое место ставить правило? Версия допотопная, но русскоязычная. Вот когда в "тройке" будет русская локализация, тогда и "у нас будет, как у вас"...