» Jetico Personal Firewall

я из атак пока только Starts Hidden безусловно разрешил - самые частые гости, и вероятно, самые безобидные

остальные атаки пока контролирую - поглядим дальше - может и ещё что биз атак безусловно разрешу

может и system-wide hook не очень вероятная причина проникновения? кто что думает на эту тему?

Цитата:

Цитата: Цитата:Правда я упростил себе жизнь - проверки на доступ к сети (я так понимаю, это вызов WSASturtup) и защита процессов отключены, совсем не смертельно

Весь в меня.
А ведь в этом вся его и соль...

dinoz

Цитата:

Защита процессов - ну скажем так, дополнительная функция, файерволлу не свойственная

Моими мыслями глаголишь.
А то некоторые перестраховщики тут мне "долго и нудно" объясняли что "без контроля процессов, сразу хана наступает", "и мама сказать не успеешь".
Вот и сижу теперь, думаю... "как же это бедные сервера живут, без контроля-то процессов"...

AnexeR

Цитата:

"как же это бедные сервера живут, без контроля-то процессов"..

На серверах не запускается каждый день новые программы, среди которых может оказаться троян. Тебе послать троянчик, который создаст удаленный поток в твоем браузере по умолчанию и отправит мне на сайт методом POST интересующую меня инфу ?
А джетика, да и любой другой фаер с отключенным контролем процессов, спокойно промолчит ?
dinoz

Цитата:

Защита процессов - ну скажем так, дополнительная функция, файерволлу не свойственная

А чем тогда защищать систему от вышеописанного примера ? Как раз функция, нужная именно в персональном фаере. И не нужная в корпоративном.
rs

Цитата:

может и system-wide hook не очень вероятная причина проникновения?

Через установку глобального хука (SetWindowsHookEx) можно загрузить нехорошую dll в адресное пространство дефолтового почтового клиента или браузера и отправлять все, что захочешь. Отключение контроля хуков чревато в общем.

ЗЫ: Не надо только флеймить про параною и подобное. У ArtLonger'a и многих других (не помню, топик лень смотреть) и у меня в том числе джетика пашет практически тихо и молча, не досаждая вопросами и предупреждениями. При этом опции контроля включены все или практически все. Откуда у тех, кто жалуется на то, что все время что-то спрашивает и т.д., берутся эти окна с предложением создать правила - просто не понимаю. Настроенная джетика работает молча. Только после запуска новых программ предлагает создать правило. Создаешь его - и все. Тишина

Добавлено:
dinoz

Цитата:

Правда я упростил себе жизнь - проверки на доступ к сети (я так понимаю, это вызов WSASturtup)

Не совсем. Тут уже говорили, что это также попытка запуска приложения, у которого есть какие-либо правила, связанные с сетевой активностью.

NightHorror

Цитата:

Настроенная джетика работает молча. Только после запуска новых программ предлагает создать правило.

Это правда...
И уточняю, что именно ОКОНЧАТЕЛЬНО настроенная...
Как жаль, что ничего абсолютного и окончательного в нашем относительном изменчивом мире не существует.


Цитата:

Тебе послать троянчик, который создаст удаленный поток в твоем браузере по умолчанию и отправит мне на сайт методом POST интересующую меня инфу ?

Выложи где-нибудь, если несложно.
Заранее благодарю.

NightHorror

Цитата:

Через установку глобального хука (SetWindowsHookEx) можно загрузить нехорошую dll в адресное пространство дефолтового почтового клиента или браузера и отправлять все, что захочешь. Отключение контроля хуков чревато в общем

да, наверное всё же не стОит отрубать этот контроль



Цитата:

ки тихо и молча, не досаждая вопросами и предупреждениями. При этом опции контроля включены все или практически все. Откуда у тех, кто жалуется на то, что все время что-то спрашивает и т.д., берутся эти окна с предложением создать правила - просто не понимаю.

ясно откуда - стянул с сети загогулину какую-нибудь новую - вот оно и пробуждает джетику

сейчас бОльшая часть софта уже при установке норовит хуки сотворить... о скрытых окнах уж и молчим вовсе


редко у кого бывает необновляемый набор софта


--

а по поводу того, что о второй версии джетики не слышно... я тут пораскинул немного... виста выходит с кардинально иной системой безопасности... похоже то, что сейчас делает большинство фаеровлов и антивирусов будет практически не нужно... вот и выжидают в джетике - стоит ли корячиться...

AnexeR

Цитата:

И уточняю, что именно ОКОНЧАТЕЛЬНО настроенная...
Как жаль, что ничего абсолютного и окончательного в нашем относительном изменчивом мире не существует.

Ну это да Всегда что-то ставится новое... И создаются новые правила под это новое.


Цитата:

Выложи где-нибудь, если несложно.

Собственно, подобную активность эмулирует тест Thermite (http://www.firewallleaktester.com/leaktest8.htm, создание удаленного потока). Также интересен CopyCat (http://www.firewallleaktester.com/leaktest8.htm, запись кода в чужой процесс и изменение контекста потока для передачи управления внедренному коду). Оба ловятся при включенном контроле процессов.

dinoz

Люди. Прошу вас объясните пожалуйста.
Мне нужно отключить постоянные запросы на доступ к сети для приложений. Так как это сделали некоторые. Мне не нравится что оно спрашивает постоянно, а если запретишь, то блокирует доступ для связанных приложений.
Мне это необходимо. И это единственное с чем я не разобрался.

Den_Klimov
Первым правилом в приложениях делаешь общий доступ к сети:
событие - доступ к сети
действие - принять
протокол - все
запись в лог - отключено

rs

Цитата:

редко у кого бывает необновляемый набор софта

Редко у кого бывает обновляемый софт всегда совершенно разных типов. В базе это браузер, ftp, почта. А имея формализованные таблицы, новые программы настраиваются на раз...

ArtLonger

Цитата:

Редко у кого бывает обновляемый софт всегда совершенно разных типов. В базе это браузер, ftp, почта. А имея формализованные таблицы, новые программы настраиваются на раз...

Лукавишь друг. Ты прекрасно понял об чём речь.
И ты прекрасно знаешь что на этом зачастую ничего не заканчивается.
Тут же начнут выскакивать всякие окошки вроде Пунто и т.д. и т.п... у меня про парочку подобных программ ещё как минимум спросит...
А потом ещё на пару спросит какая-то совсем уж левая софтинка вроде АкробатРидера про доступ к сеть... И не дай бог запретишь! Сразу ж окажется что твоя новая "супер-пупер мега программа" в сеть не выходит и ты судорожно пытаешься найти чего надо взад разрешить...
Поверь именно такие впечатления возникнут у рядового юзвера после установки новой софтинки... И это в то время, когда ему показалось что "он уже настроил Jetico".
Вот так и разбиваются мечты!

А лично мне Jetico нравится... Очень!
Вот только всё лишнее поотключать...

AnexeR
Конечно понял. Чел говорит о ненастроенной стенке, а я - о настроенной. И ты понял, о чём я, так что не надо язвить

Цитата:

у меня про парочку подобных программ ещё как минимум спросит...

Цитата:

... и ты судорожно пытаешься найти чего надо ...

А у меня почему-то не спрашивает. Я доступ к сети разрешил всем, и давно уже ничего судорожно не ищу. Неужели я допустил смертельную ошибку???

Джетико мне нравится тем, что позволяет выставить уровень защиты от паранойи до полного пофигизма. А простые юзвери пусть почитают шапку и пользуют АнтиХакер.

ArtLonger

Цитата:

Конечно понял. Чел говорит о ненастроенной стенке, а я - о настроенной. И ты понял, о чём я, так что не надо язвить

Больше не буду. Извини.


Цитата:

Джетико мне нравится тем, что позволяет выставить уровень защиты от паранойи до полного пофигизма. А простые юзвери пусть почитают шапку и пользуют АнтиХакер.

Не могу понять.
Как задать диапазон адресов в правиле?

И ещё, почему для System у меня просит входящие соединения в диапазоне адресов 82.207.*.* на локальный порт 445? И ещё svhost.exe иногда на 135 порт?

1.Контроль процессов - функция хорошая, но не необходимая. ИМХО. Здравый смысл помогает обходить опасные случаи, а внедрение через функции ядра, например, он все равно не отловит. На МАСМ.ру есть пример.
А поскольку Джетико не понимает когда файл просто обновился, этот "фичер" прилично достает, ведь пол-системы через ТСР работает.
Надо просто оценить риск и выбрать уровень неудобства.

2."Доступ к сети" это и есть вызов WSASturtup, после чего можно открывать порты, соединяться и т.д. Сама по себе функция ничего не делает, но без нее ни одна другая функция связанная с сокетами работать не будет. Ничего не потеряешь, если разрешишь доступ, а все остальное заблокируешь. А вот программе может быть и не все равно, далеко не все писатели проверяют правильно ли все инициализировано.


Добавлено:
Den_Klimov

Цитата:

Как задать диапазон адресов в правиле?

Выбрать не "single port", а "port range"

dinoz

Имел в виду диапазон адресов, а не портов.

Помогите. У меня вообще сложная ситуация...
Два сетевых интерфейса. Один ведёт в небольшую локальную сеть. Другой к ADSL-модему.

Так и не смог пройти через Jetico, при "Оптимальном" режиме. Только в "разрешить всё".

Для System у меня просит входящие соединения, как правило в диапазоне адресов 82.207.*.* на локальный порт 445. А для svhost.exe входящие на 135 порт.

В доверенной зоне (settings.xml) у меня среди прочего задано было такое по умолчанию - 82.207.123.27/32. Я дополнительно задал 82.207.0.0/16.

Не помогло. Приложения не выходят в сеть. Хотя просьбы доступа на 445 и 135 порты с диапазона 82.207.*.* прекратились, но идут с других адресов (реже).

Ещё стоит прокси - четвёртый WinRout для кеширования.

dinoz

Цитата:

Доступ к сети" это и есть вызов WSASturtup,

Я и не говорил, что это не так. Цитирую

Цитата:

Тут уже говорили, что это также попытка запуска приложения, у которого есть какие-либо правила, связанные с сетевой активностью.

Т.е. если ты запускаешь прогу, не использующую сетевые функции, но которая в свою очередь запустит приложение работающее с сетью, то для этой проги также будет выдан запрос на сетевую активность.

Цитата:

Ничего не потеряешь, если разрешишь доступ, а все остальное заблокируешь.

Не совсем ничего не потеряешь. Если разрешишь всем приложениям доступ в сеть, то начинает проходить один из тестов wallbreaker'a, а именно вызов эксплорера по связке
троян -> cmd.exe -> iexplorer.exe. Заместо iexplorer.exe подставь свой дефолтовый браузер.
ЗЫ: а вообще все это параноя Все фаеры и контроли процессов помогают только от типичных/классических троянов т.к. способов обхода немало в общем -то найдено/придумано.

Den_Klimov

Цитата:

Имел в виду диапазон адресов, а не портов.

Сорри, не понял. Такого нет в нем, только сеть/маска, если я помню правильно.

Цитата:

Два сетевых интерфейса. Один ведёт в небольшую локальную сеть. Другой к ADSL-модему

Обычно три: с модемом, например 10.0.0/8, локалка, например 192.168/16 и VPN с провайдером х.х.х.х/32. Что такое 82.207.123.27? Внешний ИП? Статический ли динамический?
Можно разрешить все для сети с модемом.
Что значит "не выходят"? Есть пинг по ИП наружу и на модем?
А из локалки наружу? Надо посмотреть как шаринг работает. Сайгейт например видит ICS драйвер (ipnat.sys) и можно настроить для него правила.
Не режется ли бродкаст 255.255.255.255?

Цитата:

В доверенной зоне (settings.xml) у меня среди прочего задано было такое по умолчанию - 82.207.123.27/32. Я дополнительно задал 82.207.0.0/16.

Кстати, в файл конфигурации можно добавлять свои группы, тогда они появляются в списке.
А вообще включи логи и посмотри, чего где режется.

NightHorror

Цитата:

Не совсем ничего не потеряешь. Если разрешишь всем приложениям доступ в сеть, то начинает проходить один из тестов wallbreaker'a, а именно вызов эксплорера по связке
троян -> cmd.exe -> iexplorer.exe.

Наверное, ты прав.

dinoz

Цитата:

Сорри, не понял. Такого нет в нем, только сеть/маска, если я помню правильно

Это и хотел.
Спасибо, нашёл.


Цитата:

Обычно три: с модемом, например 10.0.0/8, локалка, например 192.168/16 и VPN с провайдером х.х.х.х/32. Что такое 82.207.123.27? Внешний ИП? Статический ли динамический?
Можно разрешить все для сети с модемом.
Что значит "не выходят"? Есть пинг по ИП наружу и на модем?
А из локалки наружу? Надо посмотреть как шаринг работает. Сайгейт например видит ICS драйвер (ipnat.sys) и можно настроить для него правила.
Не режется ли бродкаст 255.255.255.255?

И как можно разрешить "все для сети с модемом"?
Не знаю...
А из локалки у меня всегда только через прокси (WinRout четвёртый) можно было. Прямого доступа я никогда не давал.
Не знаю режется или нет. Не знаю как проверить...

В файле settings.xml в Trusted Zone находится следующее:
"127.0.0.1"
"192.168.1.0/24"
"127.0.0.0/8"
"82.207.123.27/32"
"82.207.0.0/16"
"82.207.57.99/32"

"82.207.0.0/16" долбавил сам через мастер конфигурации. Остальное определилось по умолчанию.
"82.207.57.99/32" определилось при перезагрузке машины (судя по всему). Вчера такого не было.

Обнаружил, что хотя у меня "82.207.57.99/32" находится в Trusted Zone, но тем не менее в логах JPF вижу что все пакеты с адреса 82.207.57.99 отклоняются. Почему? А ведь эти пакеты появляются сразу как я начинаю долбиться в сеть любой разрешенной программой.
Пример лога:
02.03.2006 12:57:11.140    отклонить    Block All not Processed IP Packets    48    TCP    исходящий пакет    82.207.57.99    217.73.199.91    45028    80    TTL: 128; TOS: 0; ID: F12F; TCP flags: SYN ; TCP Seq: F7915741    
Дело в этом? И что надо сделать?

Машина WinXP Pro SP2 Rus.
На машине такие сетевые соединения, по группам (приведены оригинальные названия групп):

"ЛВС или высокоскоростной интернет"
1. Первая сетевая карточка/соединение - это выход в локальную сеть:
Заданное IP - 192.168.1.7/255.255.255.0 (это вроде как /24 да?)
Кстати, в сети несколько машин со статическими чётко заданными IP.
2. Вторая карточка/соединение - это доступ через сетевой интерфейс к ADSL-модему:
Заданное IP - 192.168.1.12/255.255.255.0

"Высокоскоростное"
1. Соединение самого ADSL-модема:
Тип подключения: "Протокол точка-точка по Ethernet (PPPoE)"
IP-адрес получает автоматически.
(Доп.инфа: знаю, что зашитый в модем IP - 192.168.1.1. Мне пришлось из-за этого отказаться от использования IP 192.168.1.1)

"Удалённый доступ"
1. Обычное диал-ап соединение через обычный внешний COM-модем.
(Старое соединение. Уже не используется.)


Цитата:

Кстати, в файл конфигурации можно добавлять свои группы, тогда они появляются в списке.
А вообще включи логи и посмотри, чего где режется.

Это как "добавлять группы в файл конфингурации"? Ты имеешь в виду не через мастер конфигурации, а как-то иначе?
И какие именно логи нужно включить? Все?
И как включить все? И зачем?

Den_Klimov
1)файл settings.xml можно редактировать вручную, и определить еще зоны.
2)82.х.х.27 и 82.х.х.99 тебе дает провайдер, нет смысла их заносить в конфигурацию, они же меняются.
строка 1 - частный случай 3-ей, а 4 и 6 - 5-ой
3)В таблице Protocols table разреши PPPoE, или чего у тебя там.
4)Логи легко делаются - поле Log level, можно включить у правил, которые делают reject, а можно создать отдельное, только для лога с действием continue.
5)А как модем подключается? Через USB?
6)Не уверен, что давать интерфейсам адреса из одной подсети - хорошая идея. Можно сделать, например, 192.168.0.0/24 и 192.168.1.0/24. А может, и ничего. В любом случае, ты должен различать их. Например отнести их к разным зонам, 192.168.1.1/32 и 192.168.1.0/24 и обрабатывать их в нужном порядке.
7)Разные конфигурации с АДСЛ модемом
http://www.petri.co.il/adsl_home_network_config.htm

Добавлено:
Application table и Protocols table (и как частный случай - System IP table) это разные уровни в системе. Чтобы все работало, оба уровня для конкретных: адреса, порта и программы должны разрешить траффик.

Заметил, что у меня при выключении компа не выгружается Jetico. Системе приходиться насильно его убивать.
Кто-нибудь ещё замечал? И как с этим бороться?

dinoz
Большое спасибо, что помогаешь. Больше никто даже не отозвался...
Надеюсь что поможешь до конца. Буду очень благодарен.


Цитата:

1)файл settings.xml можно редактировать вручную, и определить еще зоны.

В текстовом редакторе?
А смысл... Можно же через мастер задать.


Цитата:

2)82.х.х.27 и 82.х.х.99 тебе дает провайдер, нет смысла их заносить в конфигурацию, они же меняются.
строка 1 - частный случай 3-ей, а 4 и 6 - 5-ой

Это-то я вроде понял... Но я не удалял то что мне автоматом поставило (не мешает). Только добавил "82.207.0.0/16".
И вот тут-то мне и непонятно! Вроде всё разрешил в диапазоне 82.207.*.* а всё равно с этих адресов блокирует!


Цитата:

3)В таблице Protocols table разреши PPPoE, или чего у тебя там.

Спасибо за совет.
Нашёл PPPoE даже в двух вариантах. Разрешил оба!
Не помогло. Пакеты с 82.207.*.* по прежнему блокируются.
Что делать?


Цитата:

5)А как модем подключается? Через USB?

Вроде ж писал.
ADSL-модем через сетевую карту.
Диалаповский COM-модем через COM, соответственно.

6)Не уверен, что давать интерфейсам адреса из одной подсети - хорошая идея. Можно сделать, например, 192.168.0.0/24 и 192.168.1.0/24. А может, и ничего. В любом случае, ты должен различать их. Например отнести их к разным зонам, 192.168.1.1/32 и 192.168.1.0/24 и обрабатывать их в нужном порядке.

Ты прав. Я и сам об этом думал.
Только дай мне пожалуйста расшифровку всех масок /32 /24 /16 /8. Я ещё в кратком их написании не до конца разобрался. Точнее, вроде и разобрался (логически), но просто не до конца уверен...


Цитата:

7)Разные конфигурации с АДСЛ модемом
http://www.petri.co.il/adsl_home_network_config.htm

Небось всё не английском?
Я бы посмотрел, но не могу туда зайти. Страницы не сущестывует уже.

Den_Klimov

Цитата:

В текстовом редакторе?
А смысл... Можно же через мастер задать

Через мастер можно только добавять/убирать адреса в трастед и блокед зоны. В файле можно добавлять зоны. Чуствуешь разницу?

Цитата:

ADSL-модем через сетевую карту.

Тогда должно быть 3 интерфейса. По одному на каждую сетевую карту и VPN.
Можешь подробнее описАть?

Цитата:

Я бы посмотрел, но не могу туда зайти. Страницы не сущестывует уже.

Существует, там вообще много интересного.

У тебя Stateful TCP Inspection не выключен случайно?
http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=40
Почитай тут сообщения crypt77

Добавлено:

Цитата:

Небось всё не английском?

На английском и на иврите


Добавлено:

Цитата:

Только дай мне пожалуйста расшифровку всех масок /32 /24 /16 /8.

Это означает количество единичных бит слева:
х.х.х.х/24 = 11111111.11111111.11111111.00000000 = 255.255.255.0

Провёл следующий эксперимент.
В корне System IP Table первым самым первым я поместил "правило IP-протокол" где на "целевой адрес" 82.207.57.99, любое событие, любой протокол и любой адрес источника, я задал "Принять".

Напомню, 82.207.57.99 - это тот IP, который в данный момент, насколько я понимаю, даёт мне провайдер, ), и напомню, что этот IP уже присутствует в файле settings.xml в Trusted Zone... (но доступа тем не менее нет)

Самое смешное, что теперь у меня всё работает. Программы стали "в интернет ходить/качать".

И что мне делать теперь с этим правилом? Я создал его интуитивно, но не уверен, что "это именно то что нужно".
Я хочу сказать, что создал правило интуитивно, и не совсем понимаю "почему всё работает теперь и не работало раньше"!
Порядок правил имеет значение. Правильно ли я сделал что поместил его в корень таблицы и вообще создал?

То ли я совсем отупел то ли трёхдневное недосыпание сказывается, но боюсь "всё, приехали". Я и так не разобрался пока в структуре правил (только с правилами приложений всё понятно), а тут ещё такие непонятки...

У тебя Stateful TCP Inspection не выключен случайно?
http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=40
Почитай тут сообщения crypt77

dinoz

Цитата:

Через мастер можно только добавять/убирать адреса в трастед и блокед зоны. В файле можно добавлять зоны. Чуствуешь разницу?

Чувствую. Но кому это может понадобиться...


Цитата:

Тогда должно быть 3 интерфейса. По одному на каждую сетевую карту и VPN.
Можешь подробнее описАть?

Но я же уже написал (смотри выше). Цитата:

Цитата:

Машина WinXP Pro SP2 Rus.
На машине такие сетевые соединения, по группам (приведены оригинальные названия групп):

"ЛВС или высокоскоростной интернет"
1. Первая сетевая карточка/соединение - это выход в локальную сеть:
Заданное IP - 192.168.1.7/255.255.255.0 (это вроде как /24 да?)
Кстати, в сети несколько машин со статическими чётко заданными IP.
2. Вторая карточка/соединение - это доступ через сетевой интерфейс к ADSL-модему:
Заданное IP - 192.168.1.12/255.255.255.0

"Высокоскоростное"
1. Соединение самого ADSL-модема:
Тип подключения: "Протокол точка-точка по Ethernet (PPPoE)"
IP-адрес получает автоматически.
(Доп.инфа: знаю, что зашитый в модем IP - 192.168.1.1. Мне пришлось из-за этого отказаться от использования IP 192.168.1.1)

Цитата:

Существует, там вообще много интересного.

Ты прав, существует. Она каким-то образом в чёрном списке моего прокси оказалась.


Цитата:

У тебя Stateful TCP Inspection не выключен случайно?

Проверил. Стоит действие - "Принято".


Цитата:

Это означает количество единичных бит слева:
х.х.х.х/24 = 11111111.11111111.11111111.00000000 = 255.255.255.0

Хитро. Но теперь понятно.
Так и знал, что с двоичной системой как-то связано.

Добавлено:
И среди прочего. Если несложно, объясни пожалуйста по поводу правила 82.207.57.99 которое я создал.
Сам то ли совсем запутался, то ли ничего не соображаю уже...

Den_Klimov

Цитата:

Чувствую. Но кому это может понадобиться...

Например:
192.168.1.0/24 - один сегмент локалки
192.168.2.0/24 - другой сегмент
разные зоны, вообще-то

Разберись с IP table, у тебя отклоняются TCP пакеты, скорее всего. Включи лог сразу за Stateful TCP Inspection.
Попробуй убрать галку "Protocol specific->Stateful Inspection" внутри этого правила.



Добавлено:
Что написано в Protocols table, в System IP table, и кто из них раньше?

Посмотрел через лампочки как идёт трафик по правилам.
На первый взгляд всё верно. В том плане, что я создал правило протокола на любое событие для протокола PPPoE session (напротив него лампочка загорается). А вот напротив ещё одного правила "PPPoE discovery" не загорается. Но как показал простой эксперимент. Ни фига это не даёт на самом деле.

Если эти правила убрать, то ни фига не меняется. Всё равно всё доступно.
Главное моё IP-правило 82.207.57.99

Цитата:

В корне System IP Table первым самым первым я поместил "правило IP-протокол" где на "целевой адрес" 82.207.57.99, любое событие, любой протокол и любой адрес источника, я задал "Принять".

С ним работает. Но всё равно ни фига не понимаю...

Еще раз: перед дефолтным правилом в System IP Table помести правило-лог (action=continue) и посмотри почему записанные пакеты отклонились предыдущими правилами.

dinoz

отклонить    Block All not Processed IP Packets    48    TCP    исходящий пакет    82.207.125.64    69.64.46.164    45058    80    TTL: 128; TOS: 0; ID: 9C35; TCP flags: SYN ; TCP Seq: 6D3873A5    

Кстати на уровне приложений у меня всё прозрачно.

Попробуй
1.убрать галки "Protocol specific->Stateful Inspection" внутри правил Stateful TCP Inspection и Stateful UDP Inspection.
2.Отключить правила с reject в таблице System Internet Zone. Что написано в этой таблице?

Сейчас уменя так.
Создал два правила в System Internet Zone одно на исходящие, другое такое же на входящие. Для работы с диапазоном постоянно меняющихся IP провайдера (82.207.*.*):

"правило IP-протокол" где на "целевой адрес" 82.207.0.0/16, любое событие, любой протокол и любой адрес источника, задал "Принять".

и

"правило IP-протокол" где на "адрес источника" 82.207.0.0/16, любое событие, любой протокол и любой целевой адрес, задал "Принять".

Так всё работает на ура, программы работают в инете. Но когда 82.207.0.0/16 я ставил в файле settings.xml в Trusted Zone, то это ни на что не влияло.

Так и не понимаю в чём дело. Может всё-таки кто-нибудь объяснит.

Добавлено:
dinoz
Щас попробую.
Кстати у меня русификатор стоит.