» Agnitum Outpost Firewall Pro

Outpost Firewall 9.2 и NOD32 8.x вполне себе нормально дружат. Поставить можно в следующем порядке: если уже установлен NOD32, то сносим его - ставим или обновляем Outpost до версии 9.2 - отключаем компоненты Web Control в Outpost, подгружаем наш конфиг и ребутаем машину - отключаем сеть и полностью выгружаем Outpost - ставим NOD32 8.x - ещё один ребут и возвращаем сеть место (сеть отключается для того, чтобы вы не сидели с полностью отключенной защитой, а не по ещё каким-либо причинам).

З.Ы. Что-то написал, потом пролистал пару-тройку страниц, а там примерно тоже самое, только про более младшую версию NOD32. Однако с тем же Avira Antivirus последней подружить Outpost я не смог и даже саппорт Агнитума развёл руками, сославшись на свой "Compatibility list" (последняя версия, которая поддерживает связку - это Outpost 8.0).

Стоит последняя версия фаервола. Убраны все глобальные и низкоуровневые правила, режим блокировки.
Имеется установленная программа + расширение для браузера, работающее с этой самой программой. Политика для этого приложения -> использовать правила. В пункте "Брандмауэр" имееется следующее

Удаленный адрес и порт - localhost:loopback: 61696
Локальный адрес и порт - localhost:loopback: 12546    
Причина - Запретить любую активность

Но на вкладках "оправлено" и "получено" значения отличные от нуля. Как такое может быть? Я перечитал сто раз про правила, но никак не могу понять, почему трафик проходит, хоть он и локальный.

jese184

Цитата:

Политика для этого приложения -> использовать правила.

Какие у вас используются правила для этого приложения?

Цитата:

...никак не могу понять, почему трафик проходит, хоть он и локальный.

Видимо в настроенных правилах какой-то косяк.

WildGoblin

никаких правил в том то и дело нет. Может в этом проблема? Но я думал, что раз нет правил разрешающих, то он по-умолчанию должен резать соединения, основываясь на своей политике.

jese184

Цитата:

никаких правил в том то и дело нет.

Почему тогда просто не запретить всю сетевую активность для данного приложения?

Цитата:

Может в этом проблема?

Слишком много неизвестных - какое приложение, какой браузер и что за расширения к нему...

P.S. И да - я вот у себя смотрю (в "Брандмауэр") на правила выделенные красным т.е. запрещающие и трафик у них всегда 0/0!

WildGoblin
KeePass приложение. И расширение для огнелиса KeeFox. Запретить активность напрямую я всегда могу, но
1) все-таки, хочется разобраться, почему так происходит. Ведь правил нет никаких => должно работать общее правило, т.е. блокировать все, что не разрешено.
2) если трафик течет, значит нужно запрещать активность абсолютно для всех программ в системе, включая системные.
3) не будет работать расширение, т.к. оно всегда висит и общается с расширением в браузере.

UPD
Соединение висит постоянно. В "Причина" написано - запретить любую активность. Однако байтики передаются и получаются кипасом.
Кстати, такая же проблема наблюдается и с 1Password и его расширением. Но стоит мне запретить активность расширению, тут же крашится с ошибкой программа

jese184
Можете сделать скриншот экрана "Брандмауэр" - очень интересно посмотреть кто там куда конектится и почему не действует запрет?

Цитата:

Соединение висит постоянно. В "Причина" написано - запретить любую активность. Однако байтики передаются и получаются кипасом.

Не могу у себя воспроизвести - если выбран "Режим блокировки", то приложение у которого нет созданных правил и установлено "Использовать правила" не может получить доступ в сеть - трафик 0/0.

WildGoblin
Не знаю, как картинку загрузить.
http://s020.radikal.ru/i714/1510/09/0d14b210afff.png

jese184

Цитата:

Не знаю, как картинку загрузить. http://s020.radikal.ru/i714/1510/09/0d14b210afff.png

Правило не "красное" и стало быть не блокирующее...

WildGoblin
Весь вопрос в том, почему оно не красное.

jese184
А чем вас пугает передача данных с localhost на localhost?

Osmium
По сути ничем. Только не должен он их передавать, следуя политике самого фаервола.

jese184

Цитата:

Весь вопрос в том, почему оно не красное.

Наверное потому что это разрешающее правило? (выложите пожалуйста ваш конфиг аутпоста)

Вот пример - аутпост в режиме блокировки, для приложения выбрано использовать правила, но правил нет - запускаем закачку обновлений и получаем:


P.S. Версия сабжа 9.1.4652.701.1951.521, win81 x64.

WildGoblin
Если я правильно понял автора, то у него никаких персональных правил для данного приложения нет. Также как и нет правил system-wide/low-level на разрешение или блокировку. Он просто переключил Outpost в режим блокировки и увидел, что приложение всё равно умудрилось куда-то сползать.

Кстати, а может Outpost в режиме блокировки не блокирует localhost:loopback трафик?!

[more] WildGoblin
Нет вообще правил.

Osmium
Вы все верно поняли про правила.
А насчет трафика с локалхоста... Возможно. Но я нигде не смог этого найти.

UPD
Наверное, нашел ответ.

"С версии 7 (7.0 3371.514.1232)
* не фильтруется локальный трафик и бинарные потоки "
Если нужно "убить" лупбэк соединение, нужно в глобальных правилах прописывать.

Но появилась немного другая проблема. Не пойму, каким образом работают правила. В справке написано, что низкоуровневые правила с приоритетом, должны выполняться раньше, чем, например, любое глобальное правило. Но что-то не получается. Соединение все равно висит.А вот если блокирующее правило перенести в глобальное до приложений, то все работает как надо.
А еще интересный момент: если в правилах у кипаса поставить "Блокировать все", он вылетает с ошибкой. А если удалить из списка приложений, то запускается без проблем. Хотя, по идее, я уже запретил локальный трафик, и он должен тогда запускаться в любом случае с ошибкой. [/more]

Osmium

Цитата:

Если я правильно понял автора, то у него никаких персональных правил для данного приложения нет. Также как и нет правил system-wide/low-level на разрешение или блокировку.

Я об этом прочитал.

Цитата:

Кстати, а может Outpost в режиме блокировки не блокирует localhost:loopback трафик?!

точно! не блокируется в таком режиме лупбак - хотя и говорит, что блокирует!

WildGoblin
"С версии 7 (7.0 3371.514.1232)
* не фильтруется локальный трафик и бинарные потоки "
Если нужно "убить" лупбэк соединение, нужно в глобальных правилах прописывать.

Но появилась немного другая проблема. Не пойму, каким образом работают правила. В справке написано, что низкоуровневые правила с приоритетом, должны выполняться раньше, чем, например, любое глобальное правило. Но что-то не получается. Соединение все равно висит. А вот если блокирующее правило перенести в глобальное после приложений, то все работает как надо.
А еще интересный момент: если в правилах у кипаса поставить "Блокировать все", он вылетает с ошибкой. А если удалить из списка приложений, то запускается без проблем. Хотя, по идее, я уже запретил локальный трафик, и он должен тогда запускаться в любом случае с ошибкой.

jese184

Цитата:

Но что-то не получается. Соединение все равно висит.А вот если блокирующее правило перенести в глобальное до приложений, то все работает как надо.

Тоже самое - видимо лупбэк и тут особняком стоит.

WildGoblin
Либо низкоуровневые правила не относятся к приложениям вообще.
Короче бред какой-то. Никакой документации не нашел, где это поясняется.
Кстати, в комодо, вроде как, можно галку даже поставить "фильтровать лупбек-траффик". Т.е, он тоже по дефолту пропускает локальный траффик.

jese184

Цитата:

Либо низкоуровневые правила не относятся к приложениям вообще.

Там даже написано:
"Данные правила применяются к трафику, передающемуся ниже уровня приложений."
Это пакетный фаер.

WildGoblin
Но пакетный фаер должен резать абсолютно все пакеты. Или как?

Не смог осилить все страницы,
Может кто-то сталкивался уже, купил ноут с win8.1, сразу поставил OP 9.1(Забегу в перед скажу что на SSD ставилась система вообще с нуля(не то что шло вместе с ноутом)). С первых дней ноут больше 2-3 суток без перезагрузки не тянет, начинаются жуткие тормоза(фризы(не видео), звук заикается), доходит то того что качать с инета начинает в 10-ки раз медленнее . Методом тыка заметил что больше всего проблем после использования торрента и скайпа, то есть, после использования этих прог с каждым запуском заикание и подтормаживания происходят все чаще и сильнее. Начал копаться в процессах и выяснил что торрент при большой скорости скачивания тупо грузит диск на 40-50% потому идут заикания всей ОС-и, но после нескольких часов работы торрента, даже если его после этого выгрузить, тормоза и фризы уменьшаются, но с каждым часов Ос-ью становиться не комфортно пользоваться. Начал грешить что что-то с диском, Купил SSD(до этого стоял гибрид), Естественно фризы стали меньше, НО со временем все равно ось деградирует и начинаются тоже самое что и с обычным жестким диском. значит дело не в железе. Снова копаться начал и выяснил что при большом интернет трафике, afw.sys жрет проц, и с каждым часом все сильнее до следующей перезагрузки. Похоже дело именно в связке 8.1+Аутпост((
Может кто-то знает как вылечить это?

Кстати если вырубить "веб-контроль" то хватает на дольше.

ЗЫ На гораздо слабом ноуте старом, c win7+OP9.1 все прекрасно работает и может неделями быть включен ноут. И никогда такого не было.

grekk
Для начала обновиться до версии 9.2

jese184

Цитата:

Но пакетный фаер должен резать абсолютно все пакеты. Или как?

Цитата:

...видимо лупбэк и тут особняком стоит.

WildGoblin
Но я прямо запрещаю в низкоуровневых правилах лупбек соединение. Все равно работает

jese184

Цитата:

Но я прямо запрещаю в низкоуровневых правилах лупбек соединение. Все равно работает

Что мешает его запретить в правилах предназначенных для программ?

WildGoblin
Тогда придется применять его ко всем программам в системе. А глобальные правила распространяются на все.

jese184

Цитата:

Тогда придется применять его ко всем программам в системе. А глобальные правила распространяются на все.

Имел ввиду правила для конкретной программы (хотя и глобальные тоже...).
Воде никаких проблем нет при использовании подобного правила:

Код: Where the Protocol is TCP
    and Remote Address is 127.0.0.1
Block It

Нашел у себя в хелпах
Цитата:

D3 - Отключение правила "Allow Loopback"
Системное правило "Allow Loopback", включенное в настройках по умолчанию, представляет значительную угрозу безопасности для пользователей, использующих прокси-сервера (такие программы, как AnalogX Proxy, Proxomitron, WebWasher и некоторые anti-spam/anti-virus). Так как это правило разрешает использовать прокси любому приложению, для которого специально не заблокирован доступ в Интернет. Отключение или удаление этого правила исключает эту возможность.

Преимущества: Предотвращает возможность уязвимости правил прокси сервера "не доверенными" приложениями.
Недостатки: Каждое приложение, использующее прокси (например, web обозреватель с Proxomitron и т.д.) будет нуждаться в дополнительном правиле, разрешающем доступ к прокси (рекомендаций Rules Wizard - Мастера настроек будет достаточно в большинстве случаев).

Инструкции:

Убрать галочку напротив системного правила "Allow Loopback" в Параметры/Системные/Общие правила/Параметры.

shadow_member

Цитата:

Убрать галочку напротив системного правила "Allow Loopback" в Параметры/Системные/Общие правила/Параметры.

Уже "сто лет" как нет этого правила.