» Agnitum Outpost Firewall Pro (фаервол)

HarDDroN

>>Цитата:
>>Хорошо, спрошу по-другому.
>>Когда Outpost "воспитывает" другие проги,
>>по каким закоулкам он рассовывает их клочки?

>Если вы удалили аутпост, а The Bat! не пашет, значит виноват зе бэт.
>Я вам сказал, установить новую версию аутпоста и в режиме автообучения запустить Bat. >Запостить результат. На кой хрен вам сдались клочки аутпоста, если он у вас удалён >(полностью)? Этих "клочков" нет, т.к. вы уже удалили все остатки cleaner-ом.
>Никто не виноват, что у вас не доходят руки переустановить продукт и посмотреть результат.


Дорогой друг!

Ещё раз обращаю Ваше внимание на то, что после попытки установить Outpost,
The Bat! (как и несколько других программ) НЕ ЗАПУСКАЕТСЯ даже кликом по exe-шному
файлу в Program Files, а его файл messages.tbb стал теперь размером в ноль байт.
(Новому Outpost'у будет просто нечему обучаться.
Это было возможно только в первый раз.)

При попытке запуска The Bat! предлагается выбрать нужную программу,
но в списке предлагаемых The Bat! нет.
Однако, в списке установленных программ панели управления он есть.

При попытке запуска, скажем, Filezilla выводится сообщение -
"Объект "filezilla.exe", на который ссылается этот ярлык,
изменён или перемещён, и ярлык больше не работает.
Удалить этот ярлык?"

и т.д.

Поэтому меня интересуют не клочки Outpost'a (на кой они!), а клочки The Bat!,
а именно:
1) по какому алгоритму Outpost удалил почту, чтобы попытаться её восстановить;
2) есть ли какая-то вероятность, что новый Outpost другой версии вернёт всё на свои места.

Мои руки тут ни при чём, они будут рады сделать всё что Вы посоветуете.
Спасибо за помощь!

Во-первых, не хотите ли установить версию The Bat поновее?
Аутпост вообще ничего не должен после себя оставлять и что-то портить. Вы cleaner-ом воспользовались? Если да, то установите новый аутпост и посмотрите на реакцию компа - будут ли работать выше названные вам проги? Если нет, удалите тчательно свой допотопный бэт второй версии и установите последнюю четвёрку. Можете не бояться потерять почту - при установке 4-ки, укажите свой почтовый ящик, он оттуда все письма загрузит.

forward123, сделай проверку диска на ошибки, а заодно и вирусы. Это похоже на сбой файловой системы, винить в которой outpost я бы не стал...
HarDDroN, это сработает, если письма на ящике сохранены, а если нет? И как быть с исходящей почтой?

HarDDroN

Цитата:

Спс, дорогой, просветили.

Всегда пожалуста

Цитата:

Но тут топик про Outpost.

и вВам спасибо за просвещение

Цитата:

И левые ссылки нечего давать. (на оф. сайт надо давать)

Вы по моему мой друх до модератора еще не доросли что бы мне указывать.
PS правила сначали прочтите что следует а что нет.

alex7y
да и вы недавно Нубом были. А разговаривать нужно вежливо, мы тут все воспитанные люди. Но не будем переходить на личности. И опять же не оффтопьте.

Aleksandr_SHCH

>HarDDroN, это сработает, если письма на ящике сохранены, а если нет? И как быть с >исходящей почтой?


Именно!
Если бы копии писем были в ящике на сервере, я бы сюда не писал.



HarDDroN

>Во-первых, не хотите ли установить версию The Bat поновее?
>Аутпост вообще ничего не должен после себя оставлять и что-то портить. Вы cleaner-ом >воспользовались? Если да, то установите новый аутпост и посмотрите на реакцию компа - будут ли работать выше названные вам проги? Если нет, удалите тчательно свой допотопный бэт второй версии и установите последнюю четвёрку. Можете не бояться потерять почту - при установке 4-ки, укажите свой почтовый ящик, он оттуда все письма загрузит.
>
>


Установка Outpost'а ничего не изменила. The Bat! не запускается и т.п.

Однако, я обратил внимание, что в «Фильтре вложений» вкладки “Сканер почты» раздела «Антишпион» Outpost'а по умолчанию стоит опция «Переименовывать вложения с указанными расширениями»:
по умолчанию выбраны следующие - bat, bin, chm, cvd, com, dll, doc, docx, dot, drv, exe, hta, html, htt, js, jse, ocx, pif, scr, swf, sys, vbe, vbs, xls, xlsx

Поскольку входящие письма в основном html или с присоединёнными doc, xls и т.п.,
не мог ли Outpost подвергнуть их "репрессиям" и куда-нибудь засунуть?

В первый раз у Outpost'а стояла опция создавать правила автоматически
и, возможно, он куда-то всё это засунул или переименовал?

Доктор, это безнадёжно?

камрады прошу помогите советом. последний релиз оутпоста ставлю на вин7 ультимейт ретейл. все вроде путево но в режиме обучения блокирует интернет. в режиме разрешения пожалуйста а в режиме обучения нивкакую. подскажите где копать? на висте всё чудненько

Kranbolt
Как к инету цепляетесь?
Опять же, поставьте режим обучения и включите полное логирование событий. И попробуйте подключиться к инету. Не получится. Зато записи в логах нам всё объяснят. Проанализируйте журналы и выявьте причину. Не получится - журналы в студию (в смысле сюда постите, а желательно скриншотом)
forward123
попробуйте вообще фильтр вложений отключить. А так же включите в аутпосте отладочную регистарацию событий (можно даже уровень на макс поставить и
Цитата:

Проанализируйте журналы и выявьте причину. Не получится - журналы в студию (в смысле сюда постите, а желательно скриншотом)

forward123

Цитата:

Поэтому меня интересуют не клочки Outpost'a (на кой они!), а клочки The Bat!,
а именно:
1) по какому алгоритму Outpost удалил почту, чтобы попытаться её восстановить;
2) есть ли какая-то вероятность, что новый Outpost другой версии вернёт всё на свои места.

Scanning Mail Attachments
One of the simplest ways for worms, Trojans, and other malware to get into your computer is through e-mail attachments. Hundreds of self-replicating programs use e-mail and address lists of unlucky users to distribute themselves throughout the Internet and/or a local network. A user needs only to open the file attached to a received e-mail and the worm or spyware starts performing its malicious actions resulting in system infection and malfunction.

Outpost Firewall Pro protects you from attachments containing spyware, worms, and Trojans, checking files attached to e-mail arriving to and being sent from your computer and quarantining those which Outpost Firewall Pro recognizes as potentially dangerous.

Attachment filter

If you consider some types of attachments to be potentially dangerous even after they pass a clean spyware check (for example, the scanner could simply be not "aware" of a new spyware in the wild) or for some reason have disabled mail scanning, you still have the ability to prevent probable damage caused by opening or executing such a file.

The attachment filter is triggered after a clean spyware scan quarantines or removes specified types of files according to the settings under Attachment filter on the Mail Scanner page.

Select Rename attachments of the specified types if you want to change the extension of the file or Quarantine attachments of the specified types to isolate them and put them in Outpost Firewall Pro's quarantine.

To edit the list of file extensions to process, click the Extensions button. The most common types of files that can contain malicious code are already added to the list for your convenience, but you can add, edit, or remove file extensions according to your needs. To revert to the original list, click the Default button.

If you do not want the filter to rename or quarantine any attachments, select the Disable attachment filter option button.

You can also set Outpost Firewall Pro to show visual alerts and/or play sound alarms on detecting spyware by clicking the Alerts button under Notifications.


Болд мой и он не зря. Я никогда не пользовался данными услугами Аутпоста, посему - понятия не имею где у него карантин, спросите в русском саппорте, там отвечают даже :P
Впрочем, тот факт, что архив почты TheBat'а у вас обнулился - вещь довольная странная, больше похоже на работу антивируса, так как Outpost фильтрует работу почтовика на уровне протоколов/портов (Only IMAP, POP3, and SMTP protocols are supported. Outpost Firewall Pro does not support Microsoft Exchange mail accounts.). Но даже антивирус навряд ли бы что обнаружил в messages.tbb, так как Мыша его сохраняет в base64, там, по сути, plain-text, а аттачменты сохраняются отдельно, посему, должны бы удалиться (на карантин) только они.

Надеюсь у вас есть бекап почты :P

А HarDDroN'а не слушайте, он чушь несет про переустановки. Магическим образом ничего никуда не исчезает и не появляется :P

forward123
Я предполагаю, что у тебя, если я правильно понял то:
Ты говорил что экзешник стал 0 размера, случаем не тогда, когда ты зашел в папку с батом и не написал ли тебе аутпост, что опасный объект заблокирован?

Надо подключиться к серверу терминалов.

Сделал правило для приложений
(Брандмауэр - Сетеве правила - Системные правила...)
разрешающее коннект к локальному порту 3389 (rdp)

НЕ соединяется, активность отражается только в Журнале пакетов
Блокировать, Пакет на закрытый порт, Флаг SYN

вроде бы я же его открыл этот порт или как-то еще надо открывать?

Kein

Был бы бэкап, не грузил бы здесь.

Установил нового мыша, добавил его в Outpost'е в доверенные программы.
Но при включенном Outpost'е почту он не принимает. При выключенном - без вопросов.
Фильтр вложений отключен.

Что нужно сделать, чтобы The Bat! заработал из-под Outpost'а?

Почта на Опере с теми же данными тоже не пашет.

Добавлено:
Wu Tang


Цитата:

forward123
Я предполагаю, что у тебя, если я правильно понял то:
Ты говорил что экзешник стал 0 размера, случаем не тогда, когда ты зашел в папку с батом и не написал ли тебе аутпост, что опасный объект заблокирован?

Не exe-шник, а message.tbb, где письма хранились.

Kein

Цитата:

А HarDDroN'а не слушайте, он чушь несешь про переустановки. Магическим оббразом ничего никуда не исчезает и не появляется

Во-первых, исправьте.
Я ему это и впаривал. Говорил, что аутпост здесь не причем, мол обращайся в тему The Bat!-а. Он написал, что установил 6.5, я предположил, что это глюк (да ещё у него The Bat! 2 версии - мало ли, мб когда 6.5 прокатывали, у всех зе бэт поновее, и потому багу не заметили), предложил установить 6.7. Что я не так сделал? Ничего страшного. И чушь я не несу.

Цитата:

Kranbolt
Как к инету цепляетесь?
Опять же, поставьте режим обучения и включите полное логирование событий. И попробуйте подключиться к инету. Не получится. Зато записи в логах нам всё объяснят. Проанализируйте журналы и выявьте причину. Не получится - журналы в студию (в смысле сюда постите, а желательно скриншотом)

через ADSL цепляюсь. проблему решил так: установил режим разрешения, открыл соединение, зашол> настройки >детектор атак>снял галочку с пункта "блокировать ip-адрес атакующего". закрыл Оутпост и соединение. Затем опять открыл снова настройки,поставил галочку и режим обучения заработал. странно вобщето. на висте горя не знал а тут пока бета-поддержка))))

ZoomAll
нужно еще настроить разрешающее правило для приложения, которое принимает входящие соединения

forward123
Ну если он этот файл обнулил, то уже по-моему с концами, в плане его восстановления.

forward123

Цитата:

Установил нового мыша, добавил его в Outpost'е в доверенные программы.
Но при включенном Outpost'е почту он не принимает. При выключенном - без вопросов.
Фильтр вложений отключен.

Проверь, может быть у тебя два правила для TheBat (одно запрещающее, другое разрешающее)? Альсо, проверь на всякий случай IP-blacklist.
Ну и самое главное - политика Оутпоста какая? Режим обучения, блокировки, разрешения или запрета? Попробуй сменить на режим "отключен" ("не принимать никаких действий"), и проверь - пустит ли?

Wu Tang


Цитата:

forward123
Ну если он этот файл обнулил, то уже по-моему с концами, в плане его восстановления.

Само собой. Это я так, "для сознания исполненного долга".

Доброго времени суток
Машины, находящиеся в подсети ни в какую не видят интернета, выходя через компьютер с установленным Outpost 2009 FREE
Вопрос про ICS уже обсуждался, но версию FREE по рекомендациям, взятым отсюда настроить не получается
Вот, что в логе идет:

Цитата:

2009/09/12 07:56:04 recv UDP 192.168.0.3:57261 -> 192.168.0.1:53 (59) allow by 0000000B/0000000B
2009/09/12 07:56:04 send ICMP 192.168.0.1 -> 192.168.0.3(3/3) (87) allow by 0000000B/0000000B
2009/09/12 07:56:04 recv UDP 192.168.0.3:137 -> 192.168.0.255:137 (78) allow by 0000000B/0000000B
2009/09/12 07:56:05 recv UDP 192.168.0.3:137 -> 192.168.0.255:137 (78) allow by 0000000B/0000000B
2009/09/12 07:56:05 recv UDP 192.168.0.3:137 -> 192.168.0.255:137 (78) allow by 0000000B/0000000B

Цитата:

2009/09/12 07:56:04 new packet connection: ICMP/192.168.0.1:* -> 192.168.0.3:* <n/a:0> [00000000/00000E31] 0000000B
2009/09/12 07:56:04 new packet connection: UDP/192.168.0.255:137 <- 192.168.0.3:137 <SYSTEM:4> [00000029/00000E32] 0000000B

Вопрос к ALL:
Раньше на версии 6.5 входящие (IN) ТСР, если удаленный адрес типа MY_COMPUTER, пропускались автоматом даже без вопросов в режиме обучения, т.е. локальная ТСР активность была по умолчанию разрешена. Теперь, в версии 6.7 (2957.446.0711), такая активность автоматом блокируется, и даже в режиме обучения не задает вопроса, а надо ли, собственно, блокировать? Приходится смотреть в сетевую активность, и явно вбивать "разрешить входяшие ТСР с МойКомп" для тех приложений, для которых у Аутпоста нет предустановленного пресета, например, для Траффик Компрессора, который суть прокси. У всех так?

UPD: это наблюдается как при инсталле поверх 6.5, так и при чистом инсталле. Глобальные и низкоуровневые правила по умолчанию.

ув.товарищи есть вопрос по Outpost Firewall Free 2009 6.5.1
как разрешить именно те IPы которые нужны по 20-21 и пассивному режиму??
список ипов большой, имеются подсети, можно это как-то создать в виде Macros from list в фаере.

cuttep1984

Цитата:

как разрешить именно те IPы которые нужны по 20-21 и пассивному режиму??

Outpost поддерживает CIDR-маски, afaik, в крайнем случае там (в правилах) можно указать диапазон напрямую.

Подскажите, пожалуйста, что делать если отключил Мастер Настройки сразу после установки файерволла? Можно будет как-то его снова запустить?

FullMetalFrank
Настройки-Общие-Конфигурация-Новая

Что-то нигде не нашёл описания одного косяка. У меня параллельно Оутпосту стоит BWmeter. И в определённые моменты неожиданно начинается пожирание трафика. При этом Оутпост не показывает никаких соединений!!!!! Выгружаю Оутпост и всё становится нормально!!!! Обновление оупоста стоит вручную. Это явно какой-то привет от производителя. Как это отключить???

Kukuev

Цитата:

Машины, находящиеся в подсети ни в какую не видят интернета...

Поставь галку "Зона NAT" и если не поможет, то в низкоуровневых разреши типа этого:

Код: Where the Protocol is IP
    and protocol type is ICMP, TCP, UDP
    and Local Address is 192.168.1.5
Allow It

Vasya_Jap
Заблокируй в Оутпосте саму активность моделей Оутпоста, лол. Такая вот рекурсия спасает от скачивания сабжем RSS/апдейтов.

Kein

Цитата:

Такая вот рекурсия спасает от скачивания сабжем RSS/апдейтов.

Обновление можно отключить штатными средствами, а про отключение RSS писали в топе сто раз.

Ребята, подскажите.
Outpost Firewall Free 2009 ставит в WinXPSP3 какой-нибудь драйвер или службу, которая остаётся работать даже при закрытии Аутпоста из трея (если его вообще можно закрыть)?
Примечание.
У меня сглючил старенький Comodo файер, но его HIPS работает (файер пришлось отключить, сейчас на Виндовском). Я не хочу его менять на Комодо Секьюрити. Хочу сделать связку "старый Комодо HIPS + Outpost Firewall Free 2009", но боюсь конфликта с НЕОТКЛЮЧАЕМО висящем в системе "сомодо агенте". Если Outpost Firewall Free 2009 никакого НЕОТКЛЮЧАЕМОГО драйвера или службы не ставит, то и конфликта не должно быть.