» Deerfield VisNetic Firewall 2.0

Iliasla
Качал все с оф сайта, регестрир ключиком от кеугена.
Фиг его знает даже на абсолютно чистой виртуальной машине подобные глюки.
Хотя стенка меня еще не раз не подводила, все веше описанное вызывает подозрение, жду новых версий.

думаю, новой версии придётся ждать долго.. 2.26 - стабильный релиз.
Нужно выяснять, в чём у Вас проблема.. может параллельно ещё какая прога ставится.. или какие-то драйвера сетевых карт..

Iliasla
Насчет проблемы, куча систем на которые ставил и в 8signg все ок, стоит правда сервис от TRendMicro Firewall, потушен но драйвер то остался, но с чистыми системами тоже самое.
Новой версии нет уже 10 месяцев, раньше как из пулемета , насчет стабильности если стоять на месте то можно и совсем состарится, сигейт про с 2003 например не обновлялся. Что в этом хорошего, другие то не стоят на месте.

Всё же про мешающие проги: а сразу ли вы файрволл ставите? Я ставлю после установки винды и драйверов обычно сразу файрволл и антивирь. Кстати какой антивирь увас? Ищите, что ещё одинакового на этих машинах, где Вы ставили Визнетик..

Кто знает как запустить программу при срабатывании правила? есть плагины, вроде, но информации по их созданию нет (

Цитата:

Когда указываешь IP-адрес в группе (и не только), лучше не указывать IP/маска, а выбрать диапазон IP и вписать одинаковое значение в оба окна. IP/маска, бывает, глючит.

- IP/mask как раз и предназначен для одиночного адреса. Разумеется, для группы он не годится, при чем тут лучше/хуже?
Для диапазона и выбирать диапазон - от первого до последнего.

Цитата:

По поводу логов - лог обновляется ежедневно,

Неправда. Лог файл режется на куски в соответствии с настройками юзера. У меня, напр, раз в месяц начинается. Или по достижении 10 метров.
Если вы о "размере лог-файла на диске" - размер растет вживую, просто доступа к файлу нет при включенном файере. Точнее, к последней секции, написанной после включения стенки. Будешь врубать/вырубать стенку 5 раз в день - увидишь "5 обновлений в день".

Цитата:

Кроме того любой файрволл (особенно драйверный) лучше ставить на чистую винду, а не на ту, где куча файрволлов до него перебывала.. Могут остаться пакетные драйверы или мешающие записи реестра.

Глубокая чистка реестра ручками и вычистка остаточного мусора и мертвых ссылок специализированным софтом вам помогут.
Проверено. Последний раз... хм.. да, в понедельник.

Цитата:

Кстати если сделать группу портов 139 и 445 например то в настройки девайса полоска портов с 1 до445 все будет зеленая- тоже глюк.

- А вы не смотрите, что правило - запрещает али разрешает? И как настроен масштаб - может, слишком мелкий, чтоб такую мелочь как отдельный порт разглядеть? №)


Добавлено:

Цитата:

Что в этом хорошего, другие то не стоят на месте.

- Если хорошо выполняет свою задачу, то чего ждать от новой версии? Рюшек?

Цитата:

есть плагины, вроде, но информации по их созданию нет (

Цитата:

Plug-In (Server Version only)
The plug-in feature allows you to configure a rule to call any function (in the form of a .dll file) when the rule is hit.
VisNetic Firewall ships with the "Send Email" function, which will send an email if a rule is hit. This is especially useful as a method of notification of a Block rule being hit. For example, you could configure a rule to specifically block the port used by the Back Orifice Trojan………if this rule is hit, you will receive an email notification to alert you of the attempt.

To configure the "Send Email" plug-in, follow these steps:
1) if the Plug-In section is grayed out, select one of the logging options in the section above…….the plug-in can only be initiated if logging is turned on for the rule
2) click the "Call function when rule is hit" checkbox
3) click the Browse button and select the PluginEmail.dll file
4) complete the Plug-in Properties dialog box:
E-mail Server Name: enter your ISP's SMTP server
E-mail To: enter the email address that you want the notification email sent to
E-mail From: enter the email address that should appear in the notification email's
FROM address
5) click OK

(C)help
Серверную версию не ставил, наличие/отсутствие плугов подтвердить не могу.

bredonosec
По поводу портов "зеленых", 0-1023 шкала, вместо двух полосок 139,445 одна зеленая 0-445, если в правиле убрать группу и поставить один порт то все ок.(когда убираеш группу то порт ставится по умолчанию 0 видимо всеже глюк)

По поводу новых версий то как видно улучшать есть что. Добавлю опять что юзаю уже сабж 1.5 года(до этого еще пару фаеров), не подводил, просто возникли вопросы, и если у других группы портов в VisNetic работают(в 8Signs и у меня, и старых версияхVisNetic) то в чем дело интересно понять.(системы самые разные от совершенно чистых до "старых").

Цитата:

Добавлю опять что юзаю уже сабж 1.5 года

я два. Или больше (не помню)

Цитата:

в 8Signs и у меня, и старых версияхVisNetic)

- /сам пользую 2,2 (ранее - 2,0, и 2,1), версию 2,6 ставлю клиентам. некоторые различия по сравнению со своей замечаю (напр, глюки с отображением именно последних записей лога), но в рамках задачи выхода новых версий не жду. (для контроля аппликаций другие стены можно, данная - для пакетной фильтрации).
Что касаемо "зелености"/красности. После введения правила порт таки перекрыт? Если да, то не о чем думать. Если нет - тогда проблема. /решаемая возвратом на другую версию и отправкой багрепорта /

bredonosec
Стоп.. у них же последняя версия 2.26...


Цитата:

- IP/mask как раз и предназначен для одиночного адреса. Разумеется, для группы он не годится, при чем тут лучше/хуже?

В том-то и дело, что я заметил глюки - пропуск пакетов.

Цитата:

Стоп.. у них же последняя версия 2.2.6..

- да не помню как она правильно зовется, с шестеркой на конце. (почему-то запомнилось, как 2,6)

Цитата:

В том-то и дело, что я заметил глюки - пропуск пакетов.

- Отдельными правилами попробуй (для двух несоседних портов можно и 2 правила )
+
в конфигурации что написано? По дефолту запрещать али пропускатЬ?

бета 8signs

http://www.8signs.com/firewall/beta.cfm

bredonosec
Дело в том, что я сам администратор, и с файрволлами работаю достаточно плотно, в т.ч. с Визнетиком уже полтора года. Так что, коль заметил, то так и есть..
Прописываешь маску - пропускает, прописываешь диапазон из одного и того же адреса - работает. Настройки у меня грамотные - всё запрещено кроме необходимого, на каждое индивидуальное действие - своё правило.

Iliasla

Цитата:

на каждое индивидуальное действие - своё правило

- хмм. я имел в виду не действо, а порты.

Цитата:

>Кстати если сделать группу портов 139 и 445 например то в настройки девайса полоска
>портов с 1 до445 все будет зеленая- тоже глюк.
Я посмотрел (у меня куча правил) - вся полоска в любом положении красная, хотя раньше помню, что и зеленый цвет был.. странно... но тем не менее всё работает..

- Ента.. а масштаб потыркать? Я погонял вверх-вниз - обнаружилась зеленая полоска примерно с 1024 по 5000 (при этом внизу отображение номеров разрешающих правил с номерами портов моих)..
Всё, что ниже - красно. (да и нечему там зеленому быть, нет сервисов)

Цитата:

Дело в том, что я сам администратор

/никогда не знаешь, с кем общаешься

Цитата:

Прописываешь маску - пропускает, прописываешь диапазон из одного и того же адреса - работает.

- Хм.. поглядел автоматически созданные правила (под конкретные нужды, выкачать и вырубить) - создалось именно как диапазон от адреса до него же.. Интересно. Бум играться...

Кста, а в чем смысл прописывания маски для блокируемого? Вообще смысл маски в том, чтоб вынь знала, обращаться ли к ресурсу прямо через АРП или стучать в маршрутизатор. А в блокировании смысл в чем?
//возможно, ответив на этот вопрос, ответим и почему не так работает?

bredonosec

Цитата:

никогда не знаешь, с кем общаешься

Ну, начинающе-продвинутый, не голдмембер ещё

Цитата:

Кста, а в чем смысл прописывания маски для блокируемого?

Угу, непонятки.. Может для того, чтобы разделить подсети? Т.е. для одной подсети правило работает, для другой - нет?

Цитата:

Т.е. для одной подсети правило работает, для другой - нет?

- Если имеешь несколько подсетей, глянь, а?
У меня пока мысль встала...
/офф/

bredonosec
На днях проверю в офисе... результаты скажу наверное только на выходных или на той неделе..

Возникла проблема с VisNetic'ом v.2.26: есть локальная сеть и VPN-сервер в ней (для подключения к инету). Запускаю VPN-соединение (созданное средствами ОС), подключаюсь, работаю - никаких проблем. Но стоит VPN соединение разорвать - перестают пинговаться все компы в сети (хотя они и доступны: например можно зайти на HTTP, FTP - серевера), в добавок к этому если заново попробовать установить VPN-соединение, то программа установки соединения наглухо виснет. Операционка Windows XP SP2 с последними апдейтами. Пробовал на разных компах с ХР - везде одно и тоже. У кого-нибудь такое встречалось?

bredonosec
Извини, что долго не появлялся.. послал личное сообщение..

Вычитал в книге В.Г.Олифер, Н.А.Олифер "Компьютерные сети" довольно полезную инфу:

5.2.4 Использование масок в IP-адресации

Традиционная схема деления IP-адреса на адрес сети и номер узла основана на понятии класса, который определяется значениями нескольких первых бит адреса. Именно потому, что первый байт адреса 185.23.44.206 попадает в диапазон 128-192, мы можем сказать, что этот адрес относится к классу B, а значит, номером сети явяются первые два байта, дополненные двумя нулевыми байтами - 185.23.00, а номером узла - 0.0.44.206.
А что, если использовать какой-либо другой признак, с помощью которого можно было бы более гибко устанавливать границу между номером сети и номером узла? В качестве такого признака сейчас получили широкое распространение маски. МАСКА - это число, которое используется в паре с IP-адресом; двоичная запись маски содержит единицы в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети. Поскольку номер сети является цельной частью адреса, единицы в маске также должны представлять непрерывную последовательность.
Для стандартных классов сетей маски имеют следующие значения:
класс А - 11111111.00000000.00000000.00000000 (255.0.0.0);
класс B - 11111111.11111111.00000000.00000000 (255.255.0.0);
класс С - 11111111.11111111.11111111.00000000 (255.255.255.0)

-----------
Примечание: для записи масок используются и другие форматы, например, удобно интерпретировать значение маски, записанной в шестнадцатиричном коде: FF.FF.00.00 - маска для адресов класса B. Часто встречается и такое обозначение 185.23.44.206/16 - эта запись говорит о том, что маска для этого адреса содержит 16 единиц или в указанном IP-адресе под номер сети отведено 16 двоичных разрядов.
-----------

Снабжая каждый IP-адрес маской, можно отказаться от понятий классов адресов и сделать более гибкой систему адресации. Например, если рассмотренный выше адрес 185.23.44.206 ассоциировать с маской 255.255.255.0, то номером сети будет 185.23.44.0 а не 185.23.0.0, как это определено системой классов.
В масках количество единиц в последовательности, определяющей границу номера сети, не обязательно должно быть кратным 8, чтобы повторять деление адреса на байты. пусть, например, для IP-адреса 129.64.134.5 указана маска 255.255.128.0, то есть в двоичном виде:
IP-адрес 129.64.134.5 - 10000001.01000000.10000110.00000101
Маска - 255.255.128.0 - 11111111.11111111.10000000.00000000
Если игнорировать маску, то в соответствии с ситемой классов адрес 129.64.134.5 относится к классу B, а значит, номером сети являются первые 2 байта - 129.64.0.0, а номером узла - 0.0.134.5.
Если же использовать для определения границы номера сети маску, то 17 последовательных единиц в маске, "наложенные" на IP-адрес, определяют в качестве номера сети в двоичном выражении число:
10000001.01000000.10000000.00000000
или в десятичной форме записи - номер сети 129.64.128.0, а номер узла 0.0.6.5
Механизм масок широко распространен в IP-маршрутизации, причём маски могут использоваться для самых разных целей. С их помощью администратор может структурировать свою сеть, не требуя от поставщиков услуг дополнительных номеров сетей. На основе этого же механизма поставщики услуг могут объединять адресные пространства нескольких сетей путем введения так называемых "префиксов" с целью уменьшения объёма таблиц маршрутизации и повышения за счёт этого производительности маршрутизаторов.

-----------------

Вот, собственно, я так понял, что в большинстве случаев маски не используются и наличествуют лишь "по-умолчанию", т.е. обычно подразумеваются стандартные маски классов А, В, С сетей. Разумеется, если мы хотим заморочаться с хитроумной маршрутизацией, то тогда маски нам станут нужны.
Поэтому по-умолчанию при создании правил Визнетик не предлагает адрес/маска, а предлагает диапазоны адресов. Очевидно исходя из диапазонов стандартных классов.
Особенно в последнем примере, где IP-адрес довольно заметно видоизменен маской, и соотв. такой адрес может неправильно быть отфильтрованным правилом Визнетика.
Т.е. использование масок в Визнетике оправдано только в том случае, если сеть также использует нестандартные маски (не соотв. классам А, В, С)

Цитата:

5.2.4 Использование масок в IP-адресации

Это я знаю

Цитата:

в большинстве случаев маски не используются и наличествуют лишь "по-умолчанию", т.е. обычно подразумеваются стандартные маски классов А, В, С сетей

Фиг знает, мне встречались по-разному настроенные. Например,
192,168,0,*/255,255,255,0,
192,168,1,*/255,255,254,0
192,168,2 или 3 или 4 при маске 255,255,0,0
еще какие-то..
не помню, упоминал ли тут, смысл маски в том, чтоб ОСь знала, куда обращаться с пакетом на выход. Если ИП адрес, полученный из днс серва (или из некоей софтины, не суть важно) находится в пределах, утсановленных маской, то идет просмотр АРП таблицы (если есть статическая), или запрос на АРП серв, если динамическая и успела устареть (минут 10-15 по моему опыту) и прямая пересылка на физический адрес интерфейса (МАС-адрес). Если данный ИП не входит в пределы, ограниченные маской - пересылка идет на маршрутизатор "дескать, пусть там разбираются, куда это добро нужно отправлять" )


Цитата:

и соотв. такой адрес может неправильно быть отфильтрованным правилом Визнетика.

- В принципе, не совсем понимаю, почему это может произойти.. Всё одно ведь непрерывная последовательность едениц двоичного кода.. Что тут можно неправильно...
Впрочем, оставлю этот момент авторам самой проги, я не настолько компетентен, чтоб за них говорить ))

Вариант имеет право на жизнь. ))

Цитата:

Использование масок

и прочие мелочи - http://linux.irtel.ru/HOWTO/IP-Subnetworking-HOWTO.html (кратко)

подскажите пожалуйста, как настроить фаер оставив только возможность блокировки по маку, а остальное чтобы разрешалось всё, сейчас вроде тоже разрешается, но он блокирует ни с того ни с сего компы, причём никаких криминальных действий нет, вот выдержки из лога:

Код: HTTP URL has high-bit characters: 'GET /webstats/images/themes/psweb/hitbox.swf?wname=%D1%C3552&head=30&leftarm=107&rightarm=35&chest=35&stomach=35&leftleg=40&rightleg=46 HTTP/1.1'

front242
В данном случае у тебя идет блокировка/бан по HTTP фильтрам. Либо поменяй правила на фильтрах (Filtering -> Edit HTTP Filters...), либо задай исключаемые IP адреса (Filtering -> Exemtions...), либо совсем отключи (Filtering -> Disable filtering).

Цитата:

Blocked TCP packet from banned IP, src=172.2.2.2, dst=10.0.2.2, sport=2076, dport=80 (в бан никого не заносили естественно)

Но банлист проверить можно - вдруг сам влез (например, по параметру "сканирование" - 3 последовательных порта за сколько-то секунд запросил, или еще по чему.)

Цитата:

либо совсем отключи (Filtering -> Disable filtering).

Тогда маки также проходят. Это просто тупое отключение стены (зачем вообще тогда её иметь?)

Цитата:

Это просто тупое отключение стены

Это отключение только http фильтров

Цитата:

Using VisNetic Firewall’s HTTP Filtering, you can prevent intrusion attempts targeted at your web server by screening requests and automatically banning the offender’s IP address, preventing further access. While HTTP filtering will work to protect all web servers, it has been tailored for IIS servers and the hack attempts that have been targeted at them.

да, действительно ошибся. Спутал с
Network adapter-configuration-Filter/Allow all traffic/block all traffic

VisNetic Firewall 2.3

Цитата:

Changes:
- New icons have been added for the system tray to display the current state of the firewall. This will help remind the admin if they leave the firewall state to Allow All or Block All.
- Added "One Address" option for all IP address entry fields.
- Numerous updates to the status bar; now shows current state of the firewall, log sort order, state of remote admin connection, updates to the Tarpit and Ban sections.
- New right-click menu option in Ban List window to reset "Attempts Count".
- Update to the Maximum URL length in the HTTP Filters - new possible maximum length is 4095 characters.
- Log view sorting now uses the registry to keep track of sorting directions.
- When viewing the Connections window, status bar will now show the number of Established connections.

Bug Fixes:
- Fix to HTTP Filtering not working correctly for POST data with multipart forms.
- Fix to Remote Admin Tool corrupting the profile for the remote entry if the user logged out before exiting.
- Fix to Remote Admin Tool not displaying log entries.
- Fix to rules being lost when the firewall is not shut down normally.
- Updates to memory allocation routines for the HTTP Filtering driver.
- Fix to problem with rule saving when a password is set.
- Fix to problem with Stateful Inspection when VisNetic Firewall is running behind a PIX firewall.

http://ftp.deerfield.com/pub/current/vfsetup.exe
ftp://ftp1.deerfield.com/pub/current/vfsetup.exe

у меня в версии 2.2.6 (зареганой) в меню rules не активны почти все подпункты, из-за чего никак не могу работать с правилами.. (
в чем может быть трабл, скажите плииз?
и еще, как используется Remote Administration ?

спасибо с правилами разобрался!
а вот в ремоуте.. (стоит вер. 2.2.6), меню filtering в нем нету, соответственно невозможно настраивать удаленно..

Или тоже самое 8Signs Firewall
f_p://candc1.golden.net/8Sign/FwSetup230.exe
h__p://www.serials.ws/all/?l=1&pn=3
h__p://crackdb.org/index.php?c=1&l=0&p=2

Кто-нить подскажет, в чем основная функция Tarpit при создании правила блокировки?
И еще где можно найти хоть гкакое-нить описание всех встроенных правил, которые по умолчанию блокируют трафик.