» Jetico Personal Firewall

Чуть прояснилось, но


Цитата:

При соединении через прокси 192.168.0.21:3080, из всех пяти правил, нужно только одно:
outbound connect 192.168.0.21:3080.

В какую таблицу мне надо прописать это правило? В таблице WebBrowser оно не работает, игнорируется.

Почему игнорируются UDP пакеты ???
У меня в таблице System IP RULES есть такие строчки:

accept        UDP    incoming packet    any    any    
accept        UDP    outgoing packet    any    any    
continue    Default action    

UDP пакеты в эту таблицу туда попадают , но строчки с UDP игнорируются ( лампочки сразу загораются на Default action) и переходит на Default action, в следующую таблицу и там запрещаются.

Вот кусок логов:
16.04.2009 12:49:45.968    go to another table    All Other Traffic    78    UDP    incoming packet    192.168.0.153    192.168.0.255    137    137
Это Jetica обнаружила UDP пакет в вышеописанной таблице и, не обработав его, перешла на continue.

Попадает пакет в следующую таблицу и там режется.
16.04.2009 12:49:45.968    reject    Block All not Processed IP Packets    78    UDP    incoming packet    192.168.0.153    192.168.0.255    137    137    

И так постоянно....

16.04.2009 12:49:46.625    go to another table    All Other Traffic    60    UDP    incoming packet    192.168.0.168    192.168.0.255    1043    

16.04.2009 12:49:46.625    reject    Block All not Processed IP Packets    60    UDP    incoming packet    192.168.0.168    192.168.0.255    1043    

....

В чем дело? Кто может пояснить?

Перешерстил весь форум, но ответа не нашел.
Проблеиа в связке Jetico v.2 и NOD32 v.3. Категорически отказывается работать - компьютер после перезагрузки виснет намертво.
Кто-нибудь из уважаемого сообщества решил (решал) эту проблему? Уж очень хочется заставить их работать вместе. COMODO работает без проблем, но хотелось бы водрузить Jetico.

mic537

Цитата:

В чем дело? Кто может пояснить?

Прочтение предыдущей части многое пояснит.

Bigor
Решается стандартно для таких программ.
1. Отключить сеть, создать (или включить если есть) вверху таблиц: Контрольные суммы, Контроль процессов, Косвенный доступ, правило - Разрешить всё.
2. Выключить Джетику.
3. Установить NOD. Перед перезагрузкой, после установки, если в NOD'е возможно, снять авто-запуск. Если не возможно, тогда убрать из авто-загрузки Джетику (выключить службу, и гуй), вообщем добиться после рестарта, запуска только одной программы.
4. После рестарта, занести обе программы в доверенные друг к другу. В зависимости как получилось в п. 3 или: В NOD'е добавить в доверенную зону: jpf.exe и jpfsrv.exe и если возможно папку Jetico. Стартовать (и вернуть авто-запуск) Джетику и вручную (пока работают в таблицах правила Разрешить всё), добавить все исполняемые файлы NOD'а во все три таблицы, по типу: разрешить Путь/до/.exe. Или (если первой стартует Джетика) наоборот.
По идее всё должно заработать и разрешающие правила вверху таблиц можно (нужно) убрать. А дальше, создавать правила по запросу.
Если не получится, старательно "чистить хвосты" от предыдущих экспериментов. Всё должно работать.

Dimitr1s

Спасибо, буду пробовать. Главное -- в принципе настраиваемо.

upd. 20.04.2009

Увы, увы... Установить-то я установил. Настроил даже -- не мешали (вроде) Jetico и NOD32 v.3 друг другу, основываясь на приведенных принципах установки таких приложений. Но компьютер необычайно тормозил в некоторых моментах, например - вызов панели настройки (замирание на 1,5 - 2 мин.). Тормозил даже в случае отключения обоих приложений сразу (режим "все разрешено"). Снести Jetico удалось только после того, как был остановлен сервис, его запуск назначен на "ручной" и перегружен компьютер.

IMHO, не живут вместе Jetico v.2 и NOD32 v.3. С версией NOD32 v.2.7, кстати, Jetico прекрасно уживается. Причина, в общем-то понятна.

Dimitr1s

наконец нашлось время))
работал при отключеном анализе соединения, вот решил снова поразбираться..
но самое интересное, что хостовая система (Virtual PC) работает с основной и при включенном анализе, проблема я так понял только в выходе в инет.. хотя связь идет через роутер, он же и присваивает IP и хостовой и основной, он же и соединяется с провайдером (т.е не в режиме бридж)

Добавлено:
Bigor

у меня например живут и не тужат.. хотя случай был с одной из версий, Винда зависала на уровне загрузки приложений.. пришлось вернуться на предыдущую версию, и вот сейчас поверх накатил новую. все встало и работает.

Bigor

Цитата:

IMHO, не живут вместе Jetico v.2 и NOD32 v.3

Сам NOD'ом никогда не пользовался, но несколько раз устанавливал, на чистые системы, связку Jetico 2 и NOD 3, всё работало. Ставил в порядке: NOD -> Jetico.

Цитата:

Снести Jetico удалось только после того, как был остановлен сервис, его запуск назначен на "ручной" и перегружен компьютер.

На оф. форуме, к слову, попадалось: создатели рекомендуют удалять Джетику без остановки и выхода, включённую.

mleo

Цитата:

т.е не в режиме бридж

В режиме роутера, без дополнительных настроек, проблемы всегда могут возникать, в режиме мост проще настроить. Тут смотреть нужно, по любому сначала копать построение сети, потом Джетику.

Прошу подсказать, коллеги!
Каким образом пишется диапазон IP адресов в настройке JPF в "Сетевой активности" в "Правило приложения" при указании "Удалённого адреса"?
145.12.7.254 (через: "-", " - ", "/", " / ", ":" или ещё как-то?) 154.250.1.121?

101shrek
Справка -> Advanced firewall configuration -> IP rule:
Цитата:

IP filtering module operates with Source and Destination IP addresses.

User can specify either
IP address range in x.x.x.x-x.x.x.x form or
IP address group (firewall variable)

Dimitr1s!
Спасибо!

А подскажите пожалуйста, как записать "Правило приложения" - System?

Правило будет применено к событию уровня
приложений при выполнении следующих условий
Событие: исходящее соединение
Приложение: System
Протокол: TCP/IP
Уделённый адрес: 60.0.0.0-217.255.255.255 - указан диапазон адресов
Удалённый порт: 80-9002 - указан диапазон адресов

Правильно это или нет?
Если я хочу закрыть все порты какой должен быть диапазон?
Какие порты (входящие и исходящие) можно закрывать, а какие нет?
Как записать правило для входящих соединений? Какие являются опасными?

Хочу поделиться опытом, дабы кто-нибудь не потерял столько времени как я, случись у него такое
Странная вещь случилась у меня с Jetico. Перестал вдруг запускаться, выдавал ошибку "память не может быть read..." и хоть ты тресни. Удаление и переустановка ни к чему не привели, ошибка не исчезла. Что я только ни делал, и реестр руками чистил, и разгон убирал, и память проверял и менял, и винды переставлял, всё безрезультатно. Уже отчаялся и хотел плюнуть, но тут случайно заметил, что с какого-то перепугу дата системная у меня стоит 2065 год (не знаю какая гадина так надо мной пошутила, это я ещё выясню). Какого же было моё удивление, когда поменяв дату обратно на 2009 год, всё вдруг заработало как ни в чем ни бывало. Так что вот, имейте в виду, если перестал запускаться jetico, первым делом проверьте системную дату, потом уже всё остальное

Flip_Flop
Даа... уж!

Кто нибудь с windows 7 тестировал jetico ?

upd:
Проверил -- BSOD при загрузке.

/del

inf3rn0
у меня bsod-ы были не при загрузке, а регулярно при работе. Попробуй обновление через windows update установить, мне помогло, работает нормуль

По моему он с каспером конфликтует, удалил каспера - все нормально.

inf3rn0 писал: "По моему он с каспером конфликтует, удалил каспера - все нормально."
У меня не конфликтует. Каспер-2009 ставил перед установкой JPF. Проблем - никаких. Если каспер цепляется за JPF - пропишите его в каспере - в группу исключений.

Очень не хватает функции "Installation mode" как в комодо. Чтобы не задавал вопросы во время инсталяции софта, а потом или НАПОМИНАЛ или САМ переходил в нормальный режим. Потому что переключение вручную "Allow all" - небезопасно и вообще забываю часто обратно включить optimal. Таблицу правил тоже неохота засирать каждой инсталяцией.

serega87

Цитата:

Таблицу правил тоже неохота засирать каждой инсталяцией.

Открой для себя пункт "Разрешить на этот раз и справляй потребности в другом месте.
Создатели подобных "режимов" (Авто-*), прекрасно знают, что безопасность при этом стремится к нулю, но что делать - коммерция, продажи нужны, а "блонди" подобное очень любят и так же охотно покупают.

Цитата:

Чтобы не задавал вопросы во время инсталяции софта, а потом или НАПОМИНАЛ или САМ переходил в нормальный режим.

Потом, может быть: или лечение, или отправка данных с машины.

serega87
Создай ещё один профиль (политику), в которой можешь отключить всё что захочешь и переключайся на время инсталяции. Я одно время так и делал: отключал часть таблицы "контроля приложений", "косвенный доступ" и "доступ в сеть". При этом контроль за доступом в сеть осуществляется с помощью "контрольных сумм".

Dimitr1s
А как быть с событием "изменение важного объекта системы"? Там "Разрешить на этот раз" не прокатывает или надо много и долго нажимать "разрешить", я ни разу не дождался, просто создавал сразу правило.

Flip_Flop

Цитата:

А как быть с событием "изменение важного объекта системы"?

Давний баг, они об этом давно знают. "Зацикливается", при однократном выборе, только на одном "важном объекте" - win.ini.
zye

Цитата:

При этом контроль за доступом в сеть осуществляется с помощью "контрольных сумм".

Любопытно, как таким образом может осуществляться контроль за доступом в сеть? Да ещё при том, что эта таблица по умолчанию оканчивается правилом "Allow".

Файрвол нормально работает в windows 7?

Dimitr1s

Цитата:

Любопытно, как таким образом может осуществляться контроль за доступом в сеть? Да ещё при том, что эта таблица по умолчанию оканчивается правилом "Allow".

Я не знаю как, но факт имеет место быть. Можешь проверить.

Цитата:

Открой для себя пункт "Разрешить на этот раз и справляй потребности в другом месте.
Создатели подобных "режимов" (Авто-*), прекрасно знают, что безопасность при этом стремится к нулю, но что делать - коммерция, продажи нужны, а "блонди" подобное очень любят и так же охотно покупают.

В моем сообщении видишь, то, что только сам хочешь увидеть. Конечно я знаю про "allow once", но задалбывает постоянно во время инсталяции жать "allow once". И не надо говорить, что окно появляется только пару раз. Иначе бы я не поднимал этот вопрос здесь. В общем решения нет. Создавать еще одну политику (как предлагает zye) смысла нет. Проблема, что я не хочу в голове держать, что надо переключиться обратно. У комодо installataion mode включается только для процессов порожденных текущим и для него самого (насколько я успел заметить). Так что безопасность не сильно хромает. Комодо все таки впереди Jetico в плане защиты (я к тому что там не дураки сидят, которые ввели "installation mode" для блондинок), но тормозней, потому и не пользуюсь. Больше всего мне понравилось как этот режим реализован в System Safety Monitor. Там уж точно он относится только к порожденым процессам.

zye

Цитата:

Я не знаю как, но факт имеет место быть. Можешь проверить.

Так давно проверено, при запрещении, режутся сетевые функции всех вовлечённых процессов. А по нижнему, по умолчанию, правилу "Allow" остальной, не сетевой, код исполнится. К примеру, если ты при таком раскладе, при обновлении с Microsoft Update, зарежешь в "Контрольных суммах" какой-нибудь исполняемый файл из %Temp%, вместе с ним заблокируются сетевые функции и IE в том числе. На этом обновление всего остального закончится, а запущенный exe'шник успеет прописать в реестр, установить dll, драйвера и пр. (с большой долей вероятности, многое будет не докачено, а в реестр прописано).
Контроля из этой таблицы не выйдет. Если уж отключать, то все таблицы "проактивки" и контролировать по отдельности в "Сетевой активности".

serega87

Цитата:

В моем сообщении видишь, то, что только сам хочешь увидеть.

То что написал, то и видно. При пользовании "allow once" в таблицах оказываются только те правила, которые нужны, таблицы не засоряются, с этим проблем нет. То что лень жать и забываешь переключать таблицы, проблемы не Джетики.
Цитата:

И не надо говорить, что окно появляется только пару раз.

Кто говорил, что пару раз? Запрос появляется ровно столько раз, сколько в действительности происходит попыток исполняемым файлом выполнить те или иные функции, контролируемые драйвером Джетики. Ни больше ни меньше.
Цитата:

Создавать еще одну политику (как предлагает zye) смысла нет. Проблема, что я не хочу в голове держать, что надо переключиться обратно.

Если нет желания разбираться, отключи проактивку и забудь. Если запросы раздражают и "allow" нажимается не глядя, толку от неё ноль.
Цитата:

У комодо installataion mode включается только для процессов порожденных текущим

Не только у комодо, общий принцип подобных Авто*, чем грозит - тысячный раз писать не буду.
Цитата:

для процессов порожденных текущим и для него самого (насколько я успел заметить)

Это как? Если можно подробнее.
Цитата:

Комодо все таки впереди Jetico в плане защиты

Это где, в тестах матусека написано что ли?
Цитата:

я к тому что там не дураки сидят, которые ввели "installation mode" для блондинок

Далеко не дураки - комерсанты с большой буквы, кодеры давно ушли на второй план.
Цитата:

Больше всего мне понравилось как этот режим реализован в System Safety Monitor

Каким боком к сетевым фаерволлам?
Обрати внимание на KIS, полностью всё на автомате, всё красиво, быстро, революционно.
Правдо небольшие минусы есть, сливает инфу с машины на забугорные сервера и отваливается при загрузке от любого написанного_школьником_чиха, ибо драйвер стартует "поздновато". Зато жать и запоминать ничего не надо, поставил и забыл.

Цитата:

То что лень жать и забываешь переключать таблицы, проблемы не Джетики.

Все понятно. Если это позиция авторов, вопросов больше не имею.


Цитата:

Каким боком к сетевым фаерволлам?

Мы обсуждаем HIPS часть. Современные файерволлы - это не только сетевая часть, но и hips. Так рьяно защищаешь Jetico, что не замечаешь передергиваний со своей стороны.


Добавлено:

Цитата:

Далеко не дураки - комерсанты с большой буквы, кодеры давно ушли на второй план.

И правильно делают. Выстроить модель, когда файер бесплатен - уважаю. Тем более это не их основной бизнес.

Добавлено:

Цитата:

Это где, в тестах матусека написано что ли?

Да и Jetico контактирует с ними - т.е. принимает эти тесты и не возражает против результатов, судя по их ответам в matousec.

serega87

Цитата:

Все понятно. Если это позиция авторов, вопросов больше не имею.

Честно говоря представления не имею какая позиция авторов, по поводу всяких Авто_инсталов. Меня как пользователя устраивает то что есть в данный момент, фаерволл с возможностью самому контролировать происходящее, без всяких лишних модулей типа авто-инсталов, банеро-резалок и пр. С авторами возможно тут пообщаться.

Цитата:

Мы обсуждаем HIPS часть. Современные файерволлы - это не только сетевая часть, но и hips. Так рьяно защищаешь Jetico, что не замечаешь передергиваний со своей стороны.

В чём передёргивания? Что твои претензии к HIPS Джетики, состоят в том, что задаёт вопросы по существу происходящего исполнения кода, а тебе лень нажимать кнопки? LOL Есть что по существу проколов, багов проактивки пиши, обсудим.

Цитата:

И правильно делают. Выстроить модель, когда файер бесплатен - уважаю.

Все Авто-примочки появились в комодо с моментом появления комерческой версии.

Цитата:

Да и Jetico контактирует с ними - т.е. принимает эти тесты и не возражает против результатов, судя по их ответам в matousec.

Что бы ориентироваться на тесты и судить по ним, что лучше, что хуже, ты сначала прочитай внимательно условия и последствия выполнения каждого теста, а потом сделай вывод: возможен ли вообще запуск некоторых на твоей машине, с твоими настройками самой системы и так ли важны будут последствия их выполнения. Меня например большинство тестов, оттуда ни как не трогают.

Dimitr1s

Цитата:

Так давно проверено, при запрещении, режутся сетевые функции всех вовлечённых процессов. А по нижнему, по умолчанию, правилу "Allow" остальной, не сетевой, код исполнится.

Где почитать?

P.S.
А таблицу "Сетевой активности" я serega87 и не рекомендовал отключать.