» Agnitum Outpost Firewall

klemma
сразу три сильных заявления... мда...
1. второй версии оутпоста еще и месяца нет..
2. использование двух фаеров на одной машине не рекомендует ни один из производителей фаеров...
3. я вижу смайлики в твоих сообщениях...
:))

никаких фаерволов дополнительных кроме оутпоста не ставил, может быть винда его сама ставит, как отключить? Но глюки наблюдаются не у меян одного... с первой версией тоже так было, пришлось сносить... че посоветуете?

Ejik88
посмотри в свойствах соединения на тспях - нет ли галки на чикбоксе "защитиь это соединение фаервалом" или как то еще в этом духе, точно сказать не могу...
у меня на икспях все стоит тип топ, по всей видимости, ты используешь что то хитрое, может проксевого клиента хитрого, может какого-нибудь емула, но что то сеьтевое явно бодается c оутпостом... тот же нортон интернетсекюрити тоже может хорошо раком все поставить...

Ejik88


Цитата:

никаких фаерволов дополнительных кроме оутпоста не ставил, может быть винда его сама ставит, как отключить?

что бы выключить виндовый файервол нафиг, нужно отключить службу Internet Connection Firewall , правда тогжа встанет и Internet Connection Sharing. У меня он отключен с момента установки винды и тоже все ок.

а вообще Ilich Ramiras прав, у тебя что то бодается с оутпустом.

Ilich Ramiras

Цитата:

гасишь отпост как сервис, сносишь все из директории log и сам op_data.mdb. в тодо стоит настраиваемый юзером размер логов и время жизни...

Ты знаешь, я в Outpost Log Viewer нашёл такую опцию, как "При следующей загрузке удалить файл базы и создать новый". Только не знаю, эта настройка всегда сохраняется или нет (хотя, Аутпост после этого стал загружаться быстрее).
И ещё. Куда, в какие приложения всё-таки надо поместить SVCHOST.EXE, в Запрещённые или Разрешённые? У нас локальная сеть, выход в инет через сеть. Если ставить его в Пользовательский уровень, то часто выскакивает окошко с вопросом о резрешении-запрещении отсылки пакетов на сервер провайдера (админа) по протоколам UDP, TCP и ещё какой-то.

Ilich Ramiras
Цитата:

в тодо стоит

Это что, где?

WONDROUS
Цитата:

часто выскакивает окошко с вопросом о резрешении-запрещении отсылки пакетов на сервер провайдера (админа) по протоколам UDP, TCP и ещё какой-то.

На адреса прова разреши и в локалке разреши, на другие запрети...
Цитата:

Это что, где?

От англиского To Do - будет реализовано в следующих билдах (версиях)... вот... :))

Ilich Ramiras


Цитата:

1. второй версии оутпоста еще и месяца нет..

дак у меня вначале первая версия стояла. Из контекста не следовало, что речь идет только о второй версии.


Цитата:

2. использование двух фаеров на одной машине не рекомендует ни один из производителей фаеров...

кто-ж спорит-то?
просто, повторюсь, по моим наблюдениям наличие включенного XP-файрвала не приводит к заметным глюкам сабжа.

DmitriyK

Цитата:

А никто не ставил Outpost + Kerio ?

Я ставил где-то год назад Kerio 2.1.4 + Outpost 1.8.... под Win98SE.
Никаких синих экранов и прочих артефактов не наблюдалось.

Вот только Kerio засек, что сам Outpost без спроса лазит в инет (хотя в нем самом в логах этого не было видно, а поверка обновлений была отключена). Наверное, Outpost таким образом проверяет легитимность пользователя, а страшные предупреждения о недопустимости совместной установки файрволов пишет для того, чтобы никто не обнаружил, какие вещи сам Outpost делает незаметно для пользователя.

Вот такое у меня сложилось мнение.

2ALL

Цитата:

Outpost + Kerio

Блин.
Вы что думаете что у Kerio есть только один продукт Kerio Personal Firewall?
В оригинальном посте наверное имелось ввиду или WinRoute.
Раутер и файрвол это не одно и тоже. А два файрвола вместе это действительно глупость.

Ilich Ramiras
Ты так и не сказал, в какие приложения ставить SVCHOST.EXE. Извиняюсь, если подобный вопрос уже здесь задавался
П.С. Кстати, окошки о разрешении пакетов с сервером, появляются и тогда, когда я не в инете.

WONDROUS
на предыдущей странице ответил уже...
правильная нстройка фаервола означает забыть про доверенные приложения, их быть не должно, только пользовательский уровнь и заблокированные, если кидать приложения в доверенные, то можно и не ставить фаервол от стороннего производителя, а поставить себе ХР и юзать встроенный в него брандмауер... или монстра типа нортонинтернетсекюрити... имхо:))

estimated

Цитата:

Kerio засек, что сам Outpost без спроса лазит в инет (хотя в нем самом в логах этого не было видно, а поверка обновлений была отключена). Наверное, Outpost таким образом проверяет легитимность пользователя, а страшные предупреждения о недопустимости совместной установки файрволов пишет для того, чтобы никто не обнаружил, какие вещи сам Outpost делает незаметно для пользователя. Вот такое у меня сложилось мнение

очень интересно было бы других послушать, чтоб с примерами, без базара, самому экспериментировать лень , имхо сумнительно это, за руку поймать легко, а шуму будет много

8AleX8: я знаю, что у Kerio есть другие продукты. Пусть тот, кто спрашивал, скажет, что он имел ввиду.


Цитата:

два файрвола вместе это действительно глупость

почему? Ну проходят пакеты не через один фильтр, а через два. В чем здесь глупость? Кроме того, часто бывает так: hardware + software firewall и никто не считает это глупостью.

В принципе, одного конечно достаточно, но только если он надежен и честен.

А как это проверить? Вот я и поставил Outpost вместе с Kerio как раз для того, чтобы проверить Outpost на вшивость. И как видишь, эта проверка оказалась положительной.

Если ты знаешь другой метод для проверки - скажи.

Надо будет еще с Outpost 2 разобраться. Чувствую, там будет то же самое.

Добавлено
вот еще здесь есть неприятная для сторонников Outpost информация:
http://forum.ru-board.com/topic.cgi?forum=5&topic=0044&start=520#12

Ejik88

Цитата:

Установил Outpost Firewall 2 а он когда начнешь куданибудь подключаться просто так берет и перезагружает компьютер. ОС: WinXP

Посмотри системный EventView. В логах Аутпоста можешь даже не искать. Разве что в рулесах приложений (если дело действительно в Аутпосте). Что-то на уровне драйвера мешает чему-то на том же уровне. Это должно быть хотя бы косвенно отражено в событиях приложений и/или системы. Прозвучавшие же здесь предположения насчет родного хрюшиного файрволла можешь смело отмести, - никаких коллизий в совместной с Аутпостом работе на протяжении нескольких месяцев мною выявлено не было. Хотя в отношении любых двух других сторонних брандмауэров реплика о чреватости использования совершенно справедлива.

Ilich Ramiras

Цитата:

ты помоему до сих пор путаешь оутпост и плюгины... это разные вещи, то что ты настраиваешь в оутпосте ты натсраиваешь только в нем, плюгины живут отдельной жизнью...

Ты бредишь? Я системный администратор. И что значит "отдельной жизнью", родной? Если говорить о WhoEasy, то вот его наличие/отсутствие, действительно, по барабану. Все же прочие плагины фильтруют собственную часть трафика, но из этого не следует, что они болтаются как говно в проруби сами по себе. И где ты видел хоть в одном плагине настройку фильтра пакетов? Этот опшинс доступен на вкладке системных настроек самого Аутпоста и касается он, к сожалению, только ICMP и UDP. Всё остальное, - подразумевается, - должно "прикладываться" к рулесам прикладного уровня.

All
Ребятушки, у меня в LAN-ке всё заработало. Почему не работало прежде - в общих чертах мне ясно. Детали расхлебаю, когда времени свободного чуток больше будет. Всё дело в автоматической настройке конфигурации. Если не хотите иметь больших проблем - делайте всё по старинке aka руками, - сами пропишите каждое правило для каждого заявившего о себе активного приложения.
Агнитумцы, лапушки, сделали симпатичный и ненавязчивый сервис, но ведь никто нам не гарантировал, что он должен работать у всех (никто не гарантировал вообще, что он должен быть функционален ). На дайл-апе, пожалуй, проще: там, где нет LAN и VPN и твой компьютер в жестоком он-лайне предоставлен самому себе, любая внешняя активность может быть (и, если по максимуму, то - должна быть) расценена как атака. Но корпоративные условия работы требуют большей гибкости настроек и, при всем желании авторов, не могут быть предусмотрены стандартными фабричными правилами.
Кому интересно - установите автоматический конфиг, а потом пройдитесь по рулесам приложений, вычистите там чужой хлам и добавьте своего. Результат, уверяю, будет тот же, как если бы вы забивали всё своими руками изначально, за исключением того, что потратите вы на эти "вычищения" в пять раз больше времени. Всем удачи. И безопасности.

estimated
агнитовские адреса и порты в студию плз, которые ты засек, хочу посмотреть у себя, как дела обстоят...
lummey
бредишь ты, если ты считаешь, что системный администратор не может заблуждаться... отдельной жизнью это значит отдельной жизнью... плюгин, который считает за атаки запросы c твоего контролера домена не подсасывает настройки доверенных зон от оутпоста. и это не баг, это фича. возможность цеплять настройки доверенных зон этим плюгином стоит в тодо...

Ilich Ramiras

Цитата:

бредишь ты, если ты считаешь, что системный администратор не может заблуждаться...

Может. Просто он не имеет на это право. В силу професси. Как минёр. Иная его ошибка может стоить обслуживаемой им фирме больше, чем он заработает за всю свою высокопрофессиональную жизнь (чего греха таить). За яйца, может, и не подвесят, но то, что позаботятся об успешном окончании его карьеры - стопудово.


Цитата:

отдельной жизнью это значит отдельной жизнью...

Плагины - свойство архитектуры данной программы. Это динамически подключаемые программные модули, только и всего. Функционально же, какая - фиг - разница, позиционируется у тебя процедура или её обработчик (или и то, и другое) в основном программном модуле, или в динамически подключаемом? Это шаг навстречу девелоперам, не более.


Цитата:

плюгин, который считает за атаки запросы c твоего контролера домена не подсасывает настройки доверенных зон от оутпоста. и это не баг, это фича. возможность цеплять настройки доверенных зон этим плюгином стоит в тодо...

Какая, к черту, фича? Куда ты без домена цепляться-то будешь, умник божий??? Ты не TODO читай, ты сперва сабж руками поюзай. Я два часа назад заточил его под LAN. Выставил thrust по маске - и всё пучкасто. LSA прописал, SVCHOST и DNS для сервисов под обработчик операций и вспомогательные контроллеры. И ВСЁ!!! Никаких атак, NTLM авторизация с полным маппингом - на моё собственное усмотрение, - крошка-аутпост молчит и не питюкает. Это именно то, чего мне всегда так хотелось и не хватало.

lummey
я его юзаю руками и настраиваю руками...
кто блокировал твой контроллер? плюгин или сам оутпост?
если плюгин, то я обьяснил почему...
если сам оутпост, то настраивать надо было лучше...
то что я умник божий я догадывался, спасибо за признание моих талантов...
сабж руками поюзал и уж никак не меньше твоего...
кстати, нормальный сис на всех фаерволах, даже на персональных, правила всегда сам пишет, и начинает c правила запретить все, затем открывая только то, что необходимо а не юзает правила по умолчанию, это я тебе как умник божий официально заявляю:))

PS... дальнейшее развитие диалога, если оно последует, предлагаю перенести в приват, ибо остальным оно стопудово будет неинтересно... :))

Цитата:

кто блокировал твой контроллер? плюгин или сам оутпост? если плюгин, то я обьяснил почему...

Ты был не прав. Неправоту надо признавать. Кстати, ты не первый, кто в РуБорде это не умеет. Причем, даже из числа профессионалов. Ты не системник, и в этом, с моей т.з. нет ничего оскорбительного. Однако самоуверенность должна быть подкреплена базисом. Это необходимо, чтобы держать планку.


Цитата:

если сам оутпост, то настраивать надо было лучше...

Я экспериментирую. Часто. На выделенной машине. Чтобы составить комплексное мнение и дать рекомендации. Коллегам, друзьям, клиентам. РуБорду.


Цитата:

кстати, нормальный сис

Не суди строго о том, чем не занимаешься профессионально, - добрый и ни к чему не обязывающий совет. Всегда и везде есть нюансы.


Цитата:

стопудово будет неинтересно

Согласен. Диалог стал неконструктивным. Бай.

lummey
да, я был не прав, пожалуй, это будет интересно.
скажи пожалуйста в чем я был не прав, то есть, что именно не соответствует действительности? лично я так и не понял, что блокировало твои коннекты, воспринимая их за хакерские атаки?

Ilich Ramiras
lummey

Цитата:

стопудово будет неинтересно

Если диалог будет конструктивным, с конкретными фактами и без взаимных упреков ("Ты бредишь", "Я системный администратор", "Не суди строго о том, чем не занимаешься профессионально" и т.д.), то было бы очень даже интересно. В споре рождается истина, наконец.

А теперь по своему вопросу:

Цитата:

А можно Outpostом запретить закачку файлов с определенным расширением? Например, *.mp3

Цитата:

Это задача не фаервола, а скорее роутера. Посмотри продукты от Керио www.kerio.com

Цитата:

Вместе они поставят систему раком, однозначна...

Цитата:

Вы что думаете что у Kerio есть только один продукт Kerio Personal Firewall?
В оригинальном посте наверное имелось ввиду или WinRoute.

Цитата:

я знаю, что у Kerio есть другие продукты. Пусть тот, кто спрашивал, скажет, что он имел ввиду.

Что-то все ответы мимо основного вопроса Может неоднозначно спросил, попробую еще разок:
А можно Outpostом запретить закачку файлов с определенным расширением? Например, *.mp3 Можно или нет? Если можно, то как?

возникла необходимость запретить вход на сайт, я добавил новое правило в
"Общие правила" для всех приложений, в правиле указал адрес сайта и поставил на
блокировку, но всё равно в IE а также в NetCaptor'e сайт открывается,
подскажите как заблокировать вход на сайт

DmitriyK
нет, закачку файлов с определенным расширением, mp3 в частности, запретить нельзя
Agent007
это не общие правила для приложений, это системные правила, они имеют более низкий приоритет по сравнению с правилами для приложений. то есть в данно конкретном случае разрешающие правила для IE и NetCaptor'a имеют больший приоритет над запрещающим системным правилом, и поэтому они спокойно вылазят в инет. единственный способ запретить всем инкаминг - запретить его в каждом приложении...

Ilich Ramiras

Цитата:

агнитовские адреса и порты в студию плз, которые ты засек

вот только что перешерстил свой комп - к сожалению, не сохранилось информации. Все-таки, где-то год уже прошел. Кстати, я поэтому прямо и не писал, на какие именно адреса коннектится Outpost. Извини, что голословное утверждение получилось. Было бы неплохо, чтобы кто-то еще проверил. Подтвердил или опровергнул.

lummey

Цитата:

насчет родного хрюшиного файрволла можешь смело отмести, - никаких коллизий в совместной с Аутпостом работе на протяжении нескольких месяцев мною выявлено не было. Хотя в отношении любых двух других сторонних брандмауэров реплика о чреватости использования совершенно справедлива.

Ага, значит со встроенным в XP файрволом Outpost уживается. Ну и как они, логали одно и то же? Или XP-фарвол был отключен?

А насчет "двух сторонних" - тоже из опыта? Или так? Просто потому, что все так говорят, а Outpost вообще строго-настрого запрещает, а то мол глюки будут (можно подумать, их в противном случае нет).

(В контексте данного топика меня интересует в качестве "двух сторонних" Outpost + еще что-нибудь.)

И интересно, чем "сторонний" файрвол в принципе отличается от встроенного в XP?

estimated, у меня был такой опыт. Я будучи чистым гуманитарием решил немного узнать что к чему. И нашел инфу с которой я заявился на один форумов.

Цитата:
Никогда не задумывался над сетевой безопасностью, так как по порносайтам не хожу, сам ни к кому не лезу, но жизнь заставила. В итоге поставил Outpost и BkackICE (отлавливает то что Outpost проморгал, между собой не конфликтуют).
А вчера вечером схлопотал следующую ситуацию. BlackICE выдал сообщение: Attacker sends an ICMP Echo reply without a request, possibly to communicate with a trojan horse application. Ad-aware вроде работает исправно и я проигнорировал данное сообщение, нападающий был блокирован, но от сети я не отключился. Минут через пятнадцать сходил попить кофе, отключившись от инета и уже после загрузившись не смог зайти ни на один сайт, Outpost блокировал: ICMP Traffic ALL-ROUTERS.MCAST.NET Type 10/0 Исходящее.
Утром все повторилось. Отключил файеры и ссылки заработали. Но все равно на всякий случай пришлось переустановить Outpost.
Большой вопрос: что я сделал не так или что наоборот не сделал? Очень расчитываю на помощь.

С той поры я оставил Outpos в одиночестве.

Yanson
ты заблокировал свой роутер. ICMP Traffic ALL-ROUTERS.MCAST.NET Type 10/0 - это обращение к роутеру, router solicitation messagу (если не ошибся в написании), поэтому и инета не было:))

Ilich Ramiras

Цитата:

это не общие правила для приложений, это системные правила, они имеют более низкий приоритет по сравнению с правилами для приложений

А если BlockPost пользовать?
Пытался запретить при его помощи пару сайтов - ноль реакции, как окрывались так и открываются...

HighTower
мне сейчас сложно сказать про блокпост, я давно его пробовал и ньюансы его работы не помню, помню только что проблем он не вызвал, то есть работал исправно... под вторую версию он, помоему, не портирован... вообще то заблокировать доступ к сайтам конкретным можно банерорезкой встроенной, вбить туда нужные адреса и насладиться:))

Добавлено
ошибочка вышла, портирован он...
сейчас попробую его, заодно память освежу:))

ЗЫ... ссылу забыл дать... BlockPost

Добавлено
только что его попробовал, блокирует на ура, по крайней мере рамблер...

DmitriyK

Цитата:

А можно Outpostом запретить закачку файлов с определенным расширением? Например, *.mp3

Нет. Дефолтовая функция закачки - компонент процесса IE. С точки зрения Аутпоста, закачка - этот тот же HTTP-контент IEXPLORE. Корпоративные брандмауэры позволяют блокировать эти и многие другие вещи. Аутпост, в данном случае, бессилен.

Agent007

Цитата:

возникла необходимость запретить вход на сайт, я добавил новое правило в
"Общие правила" для всех приложений

Неправильно. Иди в СОДЕРЖИМОЕ>БЛОКИРОВКА ВЕБ-САЙТОВ.

estimated

Цитата:

почему? Ну проходят пакеты не через один фильтр, а через два. В чем здесь глупость? Кроме того, часто бывает так: hardware + software firewall и никто не считает это глупостью.

А кто определит приоритет одного над другим? Ты сам? Не забудь сказать об этом компьютеру, ладно?
Оба брандмауэра работают в нулевом кольце. Оба одновременно пытаются осуществить перехват системных и прикладных раппортов. Как ты думаешь, что получится, если за один терминал сядут сразу два горячих эстонских парня, каждому из которых жизненно необходимо срочно набрать документ? Они передерутся. Или грохнут терминал. Или и то, и другое.

Ilich Ramiras

Цитата:

скажи пожалуйста в чем я был не прав, то есть, что именно не соответствует действительности?

Ты что, маленький? Перечитай свои и мои посты. Раз, другой, третий.

Цитата:

лично я так и не понял, что блокировало твои коннекты, воспринимая их за хакерские атаки?

Очень плохо. Функцию блокировки осуществляет Детектор Атак, - на основании Системных Настроек и правил доступа для системных компонентов, прописываемых в Приложениях (я же всё тебе описал, ёлы-палы!). Системные настройки были прописаны мною руками. Рулесы же приложений я сперва доверил мастеру первичной установки, что, как я выяснил, делать не следует.

estimated

Цитата:

Ага, значит со встроенным в XP файрволом Outpost уживается. Ну и как они, логали одно и то же?

Почти. Сейчас точно не помню, - дома я настроил систему единожды и больше с ней не занимаюсь, разве что проверяю раз в месяц логи атак и вирусной активности. В данный момент хрюшин файрл мною отключен за ненадобностью. Но кто на ком сидел - вопрос чисто риторический. Я предполагаю, что хрюшин файрволл более глубоко интегрирован в систему, что, в общем-то, и не удивительно. Но одно то, что он не фильтрует исходящий контент, а после установки факультативного сервиса тривиально открывает его порт, - вызывает у меня брезгливость.


Цитата:

А насчет "двух сторонних" - тоже из опыта?

А как ты считаешь?


Цитата:

Просто потому, что все так говорят, а Outpost вообще строго-настрого запрещает, а то мол глюки будут (можно подумать, их в противном случае нет).

Просто в Аутпосте на этот случай предусмотрен ламмерский матюгальник. Если не ошибаюсь, аналогичный матюгальник имеет место быть в NIS. Остальные файеры терпеливо молчат. И валятся. Или валят систему.

HighTower

Цитата:

А если BlockPost пользовать?

Цитата:

заблокировать доступ к сайтам конкретным можно банерорезкой встроенной

банерорезкой это я некорректно сказал, плюгином контроля содержимого можно блокировать сайты... вот, сорри:))

Добавлено
lummey
перечитал, и был прав в том, что плюгин "Детектор Атак" не берет от оутпоста настройки доверенных зон, он не обращает внимание на то, какие зоны доверенные а какие нет, он работает просто по системным правилам и правилам для приложений, и то, что после ручной настройки всех правил все заработало как раз говорит о том, что прав был я... как ты правильно заметил, умник от бога...

Добавлено
lummey
а вот твой палец вниз в отношении плюгина BlockPost поддерживаю... при его использованиии браузер тормозит. долго и упорно пытается продолбиться и в конце концов отваливается не добравшись до адреса cо титлой "невозможно отобразить страницу", тогда как блокировка по плюгину "содержимое" моментально возвращает ответ The web page being accessed was blocked due to undesirable content. Please see the Outpost Content Filtering Plug-In Log for details. Этот вариант мне нравится больше...:))

Объясните мне пожалуйста, несколько вещей:

1. почему на некоторых страницах выдается следующее

Цитата:

http://bk.ru-board.com/Field%20blocked%20by%20Outpost%20(http://www.agnitum.com)

Как и где это настраивается и по какому принципу работает? Я точно знаю, что там блокировать нечего, скрипт галлереи. Модули "Защита файлов" и "Реклама отключены".

2. Что за "Кэширование DNS" и насколько этот модуль полезен в реальной жизни? Стоит его использовать или нет.