» Agnitum Outpost Firewall

Ilich Ramiras
поставил на ХР про, все работало нормально, а потом без видимой причины вырубился, настроек я не менял, на офсайт не лазил... вообще представить не могу, что могло произойти...

bigBoss
что такое вырубился? не загружается оболочка? а драйверы грузятся и работают? или есть сообщения какие-либо при этом?

загружается, но не запускается, кликаю напроге для запуска, часики ожидания начинают крутиться на курсоре и затихают так и не запустив прогу, другой вариант - прога запускается и через несколько секунд закрываеться...сама. а сейчас тоже с Касперским происходит...

bigBoss

Значит пора переустанавливать

andrex

Цитата:

Значит пора переустанавливать

НЕ-Е-Е-Е-Е-Е-Е-Е-Е-Е-Т-Т-т-т-т-т!!!!!! какой кошмар, неужели это правда...?

такое дело, если в системных правилах хочу закрыть диапазон айпишек (скажем, 192.168.1.5-192.168.1.152 ) - не дает. Говорит, диапазон неправильный. Типа, можно только *.*.1.0-*.*.1.255 и никак иначе..
Тоже самое с правилами для приложений. Если хочу перекрыть ему доступ к диапазону айпи, то или весь, или по одному набирать приходится.
Это нормально? В смысле, так и должно быть, или не совсем?
Весь диапазон перекрывать мне нет смысла, т.к., сам инет через лан имею. Т.е., к серву доступ быть должон.

bigBoss

Цитата:

а сейчас тоже с Касперским происходит...

VIRUS!!!! outpost bezzashiten pered vsemi virusami!

a esli KAV 4.5 to prosto pereimenuy AvpM.exe v ApvM.exe
i zapusti "ApvM.exe /Q /I /A /IS"
avp32.exe - scaner toze mozno v apvm32.exe pereimenovat

a na budushie nado stavit to 4to protivodeystvuet vigruzke eto ja pro FW...

SXP

Цитата:

eto ja pro FW...

вас из дас? я не силен в абравиатурах, могу конечно предположить, что это FireWall, но кто его знает...

bigBoss

Аналогично

dmut op
Хорошо, что мы по ходу дела затронули вопрос о приоритетах правил. Я нашел упомянуты тобой топик Outpost Rules Processing Order. Наверное, можно добавиь этот линк в шапку. Плохо, конечно, что все это выясняется только тестами. Что запланировали разработчики Outpost и насколько это соотносится с тем, что получилось - остается загадкой.
Ilich Ramiras, так что с твоим выводом о том, что последовательность обработки правил определяется временем их создания? Однажды ты пришел к выводу, что это фактически так работает. А опровержения после этого я не заметил.

Кстати, почему никому из активных пользователей Outpost не бросилось в глаза, что способ закрытия портов в Outpost, описанный в шапке, в корне неправильный? На самом деле это довольно непростая задача в Outpost и само описание, как это сделать, занимает больше страницы (Outpost FAQ: How do I close an open port?). Если коротко, то для этого нужно делать правило для каждого приложения(!), которое может открывать данный порт.


Цитата:

проверка закончится с первым же попаданием в нужное правило, это общий принцип работы пакетных фильтров

Хорошо, что это так (если это действительно так работает). Хотя с распространением общих принципов на Outpost я бы не стал спешить.


Цитата:

то, что всё таки идут запросы на локалхост - это какието особенности твоей системы, или глюк в отображении у Kerio.

Я не буду тебе в ответ утверждать, что это могут быть особенности твоей системы или глюк Outpost. Почитай, что говорят другие люди. Например, здесь, здесь или здесь. Или поищи сам.

Еще раз напомню, о чем весь сыр-бор. Я сказал, что loopback не стоит запрещать. Что он используется, например Internet Explorer. И что разрешенный loopback не представляет опасности (если нет локальных прокси). Ilich Ramiras и dmut op принялись утверждать, что это полная чушь и что я не прав.

Думаю, что желающие разобраться - разберутся кто прав (хотя среди пользователей Outpost таких и не много. Те, кто хочет понимать, что происходит, почему-то переходят на другие файрволы).
Во всяком случае те, у кого тормозит IE, могут попробовать разрешить loopback (хотя бы Outbound UDP).



Цитата:

можно убить глобальное правило, разрешающее доступ с Localhost и регулировать доступ прилоежний, работающих через прокси, именно по доступу к localhost

Скорее "нужно", а не "можно". Вот мы и пришли к тому, о чем я намекал с самого начала А именно к тому, что правило Loopback включено в Outpost по умолчанию не для того чтобы работать с локальными прокси, а все-таки для других целей.

JJF

Цитата:

При обращении к кэшу IE производит файловые операции, при этом стек протоколов TCP/IP не задействуется!

Чтение данных с диска - это конечно файловая операция. А вот перед тем (или в процессе того), как определить, какие файлы должны загрузиться локально из кэша, а какие должны быть запрошены через сеть, стек TCP/IP еще как задействуется!
Вполне возможно, что и само чтение локальных файлов из кэша организовано в IE (и может быть не только в нем) через TCP/IP. Почему это так реализовано - не знаю. Может, в этом есть свой, нам простым смертным непонятный смысл.

estimated

Цитата:

Вполне возможно, что и само чтение локальных файлов из кэша организовано в IE (и может быть не только в нем) через TCP/IP.

Я этому свидетель! Позавчера ставил драйвера на принтер HP Laserjet 1010. Там настройка драйвера идет именно по tcp/ip через адрес 127.0.0.1. И в окне IE появляются настройки, диагностика и.т.д. драйвера.

bredonosec
Это нормально - так и должно быть... Дело в том, что маска - она и есть маска. Это не список адресов произвольного размера. В принципе, тема не маленькая, на пальцах не объяснишь...
Почитай доки по подсетям и CIDR. Также глянь вот эту прогу - может, понравится.

bigBoss
andrex
FW - FireWall

Что то в последнее время Outpost Firewall начал занимать CPU на 100%, помогает только перезагрузка и то, только до первого соединения с интернетом.
Что случилось кто знает?

SXP

Цитата:

VIRUS!!!! outpost bezzashiten pered vsemi virusami!

может подскажешь, что нить действенное, для приведение его в нормальное состояние?
мой касперский ничего не обнаружил...

Уважаемые..
Такой вопрос: где в FW настраивается так, чтобы в логе не было записей "Запретить транзитные пакеты"?
Ось WinXp Pro, через меня в локалку подключен комп.. вот с его IP и в сеть такая херь генерируется

estimated
Цитата:

так что с твоим выводом о том, что последовательность обработки правил определяется временем их создания? Однажды ты пришел к выводу, что это фактически так работает.

вывод этот был не правильный, практически одновременно c тем майским постом было обсуждение у бет о приоритете правил, так вот тогда же и было выяснено. что системные правила имеют более низкий приоритет по сравнению c правилами для приложений. впоследствии это не раз обсуждалось тут на форуме.

Цитата:

Я сказал, что loopback не стоит запрещать. Что он используется, например Internet Explorer. И что разрешенный loopback не представляет опасности (если нет локальных прокси).

ты слышишь только себя, да? ни я, ни dmut op не призывали ЗАПРЕЩАТЬ лупбак, мы говорили только о том, что бы в системных снять галку c "лупбак алов", что бы фаер отлавливал обращения к лупбаку и можно было создавать правила для прог c учетом лупбака, одним запрещать, другим разрешать. по умолчанию оутпост разрешает лупбак всем сразу и бесповоротно. как говорится, почувствуйте разницу...
bigBoss
это конечно уже офтоп, но тебе лечиться надо не c зараженной системы, а c загрузочной дискетки c антивирем и свежими базами...
SiLeNCer_ru
да нигде... оутпост персональный фаер, а не серверный, смотри минифак в шапке...

Добавлено
estimated
Цитата:

Кстати, почему никому из активных пользователей Outpost не бросилось в глаза, что способ закрытия портов в Outpost, описанный в шапке, в корне неправильный?

для того, что бы закрыть 135 порт от атаки DCOM, приведенный в примере в шапке достаточно создать подобное правило в системных. потому что эта атака идет на систему, а не на ворд или експлоер. соответсвенно атаку на ворд нужно закрывать в правилах для ворда, а на фтп сервер в правилах на фтп сервер... все правильно в шапке, имхо...

Ilich Ramiras

Цитата:

да нигде... оутпост персональный фаер, а не серверный, смотри минифак в шапке...

Я бы не спрашивал, если бы он не отработал в качестве серверного FW 2 месяца.... И ничего такого замечено не было.. А теперь с главного компа еще и почта не уходит.. И в запрещенных по поводу почты тишина... фигня какая-то... Конфиг полетел вчера и все тут, хоть плачь



Добавлено
Может, можно как-то конфиг вылечить от checksum erro?

bigBoss
pomogu... stuknis v ICQ 116670545

Коллеги!
Тяжело, конечно, 74 страницы пересмотреть. Может я повторюсь, но подскажите:
Какое надо правило прописать, чтобы Ася через OP проходила. Если OP снимаю, то все хорошо.
Ася - 2003а, файрвол - Outpost Personal Firewall Pro 2.0.238.3121 [290].
Ася настроена на машинке из локалки, OP стоит на прокси.

Господа, такой вопрос по работе программы:

В локальной сетке комп, на котором стоит OutPost имеет выход в инет и работает под XP - остальная сеть, соответственно в Инет выходит через ICS. Так вот в фильтре "Содержимое" поставил ограничение на показ страниц по всяким порнушным словам. и вроде как везде работает, кроме компа в локалке, работающего под W2000 Server - почему так, никто не знает?
Заранее спасибо.

ZUMR
Reuel
первая строчка минифака в шапке...
к выбору файрвола для сервера надо подходить более обдуманно:))

Ilich Ramiras

Ильич, а можно проще и конкретней? Без обид, ладно?

2estimated

Цитата:

Плохо, конечно, что все это выясняется только тестами. Что запланировали разработчики Outpost и насколько это соотносится с тем, что получилось - остается загадкой.

ничего непонятного здесь нет - любой OP-тестер имеет Debug плугин, в котором легко можно посмотреть весь внутренний список правил с приоритетами, который OP сформировал из настроек правил NETBIOS + ICMP + приложения + системные. там всё определяется однозначно.

Цитата:

Если коротко, то для этого нужно делать правило для каждого приложения(!), которое может открывать данный порт.

это из-за того, что если сделать системное правило, закрывающее порт, то оно будет иметь приоритет ниже чем правила для конкретных приложений. я планирую добавить в blockpost возможность "железной" блокировки выбранных портов.

Цитата:

Я сказал, что loopback не стоит запрещать. Что он используется, например Internet Explorer.

мне совсем не хочется разводить здесь бесполезный флейм, я лишь хочу сказать что то, что у тебя IE обращается к Localhost, а у меня - нет.

dmut op

Цитата:

мне совсем не хочется разводить здесь бесполезный флейм, я лишь хочу сказать что то, что у тебя IE обращается к Localhost, а у меня - нет.

Ну а я всего лишь хотел сказать, что разрешить эти коннекты - совсем не опасно, и для тех, у кого тормоза в IE - даже полезно OK, давай на этой дружеской ноте прекратим флейм.


Цитата:

я планирую добавить в blockpost возможность "железной" блокировки выбранных портов.

Хорошая задумка, приветствую! А каким образом? Дать группе "Глобальные правила" наивысший приритет или создать еще одну группу (последнее мне правда не очень нравится, т.к. дополнительное усложнение)?

Кстати, не подскажешь, где взять этот debug-plugin для Outpost 2? А то я его что-то нигде найти не могу, а на то, чтобы быть официальным бета-тестером - времени нет. Ответить можно в ПМ.

ZUMR
специально для тех кто в танке:
ОУТПОСТ ПЕРСОНАЛЬНЫЙ ФАЕРВОЛ, А НЕ СЕРВЕРНЫЙ.
если ты внимательно посмотришь, c чем связаны проблемы и у тебя, и у Reuel'а, то ты увидишь. что и там и там оутпост установлен на сервере, на машине c несколькими сетевыми интерфейсами. а оутпост просто не пашет c несколькими сетевыми интерфейсами, просто не может и все тут. не предназначен и не затачивался. появления же корпоративной версии c этими возможностями теперь, к сожалению, можно и не ждать, старт корпоративной (серверной) версии оутпоста отложен на лучшее будущее:((

Ilich Ramiras

Спасибо за объяснение.
Т.е. в моей ситуации исправить ничего нельзя? OP Асю из локалки никак не сможет пропустить техически? Чтобы пользоватья Асей придется сносить OP?
Я так понял?
А как же Миранда проходит? Я проверял. У неё другие режимы работы?

ZUMR
по идее, если ты юзаешь ICS мастдаевский, то и ася должна работать. но тут я, к сожалению, ничем тебе помочь не могу. во первых никогда не пробовал заюзать ICS из принципа, во вторых на серверах никогда не пробую заюзать персональные фаеры, из-за все того же пресловутого принципа. поэтому единственное, что могу тебе посоветовать, это сменить на сервере персональный фаер на серверный и грамотно его настроить. в данном случае оутпост не твой выбор, имхо...

Ilich Ramiras

Цитата:

ICS мастдаевский

Ильич, а это что такое? Я тут чайник.


Цитата:

сменить на сервере персональный фаер на серверный

Какие можешь посоветовать.

ZUMR
Цитата:

а это что такое?

встроенное в операционную систему Windows 2K/XP средство для расшаривания интернета.
Цитата:

Какие можешь посоветовать.

тут это уже оффтоп, модератор расстреляет, тут вот спроси - http://forum.ru-board.com/topic.cgi?forum=5&topic=0044#1