difuzor76
Перевести фаер в режим "Блокировать все".
И потом не удивляться, если пропала сеть.
Перевести фаер в режим "Блокировать все".
И потом не удивляться, если пропала сеть.
» Comodo Internet Security
Ronin666 21:58 12-05-2011
Цитата:
что за судороги такие
Цитата:
Если и через пару дней не получится обновить, поверх накачу.
что за судороги такие
XenoZ
Цитата:
Фильтрация в данном случае это - фаервол - политики сетевой безопасности - сетевые зоны - Loopback зона (должна быть)? У меня есть, не в исключениях. Но Аваст 6 free.
Цитата:
Если в активных соединениях Комода напрочь отсутствуют соединения по loopback, - банально не включена соответствующая фильтрация.
Фильтрация в данном случае это - фаервол - политики сетевой безопасности - сетевые зоны - Loopback зона (должна быть)? У меня есть, не в исключениях. Но Аваст 6 free.
Ronin666
может быть к примеру, если Вы как и я, пользуетесь "сторонним" браузером и в ослике включаете режим "Работать автономно" (в окне осла пишет - [Автономная работа])...
может быть к примеру, если Вы как и я, пользуетесь "сторонним" браузером и в ослике включаете режим "Работать автономно" (в окне осла пишет - [Автономная работа])...
Ronin666
Цитата:
Я бы на вашем месте не рвался в бой, т.к. не заметил в новой версии ничего толкового.
Цитата:
Если и через пару дней не получится обновить, поверх накачу.
Я бы на вашем месте не рвался в бой, т.к. не заметил в новой версии ничего толкового.
SUBMARINA
Фильтрация в данном случае - это
Фильтрация в данном случае - это
XenoZ
да, у меня стоит оповещать о loopback запросах
да, у меня стоит оповещать о loopback запросах
1. Подскажите, почему COMODO не логирует (не отображает в журнале событий файрвола) всех исходящих и входящих соединений, при том, что на всех созданных правилах включена "птичка" предписывающая "логировать срабатывание"?
Например, поднятие VPN L2TP соединения по 1701 порту я так и не мог увидеть, как ни старался (для процесса SYSTEM задал логирование данного UDP соединения, так же задано логирование всех исходящих IP соединений, пытался для SYSTEM указать логировать все исходяшие IP, все исходяшие и входящие IP, все исходящие и входящие TCP/IP... так же в GR пытался логировать как все исходящие IP, так и все исходящие TCP/IP и т.д., пытался отключать логирование на других правилах - все без толку) хотя в разделе "активные сетевые подключения" это соединение появляется.
То же самое с некоторыми другими соединениями - хотя задано логирование всего и вся но в логе пусто.
Лично меня эта ботва с логированием серьезно напрягает, так как простейшим способом для меня (как для новичка во всех этих брандмауэрно сетевых вопросах) настроить файрвол, является изучение логов с целью понимания того что происходит на моей машине, и вот такое непонятное поведение COMODO приводит к лишним затратам времени и отсутствию полной ясности о происходящем в сети.
Может быть какие то нюансы от меня ускользают и при грамотных настройках можно увидеть все входящие и исходящие подключения, или же для гарантированного результата надо задавать логирование не больше чем для пары-тройки правил?
Вообще, неплохо бы еще было бы, если бы в логе еще показывалось то правило которое пропустило или запретило данное соединение, и где это правило расположено - в GR или в AR.
Просто некоторые моменты нифига не очевидны, особенно для неискушенного пользователя, например я долго не мог понять, почему при трассировке маршрута получаю лишь сообщения о превышении допустимого времени, (хотя для процесса tracert.exe были разрешены входящие ICMP) пока не догадался в AR создать правило входящих ICMP для WOS.
2. Что может ломиться с компа в интернет на 137 порт, когда на машине службы "сервер" и "обозреватель компьютеров" отключены, в настройках сетевой карты NetBios отключен, и галочки со служб (клиент майкрософт и шара файлов и притеров в сети майкрософт) сняты? Ни в одно правиле для AR нет явного разрешения для исходящего соединения в инет на порт 137, но если для процесса SYSTEM , поставить "спрашивать обо всех исходящих", то время от времени такие запросы приходят пачками по 5-10 штук, например, на адрес 212.44.129.123, как я понимаю это что-то связанное с билайном.
http://img33.imageshack.us/i/30782892.png
Сам запрос в логе COMODO отмечен как "связанное оповещение" - непонятно что это такое.
3. Broadcast (и вообще нежелательные адреса и группы адресов) лучше в "Заблокированные зоны" пихать, или задавать запрещающее правило в GR? Или нет разницы?
4. Можно ли как то запретить приложению вызывать обращение браузера к тому или иному сайту? Ну, то есть, когда в программке есть опция типа "открыть сайт техподдержки", или "посетить сайт разработчика" и т.д. Я так понимаю, что это надо в разделе "правила проактивной защиты" настраивать для каждого приложения. Поставил в "правах доступа" все галочки на "блокировать" - вроде работает (в смысле - не работает, не открывает сайты), но какие именно галочки выставить что бы не ошибиться и чтобы подобные запросы блокировались бы а само приложение работало бы нормально. И по какому вообще принципу эти галочки для других приложения выставлять, а то я для QIP поставил все в "блокировать" - оно вроде работает, тока весь "журнал проактивной защиты" теперь этим QIP загажен, а как выключить логирование для отдельного приложения непонятно.
Например, поднятие VPN L2TP соединения по 1701 порту я так и не мог увидеть, как ни старался (для процесса SYSTEM задал логирование данного UDP соединения, так же задано логирование всех исходящих IP соединений, пытался для SYSTEM указать логировать все исходяшие IP, все исходяшие и входящие IP, все исходящие и входящие TCP/IP... так же в GR пытался логировать как все исходящие IP, так и все исходящие TCP/IP и т.д., пытался отключать логирование на других правилах - все без толку) хотя в разделе "активные сетевые подключения" это соединение появляется.
То же самое с некоторыми другими соединениями - хотя задано логирование всего и вся но в логе пусто.
Лично меня эта ботва с логированием серьезно напрягает, так как простейшим способом для меня (как для новичка во всех этих брандмауэрно сетевых вопросах) настроить файрвол, является изучение логов с целью понимания того что происходит на моей машине, и вот такое непонятное поведение COMODO приводит к лишним затратам времени и отсутствию полной ясности о происходящем в сети.
Может быть какие то нюансы от меня ускользают и при грамотных настройках можно увидеть все входящие и исходящие подключения, или же для гарантированного результата надо задавать логирование не больше чем для пары-тройки правил?
Вообще, неплохо бы еще было бы, если бы в логе еще показывалось то правило которое пропустило или запретило данное соединение, и где это правило расположено - в GR или в AR.
Просто некоторые моменты нифига не очевидны, особенно для неискушенного пользователя, например я долго не мог понять, почему при трассировке маршрута получаю лишь сообщения о превышении допустимого времени, (хотя для процесса tracert.exe были разрешены входящие ICMP) пока не догадался в AR создать правило входящих ICMP для WOS.
2. Что может ломиться с компа в интернет на 137 порт, когда на машине службы "сервер" и "обозреватель компьютеров" отключены, в настройках сетевой карты NetBios отключен, и галочки со служб (клиент майкрософт и шара файлов и притеров в сети майкрософт) сняты? Ни в одно правиле для AR нет явного разрешения для исходящего соединения в инет на порт 137, но если для процесса SYSTEM , поставить "спрашивать обо всех исходящих", то время от времени такие запросы приходят пачками по 5-10 штук, например, на адрес 212.44.129.123, как я понимаю это что-то связанное с билайном.
http://img33.imageshack.us/i/30782892.png
Сам запрос в логе COMODO отмечен как "связанное оповещение" - непонятно что это такое.
3. Broadcast (и вообще нежелательные адреса и группы адресов) лучше в "Заблокированные зоны" пихать, или задавать запрещающее правило в GR? Или нет разницы?
4. Можно ли как то запретить приложению вызывать обращение браузера к тому или иному сайту? Ну, то есть, когда в программке есть опция типа "открыть сайт техподдержки", или "посетить сайт разработчика" и т.д. Я так понимаю, что это надо в разделе "правила проактивной защиты" настраивать для каждого приложения. Поставил в "правах доступа" все галочки на "блокировать" - вроде работает (в смысле - не работает, не открывает сайты), но какие именно галочки выставить что бы не ошибиться и чтобы подобные запросы блокировались бы а само приложение работало бы нормально. И по какому вообще принципу эти галочки для других приложения выставлять, а то я для QIP поставил все в "блокировать" - оно вроде работает, тока весь "журнал проактивной защиты" теперь этим QIP загажен, а как выключить логирование для отдельного приложения непонятно.
2 ALL
По акции, о кторой я писал - http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=900#16
CISPro на год кто-нибудь получил? Просто интересно, т.к. у сам не проверял.
По акции, о кторой я писал - http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=900#16
CISPro на год кто-нибудь получил? Просто интересно, т.к. у сам не проверял.
stormlord666,
1. Возможно, глюки какие-то, т.к. логирование должно нормально работать.
Тут можно применить несколько некрасивый способ, но скорее всего он должен сработать: включить протоколирование во всех правилах в GR, а также добавить там в самом низу разрешающее всё правило с включённым протоколированием. Тогда точно должно всё отображаться.
Также можно попробовать провести диагностику CIS и изучить журнал проактивки, а то может вы там случайно сами что-то запретили самому CIS.
По трассировке вы верно вычислили: вы отправляете пакеты от tracert, а вот ответы приходят на WOS. И вообще все ответы именно по ICMP приходят на WOS.
2. На самом деле там не только 2 службы надо выключить для отключения NetBIOS. Их несколько больше. Ось у вас какая?
3. Теоретически, это без разницы. Но на практике апплет "Заблокированные зоны" не всегда правильно работал раньше.
Что касается броадкаста, то его уж точно не надо в заблокированные добавлять, т.к. есть и необходимый броадкаст (DHCP). И если мы его запретим, то комп не сможет получить IP от провайдера.
4. По идее должно хватить добавления браузера в заблокированные приложения в строке "Запуск приложений".
Протоколирование в проактивке для отдельного приложения не выключишь, к сожалению нет такой опции.
1. Возможно, глюки какие-то, т.к. логирование должно нормально работать.
Тут можно применить несколько некрасивый способ, но скорее всего он должен сработать: включить протоколирование во всех правилах в GR, а также добавить там в самом низу разрешающее всё правило с включённым протоколированием. Тогда точно должно всё отображаться.
Также можно попробовать провести диагностику CIS и изучить журнал проактивки, а то может вы там случайно сами что-то запретили самому CIS.
По трассировке вы верно вычислили: вы отправляете пакеты от tracert, а вот ответы приходят на WOS. И вообще все ответы именно по ICMP приходят на WOS.
2. На самом деле там не только 2 службы надо выключить для отключения NetBIOS. Их несколько больше. Ось у вас какая?
3. Теоретически, это без разницы. Но на практике апплет "Заблокированные зоны" не всегда правильно работал раньше.
Что касается броадкаста, то его уж точно не надо в заблокированные добавлять, т.к. есть и необходимый броадкаст (DHCP). И если мы его запретим, то комп не сможет получить IP от провайдера.
4. По идее должно хватить добавления браузера в заблокированные приложения в строке "Запуск приложений".
Протоколирование в проактивке для отдельного приложения не выключишь, к сожалению нет такой опции.
garryroma
я получал, но не ставил
я получал, но не ставил
я решился все-таки поставить каспер с комодом вновь. И каспер и комод - последние версии (комод - будет выбран только фаер), какие подводные камни?, ставить сначала каспера? Ставить просто полное взаимоисключение или как лучше? Если не лень отпишитесь...
rrr777, скорее всего ставить сначала COMODO, а потом Каспера, ибо CIS при установке может попросить снести Каспера, если его найдёт.
А взаимоисключение в чём ставить? Если бы вы ставили и антивирус COMODO, тогда бы надо было их папки и процессы другу в исключения добавить, а так вроде ничего никуда добавлять не потребуется, если только в проактивках разрешения прописать друг другу, и то, только если это потребуется.
А взаимоисключение в чём ставить? Если бы вы ставили и антивирус COMODO, тогда бы надо было их папки и процессы другу в исключения добавить, а так вроде ничего никуда добавлять не потребуется, если только в проактивках разрешения прописать друг другу, и то, только если это потребуется.
SUBMARINA
Цитата:
Тут, каюсь, поспешил, в активных соединениях Комода соединения по loopback таки НЕ отображаются. Остальное выглядит примерно так:
Если же все соединения браузера, в том числе и на 80й порт, идут напрямую - нужно проверять работоспособность Аваста. А это совсем другая история и другой топик.
Цитата:
Если в активных соединениях Комода напрочь отсутствуют соединения по loopback, - банально не включена соответствующая фильтрация.
Тут, каюсь, поспешил, в активных соединениях Комода соединения по loopback таки НЕ отображаются. Остальное выглядит примерно так:
Если же все соединения браузера, в том числе и на 80й порт, идут напрямую - нужно проверять работоспособность Аваста. А это совсем другая история и другой топик.
ну вообщето именно каспер просит снести все насвете....хотя хрен с со всем закатал очередной образ acronisaa. Попробуем по разному..
Цитата:
2 ALL
По акции, о кторой я писал - http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=900#16
CISPro на год кто-нибудь получил? Просто интересно, т.к. у сам не проверял.
Работает ключик на год прислали
Добавлено:
Цитата:
[/q]
Цитата:
Цитата:
[q]2 ALL
По акции, о кторой я писал - http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=900#16
CISPro на год кто-нибудь получил? Просто интересно, т.к. у сам не проверял.
WIGF
Цитата:
1. Сделал как Вы посоветовали, лучше не стало(( Например, соединения по 1701 порту так и не получилось увидеть. Кстати заметил еще такую особенность - у меня 2 сетевые в компе, через одну приходит инет по VPN соединению, через вторую, другой комп получает удаленный доступ к инету и она же (вторая сетевая) используется для доступа к расшареным ресурсам этого второго компа. Так вот, например, если я пингую первый комп со второго, при отключенной карте смотрящей в инет, то приходящий пинг отображается в логе, если же я и эту карту тоже включаю, то пинг уже не логируется. Вобщем бардак какой-то(( Мне кажется тут может быть что-то с метриками, хотя я попробовал vpn соединению назначить метрику 1, но все равно поднятие соединения по 1701 порту в логе не увидел. А что может быть в проактивке , приводящее к таким результатам? Я вроде ничего не трогал там, все по умолчанию пока, с файрволом бы разобраться для начала)))
2. Ось у меня windows 7 на ведущем компе, на ведомом XP. В настройках всех сетевых карт я отключил компоненты имеющие отношение к "драйвер тополога" и "ответчик тополога", (так же принудительно отключил LLMNR через груповую политику) на карте смотрящей в инет активны только компоненты "протокол версии 4", "планировщик пакетов" и "cis", на vpn подключении - только "протокол версии 4" (компонента cis там нету – это нормально?) , на карте по которой подключен второй комп "протокол версии 4", "планировщик пакетов" "cis" и "клиент для сетей майкрософт", так же на ней включен принудительно netbios, а на карте смотрящей в инет и на vpn подключении netbios принудительно отключен. (локальные ресурсы билайн мне не нужны)
На карте второго компа, где установлена windows xp включены компоненты "протокол версии 4", "планировщик пакетов" "cis", "клиент для сетей майкрософт" и "шара файлов и принтеров мафкрософт". и на этом компе запущены службы «сервер» и «браузер компьютеров».
Так же на всех соединениях в параметрах tcp/ip снял галочку с опции «регистрировать адреса этого подключения в dns» - не понятно, нужна она или нет (в инете не удалось найти инфы по данной опции), но вроде без нее работает)) , еще отключил службу шлюза уровня приложения - без не вроде тоже работает, хотя так и не понял зачем она нужна, в концах пишут что ее нужно включать только при работающем встроенном брандмауэре. Еще отовсюду снял галочку "использовать LMHOSTS" - все равно этот файл пустой на обоих компах.
С DHCP тоже непонятно. Если ставлю запрет входящих В GR с 67 на 68 порт, то билайновская локалка не идентифицируется, если же в GR такие входящие разрешены, то все работает, даже если прямо запретить такие входящие в svchost.exe.
А кто тогда является получателем этого входящего, если в AR ни одному приложению оно не позволено, а в WOS разрешены только ICMP и прописано правило блокировать все входящие?
Ну и с логирование тут тоже ж.па. Одно время эти входящие в логах показывались (это был броадкаст с чего-то типа 10.9.x.x.) теперь показываться перестали почему-то и получается что выдал DHCP сервер моей карте айпишник, что нет - в логах одно и тоже.
Вообще такое ощущение что эти траблы с логами из за того что 2 сетевые карты подключены, вот на компе с win xp где 1 карта стоит – вроде все нормально логируется.
И что касается настроек AR – я правильно понимаю что, для случая соединения 2х компов, (когда 2й выходит в инет через 1й комп и на 2м расшарены ресурсы для первого), нужно в процесс system прописывать правила для работы по netbios, а в процесс svchost.exe – правила связанные с выходом второго компа в инет… так?
Уфф.. вроде ничего не забыл.
Еще раз большое спасибо Вам за помощь и подробные ответы на вопросы.
Цитата:
stormlord666,
1. Возможно, глюки какие-то, т.к. логирование должно нормально работать.
Тут можно применить несколько некрасивый способ, но скорее всего он должен сработать: включить протоколирование во всех правилах в GR, а также добавить там в самом низу разрешающее всё правило с включённым протоколированием. Тогда точно должно всё отображаться.
Также можно попробовать провести диагностику CIS и изучить журнал проактивки, а то может вы там случайно сами что-то запретили самому CIS.
По трассировке вы верно вычислили: вы отправляете пакеты от tracert, а вот ответы приходят на WOS. И вообще все ответы именно по ICMP приходят на WOS.
2. На самом деле там не только 2 службы надо выключить для отключения NetBIOS. Их несколько больше. Ось у вас какая?
3. Теоретически, это без разницы. Но на практике апплет "Заблокированные зоны" не всегда правильно работал раньше.
Что касается броадкаста, то его уж точно не надо в заблокированные добавлять, т.к. есть и необходимый броадкаст (DHCP). И если мы его запретим, то комп не сможет получить IP от провайдера.
4. По идее должно хватить добавления браузера в заблокированные приложения в строке "Запуск приложений".
Протоколирование в проактивке для отдельного приложения не выключишь, к сожалению нет такой опции.
1. Сделал как Вы посоветовали, лучше не стало(( Например, соединения по 1701 порту так и не получилось увидеть. Кстати заметил еще такую особенность - у меня 2 сетевые в компе, через одну приходит инет по VPN соединению, через вторую, другой комп получает удаленный доступ к инету и она же (вторая сетевая) используется для доступа к расшареным ресурсам этого второго компа. Так вот, например, если я пингую первый комп со второго, при отключенной карте смотрящей в инет, то приходящий пинг отображается в логе, если же я и эту карту тоже включаю, то пинг уже не логируется. Вобщем бардак какой-то(( Мне кажется тут может быть что-то с метриками, хотя я попробовал vpn соединению назначить метрику 1, но все равно поднятие соединения по 1701 порту в логе не увидел. А что может быть в проактивке , приводящее к таким результатам? Я вроде ничего не трогал там, все по умолчанию пока, с файрволом бы разобраться для начала)))
2. Ось у меня windows 7 на ведущем компе, на ведомом XP. В настройках всех сетевых карт я отключил компоненты имеющие отношение к "драйвер тополога" и "ответчик тополога", (так же принудительно отключил LLMNR через груповую политику) на карте смотрящей в инет активны только компоненты "протокол версии 4", "планировщик пакетов" и "cis", на vpn подключении - только "протокол версии 4" (компонента cis там нету – это нормально?) , на карте по которой подключен второй комп "протокол версии 4", "планировщик пакетов" "cis" и "клиент для сетей майкрософт", так же на ней включен принудительно netbios, а на карте смотрящей в инет и на vpn подключении netbios принудительно отключен. (локальные ресурсы билайн мне не нужны)
На карте второго компа, где установлена windows xp включены компоненты "протокол версии 4", "планировщик пакетов" "cis", "клиент для сетей майкрософт" и "шара файлов и принтеров мафкрософт". и на этом компе запущены службы «сервер» и «браузер компьютеров».
Так же на всех соединениях в параметрах tcp/ip снял галочку с опции «регистрировать адреса этого подключения в dns» - не понятно, нужна она или нет (в инете не удалось найти инфы по данной опции), но вроде без нее работает)) , еще отключил службу шлюза уровня приложения - без не вроде тоже работает, хотя так и не понял зачем она нужна, в концах пишут что ее нужно включать только при работающем встроенном брандмауэре. Еще отовсюду снял галочку "использовать LMHOSTS" - все равно этот файл пустой на обоих компах.
С DHCP тоже непонятно. Если ставлю запрет входящих В GR с 67 на 68 порт, то билайновская локалка не идентифицируется, если же в GR такие входящие разрешены, то все работает, даже если прямо запретить такие входящие в svchost.exe.
А кто тогда является получателем этого входящего, если в AR ни одному приложению оно не позволено, а в WOS разрешены только ICMP и прописано правило блокировать все входящие?
Ну и с логирование тут тоже ж.па. Одно время эти входящие в логах показывались (это был броадкаст с чего-то типа 10.9.x.x.) теперь показываться перестали почему-то и получается что выдал DHCP сервер моей карте айпишник, что нет - в логах одно и тоже.
Вообще такое ощущение что эти траблы с логами из за того что 2 сетевые карты подключены, вот на компе с win xp где 1 карта стоит – вроде все нормально логируется.
И что касается настроек AR – я правильно понимаю что, для случая соединения 2х компов, (когда 2й выходит в инет через 1й комп и на 2м расшарены ресурсы для первого), нужно в процесс system прописывать правила для работы по netbios, а в процесс svchost.exe – правила связанные с выходом второго компа в инет… так?
Уфф.. вроде ничего не забыл.
Еще раз большое спасибо Вам за помощь и подробные ответы на вопросы.
Ujinnee
Почитал. Там что-то очень навороченное, у меня все несколько проще, хотя может быть это проявление какого-то глюка программы.
Например - я отключаю все соединения, и включаю одну единственную сетевую карту, которая смотрит в интернет. В GR прописаны разрешающие для исходящих и входящих DHCP. Смотрю лог. В логе показывается что пошло исходящее... и все, далее в логе всякая ботва идет типа входящего броадкаста в моем сегменте сети. А карта, тем не менее получила адрес.
Убираем из GR правило разрешающее входящие 67 на 68. Отключаем карту и снова включаем ее. В логе опять видно исходящее с 68 на 67. Далее опять броадкаст как и в первом случае. Карта получает адрес 169.254.x.x ... а в логах одно и тоже что в первом что в втором случае. Хотя... я раньше видел входящее с 67 на 68 (хотя не каждый раз но появлялось)..а последнее время вообще исчезло.. непонятно с чем связано.
И еще мне непонятно, куда это входящее с 67 на 68 идет, если на svchost.exe я его прямо запретил (для проверки).
Может вообще дело в глючности связки win7 и winxp или что-то лишнее я вырубил в семерке - например те же драйвера тополога в настройках сетевой или службу llmnr. Надо будет проверить как себя поведет CIS на свежей семерке. Хотя свзяь между компами работает без проблем - инет доступен со второго, расшаренные папки на втором доступны с первого, все операции с файлами проходят без каких быто ни было траблов, расшареные ресурсы постоянно видны в сетевом окружении и т.д.
На ведомом компе с winxp тоже стоит CIS и за тем как там происходит логирование я слишком уж пристально не наблюдал, но мне показалось что никаких косяков там не было, а на win7 даже с одним сетевым подключением логируется не все, а когда появляется второе сетевое подключение то ситуация становиться еще хуже. Скажем, включаю я сначала сетевую к которой подключен второй комп - в логе сразу видны запросы с него, а стоит следом включить сетевуху смотрящую в инет, то в логе кроме 10.207 уже и не увидишь практически ничего, хоть сотни сайтов открывай разом на втором компе.
Но вот таких глюков как игнорирование созданных правил я вроде не наблюдал. Оно не логируется много чего, да, но вроде как все соединения создаются и запрещаются строго по правилам (ну вот за исключением может быть только этого непонятного мне глюка с входящими с DHCP).
Почитал. Там что-то очень навороченное, у меня все несколько проще, хотя может быть это проявление какого-то глюка программы.
Например - я отключаю все соединения, и включаю одну единственную сетевую карту, которая смотрит в интернет. В GR прописаны разрешающие для исходящих и входящих DHCP. Смотрю лог. В логе показывается что пошло исходящее... и все, далее в логе всякая ботва идет типа входящего броадкаста в моем сегменте сети. А карта, тем не менее получила адрес.
Убираем из GR правило разрешающее входящие 67 на 68. Отключаем карту и снова включаем ее. В логе опять видно исходящее с 68 на 67. Далее опять броадкаст как и в первом случае. Карта получает адрес 169.254.x.x ... а в логах одно и тоже что в первом что в втором случае. Хотя... я раньше видел входящее с 67 на 68 (хотя не каждый раз но появлялось)..а последнее время вообще исчезло.. непонятно с чем связано.
И еще мне непонятно, куда это входящее с 67 на 68 идет, если на svchost.exe я его прямо запретил (для проверки).
Может вообще дело в глючности связки win7 и winxp или что-то лишнее я вырубил в семерке - например те же драйвера тополога в настройках сетевой или службу llmnr. Надо будет проверить как себя поведет CIS на свежей семерке. Хотя свзяь между компами работает без проблем - инет доступен со второго, расшаренные папки на втором доступны с первого, все операции с файлами проходят без каких быто ни было траблов, расшареные ресурсы постоянно видны в сетевом окружении и т.д.
На ведомом компе с winxp тоже стоит CIS и за тем как там происходит логирование я слишком уж пристально не наблюдал, но мне показалось что никаких косяков там не было, а на win7 даже с одним сетевым подключением логируется не все, а когда появляется второе сетевое подключение то ситуация становиться еще хуже. Скажем, включаю я сначала сетевую к которой подключен второй комп - в логе сразу видны запросы с него, а стоит следом включить сетевуху смотрящую в инет, то в логе кроме 10.207 уже и не увидишь практически ничего, хоть сотни сайтов открывай разом на втором компе.
Но вот таких глюков как игнорирование созданных правил я вроде не наблюдал. Оно не логируется много чего, да, но вроде как все соединения создаются и запрещаются строго по правилам (ну вот за исключением может быть только этого непонятного мне глюка с входящими с DHCP).
отключил веб-антивирус каспера, смотрю процесс avp.exe опять по малому инет чет передает и принимает, включил обратно веб-антивирус - ничего не поменялось.
помогите, неужели никто не знает как такое лечить?
помогите, неужели никто не знает как такое лечить?
Kiril777
http://www.geektools.com/whois.php , http://www.whois-service.ru/lookup/ , http://www.ripn.net:8080/nic/whois/ , http://2ip.ru/whois/ - здесь можешь по IP определить с кем идут соединения и сообразить , какое приложение передаёт эти данные . Я уже написал , что avp.exe создаёт локальный прокси-сервер , таким образом весь трафик всех приложений идёт через него . Это значит , что твои соединения , о которых ты беспокоишься могут создавать не только Каспер , но и любое другое приложение .
http://www.geektools.com/whois.php , http://www.whois-service.ru/lookup/ , http://www.ripn.net:8080/nic/whois/ , http://2ip.ru/whois/ - здесь можешь по IP определить с кем идут соединения и сообразить , какое приложение передаёт эти данные . Я уже написал , что avp.exe создаёт локальный прокси-сервер , таким образом весь трафик всех приложений идёт через него . Это значит , что твои соединения , о которых ты беспокоишься могут создавать не только Каспер , но и любое другое приложение .
KismetT
я уже писал что каспер сам их создает, без чьей либо помощи
я уже писал что каспер сам их создает, без чьей либо помощи
Цитата:
компонента cis там нету – это нормально?stormlord666, конечно, это не нормально. Если там нет CIS, то и CIS эту карту может не мониторить.
По входящим DHCP не могу сказать, надо проверять. У меня теже входящие в логах не отображаются. Может недоделка какая-то.
По двум сетевушкам и правилам тоже не подскажу, т.к. не использую такой способ.
Да и на глюки вот ссылку Ujinnee дал. Может комодовцы такой способ у себя в продукте плохо прописали...
вот 2 сомнительных адреса куда каспер ломится
205.188.7.233
79.141.216.17
подробнее о них http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=1020#3
205.188.7.233
79.141.216.17
подробнее о них http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=1020#3
Kiril777
205.188.7.233 - один из серверов ICQ .
79.141.216.17 - Kaspersky Lab , если последний адресат тебя беспокоит , изучи настройки Каспера , отключи всяческие KSN , почитай топик Каспера про отключение компонентов через реестр .
Короче включи наконец голову .
205.188.7.233 - один из серверов ICQ .
79.141.216.17 - Kaspersky Lab , если последний адресат тебя беспокоит , изучи настройки Каспера , отключи всяческие KSN , почитай топик Каспера про отключение компонентов через реестр .
Короче включи наконец голову .
Kiril777
А самому проверить адреса на предложенных серверах религия не позволяет?
[more=More details about 205.188.7.233]Host: bos-d024a-rdr2.blue.aol.com
IP: 205.188.7.233
Country: United States
State: n/a
City: n/a
Postcode: n/a
Latitude: 38.0000
Longitude: -97.0000
ISP: America Online
Organization: America Online
Local Time: n/a[/more] - ICQ клиент
[more=More details about 79.141.216.17]Host: ksn-msk-fe-1.kaspersky-labs.com
IP: 79.141.216.17
Country: Russian Federation
State: Moscow City
City: Moscow
Postcode: n/a
Latitude: 55.7522
Longitude: 37.6156
ISP: CJSC RASCOM
Organization: Kaspersky Lab
Local Time: 2011-05-14 14:17[/more] - Kaspersky Lab
Еще вопросы?
А самому проверить адреса на предложенных серверах религия не позволяет?
[more=More details about 205.188.7.233]Host: bos-d024a-rdr2.blue.aol.com
IP: 205.188.7.233
Country: United States
State: n/a
City: n/a
Postcode: n/a
Latitude: 38.0000
Longitude: -97.0000
ISP: America Online
Organization: America Online
Local Time: n/a[/more] - ICQ клиент
[more=More details about 79.141.216.17]Host: ksn-msk-fe-1.kaspersky-labs.com
IP: 79.141.216.17
Country: Russian Federation
State: Moscow City
City: Moscow
Postcode: n/a
Latitude: 55.7522
Longitude: 37.6156
ISP: CJSC RASCOM
Organization: Kaspersky Lab
Local Time: 2011-05-14 14:17[/more] - Kaspersky Lab
Еще вопросы?
Цитата:
Цитата:
компонента cis там нету – это нормально?
stormlord666, конечно, это не нормально. Если там нет CIS, то и CIS эту карту может не мониторить.
Это не карта а VPN соединение, на самих картах в компонентах CIS есть. или нужно чтобы и в VPN соединении он тоже был? Но в таком случае как его туда "засунуть"? Я так понимаю что он должен был автоматически прописаться при установке.
Вообще в ближайшие дни попробую восстановить образы свежей семерки и хрюши и посмотрю как будет вести себя CIS. Мне вестаки кажется весьма мловероятным, что CIS что-то там не логирует потому что у меня,скажем, служба "сервер" остановлена или потому что на компах разные операционки стоят.
stormlord666, тогда там его, действительно, не будет.
Ещё вам можно попробовать сохранить текущий конфиг и переустановить CIS с зачисткой остатков перед новой установкой, а то может во время установки что-то глюкнуло или помешало.
Ещё вам можно попробовать сохранить текущий конфиг и переустановить CIS с зачисткой остатков перед новой установкой, а то может во время установки что-то глюкнуло или помешало.
KismetT
http://forum.ru-board.com/topic.cgi?forum=5&topic=31940 тут? не нашел конкретно про отключение компонентов через реестр. в настройках давно все отключено.
XenoZ
вообще то я проверил, не вижу смысла сюда копипастить списки описания ip.
http://forum.ru-board.com/topic.cgi?forum=5&topic=31940 тут? не нашел конкретно про отключение компонентов через реестр. в настройках давно все отключено.
XenoZ
вообще то я проверил, не вижу смысла сюда копипастить списки описания ip.
Kiril777
http://forum.ru-board.com/topic.cgi?forum=5&topic=31940&start=1780#14
с поправкой на версию .
http://forum.ru-board.com/topic.cgi?forum=5&topic=31940&start=1780#14
с поправкой на версию .
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458
Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.