» Comodo Firewall Pro / Comodo Internet Security

Здесь кто-нибудь пользуется IP-телефонией?Недавно подключился к Сипнету,но при моих настройках файерволла телефон не работает.Раньше у меня исходящие UDP были разрешены только на DHCP и DNS.Все остальные по протоколу UDP были запрещены.В Сипнете сказали,что для работы телефона нужно открыть порты 5060 и 8000.Я открыл и ни хрена ничего не работает.Посмотрел активность соединений в Comodo,а там при работе телефона задействована куча портов!Тогда я открыл диапазон портов от 1024 до 65535.Все равно не работает!Сейчас вернул настройки Сетевого Монитора по умолчанию,т.е. все порты по протоколу UDP для исходящих открыты.И все работает прекрасно!Но может быть можно как-то ограничить активность UDP?Установлен Comodo 2.4.

VAD87, посмотри внимательнее в Application Rules наличие и содержание правил для WMP. Если фаер стоит в режиме Train with Safe Mode, то для WMP создаётся разрешающее правило. Вот поэтому у тебя идёт исходящий запрос. А в Global Rules стоит в стандарте запрет всех входящих, поэтому получить WMP не может (не знаю, не пользуюсь, но скорее всего для получения информации в WMP создаётся специальное соединение, которое как раз и блочится фаером).
В общем, зайди в Application Rules и поставь для WMP политику блокирования всего трафика.
По IE - аналогично.

---

pop2ROOT, попробуй переустановить фаер и антивирус, но ставь их в другой последовательности, т.е. если был антивирус, а поставил потом фаер, то теперь поставь фаер, а потом поставь антивирус. Может быть и в настройках антивируса надо что-нить отключить, чтобы он не дублировал функции фаера (не пользуюсь этим антивирусом, поэтому не могу сказать, что и где стоит попробовать отлючить в нём).

---

Sssvan, если всё разрешил, то это и значит, что всё разрешил.
Посмотреть надо:
• По сетевым соединениям - в модуле Firewall блок Application Rules.
Реально понять, что именно проге необходимо для работы и безопасно для пользователя, а что стОит и запретить, можно с помощью TCPDUMP.
Также стоит почитать по ссылкам из этой темы - http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11375#1 - да и в самой теме может уже описана данная прога.
• По разрешениям для проведения определённых операций на компе - в модуле Defense+ блок Computer Security Policy.

---

Ronin666, попробуй поизучать трафик с помощью TCPDUMP. Может увидишь что-нить такое, о чём и не догадывался (в смысле, необходимое для работы SIP соединение). И таким образом сузишь исходящие UDP до минимума (оставишь только необходимые для работы).

---

Добавлено:
Первый раз просмотрел.

Цитата:

Обьясните пожалуйста разницу между режимами Clean PC и Training with Safe

mougli, а может и действительно в этом:
Цитата:

В том, что программы на сменных носителях всегда считаются небезопасными

Если ты установил Оперу на флэшку (а скорее всего там у тебя portable-версия оперы стоит), то запуск её оттуда считается запуском новой программы, поскольку информация о ней (о данной Опере) отстутствует в системе (в реестре Windows).

Перешел с Аутпоста на Комодо сегодня.
Вопрос

Можно ли настроить 2.4 так чтобы он спрашивал меня при входящих подключениях, пускать или нет? А то сейчас тихо молча не пускает, наверное рулы по дефолту, даже в логах не пишет.

Был тут недавно на сайтике у Gibson'а... http://www.grc.com/default.htm
Дак вот.. сидел я под KIS'ом 7 и на тест по портам /Common/ мне сказали, что у всех Stealth, а вот Comodo когда тест проходил в большинстве случаев был с Closed..вот у меня и вопрос.. что лучше "спрятаться" или "закрыться"? /тупой вопрос немного..понимаю.. но все же интересно))/

Цитата:

Можно ли настроить 2.4 так чтобы он спрашивал меня при входящих подключениях, пускать или нет? А то сейчас тихо молча не пускает, наверное рулы по дефолту, даже в логах не пишет.

ruboardvisitor, исходя из того, что при входящих соединениях сначала идёт их проверка в Сетевом мониторе, а потом в Мониторе приложений, то рассмотрим их по очереди:
1. Сетевой монитор. В версии 2.4 есть только 2 варианта действия: "Разрешить" или "Запретить". Значит надо ставить разрешить для входящих с разрешённых IP.
2. Монитор приложений. Здесь уже есть 3 варианта: "Разрешить", "Запретить" или "Спрашивать". Вот тут то и надо выбрать "Спрашивать" для нужного приложения и для нужных соединений.
Но не так и удобно разруливать такие соединения только на уровне приложений. А если неизвестно заранее с какими приложениями будет работать соединение или вообще оно будет работать не по TCP/UDP ? В общем, возможности контроля за такими соединениями сужаются. К тому же правила по конкретному приложению в Сетевом мониторе имеют свойство меняться друг с другом и результат реакции фаера при наличии нескольких пересекающихся правил по приложению не всегда ясен (т.е. если есть правило, разрешающее исходящие на порт 80 для всех, и правило спрашивающее исходящие на порт 80 для конкретного узла, то эти правила будут периодически меняться местами и логики в этой смене я не заметил).
В общем, не лучший вариант.
Если только это не активное ftp-соединение с конкретного сервера. Тогда его можно прописать и в Сетевом мониторе, и в менеджере закачек в Мониторе приложений (так у меня сейчас стоит дома).

Гораздо удобнее всё это сделать в версии 3.0:
1. Global Rules (Сетевой монитор). Здесь 3 варианта действия: Разрешить", "Запретить" или "Спрашивать". Т.е. уже на данном уровне можно контролировать все входящие соединения.
2. Application Rules (Монитор приложений). Те же 3 варианта действия: Разрешить", "Запретить" или "Спрашивать". Плюс контролируются не только протоколы TCP и UDP. Плюс правила можно вручную передвигать вверх/вниз и правила эти сами никуда не перескакивают.

Здравствуйте. Подскажите пожалуйста. Comodo 2.4.16.174. Пользуюсь две недели.
В настройках ничего понять не могу. Раньше ВООБЩЕ ничего не понимал. После прочтения 40 первых страниц прогресс появился, но всё равно тяжко. На форуме Comodo советуют установить 3 версию, говорят она проще для начинающих. Тут бы ладу дать версии на русском языке.
Пользуюсь спутниковым интернетом, наземный канал GPRS, ответ- SatGate, Sirius 4. Ускоритель Slonax. Все программы работают через прокси, кроме Becky!. Проблем с интернетом при установке не было. Единственное- не коннектился Slonax. Методом "научного тыка", изменил последнее по умолчанию глобальное правило на "разрешить" и всё заработало. Но теперь в сеть прётся System через порт 137 и svhost.exe. Составил глобальное правило для блокировки портов 135,137-139,445, как было описано на странице 2 этого форума. Но AVZ4 показывает что эти порты открыты, да и туда всё время лезет System и svhost. Что я не так делаю?
Когда составляю правила для приложений, они куда то исчезают после перезагрузки компьютера, нужно писать по новой. Наверное что то нужно сначала прописывать в глобальных.
Потом подумалось: а для прокси вообще файер нужен? Ведь если прокси надёжный, в инете всё равно не мой IP. Хотя боязно, кошелёк хотел завести, бухгалтерию нужно поставить.
Подскажите, посоветуйте, может кто то поможет настроить, а то уже во сне настройки снятся. Устал.

С уважением.

Привет! А это файервол может резать flash на сайтах?

holod0202
последнее правило надо было подкорректировать. то есть запретить все кроме ip slonax сервера который используешь

Цитата:

последнее правило надо было подкорректировать. то есть запретить все кроме ip slonax сервера который используешь

Спасибо. А если я использую несколько IP Slonax, мне нужно создавать для каждого правило?

holod0202, нет. Можно сделать группу Slonax_ip например. И в нее включить все айпишники которые использует слонах. Только к сожалению не помню есть ли группы (сетевые зоны) во второй версии ибо сижу под третьим комодом.

Есть выбор зоны. И можно выбрать диапазон IP. Или это не то что нужно?

Добавлено:
И вот ещё о чём хотел спросить. При первоначальной установке мастер добавил доверенную зону: TechniSat DVB-PC TV Star PCI. С диапазоном IP. Значит ли это что сие есть моя Internet-Zone? Или я несу бред?
Как бы это объяснить? Вообщем-
ALLOW and LOG TCP OUT FROM IP ZONE:[Internet Zone] TO IP [Any] WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS 80-83
Что я дожен указать в [Internet Zone] ?

Или, только что вычитал в шапке "ZONE:[Internet Zone] - IP (диапазон IP), выделенный провайдером для выхода в И-нет.", это и есть диапазон IP Slonax?

Последний вопрос отпадает. Задавал после прочтения 100 страниц темы ( ну хоть не зря!), в голове "... всё смешалось. Люди. Кони..." (с). На свежую голову разобрался. Спасибо за ответы.

Новый продукт - Comodo Memory Firewall.

Цитата:

Comodo Memory Firewall is a buffer overflow detection and prevention tool which provides the ultimate defence against one of the most serious and common attack types on the Internet - the buffer overflow attack.

Цитата:

Составил глобальное правило для блокировки портов 135,137-139,445

holod0202,
Попробуйте выключить NetBios в свойствах интернет-подключения. Быть может исчезнет необходимость в этом правиле.

holod0202
выбор зоны это то что нужно. Там выбираешь нужные айпишники. Можно не только диапазоны туда записывать, но и отдельные адреса, и имена хостов

Цитата:

Если ты установил Оперу на флэшку (а скорее всего там у тебя portable-версия оперы стоит), то запуск её оттуда считается запуском новой программы, поскольку информация о ней (о данной Опере) отстутствует в системе (в реестре Windows).

WIGF, с флэшкой и портабельными программами все совсем тоскливо:
у мя флэшка с U3, т.е. вставляешь флэшку - запускается ее панелька, создает временные файлы в Application Data, вытаскиеваешь флэшку - что-то там чистит. Так вот, дефенс+ ни в какую не хочет запоминать правила для ехешников с флэшки, точнее, он их запоминает, но в след раз не использует. К примеру: включаю Training Mode, вставляю флэшку, дефенс+ учится, создает несколько правил в том числе для F:\LaunchU3.exe (F - флэшка, LaunchU3 - панелька). вытаскиваю флэшку, включаю обратно Train with safe - правило не работает, куча алертов. Короче, если в Train Mode несколько раз воткнуть флэшку, то создается несколько правил для F:\LaunchU3.exe.
Ну и такая фигня со всеми ехешниками с флэшки. Например при запуске Thunderbird выполняются 3 ехешника, на каждый куча алертов, даже если их каждый раз помечать, как Windows systen application (чтоб лишних вопросов не было), это будет 3 алерта, утомительно, в общем
Кто-нить знает способ создать правило для ехешника с флэшки, которое бы работало?
И вообще, насколько важен этот дефенс+ при живом антивирусе? У Нода есть опции для обнаружения потенциально нежелательного и потенциально опасного ПО, я так понимаю, эт практически те же функции?

holod0202, и не увлекайся параметром "LOG", а то у тебя весь журнал будет замусорен. Да и тормозить может комп от этого.


Добавлено:
mougli, значит так в фаере заложено, что запоминаются только приложения на жёстком диске... В чём-то схожая ситуация с правилами для приложений, у которых в названии или в пути к ним имеются русские буквы. Так же правила создаются, но после перезагрузки фаер не понимает, что такие правила уже есть (вроде так было, я такую ситуацию обхожу у себя на компе).

Цитата:

И вообще, насколько важен этот дефенс+ при живом антивирусе? У Нода есть опции для обнаружения потенциально нежелательного и потенциально опасного ПО, я так понимаю, эт практически те же функции?

Не совсем так. Скорее Defense+ можно сравнить с резидентными модулями антишпионов (AVZ4, Ad-Aware, SpyBot).
Хотя у меня, например, стоит конфа COMODO+NOD32+Ad-Aware и никто друг другу не мешает (Defense+ включен).

makarei
10:28 28-01-2008
Цитата:

Новый продукт - Comodo Memory Firewall.

Я не понял - это что, новый продукт? Или как? Надо новую тему создавать или кто-то по русски объяснит в 2х словах что за "зверь"?

Markmaster
судя по версии, не такой уж новый, скорее - другой.
Он следит за памятью и преотвращает (по идее) ошибку переполнения буфера и некоторые другие, читай описание. В общем, дополнительная защита.

Цитата:

Comodo Memory Guardian detects the following types of attack:
- Detection of Buffer Overflows which occur in the STACK memory,
- Detection of Buffer Overflows which occur in the HEAP memory,
- Detection of ret2libc attacks,
- Detection of corrupted/bad SEH Chains

на сайте и в хэлпе есть подробная информация.

pop2ROOT

Цитата:

судя по версии, не такой уж новый, скорее - другой.

Как мне думается, это релиз и переименование "Comodo Memory Guardian" который раньше в бете был.

makarei
очевидно, да. Видимо нужно новую тему ему..

Подскажите что мне делать с System и svchost? Они постоянно ломятся куда то. Что им можно разрешать, а что запрещать? И по каким протоколам? Если в порядке эксперимента блокирую их всё продолжает работать, появляются, правда небольшие тормоза.

Добавлено:
goodbrazer


Цитата:

Попробуйте выключить NetBios в свойствах интернет-подключения. Быть может исчезнет необходимость в этом правиле.

У меня отключено, но по логам System и svchost просятся на эти порты. и ещё на 1137.

Цитата:

что мне делать с System и svchost? Они постоянно ломятся куда то. Что им можно разрешать, а что запрещать? И по каким протоколам?

в зависимости от того, что установлено. свцхост не сам ходит - через него ломится установленное у вас оборудование.

Цитата:

У меня отключено, но по логам System и svchost просятся на эти порты. и ещё на 1137.

на какие "эти"? на 135,137-139,445? А локальную сеть видите? Или нет? Если да, то это как раз общение по портам 137-139
и.. может 137, а не 1137?

holod0202, у меня через них идут только следующие соединения:
• System - соединения по VPN PPTP (с локальных TCP-портов 1024-4999 на порт 1723) и по VPN L2TP (с локального UDP-порта 1701 на порт 1701) vpn-сервера моего провайдера;
• svchost.exe - только исходящие DNS-запросы на DNS-сервер провайдера.
Так в тройке стоит. В двойке соединения по PPTP определялись как соединения процесса svchost.exe.

И всё. Другие соединения запрещены.
Но я не использую NetBIOS, не пользуюсь синхронизацией времени, не использую удалённое администрирование, сетевые принтеры и другие устройства и т.д.

Чтобы сама система не ломилась на порты NetBIOS, надо ещё и службу такую прибить, если в ней нет необходимости.

Цитата:

Comodo Memory Firewall

Цитата:

Видимо нужно новую тему ему..

Разработчики говорят, что CMF будет скоро включен в состав Comodo Firewall.

Поставил третий после второго, днс сервера стал не видеть. Пинг идет а обратно ничего, даже при когда выключаю файервол и дифенс. Снес, все заработало... Что-то тут не то.

Спасибо всем большое за ответы. Буду сносить Comodo. Ничего не получается. скорее всего руки кривые. Да и вообщем то раньше никогда не приходилось пользоваться фаерами, поэтому и настраивать их не умею. Устал. Времени нет. С Комодом тормоза большие. На сайт спутникого провайдера с Комодом вообще войти не могу, хотя всё по локальной сети разрешил. Фаер отключаю- всё нормально. Отключил Комод- интернет летает. Всё ж таки 512 Kbps, а при включённом такое ощущение что на GPRS сижу.
Ещё раз спасибо всем. Удачи!





С уважением.

Цитата:

Пинг идет а обратно ничего, даже при когда выключаю файервол и дифенс.

ruboardvisitor, был подобный глюк на этой неделе (и разрешения есть, и отключал, и перегружал, а всё равно блочил). Вылечил только переустановкой фаера, но так и не понял причину...

WIGF

я уже 2 раза ставил и сносил кстати.
Может написать им? Со вторым таких проблем не было.

У меня помимо обычного ланового интернета еще и ВПН есть. Вроди как после его подключении у Комодо бошку сносит...

ruboardvisitor, у меня дома тоже интернет через VPN (правда тройку дома поставил только в эти выходные и пока глюков не было), а глюк с DNS был на работе, где интернет через ADSL.
А может у тебя в журнале слишком много мусора протоколируется и фаер из-за этого подвисает (не справляется с нагрузкой) и начинает тупить ? Попробуй отключить протоколирование в Global Rules в последнем запрещающем правиле.
Плюс ещё вроде рекомендуется отключать опцию "Block Fragmented IP datagrams" в настройках модуля "Firewall" -> "Advanced" -> "Attack Detection Settings" -> "Miscellaneous", хотя у меня и так работало в двойке и работает в тройке.