» Jetico Personal Firewall

Цитата:

Так всё работает на ура, программы работают в инете. Но когда 82.207.0.0/16 я ставил в файле settings.xml в Trusted Zone, то это ни на что не влияло.

Можешь вместо "хост" выбрать "Trasted zone" тогда будет влиять.
Доверенная зона работает как раз наоборот: входящие из нее и исходящие в нее - считаются "хорошими"


Добавлено:
Кстати, можно выбрать local address и тогда будет всегда использоваться актуальный адрес.

dinoz

Цитата:

Можешь вместо "хост" выбрать "Trasted zone" тогда будет влиять.

Где выбрать?


Цитата:

Доверенная зона работает как раз наоборот: входящие из нее и исходящие в нее - считаются "хорошими"

Это понятно. Непонятно почему только блокируются заданные в ней IP. По какому такому правилу они блокируются?


Цитата:

Кстати, можно выбрать local address и тогда будет всегда использоваться актуальный адрес.

Задал в своих двух правилах вместо 82.207.0.0/16 local address.
Так тоже работает конечно. Просто мне кто-говорил, что не всегда может определить IP на автомате.

Цитата:

Где выбрать?

Там же где и это:

Цитата:

Задал в своих двух правилах вместо 82.207.0.0/16 local address

Цитата:

Это понятно. Непонятно почему только блокируются заданные в ней IP. По какому такому правилу они блокируются?

Смотри правила в System IP table - все там.
Action...........................Protocol...Event...................Source address......Destination address
System Trusted Zone.....аny.........incoming packet....Trusted Zone.........any    
System Trusted Zone.....any.........outgoing packet.....any.......................Trusted Zone    

Ещё раз повторю наверняка глупый вопрос.
Почему если я создаю в System Internet Zone - "правило IP-протокол" на вход и выход IP-пакетов с 82.207.0.0/16 - "Принять", то всё прекрасно работает.
А если стоит то же самое (82.207.0.0/16) в файле settings.xml в его "Trusted Zone", то ни фига не пашет всё равно (из сети и в сеть ничего не ходит)?!

Я наверное тупой, или просто ничего не понимаю?!!!

dinoz
Спасибо огромное что помогаешь.

Цитата:

Почему если я создаю в System Internet Zone - "правило IP-протокол" на вход и выход IP-пакетов с 82.207.0.0/16 - "Принять", то всё прекрасно работает.
А если стоит то же самое (82.207.0.0/16) в файле settings.xml в его "Trusted Zone", то ни фига не пашет всё равно (из сети и в сеть ничего не ходит)?!

Доверенная зона - это всего лишь группа адресов заданная через файл, а не через интерфейс. Сама по себе она ничего не определяет. Ее нужно выбрать в полях Source address/Destination address/Local address/Remote address.

dinoz

Цитата:

Доверенная зона - это всего лишь группа адресов заданная через файл, а не через интерфейс. Сама по себе она ничего не определяет. Ее нужно выбрать в полях Source address/Destination address/Local address/Remote address.

Вроде дошло наконец!
Я пребывал в преступном заблуждении.


Цитата:

Смотри правила в System IP table - все там.
Action...........................Protocol...Event...................Source address......Destination address
System Trusted Zone.....аny.........incoming packet....Trusted Zone.........any
System Trusted Zone.....any.........outgoing packet.....any.......................Trusted Zone

Я уже ВСЁ разрешил в System IP table, кроме Block All not Processed IP Packets, но тем не менее пакеты не идут, если там нету моих правил на вход и выход для local address или 82.207.0.0/16.
Если Block All not Processed IP Packets принять, то конечно тоже пропускает.

Содержимое Address type списка:

константы:
any - любой адрес, или 0.0.0.0/0
host - х.х.х.х
network - х.х.х.х/х
local address - любой (?) из локальных адресов компьютера
local network - подсеть к которой относится компьютер
broadcast address - 255.255.255.255
nameserver - DNS сервер
А также:
группы в файле конфигурации:
предустановленные, но вовсе не обязательные:
Trusted zone
Blocked zone
любые (!) другие группы из файла конфигурации
My famous zone
My grandfather zone

Добавлено:

Цитата:

Я уже ВСЁ разрешил в System IP table, кроме Block All not Processed IP Packets, но тем не менее пакеты не идут, если там нету моих правил на вход и выход для local address или 82.207.0.0/16.

Прочитай еще раз по поводу стейтфул инспекшн. Это единственное правило, разрешающее ТСП/ЮДП траффик.
Чтобы оно сработало, должны выполниться ВСЕ условия. Если не сработает, пакет уходит дальше, а там только режект. Внимательно посмотри внутри, и не только на адреса.

dinoz

Цитата:

Содержимое Address type списка

Спасибо за объяснение.


Цитата:

Прочитай еще раз по поводу стейтфул инспекшн.

Пробую..

Добавлено:
dinoz
Вроде наконец нашёл. Спасибо.
В настройках правила "Stateful TCP Inspection" снял галочку с "Контекстная фильтрация (Stateful Inspection)" сразу заработало.

И теперь? Что что это значит?
Держать эту галочку всё время снятой?
Это не влияет на безопасность?
На что это влияет?

Цитата:

настройках правила снял галочку с Контекстная фильтрация (стейтфул инспекшн)

я ж это уже раз 10 повторил!!!

Цитата:

Это не влияет на безопасность?
На что это влияет?

Зависит от реализации, это комплексная проверка пакета. Гугл поможет отцу русской демократии
Наверное в твоем случае что-то мешает, может то, что интерфейсы в одной подсети.

При выключении системы невыгружается Jetico.
Никто не знает как бороться?
У кого-нибудь такое ещё было?

Добавлено:
dinoz

Цитата:

я ж это уже раз 10 повторил!!!

Извини. Но я на 11-ый только понял и нашёл...


Цитата:

Наверное в твоем случае что-то мешает, может то, что интерфейсы в одной подсети.

Попробую развести как ты советовал.

Ещё вопрос.
А как настроить так чтобы спрашивало не только про доступ прокси к сети, но и про программы на той же машине, которые к через прокси работают?
При этом в таблице Process Atack всё разрешено, а в корне таблицы приложений первым правилом стоит "Принять" "все" "Доступ к сети"?

Добавлено:
dinoz
Настроил второй сетевой интерфейс (на модем).
Теперь он 192.168.2.1/24(255.255.255.0)

Но ничего не изменилось, к сожалению.

Цитата:

А как настроить так чтобы спрашивало не только про доступ прокси к сети, но и про программы на той же машине, которые к через прокси работают?

Это как? Программы на одной, а спрашивать на другой? А как файервол узнает какая программа на другом компьютере запрашивает соединение?

Цитата:

При выключении системы невыгружается Jetico.

Я вообще вырубил его из автозагрузки (при dialup_e), загрузил-выгрузил когда хочешь.

dinoz

Цитата:

Это как? Программы на одной, а спрашивать на другой? А как файервол узнает какая программа на другом компьютере запрашивает соединение?

Ты просто не понял.
Когда мой прокси-программа ломится в сеть, то JPF естественно это видит и спрашивает правило на это действие.
Однако если некая программа (на том же компьютере что и прокси) зайдёт через localhost(127.0.0.1)/порт прокси (то есть через сам прокси), то JPF естественно ничего не спросит. Для него в сеть ходит сам прокси, а localhost всем открыт.

Напомню, что у меня в таблице Process Atack всё разрешено, а в корне таблицы приложений первым правилом стоит "Принять" "все" "Доступ к сети".

Добавлено:
dinoz
Я так понимаю что в какой-то из таблиц необходимо создать правило, которое бы спрашивало при попытке доступа через localhost на определённый порт (порт прокси). Весь localhost ведь нельзя запрещать, надо обязательно указывать конкретный порт?
Посоветуй где и как именно это правило лучше разместить.
А потом, необходимо в Ask User создать отдельную таблицу с правилом разрешения для localhost/порт прокси. И посылать на эту таблицу выбранные программы которые будут туда ломиться в соответствии с первым правилом (спрашивать при попытке доступа)?
----------

Думаю не будет иметь значение, если вместо localhost(127.0.0.1) у кого-то задан доступ допустим через 192.168.1.7 (который является адресом машины и самого прокси и программы-клиента которая им пользуется)?

И нет ли некоего более универсального решения, чтобы не приходилось задавать конкретный порт и возможно даже не приходилось задавать адрес?

Ещё раз искренняя благодарность за то что ты мне помогаешь.

Добавлено:

Цитата:

Я вообще вырубил его из автозагрузки (при dialup_e), загрузил-выгрузил когда хочешь.

Мне это не подходит. И я уже не знаю, что делать с этими перезагрузками!

Добавлено:
Искал что такое Stateful Inspection.
Много размытых описаний. Нашёл такое более-менее конкретное, но тоже неясное.
--------------
Свойство "Контроль состояния пакета" (Stateful Inspection) включает так называемый динамический режим для свойства "Mirrored".

Если свойство "Stateful Inspection" включено, то обратные пакеты будут попадать в правило только при наличии предварительного "прямого" попадания в правило.
Если свойство "Stateful Inspection" выключено, то наличие "прямых" попаданий в правило не требуется для проверки на "обратное попадание".
Свойство "Stateful Inspection" полезно для построения файрволльных правил.
--------------
И что мне с этим делать?
Везде пишется что это правило "очень хорошо" и "должно быть"...
А уменя работает только если оно выключено (если это оно)...

Цитата:

Искал что такое Stateful Inspection.
Много размытых описаний. Нашёл такое более-менее конкретное, но тоже неясное.
--------------
Свойство "Контроль состояния пакета" (Stateful Inspection) включает так называемый динамический режим для свойства "Mirrored".

Если свойство "Stateful Inspection" включено, то обратные пакеты будут попадать в правило только при наличии предварительного "прямого" попадания в правило.
Если свойство "Stateful Inspection" выключено, то наличие "прямых" попаданий в правило не требуется для проверки на "обратное попадание".
Свойство "Stateful Inspection" полезно для построения файрволльных правил.
--------------
И что мне с этим делать?
Везде пишется что это правило "очень хорошо" и "должно быть"...
А уменя работает только если оно выключено (если это оно)...

в JPF Statefull Inspection привязывает сетевые пакеты к приложениям. т.е. сетевой пакет совпадёт с этим правилом только в том случае если какое либо приложение его издало или ожидает.
В случае когда трафик проходящий то под Statefull не один пакет не подходит т.к. на локальной машине нету приложения которое его ждёт или издало. Это же персональный файрвол (Jetico Personal Firewall), а не серверный.

crypt77

Цитата:

Это же персональный файрвол (Jetico Personal Firewall), а не серверный.

Так он просто не понимает, что некое приложение "ждёт или издало" пакет. Потому что этот пакет идёт через сетевой интерфейс?!
Но на домашние машины часто имеют выход в небольшую локальную сеть с общим доступом. И ADSL-модемы через второй сетевой интерфейс тоже часто устанавливают.

Добавлено:
Что мне делать?
Отмечено что работают такие способы решения проблемы (отсутствие доступа в сеть программ):

Первый способ:
Создать два правила в System Internet Zone:
1. "правило IP-протокол" где на "целевой адрес" 82.207.0.0/16, любое событие, любой протокол и любой адрес источника, задал "Принять".
2. "правило IP-протокол" где на "адрес источника" 82.207.0.0/16, любое событие, любой протокол и любой целевой адрес, задал "Принять".
(где 82.207.0.0/16 диапазон адресов в рамках которого ADSL-провайдер выдаёт мне мой IP)

Можно в этих правилах заменить 82.207.0.0/16 на local address. Тоже работает.
Не совсем только понял какая между ними, способами, разница?

Третий известный мне способ.
В настройках правила "Stateful TCP Inspection" снял галочку с "Контекстная фильтрация (Stateful Inspection)"

Какой из этих способов лучше использовать?
Или все ухудшают безопасность?
Как мне лучше это сделать?

Простите тупицу...

Цитата:

Первый способ:
Создать два правила в System Internet Zone:
1. "правило IP-протокол" где на "целевой адрес" 82.207.0.0/16, любое событие, любой протокол и любой адрес источника, задал "Принять".
2. "правило IP-протокол" где на "адрес источника" 82.207.0.0/16, любое событие, любой протокол и любой целевой адрес, задал "Принять".
(где 82.207.0.0/16 диапазон адресов в рамках которого ADSL-провайдер выдаёт мне мой IP)

Можно в этих правилах заменить 82.207.0.0/16 на local address. Тоже работает.
Не совсем только понял какая между ними, способами, разница?

Третий известный мне способ.
В настройках правила "Stateful TCP Inspection" снял галочку с "Контекстная фильтрация (Stateful Inspection)"

Первый способ делает то же самое, что и третий - пропускает пакеты. Правила выполняются последовательно, пока не будет встречено аксепт или режект. Естесственно в первом случае нет никакой проверки на Stateful Inspection.

Я уже написал что такое local address, конечно же он входит в 82.207.0.0/16.

Имей в виду, на уровне протоколов локальный траффик не виден, только на уровне приложений. Ты, вероятно, сможешь контролировать исходящие соединения из аппликаций на прокси. Я не очень знаю как Джетико работает с прокси.

Цитата:

Так он просто не понимает, что некое приложение "ждёт или издало" пакет. Потому что этот пакет идёт через сетевой интерфейс?!

да, когда пакет идёт транзитом. он как раз и понимает, что этот пакет не одно локальное приложение не ждёт.

Цитата:

Создать два правила в System Internet Zone:
1. "правило IP-протокол" где на "целевой адрес" 82.207.0.0/16, любое событие, любой протокол и любой адрес источника, задал "Принять".
2. "правило IP-протокол" где на "адрес источника" 82.207.0.0/16, любое событие, любой протокол и любой целевой адрес, задал "Принять".
(где 82.207.0.0/16 диапазон адресов в рамках которого ADSL-провайдер выдаёт мне мой IP)

Можно в этих правилах заменить 82.207.0.0/16 на local address. Тоже работает.
Не совсем только понял какая между ними, способами, разница?

более правильный второй, когда стоит local address. JPF вмето local address сам подставляет выданный тебе провайдером адрес. в итоге ты получаешь более "жёсткое" правило, и это правильно. желательно эти правила создавать выше правил "Statefull Inspection", это соптимизирует время принятия решения для этих пакетов.

dinoz
crypt77

Спасибо ребята.
Я поместил два правила с local address прямо перед правилами Statefull UDP Inspection и Statefull TCP Inspection.
Но это точно никак не снизит безопасность?

dinoz

Цитата:

Имей в виду, на уровне протоколов локальный траффик не виден, только на уровне приложений. Ты, вероятно, сможешь контролировать исходящие соединения из аппликаций на прокси. Я не очень знаю как Джетико работает с прокси.

Я точно не уверен, но если исключить из доверенных подсетей (Trusted Zone) подсеть 127.0.0.0/8 то локальный трафик будет контролироваться т.к. он проходит через TDI а его джетика контролирует.

...
Щас проверил - убрал из доверенных 127.0.0.1 и 127.0.0.0/8 и стали ловиться локальные обращения к прокси.

NightHorror


Цитата:

Щас проверил - убрал из доверенных 127.0.0.1 и 127.0.0.0/8 и стали ловиться локальные обращения к прокси

Проверю еще раз, когда буду на работе. У меня ни один пакет локального траффика так и не попал в доверенную зону. Правда, и прокси нету.

Den_Klimov

Цитата:

Я поместил два правила с local address прямо перед правилами Statefull UDP Inspection и Statefull TCP Inspection.
Но это точно никак не снизит безопасность?

Все равно что снял проверку Statefull Inspection, в принципе
Тока сниффер не будет работать

crypt77

Цитата:

JPF вмето local address сам подставляет выданный тебе провайдером адрес

Кстати, при изменении ИП у провайдера, обновление сразу происходит?

Den_Klimov

Цитата:

Я поместил два правила с local address прямо перед правилами Statefull UDP Inspection и Statefull TCP Inspection.
Но это точно никак не снизит безопасность?

снизит, например твоя машина перестанет быть невидимой (Stealth), т.е. её можно будет просканировать на наличие открытых портов. но от этого ты никуда не денешся, в данной ситуации.

dinoz

Цитата:

Кстати, при изменении ИП у провайдера, обновление сразу происходит?

да, сразу.

Странички две назад был вопрос по поводу развития фаера. Я написал письмо товарищам создателям, сегодня ответ пришел:

Thanks for feedback. We are working on JPF v2 now.
New features include
- windows service mode
- fast user switch support
- xml-based configuration file
- WELF-compatible text logs
- inmproved rule editing UI
- variables integrated into main applilcation
- improved firewall security

> > Prompt please, whether works above improvement JPF are conducted and
> > whether it is possible to see the future features?
> > Whether there is in plans support Fast user switch?
> > Successes, best regards,


Я в английском с терминами не очень силен, но для одним из главных новшеств будет работа фаера в режиме быстрого переключения пользователей.

Вот это радует:
- inmproved rule editing UI
- improved firewall security

Правда, когда я им отсылал багрепорт по поводу одной дырки (вроде в ноябре месяце или около того), пришел похожий список нововведений а о сроках сказали, что работа идет и типа того как только так сразу.
Скорее бы уж... Главное, чтобы не забили...

dinoz

Цитата:

Все равно что снял проверку Statefull Inspection, в принципе
Тока сниффер не будет работать

Так что? Лучше просто снять проверку Statefull Inspection?

AnexeR

Цитата:

Цитата: Все равно что снял проверку Statefull Inspection, в принципе
Тока сниффер не будет работать

Так что? Лучше просто снять проверку Statefull Inspection?

dinoz

Цитата:

Вот и выходит, что разницы нет, добавить два новых или снять проверку stateful.
Так что, как тебе удобнее.

Спасибо.
А с невидимостью действительно ничего нальзя сделать?
И меня, порты, мой IP все в инете будут видеть?

Я кстати правильно делаю, что в таблице приложений Ask User, после правила направляющего приложение на нужную таблицу, ставлю правило для приложения, которое запрещает для него ВСЁ?
А когда всё настрою я планирую вообще поставить в этой таблице последним правилом, правило которое будет запрещать ВСЁ и ля ВСЕХ...
Это так спрашиваю на всякий случай.

Мой System ломится на удалённый адрес 192.168.2.255 на удал.порт 137. Напомню, что второй сетевой интерфейс на машине (через который подключается ADSL-модем) имеет IP 192.168.2.1.
Может мне стоит System вообще блокировать, так как я это делаю с обычными приложениями помещая правило запрещающее для приложения всё, после разрешающих?
И ещё svchost.exe постоянно спрашивает на удал.адрес 239.255.255.250 удал.порт 1900.
Может его тоже так блокировать? Может все системные правила в таблице System Appl. подпереть блокирующем правилом?

Добавлено:
Ещё такой вопрос. А если бы у меня был только один общий сетевой интерфейс. И я бы получал и доступ в локалку, и через локалку к ADSL-модему через одну сетевую карту?
Это решило бы мою проблему?
Потому что, насколько я понял дело только в том что у меня два сетевых интерфейса.

Добавлено:
dinoz

Цитата:

Проверил. Не видит локальный траффик. 127.0.0.0 убрал из доверенной зоны (она вообще пустая), создал первое ИП-правило в корне, где дестинейшн адрес = 127.0.0.1.
Ни одного пакета не записано.

Так получается, что локальный трафик вообще никак нельзя контролировать?

dinoz

Цитата:

Проверил. Не видит локальный траффик. 127.0.0.0 убрал из доверенной зоны (она вообще пустая), создал первое ИП-правило в корне, где дестинейшн адрес = 127.0.0.1.
Ни одного пакета не записано.
Прокси нет, но есть программки слушающие локальные порты.

Я особо не экпериментировал, но когда из доверенной зоны убрал 127.0.0.0/8 и 127.0.0.1 все обращения от оперы к локальному проксику (proxomitron) стали ловиться. Перед этим нигде правил дополнительных не создавал.

Цитата:

создал первое ИП-правило в корне, где дестинейшн адрес = 127.0.0.1.

Что за правило ? Разрешающее ? Тогда по нему все и уходит. Или я чего то не понял ?

NightHorror

Цитата:

Я особо не экпериментировал, но когда из доверенной зоны убрал 127.0.0.0/8 и 127.0.0.1 все обращения от оперы к локальному проксику (proxomitron) стали ловиться. Перед этим нигде правил дополнительных не создавал

Так это ж на уровне приложений!
А на уровне протокола - не видит.
Может у тебя были правила для прокси с указанным Trusted zone, а когда адрес пропал из зоны, пакеты начали ловиться?

Цитата:

Что за правило ? Разрешающее

Логирующее.

Den_Klimov
Посмотри, там уже есть блокирующие правила - последнее в Application table и в Root.

Цитата:

Так получается, что локальный трафик вообще никак нельзя контролировать?

Можно, но только через application rules.



Добавлено:
Den_Klimov

Цитата:

Мой System ломится на удалённый адрес 192.168.2.255 на удал.порт 137

Это бродкаст. Без него майкрософтовская сеть не будет работать, и DHCP тоже.

dinoz

Цитата:

Так это ж на уровне приложений!
А на уровне протокола - не видит.

Понял про что ты. ХЗ тогда.

Цитата:

Может у тебя были правила для прокси с указанным Trusted zone, а когда адрес пропал из зоны, пакеты начали ловиться?

Угу. Как ты правильно сказал, на уровне приложений локальный трафик ловится.