» Kerio Personal Firewall и Windows XP

Странный глюк.
Не могу открыть Configuration. Загружается скин, текстов в нем нет - и мертвый вис.
Лечится ребутом. Через некоторое время после ребута - то же самое.
Никто не сталкивался ?

Queer

Цитата:

Никто не сталкивался ?

Пока нет.
Не уверен что подойдет, но попробуй выключить HIPS, потом в safe mode его удалить.

KUSA, спасибо, уже разобрался.
В свойствах статистики соединений стояла галка "Resolve address".
А соединений с той машинки - тысячи. Вот оно их и резолвило через DNS по полчаса.
Разобрался по debug.log .

Может кто сталкивался с такой проблемой, как настройка работы торрент-клиента. Вроде фильтр настраиваю, открывая порты, а торрент-прога не может закончить тестирование и пишет, что порт(ы) заблокирован(ы).

1nasty1

Цитата:

Может кто сталкивался с такой проблемой, как настройка работы торрент-клиента. Вроде фильтр настраиваю, открывая порты, а торрент-прога не может закончить тестирование и пишет, что порт(ы) заблокирован(ы).

Можно пойти несколькими путями: разрешить для торрент-программы входящие/исходящие соединения через Сетевую безопасность(как сделал я у себя) или отвечать на вопросы, разрешая коммуникации по портам при помощи Фильтра пакетов.

AlexJoker
Доступ открыт, но тест все-равно не проходит

А в нем встроенный антивирь есть ??

Artur2005
Слава богу, нет.

Хочу сразу предупредить, что в программных файрволах я не разбираюсь (имеется только небольшой опыт настройки железных файеров)

Проинсталил дома KPF 4.3.268 на WinXP + SP1 + все секьюрити патчи, какие возможны. До этого Kerio никогда не устанавливался, потому проделал фокус с датой, описанный ту выше. Вроде работает. Встал нормально, сетка не пропала, не выбивает комп - тьу-тьфу...Отрубил сразу HIPS, web-фильтрацию и блокировку всплывающих окон (ибо для этого есть другое)

Запустил e-Mule и при подклучении к муловским сервакам получил сразу Low-ID. Видимо файрвол блокирует муловские порты 4662 и 4672 - ну ладно с этим потом разберёмся (хотя на вскидку не нашёл место, где в программе их можно разрешить для e-mule.exe).
Попробовал сделать dissable firewall, переконнектился к серваку - теперь High-ID и заработал KAD нормально (при LOW-ID не хотел). НО источники ищутся еле-еле, качается тоже фигово, плохо короче мул работает. Хотя вроде должен был бы как до инсталляции файрвола, ведь вся безопасность отключена

Решил поразбираться с настройками, и вспомнил, что желательно сделать Stop Traffic (вроде где-то в описании рекомендовалось). Ну нажал.... И ТУТ меня ждало настоящее чудо!!!!! мул ожил, отдача пошла лучше, даунлоад возрос аж почти разов в 10!!!Это при остановленном-то траффике.
Ну думаю, хакерская прога этот е-мул. Залезу-ка в веб. Всё - ОК, сайты загружаются. Думал из кеша. Зашел на любимую борду где PHP-запросы и весь сайт на SQL-базе. Тоже всё нормально загружается - ходишь по разделам, читаешь ветки. Короче бред

Это что - стоп траффик называется!?? (несколько раз пробовал)

Кто может прокомментировать эту ситуацию? Может снести эту байду на фик?

hanuman108
Странно всё это. Попробуй поставить предыдущую версию 4.3.246, там эта опция точно работает как надо - полностью останавливает трафик. Сам откатился на эту версию после глюков 4.3.268, вот теперь все ждём новый билд.

hanuman108

Цитата:

Попробовал сделать dissable firewall....и вспомнил, что желательно сделать Stop Traffic (вроде где-то в описании рекомендовалось). Ну нажал....

Ну, вы меня удивляете! Обратно Enable Firewall сделали-то??? Всё нормально работает с Stop Traffic - всё прекрасно отрубается! Просто внимательнее надо быть.

Да, извиняйте! Я и сам уже догадался. Хотел написать, но вы опередили.
Действительно, если файрвол остановлен, то функция Stop Traffic не даёт ничего. Если Firewall Enabled тогда точно останавливает наглухо!
Меня вот что ввело в заблуждение: открываешь панель настройки, а там нормальными английскими буквами написано "Status: Traffic is STOPPED!", причём stopped ярко красным и пакеты летят с бешенной скорость в обе стороны! Зачем тогда это писать. ИМХО, недоработка со стороны разработчика. Могли бы сообщать что-то вроде traffic could not be stoped because firewall is not active now!

Ещё с этими включениями-выключениями файрвола есть у меня один неприятный момент. Если файрвол был остановлен, а потом ты его панель вызываешь из system tray, то минут 5 вообще делать ничего невозможено. Т.е. Windows не виснет, но Task MAnager всё это время показывает 100% загрузку. Надо просто дать ему прочавкаться (кофе попить и ничего не трогать ) и тогда все опять работоспособно, можно смотреть графики, установки менять и т.п. Самое смешное, что когда файрвол был включён этого не происходит.
У меня комп P4 1.8G и RAM 512M. Так у всех или это у одного меня так?

P.S> Столкнулся с первой программной несовместимостью. Хотел посмотреть DVD через InterVideo WinDVD 6. В результате при запуске проги синий экран, дампование памяти, ребут и проверка дисков. Пробовал и так и сяк - ничего не помогло! Даже все процессы файрвола принудительно через таск менеджер убивал. Всё равно вылетало Наверно конфликт на уровне драйверов. Пришлось WinDVD сносить. А жаль мне она очень нравилась

hanuman108
Цитата:

Столкнулся с первой программной несовместимостью. Хотел посмотреть DVD через InterVideo WinDVD 6. В результате при запуске проги синий экран, дампование памяти, ребут и проверка дисков. Пробовал и так и сяк - ничего не помогло! Даже все процессы файрвола принудительно через таск менеджер убивал. Всё равно вылетало Наверно конфликт на уровне драйверов. Пришлось WinDVD сносить. А жаль мне она очень нравилась

Попробуйте отключить HIPS - если будет работать нормально, тогда внесите WinDVD в исключения для HIPS (и его включите).
По поводу вызова остановленного файрвола из трея - нормально вызывается, но у меня машина помощнее. Несколько моментов: тормозить может попытка инициализации HIPS, попытка преобразования адресов в Обзоре соединений (или в журналах), ...
В общем, попробуйте поотключать и поэксперементировать.

Цитата:

Попробуйте отключить HIPS - если будет работать нормально, тогда внесите WinDVD в исключения для HIPS (и его включите).

HIPS итак был отключен. Не в нём видно дело... Попробую заново проинсталить и крякнуть. Может релиз WinDVD6 был кривой. У них там различатся по built-xxx.

Цитата:

В общем, попробуйте поотключать и поэксперементировать.

Помгите пожалуйста найти место, где в Kerio включается Learning Mode? Я столько тыкался по все проге - нигде не могу найти! Вроде и при инсталяции включал... А не про одну прогу файрвол у меня ничего не запрашивает. Как же правила-то создавать для приложений?

Там есть опция для других приложений - спрашивать если приложение пытается получить доступ в сеть. Поставь знак ? Тогда будет спрашивать. Здесь - картинка и мана.

Да. Спасибо. Разобрался. Я хотел получить вот это http://www.kerio.com/manual/kpf/en/ch05s03.html
Надо оказывается было включить как здесь:
http://www.kerio.com/manual/kpf/en/ch13s01.html

А насчёт портов этот самый пакет-фильтр я долгоо искал!
http://www.kerio.com/manual/kpf/en/ch07s02.html

Почему нельзя было его как-то по-лучше расположить?! Запрятали так

Вообще уже начинает нравиться! Хорошая прога. Только нужно конечно много знаний.
Если бы ещё при вызове систем трея не тормозила, было б вообще супер!

Прога мне тоже вроде нравится, но возник вопрос после пользования мною Зон Аларма, что-то подозрительно мало блокированых атак (у Керио) всего 2 по среднему уровню за месяц!!! у аларма их бы было штук 200 как минимум, Вопрос кто из них пиздит???

Кто-нибудь может сказать, что это за попытки входящих соединений?
В логах NIPS никаких записей на этот счет не появляется.

Брандмауэр Windows отключен, служба остановлена. Компьютер в сетке не работает.
В момент запроса соединений в интернете работал только DownMaster.

Еще вопрос.
Модуль защиты от переполнения буфера у McAfee VSE8.0i конфликтует с аналогичным модулем Kerio, а точнее с Kerio HIPS Driver. Если через Диспетчер устройств я отключу автозагрузку HIPS Driver, это повлияет на работоспособность Firewall-а? В первую очередь - на работу модуля NIPS?
И если выбирать из 2-х защиты от переполнения буфера, то какая предпочтительнее в данной ситуации: McAfee или Kerio, которая еще блокирует инъекцию исполняемого кода.

rrr777

Цитата:

Вопрос кто из них ....???

Извини, но нажимаю кнопку сообщить модератору.
Это не базар, а форум.

tdkrussia39
Не уверен,но попробуй создать правило для KerioGui-block all incoming TCP/UDP all port.

rrr777
Цитата:

Вопрос кто из них пиздит???

за мат

KUSA
Я на всякий случай KerioGui и так заблокировал.
Не пойму вот что: если это попытка порулить моим компьютером, то почему эта попытка не отражается в логах Kerio.

Добавлено:
Ситуация с входящими запросами на KerioGUI немного прояснилась - это скорее всего запросы DNS-серверов. Описание правил нашел в Help-е самого Kerio.

tdkrussia39 Всё просто - GUI использует определённый порт, при попытке сканирования компьютера извне идёт запрос на этот порт-->SKPF спрашивает. Можно смело запретить (и нужно) входящие запросы для GUI.

rrr777 В другом топике я уже изложил свою мысль по поводу своеобразного изложения вами своих мыслей.

tdkrussia39

Цитата:

Ситуация с входящими запросами на KerioGUI немного прояснилась - это скорее всего запросы DNS-серверов.

Не может быть DNS запросов на твои приватные порты.

А у меня почему-то HIPS периодически вырубается. Сам по себе! Заходишь Network Security, а там галочка снята. на NIPS стоит, а на этом снялась, причем сама. И некликабильная совершенно! После перезагрузки компа можно включить. Глюк?

hanuman108

Цитата:

И некликабильная совершенно! После перезагрузки компа можно включить. Глюк?

Да, возможно глюк - кряка. Попробуй без взлома на чистой системе.

AlexJoker,KUSA я все понял. Но почему сканирование не отражается в логе NIPS? Kerio не считает это явной атакой?


Цитата:

А у меня почему-то HIPS периодически вырубается.

Наверно конфликтует с чем-то. Кнопка HIPS становится некликабильной после выгрузки Kerio HIPS Driver

Ребята подскажите какую версию поставить что б все работало без глюков, 246 билд без глюков работает???

alexeyap
Последняя 4.3.268 работает без проблем.

tdkrussia39

Цитата:

Но почему сканирование не отражается в логе NIPS? Kerio не считает это явной атакой?

А оно было? Поставь утилиту TCP/Ip view и посмотри, реально были-ли эти пакеты реально. Я посетил один из указанных тобой IP и не нашел там входящих UDP по приватным портам. Может проблема в креке?

Цитата:

И если выбирать из 2-х защиты от переполнения буфера, то какая предпочтительнее в данной ситуации: McAfee или Kerio, которая еще блокирует инъекцию исполняемого кода.

Защиту KERIO в данном случае не просто выключить, а убить, как сделать - описано несколько страниц назад+не забудь добавить в Mcafee в режим исключения мониторинга (но не сканера!) папку с Kerio ИТД, что еще к нему относится.Это по желанию.


alexeyap
Позволю себе в этот раз не согласится с мнением AlexJoker - и напомнить ему его-же слова
Цитата:

В Sunbelt Software признали наличие бага в SKPF 4.3.268 - будет исправлено в следующем релизе

и порекомендовать предыдущую версию 422.

KUSA
Да, согласен. Но это не баг в явном виде (хотя как посмотреть), а недочёт по раздолбайству разработчика - забыли включить систему Alert. Радует, что не забыли включить систему фильтрации.