» Agnitum Outpost Firewall Pro

Aliado
Ну, если все нормально, то и замечательно. Хотя, я вчера ради эксперимента выставил теже правила, что у вас, у себя для uTorrent (естественно с заменой порта). Отдача - отлично, а вот попробовал скачать документальный фильм, и что-то не пошло... Хотя, возможно были проблемы на треккере.
PC Flank... Опять же могу ошибаться, но вроде как этот тест использует низкоуровневый доступ в сеть. Надо наверно там смотреть правила...

Добавлено:
У меня проваливает только PC Flank Leaktest, сообщение уходит без запросов... Тесты же которые доступны на страничке (Quick Test, Trojans Test, Exploits Test, Advanced Port Scanner) проходит успешно..

Добавлено:
Если не секрет.. Почему перешли на Outpost, и ушли с Comodo?

DenverWolf

Цитата:

PC Flank... Опять же могу ошибаться, но вроде как этот тест использует низкоуровневый доступ в сеть. Надо наверно там смотреть правила...

тогда помогайте составить низкоуровневые правила

Цитата:

Если не секрет.. Почему перешли на Outpost, и ушли с Comodo?

ни какого секрета нет, я даже возвращался на comodo и вот снова аутпост а все дело в том что аутпост:
1. потребляет меньше ресурсов (особенно нравится фоновый режим)
2. быстрее работает интернет (браузеры просто летают)
3. очень хорошо прижился с нодом (друг другу вообще не мешают)
ЗЫ. Еще бы правильно настроить и для меня это будет самый приемлемый вариант.

Подтверждение догадки:

DenverWolf
Я лик тест не делал, только быстрый и стелс.
Сейчас глобальные и низкоуровневые правила у меня такие

как их правильно настроить не могу нигде найти информацию

Aliado
Все то же самое за исключением вот этого:

Блокировал по запросам, система работает... Но не уверен в верности...
По PC Flank Leaktest. А проходит он, из-за элементарной невнимательности. Внимательно читаем запросы Outpost(а), и результат как на скрине что выкладывал выше.

Добавлено:
Да, ОСь 7 Домашняя Расширенная х64.
Стелс тест:

Быстрый тест:

DenverWolf
Псевдопознаний? Так все попунктно расписано. Где там у меня бред? Да и Aliado ни по одному пункту возражений не высказал :)

Сегодня впервые поставил Firewall и столкнулся с таким "явлением",при игре в EverQuest периодически выскакивают окошки с вопросом "Разрешить или нет" и выскакивают порой не вовремя,хотя я(вроде бы)поставил ее в исключения:

Или я что то не туда "исключил" подскажите пожалуйста.Заранее спасибо

DenverWolf
Никак не выходит тесты валит, правда порты закрыты но видимы

Может это из за режима совместимости с нодом? (антишпион не работает)
Кстати COMODO эти тесты проходил.

Outpost 7.5.1 от 14-07-2011 блокирует запуск chkdsk. Причем под виндовс хп сп 3 именно. Та же версия под вин 7 сп1 х86 не блокирует.

А под хп сп 3 после перезагрузки пишет:

Cannot open volume for direct access

и чекдиск не работает.

В безопасном режиме все работает. Но все равно, по моему это бага.

Снес 7.5.1. поставил 7.1 последнюю - чекдиск работает как надо.

Зато в вин 7 с аутпостом 7.5.1. свои безобразия, через дня 3-4 онлайн вываливается синий экран, с проблемой в Ndis.sys., то ли из за торрента толи еще что. В общем тоже снес и поставил 7.1.

Надеюсь это неудобства починят в 7.5.2

Ранее (с той поры как NDIS-драйвер стал использоваться в KAV) при установке KAV в системе с Outpost Firewall 7 сеть отрубало напрочь (у меня наблюдалось на нескольких машинах) - только полный откат помогал. Вопросы:
1. Сейчас также нужно сначала ставить KAV, потом Outpost?
2. Полная деинсталляция KAV (версии 11 или новее) с остающимся в системе Outpost Firewall не повлияет на работоспособность сети? Или при необходимости изменить одну из программ в подобного рода связке "фаер-антивирь" Outpost также необходимо удалять, и желательно первым, т. е. до деинсталляции KAV?

scumJr

Цитата:

1. Сейчас также нужно сначала ставить KAV, потом Outpost?

Обязательно,если не хотите лишних проблем.

Цитата:

2. Полная деинсталляция KAV (версии 11 или новее) с остающимся в системе Outpost Firewall не повлияет на работоспособность сети? Или при необходимости изменить одну из программ в подобного рода связке "фаер-антивирь" Outpost также необходимо удалять, и желательно первым, т. е. до деинсталляции KAV?

Удаляете в любом порядке,а установку "по новой'' проводите начиная с KAV.

Парни, будьте добры, помогите разобраться... Журнал HTTP...


Процесс: OPERA.EXE

HTTP-адрес: /

Тип объекта: Не определён

Размер: от 0до восьмизначного

При этом имеется некая закономерность - интервал разный, но всегда кратен 5-ти минутам

BelarusFreedom
М.б. авторефреш в браузере? Браузер пустой или на конкретной странице? Ява? Скрипты? Флеш? Поотключать все... Последовательно.

Глюки при записи в журнал? Переполнен?
Перевести в режим обучения и снять все аглки со всех правил, кроме ДНС. Может в окно он полный адрес выплюнет...

grbdv, java всегда OUT. Да, всё это чудо происходит в LIVE на livescore.in . Сайт "работает" только при наличии фреймов... Понятно, что дело опасное, но пока альтернативу не нашёл. Скрипты, флэш, правила - всё уже пробовал, но "адресок" так и не увидел.

xMOHOXPOMx

Цитата:

Удаляете в любом порядке,а установку "по новой'' проводите начиная с KAV.

1. Нет, по второй части вы меня не так поняли. Имеется машина с KAV 11 + Outpost 7.5.1. Хочу избавиться от KAV и заменить его _другим_ антивирусом. Если я удалю KAV 11, то какие антивирусы (из общераспространенных и, в идеале, бесплатных) можно инсталлировать _после_ Outpost 7.5.1 (т. е. удалить KAV и после ребута поставить другой антивирь, а Outpost не трогать)? Дело не в том, что не хочется тратить несколько лишних минут на деинсталляцию фаера и повторную его установку после инсталляции антивиря, а в том, что существует патологическая боязнь обновления KAV _до_ удаления Outpost Firewall - в силу тех же причин, по которым нельзя ставить с нуля KAV после Outpost.

2. И еще один вопрос. Чего лучше _не_ делать на компе с KAV 11 + Outpost 7.5.1:
a) не обновлять KAV до любого билда 11 версии без предварительной деинсталляции Outpost'а?
б) не обновлять KAV до любого билда 12 версии без предварительной деинсталляции Outpost'а? Спасибо за ответы.

scumJr
Avira Premium 2012, NOD Antivirus 5 только при отключенном антишпионе в Outpost. Лично ставил на установленный Outpost проблем никаких. Ключи смотри в варезнике.

BelarusFreedom
Время засекать не засекал. Но вот список IP, на которые трафик был разрешен ОП4 для этой странички:
188.92.41.130
193.45.15.35
194.158.36.207
195.72.134.129
62.44.1.141
74.125.232.78
81.94.208.241
87.248.217.253
91.103.140.225

Насторожила следующая запись в журнале блокировок:
OUT REFUSED / TCP / 0.0.0.0 / 4136 / 62.44.1.141 / 843 / Block All Activity

Это в режиме блокировать все. В режиме обучения ОП спрашивается на p2.fsdatacentre.com на 843 порт.

Дополнительно могу порекомендовать поставить NetLimiter 2 (не 3). Хуже не будет, а польза в дополнительной диагностике и управлении трафиком существенная.

grbdv, NetLimiter 2 вроде как не для 7-ки... За подсказки спасибо. Диапазон 62.44.1.128-62.44.1.191 я так же давно заметил, и так же не даёт покоя...

BelarusFreedom
Не за что. Вообще, для таких вот "активных" сайтов, если, конечно, необходимо их регулярно посещать, надо создавать индивидуальные правила для рабочего браузера и помещать их до общеразрешающих.

А про 7-ку не было упомянуто :) Может NL2 и заработает в каком-нибудь режиме совместимости... NL3-то кривой, как турецкая сабля, и по функционалу и по интерфейсу. Но в нем задекларирована Win7.

Цитата:

Может NL2 и заработает в каком-нибудь режиме совместимости...

Он даже не устанавливается, пишет "не та конф-ия"...

BelarusFreedom
[off]
Вот здесь надо спросить. И попробовать-таки 3-ку. Это ведь я лично для себя ее отмел после много лет 2-ки. Не так уж там все запущено :)


Цитата:

Он даже не устанавливается, пишет "не та конф-ия"...

Да... Это я ступил. Она же драйвером надстраивается над вендовым стеком TCPIP. Для драйверов, наверное, не проходят режимы совместимости. Я про Win7 ничего не знаю...
[/off]

доброго времени суток!
windows 7 и outpost pro 7.5.1.
оутпост блокирует показ эскизов страниц в папках с фотами. На фотах иконка программы-просмотрщика.
Если приостановить защиту и заново открыть пвпку с фотами -все эскизы страниц видны.
Если разрешить любую активность explorer.exe- нет результата (т.е.эскизы не видны).
Подскажите пож, где ковырнуть-чтобы убрать ету досадную неудобств.
Спасибо

Столкнулся с такой багой.
Anti-Leak включен. Автосозданиие правил отключено. Политика - "Режим обучения". В "Правилах для приложений" для приложения Explorer.exe разрешен запуск сетевых приложений с включенным оповещением про этот тип события.
При запуске некоторых приложений например mplayerc.exe (Media Player Classic), RCleaner.exe (Registry Clean Expert) и многих других оповещение отсутствует, хотя в "Журнале событий - Anti-Leak" отображаются записи о Запуске сетевого приложения. (хотя про запуск "сетевого приложения" notepad.exe AOF оповещает). #


Если же запретить запуск сетевых приложений для Explorer.exe, то приложения mplayerc.exe (Media Player Classic), RCleaner.exe (Registry Clean Expert) и многие другие, он (Explorer.exe) беспрепятственно запускает!!! ИМХО, это - бага!

Кто-то знает с чем это связано? И что AOF понимает под понятием "сетевое приложение" ???

Еще вопрос. Если в "Настройках" - "Anti-Leak" в Списке известных приложений присутствует запись о файле rchelper.exe, а для приложения RCleaner.exe в "Правилах для приложений" стоит запрет на Запуск сетевых приложений, то все-равно файл RCleaner.exe благополучно запускает файл rchelper.exe.
Это нормально?

Ну и напоследок. (сорри за повтор. Раньше уже о непонятках писал)
У кого есть возможность и свободное время, просьба смоделировать ситуацию.
Имется доверенный (для AOF) файл, который запускает другой доверенный файл (с таким же именем) на...
...1-й вариант - на сменном носителе
...2-й вариант на сетевом диске
Далее заменяем запускаемый доверенный файл на другой файл с этим же именем. И запускаем запускающий (неизмененный) файл.
Как сработает модуль Anti-Leak в такой ситуации. Проглотил ли он подмененный файл или сработает (для первого варианта) модуль "Защита сменных устройств"?
Основание - Подозрительный лог с подозрительной фразой the target process has same name as parent -> passed#

Подскажите пожалуйста!
В последнее время (два-три дня) Outpost закидывает вот такими запросами:
.
И запрещал, и разрешал, и галочку ставил "Применять это действие...", и в настойках выставлял для <SYSTEM> "Разрешать все действия" -> "Блокировать все действия". Все одно, достал уже... Хотелось бы знать - Что это, и Что с этим можно сделать?

DenverWolf
Я в таких случаях пользуюсь KillSwitch. Выделяю подозрительную сетевую активность и правой кнопкой мыши перейти к процессу. Тогда более понятно откуда ноги растут.
Еще не плохая прога AnVir Task Manager. А так из этих скринов трудно сделать какие то выводы.

DenverWolf, дя процесса <SYSTEM> вы правила не настроите, т.к. это по сути не процесс, а активность эта возможно вызвана каким-либо драйвером.
Тут помогут сетевые (глобальные/низкоуровневые) правила.
Возможно вы установили недавно какую-то программу, которая пропускает трафик через себя на уровне драйвера. В таком случае Аутпост будет бессилен в плане контроля сетевой активности приложений.

П.С. блин, забодали БСОДы на Win7х86 с Аутпостом при работающем торренте.

pytex
Спасибо за подсказку!
Не подскажите, что, и как лучше в низкоуровневых правилах прописать? Ведь как вы правильно заметили, процесса нет, и опереться не на что.

DenverWolf, там не нужно ориентироваться на процесс - просто указывается Протокол, Направление и Порт (чаще локальный). Обычно так закрывают порты в системе (уязвимые или по которым хотят вообще заблокировать трафик) или если желают разрешить транзитный трафик (например, расшареное сетевое соединение когда трафик идет через вашу систему на уровне драйверов).
Но у вас на картинках исходящие соединения, поэтому нужно для начала выявить их причину. Блокировать глобальными/низкоуровневыми правилами исходящие соединения на все подряд порты вы не сможете, иначе сеть попросту перестанет работать. Если таких событий мало всего на несколько портов, то заблочьте их правилом:
Протокол - TCP
Направление - Исходящее
Удаленный порт - 12080
Блокировать

Братцы очень нужен совет! Пару дней назад поменял NOD на Avira Premium 2012 теперь большинство приложений работают через удаленный адрес activate.adobe.com

Нормально ли это? У кого Outpost + Avira отзовитесь.

Aliado
Это большинство работает через localhost. Просто адрес стал другой подхватываться. Проверьте файлик C:\Windows\System32\drivers\etc\hosts на такую строку:
127.0.0.1    activate.adobe.com