» Jetico Personal Firewall

ArtLonger

Цитата:

На меня Silencer не произвёл впечатления некомпетентного человека

буду только рад если я ошибаюсь....

Цитата:

Да, но прошлогоднюю бету.

я бы не стал давать чему-либо оценку сейчас основываясь на опыте годичной давности, да ещё и на этапе тестирования....

crypt77
Просто умоляю!
http://www.fossa.ru/FV/forum/index.php?f_id=1115929838&sf_id=0
Разбор полётов может быть крайне интересным...

ArtLonger
Welcome сюда

Jetico Personal Firewall 1.0.1.60
http://www.jetico.com/jpfwall.exe

Цитата:

Minor user interface enhancements

Что то переделали ?

Minoz
На офсайте.

Цитата:

v. 1.0.1.60 Freeware, 23rd June, 2005.
Problem of compatibility with PC-cillin Internet Security software solved. Minor user interface enhancements.

В порядке оффтопика... Поискал в гугле кто такой OIDS: единственный релевантный ответ указывал на компутерра.ру. Даже не знаю, как его теперь назвать - источником информации или дезинформации

Русификатор 1.0.1.60 в шапке.

Karlsberg

Цитата:

Поискал в гугле кто такой OIDS

А это к чему ?

ArtLonger
К вопросам и ответам по файеру на соседнем форуме. Твоя беседа с Сайленсером

Цитата:

6. IDS - Intrusion Detection Systems (системы обнаружения атак) бывают:
NIDS - Network Intrusion Detection Systems
GrIDS - Graph-Based Intrusion Detection System
OIDS - Operational Intrusion Detection Systems
ERIDS - External Routing Intrusion Detection System
Это самые распостранённые, а существуют ещё около 90 IDS. Подробней напишу в своём разделе.

Karlsberg
A-a-a...

Кстати, написание удалённого адреса в виде ! any - о чём говорит восклицательный знак?

ArtLonger
логическое "отрицание" - "не любой" что ли!?

greenfox
Всё, понял. При правке (ещё при "host") оказался включён крыжик "Обратное соответствие". А когда выбрано "any", то его не видно. Вот и получил "! any" без малейших признаков этой функции в правиле...

Привет.
Недавно начал пользоваться данным фаерволом.
Со многим разобрался.
Но не очень разобрался как закрывать открытые порты (точнее сделал, но не знаю правильно это или нет).

Если не сложно, покажите как скрыть порты.
К примеру на самых опасных : TCP 135 порт и UDP 445 порт.

Заранее Спасибо.

popka00
Надёжнее не закрывать опасные, а открывать нужные и блокировать все остальные.
К примеру для браузера можно открыть порт 80, а снизу подпереть правилом "Блокировать всё":

Действие: принять
Протокол: TCP/IP
Событие: исходящее соединение
Локальный адрес: все
Локальный порт: 1024:5000
Удалённый адрес: все
Удалённый порт: 80

Но вообще там вполне вменяемые заготовки. Подправь их для своей системы и будет неплохо.

Можно ли добиться, чтобы Jetico сохранял отчёты для каждого пользователя отдельно?
При указании каталога в Options->Log->Log Folder написать системные переменные не удалось, при попытке изменить тип соответствующего параметра с REG_SZ на REG_EXPAND_SZ и прописать там перестаёт обращать внимания на этот ключ, так же как и при переносе в HKCU.
Заранее Спасибо.

Текущая версия: 1.0.1.61
http://www.jetico.com/jpfwall.exe

19th July, 2005.
Occasional problem of unloading firewall user interface module at shutdown time in Windows NT 4.0 is fixed.

Хороший файервол, слов нет. Но как может быть увязана сетевая активность связки TheBat+Spampal и Strong Disk я так и не понял. Запретил для SD доступ в сеть и у меня полностью заткнулся мейлер. Spampal сообщает, что порт 110 занят другим приложением и отказывается работать. Попробовал посмотреть порты с помощью APS (http://z-oleg.com/secur/aps.htm) -- сообщает, что все порты (TCP&UDP) используются другим приложением. Достаточно было разрешить доступ в сеть для SD и все открылось и заработало. Какая может быть связь?
Исходя из случившегося напрашивается вывод, что доступ в сеть нужно разрешать всему, а это как-то... нехорошо.

Bigor
Видать Strong Disk является родительским процессом для Бата и Спампала. Это что-то по защите информации? Тогда придётся его разрешить, чтобы его детки нормально работали.

Вообще-то Strong Disk, IMHO, никак не связан с мейлерами, во всяком случае на первый взгляд Это программа для создания зашифрованных дисков, аналог BestCrypt.
Как-то странно устанавливается Jetico PFW: имеются два совершенно одинаковых ноутбука, IBM Thinkpad T41, работающих под WinXP Pro; на даже набор софта один и тот же -- один рабочий, другой -- домашний. Сегодня переустанавливал новую версию FW на обоих. На рабочем FW практически ничего не сообщал о
"Suspicious process activity attacker writes to application's memory C:\Program Files\Network Associates\VirusScan\Mcshield.exe C:\WINDOWS\system32\TpKmpSVC.exe"
"Suspicious process activity attacker injects own code into application C:\Program Files\Network Associates\VirusScan\Mcshield.exe C:\WINDOWS\system32\TpKmpSVC.exe"
и т.п., на другом же такие сообщения были для каждого запускаемого процесса.

Bigor
Вообще-то Strong Disk, IMHO, никак не связан с мейлерами, во всяком случае на первый взгляд
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11193&start=80#lt

Цитата:

Постараюсь немного прояснить про "acess to network".
Cобытие "acess to network" проверяется иерархически. т.е. если какое либоо приложение собирается идти в сеть, то "acess to network" проверяется не только для него, но и для всех его родителей. Так же в список родителей приложения попадают все те приложения которые внедряют в него свои DLL (информация от Jetico).
(c) crypt77

Согласен с Bigor мне тоже не нравиться как access to network работает.
Чтобы лишнее не писать у меня в Process Attack Table всем allow.
Я уже здесь писал, что когда на ранних версиях я всем приложениям access to network разрешал (пытался как чисто файер по протоколам работать заставить, правила там прописывал и т.д.), так он и без этих правил всем приложениям гулять в интертере разрешал . может баг был, а может и до сих пор есть.

justass
Ну вот у моего корпоративного провайдера аппаратная стенка стоит, и поэтому на работе я access to network тоже всем разрешаю (лень-матушка). Однако что-то не замечал, чтобы в обход Джетики хоть кто-то в сеть вылез...
"Может что-то в консерватории поправить?" (с) Жванецкий

ArtLonger
По поводу Strong disk, который может (?) внедрять свои библиотеки в почтовые программы я ничего добавить не могу, разрешил я ему access to network и ладно.
Вопрос следующий возник: что это у меня svchost просится с выходным коннектом на адреса какие-то левые, типа a757.akira.microsoftupdate.com:80 и т.п. (за точность приведенного адреса не ручаюсь, но выглядят они приблизительно так)?

justass

Я бы не стал по умолчанию для всех процессов прописывать "Process Attack Table всем allow"

ЗЫ: как вставлять в ответ ник респондента, выделенный жирным шрифтом? Броузер -- Opera.

Цитата:

"Process Attack Table всем allow"

Лично меня постоянно напрягала эта надпись... Разрешишь - а зачем этой проге это надо, или вдруг там какой нить вирус Не разрешишь - вдруг прога работать не станет, или глючить начнет... И так почти для каждой проги.....

Bigor,

Цитата:

svchost просится с выходным коннектом на адреса какие-то левые, типа a757.akira.microsoftupdate.com:80

видать за обновлениями лезет

los2
Точно, троянцев обновлять

Bigor

Цитата:

ЗЫ: как вставлять в ответ ник респондента, выделенный жирным шрифтом? Броузер -- Opera.

Включить жабаскрипт и ткнуть мышой в ник, или см. коды

У меня только hidden window и system-wide hook - allow для всех, а других правил при моем наборе софта не появляется.
Еще не нравится - что поставил весь софт, месяц не обновляешь, ничего не меняешь, а все равно какие-то новые правила всегда вылезут (например совпала периодическая проверка почты с каким-то системным процессом которй выполняется может секунду раз в день - пиши ему свое правило ).

ArtLonger
там ip 207.46.0.0,а названия бывают и такие

Цитата:

типа a757.akira.microsoftupdate.com:80 и т.п. (за точность приведенного адреса не ручаюсь, но выглядят они приблизительно так)?

los2
У меня SUS . Но a757.akira почему-то доверия никакого нет, надо на IP смотреть.