» Jetico Personal Firewall
Dimitr1s
Выложите пожалуйста "Станд. набор правил" для XP SP3. Ссылка указ. выше - не рабочая.
Спасибо
Выложите пожалуйста "Станд. набор правил" для XP SP3. Ссылка указ. выше - не рабочая.
Спасибо
zjmart
Перезалил тут тот же самый архив.
Перезалил тут тот же самый архив.
Dimitr1s
Благодарю..
Благодарю..
Есть такой вопрос, может кто знает на него ответ.
Почему при ограничении Джетикой для internet explorer`а на то, что ему не надо никуда ходить, кроме прокcи, он начинает дико тормозить с загрузкой страниц.
При том, что у Оперы такого поведения не наблюдается.
Почему при ограничении Джетикой для internet explorer`а на то, что ему не надо никуда ходить, кроме прокcи, он начинает дико тормозить с загрузкой страниц.
При том, что у Оперы такого поведения не наблюдается.
fbm
Цитата:
Не знаю как у оперы, для Internet Explorer'а нужно разрешить localhost:
Событие: получение пакетов (UDP), отправка пакетов (UDP)
Приложение: Путь до iexplore.exe
Протокол: TCP/IP
Локальный адрес: 127.0.0.1
Удалённый адрес: 127.0.0.1
Много приложений требуют подобное разрешение для нормальной работы.
Цитата:
Почему при ограничении Джетикой для internet explorer`а на то, что ему не надо никуда ходить, кроме прокcи, он начинает дико тормозить с загрузкой страниц.
Не знаю как у оперы, для Internet Explorer'а нужно разрешить localhost:
Событие: получение пакетов (UDP), отправка пакетов (UDP)
Приложение: Путь до iexplore.exe
Протокол: TCP/IP
Локальный адрес: 127.0.0.1
Удалённый адрес: 127.0.0.1
Много приложений требуют подобное разрешение для нормальной работы.
Стоит ОС Windows 8
Jetico 2.1.0.12
Почему то не отлавливается некоторые соединения по протоколу TCP
По логам в таблице IP соединение детектится, а в приложениях уже нет - только разрыв с удаленного конца
Код:
time="2013-06-28 15:33:27" pri=7 id="net" action="разрешить" msg="1" rule="CD6" mod="13" size="488" event="исходящий пакет" protocol="TCP" src_addr="yyy" dst_addr="xxx" src_port="52623" dst_port="8291" misc="TTL: 128; TOS: 0; ID: 7974; Don't fragment; TCP flags: FIN PSH ACK ; TCP Seq: 801CB5CE" private="G2 H6"
time="2013-06-28 15:33:27" pri=7 id="net" action="разрешить" msg="1" rule="CD6" mod="13" size="40" event="исходящий пакет" protocol="TCP" src_addr="yyy" dst_addr="xxx" src_port="52623" dst_port="8291" misc="TTL: 128; TOS: 0; ID: 7A74; Don't fragment; TCP flags: ACK ; TCP Seq: 801CB78F" private="G2 H6"
time="2013-06-28 15:33:27" pri=7 id="app" action="разрешить" msg="2" rule="CD7" mod="7" event="разрыв с удалённого конца" protocol="TCP/IP" application="D:\winbox.exe" local_addr="yyy" remote_addr="xxx" local_port="52623" remote_port="8291" parent_event="исходящее соединение" misc="PID: 2692; Connection: B779" private="G8 H2 I2 Ja84 Kb779"
Jetico 2.1.0.12
Почему то не отлавливается некоторые соединения по протоколу TCP
По логам в таблице IP соединение детектится, а в приложениях уже нет - только разрыв с удаленного конца
Код:
time="2013-06-28 15:33:27" pri=7 id="net" action="разрешить" msg="1" rule="CD6" mod="13" size="488" event="исходящий пакет" protocol="TCP" src_addr="yyy" dst_addr="xxx" src_port="52623" dst_port="8291" misc="TTL: 128; TOS: 0; ID: 7974; Don't fragment; TCP flags: FIN PSH ACK ; TCP Seq: 801CB5CE" private="G2 H6"
time="2013-06-28 15:33:27" pri=7 id="net" action="разрешить" msg="1" rule="CD6" mod="13" size="40" event="исходящий пакет" protocol="TCP" src_addr="yyy" dst_addr="xxx" src_port="52623" dst_port="8291" misc="TTL: 128; TOS: 0; ID: 7A74; Don't fragment; TCP flags: ACK ; TCP Seq: 801CB78F" private="G2 H6"
time="2013-06-28 15:33:27" pri=7 id="app" action="разрешить" msg="2" rule="CD7" mod="7" event="разрыв с удалённого конца" protocol="TCP/IP" application="D:\winbox.exe" local_addr="yyy" remote_addr="xxx" local_port="52623" remote_port="8291" parent_event="исходящее соединение" misc="PID: 2692; Connection: B779" private="G8 H2 I2 Ja84 Kb779"
Isorkin
А если отключить в "Таблице IP" правило "1"?
А если отключить в "Таблице IP" правило "1"?
Dimitr1s
Соединение спокойно проходит, и в правиле 2 не отображается. Даже если сделать запрещающее правило в таблице приложений - соединение не блокируется.
Если поменять перваое правило на блокировку (в таблице ip, до правил анализа соединений TCP), то приложение нормально блокируется.
Еще заметил, если отрубаешь торрент приложение (входящий порт 45141), а пакеты продолжают к нему поступать, то файервол берет например приложение и задает вопрос создать правилдо для этого приложения с входящим портом 45141. Т.е. иногда неправильно детектит приложения.
Соединение спокойно проходит, и в правиле 2 не отображается. Даже если сделать запрещающее правило в таблице приложений - соединение не блокируется.
Если поменять перваое правило на блокировку (в таблице ip, до правил анализа соединений TCP), то приложение нормально блокируется.
Еще заметил, если отрубаешь торрент приложение (входящий порт 45141), а пакеты продолжают к нему поступать, то файервол берет например приложение и задает вопрос создать правилдо для этого приложения с входящим портом 45141. Т.е. иногда неправильно детектит приложения.
Isorkin
Цитата:
По какому правилу?
Зачем создавалось в "Таблице IP" правило "1", если соединение без него проходит?
Цитата:
Таблицы проходятся сверху вниз и если выше встретится подходящее правило, без указания пути к исполняемому файлу, приложение по нему откроет соединение.
Ещё, возможно, "winbox.exe" может вызывать соединения через другие приложения (e.g. svchost).
Цитата:
Соединение спокойно проходит
По какому правилу?
Зачем создавалось в "Таблице IP" правило "1", если соединение без него проходит?
Цитата:
...и в правиле 2 не отображается. Даже если сделать запрещающее правило в таблице приложений - соединение не блокируется.
Таблицы проходятся сверху вниз и если выше встретится подходящее правило, без указания пути к исполняемому файлу, приложение по нему откроет соединение.
Ещё, возможно, "winbox.exe" может вызывать соединения через другие приложения (e.g. svchost).
Я создавал правило, чтобы проверить работу.
Попробовал заблокировать svchost - все равно срабатывает.
В таблдице приложений создавал правило в самом верху, цепочка - таблица Приложение -> правило запрета для winbox -> Доступ в сеть -> Косвенный доступ -> Сетевая активность - соединение проходит
Создал правило в таблице Сетевая активность блокировать все - соединений проходит, остальные приложения блокируются.
Так же ведет себя приложение EmEditor\eeupdate.exe
Попробовал заблокировать svchost - все равно срабатывает.
В таблдице приложений создавал правило в самом верху, цепочка - таблица Приложение -> правило запрета для winbox -> Доступ в сеть -> Косвенный доступ -> Сетевая активность - соединение проходит
Создал правило в таблице Сетевая активность блокировать все - соединений проходит, остальные приложения блокируются.
Так же ведет себя приложение EmEditor\eeupdate.exe
Isorkin
По порядку:
Цитата:
Если в "Таблице IP" было создано правило разрешающее соединение: src_addr="yyy" dst_addr="xxx" dst_port="8291", то соединение по нему пройдёт.
Цитата:
Точно не могу представить как это выглядит. Нужно удалить все правила содержащие: Путь до winbox или dst_port="8291", проверить не содержится ли выше перечисленное в группах и выставить подробные логи. Проверить все правила не содержащие пути до исполняемого файла.
Если предположить, что приложение консольное и/или не вызывает прочие функции из системных библиотек, но сетевое соединение на dst_addr="xxx" dst_port="8291", так или иначе, должно инициироваться и отслеживаться, опять же, возможно через другое приложение.
Ещё нужно проверить, нет ли правила разрешающего соединения на dst_addr="xxx" без указания порта.
Цитата:
Можно, для эксперимента, создать в самом верху, общее, разрешающее правило для TCP/IP (исходящее соединение, получение/отправка UDP) на dst_port="8291", выставить логи и попытаться отследить "кто пойдёт" (если "пойдёт").
По порядку:
Цитата:
Создал правило в таблице Сетевая активность блокировать все - соединений проходит, остальные приложения блокируются.
Если в "Таблице IP" было создано правило разрешающее соединение: src_addr="yyy" dst_addr="xxx" dst_port="8291", то соединение по нему пройдёт.
Цитата:
В таблдице приложений создавал правило в самом верху, цепочка - таблица Приложение -> правило запрета для winbox -> Доступ в сеть -> Косвенный доступ -> Сетевая активность - соединение проходит
Точно не могу представить как это выглядит. Нужно удалить все правила содержащие: Путь до winbox или dst_port="8291", проверить не содержится ли выше перечисленное в группах и выставить подробные логи. Проверить все правила не содержащие пути до исполняемого файла.
Если предположить, что приложение консольное и/или не вызывает прочие функции из системных библиотек, но сетевое соединение на dst_addr="xxx" dst_port="8291", так или иначе, должно инициироваться и отслеживаться, опять же, возможно через другое приложение.
Ещё нужно проверить, нет ли правила разрешающего соединения на dst_addr="xxx" без указания порта.
Цитата:
Попробовал заблокировать svchost - все равно срабатывает.
Можно, для эксперимента, создать в самом верху, общее, разрешающее правило для TCP/IP (исходящее соединение, получение/отправка UDP) на dst_port="8291", выставить логи и попытаться отследить "кто пойдёт" (если "пойдёт").
Создал правило в Сетевая активность в самом верху -
разрешить отладка TCP/IP исходящее соединение 8291
В логах тишина.
Переместил правило в самый вверх в Программы, так же в логах ничего.
В сетевой активности так же приложение не отображается.
Меняю конфигурацию на ту, которую вы выкладывали на прошлой странице. Выскакивают сообщения для создания правил активным приложениям. Среди них проскакивает и winbox. Ставлю запретить. Ноль реакции - при следующем запуске приложение нормально выходит в интернет, а в логах снова ничего.
В логах еще проскакивают такие сообщения
Код:
2013-06-28 22:52:06 запретить доступ к сети C:\Windows\System32\svchost.exe 192.168.248.141 192.168.248.255 137 137 PID: 1312
2013-06-28 22:52:06 запретить доступ к сети System 192.168.248.141 192.168.248.255 137 137 PID: 0
разрешить отладка TCP/IP исходящее соединение 8291
В логах тишина.
Переместил правило в самый вверх в Программы, так же в логах ничего.
В сетевой активности так же приложение не отображается.
Меняю конфигурацию на ту, которую вы выкладывали на прошлой странице. Выскакивают сообщения для создания правил активным приложениям. Среди них проскакивает и winbox. Ставлю запретить. Ноль реакции - при следующем запуске приложение нормально выходит в интернет, а в логах снова ничего.
В логах еще проскакивают такие сообщения
Код:
2013-06-28 22:52:06 запретить доступ к сети C:\Windows\System32\svchost.exe 192.168.248.141 192.168.248.255 137 137 PID: 1312
2013-06-28 22:52:06 запретить доступ к сети System 192.168.248.141 192.168.248.255 137 137 PID: 0
Isorkin
Цитата:
Я winbox'ом не пользовался, поэтому более точно не скажу, но winbox оболочка для загрузки интерфейсов и дальнейшей работы через них. Не может такого быть, что когда то winbox загрузил необходимые программы с "железки" и дальнейшая работа, скажем так, каким то образом идёт через них?
Цитата:
В Таблице IP логи на эти правила выставлены?
Ещё, лучше назначать созданным правилам уникальные имена, будет намного проще ориентироваться в логах.
Цитата:
Ноль реакции - при следующем запуске приложение нормально выходит в интернет, а в логах снова ничего.
Я winbox'ом не пользовался, поэтому более точно не скажу, но winbox оболочка для загрузки интерфейсов и дальнейшей работы через них. Не может такого быть, что когда то winbox загрузил необходимые программы с "железки" и дальнейшая работа, скажем так, каким то образом идёт через них?
Цитата:
По идее должно быть как сеетвая активность, а тут - доступ к сети. В таблице IP порты 137-139 заблокированы.
В Таблице IP логи на эти правила выставлены?
Ещё, лучше назначать созданным правилам уникальные имена, будет намного проще ориентироваться в логах.
Dimitr1s
Я проверял на Windows XP - там приложения детектится нормально. А в windows 8 - пропускает. Провда иногда, когда закрываешь приложение - детекит его с событием "разрыв с удалённого конца". Бывает и другие приложения так же срабатывают - приложение выходит в интернет ,и только потом выскакивает правило для создания доступа.
На свежеустановленной windows 8 - та же ситуация.
Может смотреть в сторону сервисов в winbdows? Встроенный файерволл отрубил в службах. В настройках сетевой карты оставил протокол TCP/IPv4, Jetico, VMWare и BWMeter.
И почему файрвол приписывает некоторым приложениям отправку пакетов на удаленный 137 порт...
Код:
2013-06-30 12:36:35 запретить Deny NetBIOS доступ к сети Z:\-=Apps=-\uTorrent\utorrent.exe 192.168.248.141 192.168.248.255 137 137 PID: 5012
2013-06-30 12:36:35 запретить Deny NetBIOS доступ к сети System 192.168.81.1 192.168.81.255 137 137 PID: 0
2013-06-30 12:38:37 запретить Deny NetBIOS доступ к сети C:\Windows\System32\svchost.exe 192.168.248.141 192.168.248.255 137 137 PID: 1172
Я проверял на Windows XP - там приложения детектится нормально. А в windows 8 - пропускает. Провда иногда, когда закрываешь приложение - детекит его с событием "разрыв с удалённого конца". Бывает и другие приложения так же срабатывают - приложение выходит в интернет ,и только потом выскакивает правило для создания доступа.
На свежеустановленной windows 8 - та же ситуация.
Может смотреть в сторону сервисов в winbdows? Встроенный файерволл отрубил в службах. В настройках сетевой карты оставил протокол TCP/IPv4, Jetico, VMWare и BWMeter.
И почему файрвол приписывает некоторым приложениям отправку пакетов на удаленный 137 порт...
Код:
2013-06-30 12:36:35 запретить Deny NetBIOS доступ к сети Z:\-=Apps=-\uTorrent\utorrent.exe 192.168.248.141 192.168.248.255 137 137 PID: 5012
2013-06-30 12:36:35 запретить Deny NetBIOS доступ к сети System 192.168.81.1 192.168.81.255 137 137 PID: 0
2013-06-30 12:38:37 запретить Deny NetBIOS доступ к сети C:\Windows\System32\svchost.exe 192.168.248.141 192.168.248.255 137 137 PID: 1172
Isorkin
Цитата:
BWMeter, если есть ещё приложения ставящие драйвера/хуки в сетевой интерфейс, с большой долей вероятности, фаерволл будет работать ненормально. Попробуйте удалить, именно удалить, а не отключить и проверить.
Цитата:
Может смотреть в сторону сервисов в winbdows?
BWMeter, если есть ещё приложения ставящие драйвера/хуки в сетевой интерфейс, с большой долей вероятности, фаерволл будет работать ненормально. Попробуйте удалить, именно удалить, а не отключить и проверить.
Нет, тоже не помогает.
Создал правило для eeupdate
в приложение продолжить eeupdate1 отладка c:\Program Files\#Office\EmEditor\eeupdate.exe
в доступ к сети запретить eeupdate2 отладка доступ к сети C:\Program Files\#Office\EmEditor\eeupdate.exe
в сетевая активность запретить eeupdate3 отладка TCP/IP исходящее соединение C:\Program Files\#Office\EmEditor\eeupdate.exe
в логах
Код:
2013-07-01 10:23:16 продолжить eeupdate1 TCP/IP закр. порт для пакетов (UDP) C:\Program Files\#Office\EmEditor\eeupdate.exe 127.0.0.1 127.0.0.1 59007 59007 PID: 3820; Connection: 15BD
2013-07-01 10:23:16 продолжить eeupdate1 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 127.0.0.1 127.0.0.1 59007 59007 PID: 3820
2013-07-01 10:23:16 запретить eeupdate2 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 127.0.0.1 127.0.0.1 59007 59007 PID: 3820
2013-07-01 10:23:16 продолжить eeupdate1 TCP/IP разрыв с удалённого конца C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820; Connection: 15B9
2013-07-01 10:23:16 запретить eeupdate3 TCP/IP разрыв с удалённого конца C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820; Connection: 15B9
2013-07-01 10:23:16 продолжить eeupdate1 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820
2013-07-01 10:23:16 запретить eeupdate2 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820
Создал правило для eeupdate
в приложение продолжить eeupdate1 отладка c:\Program Files\#Office\EmEditor\eeupdate.exe
в доступ к сети запретить eeupdate2 отладка доступ к сети C:\Program Files\#Office\EmEditor\eeupdate.exe
в сетевая активность запретить eeupdate3 отладка TCP/IP исходящее соединение C:\Program Files\#Office\EmEditor\eeupdate.exe
в логах
Код:
2013-07-01 10:23:16 продолжить eeupdate1 TCP/IP закр. порт для пакетов (UDP) C:\Program Files\#Office\EmEditor\eeupdate.exe 127.0.0.1 127.0.0.1 59007 59007 PID: 3820; Connection: 15BD
2013-07-01 10:23:16 продолжить eeupdate1 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 127.0.0.1 127.0.0.1 59007 59007 PID: 3820
2013-07-01 10:23:16 запретить eeupdate2 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 127.0.0.1 127.0.0.1 59007 59007 PID: 3820
2013-07-01 10:23:16 продолжить eeupdate1 TCP/IP разрыв с удалённого конца C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820; Connection: 15B9
2013-07-01 10:23:16 запретить eeupdate3 TCP/IP разрыв с удалённого конца C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820; Connection: 15B9
2013-07-01 10:23:16 продолжить eeupdate1 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820
2013-07-01 10:23:16 запретить eeupdate2 выход из сети C:\Program Files\#Office\EmEditor\eeupdate.exe 192.168.248.141 184.172.22.200 49857 80 PID: 3820
Isorkin
Цитата:
Попробуйте для начала сделать так:
В таблице "Приложение" удалить все правила кроме:
1. Спросить пользователя Действие: ссылка на таблицу "Спросить пользователя"
2. Запретить все необработанные запросы Действие: Запретить
3. Последним правилом в таблице должно быть действие по умолчанию. Действие: Запретить
В таблице "Спросить пользователя" удалить все правила кроме:
1. Непосредственный доступ в сеть Действие: ссылка на таблицу "Доступ в сеть" Событие: доступ к сети
2. Косвенный доступ в сеть Действие: ссылка на таблицу "Косвенный доступ в сеть" Событие: косвенный доступ к сети
3. Сетевая активность Действие: ссылка на таблицу "Сетевая активность" Событие: не доступ к сети, косвенный доступ к сети
4. Последним правилом в таблице должно быть действие по умолчанию. Действие: Продолжить
Выше таблицы "Приложение" ничего не должно быть, никаких самодельных правил и таблиц, только таблицы: "Сеть" и "Таблица IP"
Теперь создайте два таких правила:
1. В таблице "Доступ в сеть" в самом верху запрещающее правило:
Deny all access network Действие: Запретить Уровень лога: отладка
2. В таблице "Сетевая активность" в самом верху запрещающее правило:
Deny all network activity Действие: Запретить Уровень лога: отладка
Если для поднятия сети необходимо разрешающее правило, для L2TP к примеру, его можно расположить выше, но с указанием удалённого адреса и портов.
Запустите eeupdate, что будет в логах?
Цитата:
Создал правило для eeupdate
...
Меняю первое правило на запретить, в логах. Но само приложение выходит в сеть
Попробуйте для начала сделать так:
В таблице "Приложение" удалить все правила кроме:
1. Спросить пользователя Действие: ссылка на таблицу "Спросить пользователя"
2. Запретить все необработанные запросы Действие: Запретить
3. Последним правилом в таблице должно быть действие по умолчанию. Действие: Запретить
В таблице "Спросить пользователя" удалить все правила кроме:
1. Непосредственный доступ в сеть Действие: ссылка на таблицу "Доступ в сеть" Событие: доступ к сети
2. Косвенный доступ в сеть Действие: ссылка на таблицу "Косвенный доступ в сеть" Событие: косвенный доступ к сети
3. Сетевая активность Действие: ссылка на таблицу "Сетевая активность" Событие: не доступ к сети, косвенный доступ к сети
4. Последним правилом в таблице должно быть действие по умолчанию. Действие: Продолжить
Выше таблицы "Приложение" ничего не должно быть, никаких самодельных правил и таблиц, только таблицы: "Сеть" и "Таблица IP"
Теперь создайте два таких правила:
1. В таблице "Доступ в сеть" в самом верху запрещающее правило:
Deny all access network Действие: Запретить Уровень лога: отладка
2. В таблице "Сетевая активность" в самом верху запрещающее правило:
Deny all network activity Действие: Запретить Уровень лога: отладка
Если для поднятия сети необходимо разрешающее правило, для L2TP к примеру, его можно расположить выше, но с указанием удалённого адреса и портов.
Запустите eeupdate, что будет в логах?
Похоже нашел откуда пробиваются.
Код:
2013-07-01 14:32:34 запретить svchost cosv косвенный доступ к сети C:\Windows\System32\svchost.exe PID: 500 (PID: 732 C:\Users\Isorkin\Desktop\winbox.exe)
2013-07-01 14:31:59 запретить svchost cosv косвенный доступ к сети C:\Windows\System32\svchost.exe PID: 500 (PID: 2140 C:\Program Files\#Office\EmEditor\eeupdate.exe)
Код:
2013-07-01 14:32:34 запретить svchost cosv косвенный доступ к сети C:\Windows\System32\svchost.exe PID: 500 (PID: 732 C:\Users\Isorkin\Desktop\winbox.exe)
2013-07-01 14:31:59 запретить svchost cosv косвенный доступ к сети C:\Windows\System32\svchost.exe PID: 500 (PID: 2140 C:\Program Files\#Office\EmEditor\eeupdate.exe)
Isorkin
Цитата:
Разумеется, если они работают через svchost.
P.S. Или из-за невозможности разрешить доменное имя, сетевое соединение не инициировали.
Цитата:
DNS, по умолчанию, резольвится через svchost, тут много чего не будет работать.
Цитата:
При этом в логах доступ к сети и сетевая активность этих приложений не видно.
Разумеется, если они работают через svchost.
P.S. Или из-за невозможности разрешить доменное имя, сетевое соединение не инициировали.
Цитата:
Если ставлю блокировать svchost в косвенном доступе, перестает и браузер работать.
DNS, по умолчанию, резольвится через svchost, тут много чего не будет работать.
Dimitr1s
И как тогда можно будет заблокировать приложение eeupdate.exe, если оно выходит в интернет только через svchost?
И как тогда можно будет заблокировать приложение eeupdate.exe, если оно выходит в интернет только через svchost?
Isorkin
В шапке, Правила для сервиса svchost.exe, посмотрите. Разрешив для svchost только нужное, можно ограничить выход в сеть ненужных приложений. Если приложение нужно совсем заблокировать, то проще его удалить физически с диска или "забить нулями" выставив атрибуты "Только для чтения", "Системный", "Скрытый" и т.п..
В шапке, Правила для сервиса svchost.exe, посмотрите. Разрешив для svchost только нужное, можно ограничить выход в сеть ненужных приложений. Если приложение нужно совсем заблокировать, то проще его удалить физически с диска или "забить нулями" выставив атрибуты "Только для чтения", "Системный", "Скрытый" и т.п..
Dimitr1s
Как раз на этот конфиг и ориентируюсь при настройке. Но таблицу svchost толком не изучил.
Теперь у меня почему на RDP соединения в логах джетики отвечает system и bwmeter вместо svchost. Удалил bwmeter, в локах теперь только system.
Как джетику "уговорить", чтобы правильно приложения детектила
Как раз на этот конфиг и ориентируюсь при настройке. Но таблицу svchost толком не изучил.
Теперь у меня почему на RDP соединения в логах джетики отвечает system и bwmeter вместо svchost. Удалил bwmeter, в локах теперь только system.
Как джетику "уговорить", чтобы правильно приложения детектила
Isorkin
Если ориентироваться на правила из шапки, то выше последних трёх (14, 15, 16) запрещающих правил, нужно создать разрешающие правила для RDP. Для входящих по RDP, ещё нужно разрешающее правило в Таблице IP (TCP, входящий пакет, Порт получателя 3389).
Если ориентироваться на правила из шапки, то выше последних трёх (14, 15, 16) запрещающих правил, нужно создать разрешающие правила для RDP. Для входящих по RDP, ещё нужно разрешающее правило в Таблице IP (TCP, входящий пакет, Порт получателя 3389).
Dimitr1s
На "свежеустановленной" ос server2008r2 sp1 с обновлениями
Создал правила
разрешить Allow RDP Connection1 отладка TCP/IP входящее соединение C:\Windows\System32\svchost.exe 3389
разрешить Allow RDP Connection2 отладка TCP/IP входящее соединение 3389
в логах -
Код:
2013-07-03 09:27:45 разрешить Allow RDP Connection2 TCP/IP получение данных C:\Program Files (x86)\#Net\BWMeter\BWMeter.exe 192.168.248.141 yyy 3389 1425 PID: 3092; Connection: 6CD
2013-07-03 09:27:45 разрешить Allow RDP Connection2 TCP/IP отправка данных C:\Program Files (x86)\#Net\BWMeter\BWMeter.exe 192.168.248.141 yyy 3389 1425 PID: 3092; Connection: 6CD
На "свежеустановленной" ос server2008r2 sp1 с обновлениями
Создал правила
разрешить Allow RDP Connection1 отладка TCP/IP входящее соединение C:\Windows\System32\svchost.exe 3389
разрешить Allow RDP Connection2 отладка TCP/IP входящее соединение 3389
в логах -
Код:
2013-07-03 09:27:45 разрешить Allow RDP Connection2 TCP/IP получение данных C:\Program Files (x86)\#Net\BWMeter\BWMeter.exe 192.168.248.141 yyy 3389 1425 PID: 3092; Connection: 6CD
2013-07-03 09:27:45 разрешить Allow RDP Connection2 TCP/IP отправка данных C:\Program Files (x86)\#Net\BWMeter\BWMeter.exe 192.168.248.141 yyy 3389 1425 PID: 3092; Connection: 6CD
Isorkin
Цитата:
Я написал выше, что с приложениями устанавливающими собственные сетевые драйвера, работа любого фаерволла не предсказуема.
Цитата:
Для "Косвенного доступа" абсолютно нормально. Если запущено сетевое приложение (опера), на все приложения использующие совместную память и имеющие возможность вызвать сетевые функции, будет запрос.
Цитата:
Опять BWMeter.
Цитата:
System, системный процесс на уровне ядра не поддающийся контролю драйверу фаерволла, может участвовать в работе RDP. Создайте правила по запросу.
Цитата:
Хоть и поддерживается, но ставить персональный фаерволл на серверную ось, совсем не хорошая идея по многим причинам.
Цитата:
BWMeter
Я написал выше, что с приложениями устанавливающими собственные сетевые драйвера, работа любого фаерволла не предсказуема.
Цитата:
еще попалось такое, правильно, что ссылается на приложение Opera?
Для "Косвенного доступа" абсолютно нормально. Если запущено сетевое приложение (опера), на все приложения использующие совместную память и имеющие возможность вызвать сетевые функции, будет запрос.
Цитата:
Чуть позже заметил в логах
Опять BWMeter.
Цитата:
А удаление BWMeter прошлый раз приводило к тому, что jetico начинает реагировать на system
System, системный процесс на уровне ядра не поддающийся контролю драйверу фаерволла, может участвовать в работе RDP. Создайте правила по запросу.
Цитата:
ос server2008r2 sp1
Хоть и поддерживается, но ставить персональный фаерволл на серверную ось, совсем не хорошая идея по многим причинам.
22-July-2013 | v.2.1.0.13
Changelog:
Jetico Personal Firewall is now compatible with ESET NOD32 on 64-bit Windows systems.
Changelog:
Jetico Personal Firewall is now compatible with ESET NOD32 on 64-bit Windows systems.
тема в варезнике умерла или это мне кажется, при попытке зайти (на сайте зарегистрирован) в варезник выдает, ошибку доступа.
sam0war
Почисти куки и заново зайди на форум.
Почисти куки и заново зайди на форум.
После установки фаерволла Центр поддержки Windows ни в какую не видит Jetico , весело сообщая, что брандмауэр Windows по-прежнему включен и надежно защищает компьютер. Я так понимаю, ничего тут поделать нельзя? 
Страницы: 123456789101112131415161718192021222324
Предыдущая тема: Форматы, кодеки, снятие и обработка звука, lossless
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.