» Jetico Personal Firewall

dinoz

Цитата:

Это бродкаст. Без него майкрософтовская сеть не будет работать, и DHCP тоже.

Но у меня нет там "локальной сети" (я имею в виду здесь 192.168.2.*). У меня тут просто прямой сетевый выход на модем (через сетевую карточку). Компьютерная локалка же у меня на 192.168.1.*.


Цитата:

Посмотри, там уже есть блокирующие правила - последнее в Application table и в Root.

А в Ask User (где у меня праивла приложений) предпоследним стоит правило "Спросить" для всех. Если задам "Продолжить", то насколько я понимаю, запросы прекратятся, потому что всё тогда будет проходить насквозь и упираться в последнее запрещающее правило в Application table?


Цитата:

Цитата:Так получается, что локальный трафик вообще никак нельзя контролировать?

Можно, но только через application rules.

А это как?
Подскажи пожалуйста!

Den_Klimov

Цитата:

Но у меня нет там "локальной сети" (я имею в виду здесь 192.168.2.*). У меня тут просто прямой сетевый выход на модем (через сетевую карточку). Компьютерная локалка же у меня на 192.168.1.*.

Поубирай лучше все кроме ТСП/ИП в свойствах соединения винды.

Цитата:

А в Ask User (где у меня праивла приложений) предпоследним стоит правило "Спросить" для всех. Если задам "Продолжить", то насколько я понимаю, запросы прекратятся, потому что всё тогда будет проходить насквозь и упираться в последнее запрещающее правило в Application table?

Да

Цитата:

А это как?

В таблице Application table находятся правила типа Application rule. В Джетике 4 вида правил, это одно из них.


Добавлено:
crypt77

Цитата:

снизит, например твоя машина перестанет быть невидимой (Stealth), т.е. её можно будет просканировать на наличие открытых портов.

Не согласен с этим. Stealth - это когда пакету делается drop/deny вместо reject, а это не зависит от проверки на стейтфул.

Кстати, есть ли информация, как именно отклоняет Джетика пакеты?

И что будет с пакетом который пройдет все таблицы с continue (для этого нужно изменить финальные блокирующие правила)?

dinoz

Цитата:

Не согласен с этим. Stealth - это когда пакету делается drop/deny вместо reject, а это не зависит от проверки на стейтфул.

Кстати, есть ли информация, как именно отклоняет Джетика пакеты?

1. JPF умеет делать только DROP
2. с выключеным Statefull сетевой уровень не будет отличать проходящие пакеты от локальных и поэтому будет пропускать их в ситему независимо от того слушает ли кто порт или нет. соответственно если этот пакет оказался локальным а не проходящим и никто не слушает этот порт, то система ответит "port unreachable" и сетерой уровень пропустит этот ответ. с включеным Statefull подобный пакет даже не дойдёт до системы.


Цитата:

И что будет с пакетом который пройдет все таблицы с continue (для этого нужно изменить финальные блокирующие правила)?

тогда к нему применится финальный вердикт в Root-овой таблице (там он не может быть continue).

crypt77

Цитата:

с выключеным Statefull сетевой уровень не будет отличать проходящие пакеты от локальных и поэтому будет пропускать их в ситему независимо от того слушает ли кто порт или нет. соответственно если этот пакет оказался локальным а не проходящим и никто не слушает этот порт, то система ответит "port unreachable" и сетерой уровень пропустит этот ответ. с включеным Statefull подобный пакет даже не дойдёт до системы.

ОК. А можно ли перехватить этот ответ?

Цитата:

тогда к нему применится финальный вердикт в Root-овой таблице (там он не может быть continue).

Может. Поэтому и интересно.

dinoz

Цитата:

ОК. А можно ли перехватить этот ответ?

можно. для UDP надо ловить исходящий ICMP пакет с типом "Destination Unreachable". Для TCP это TCP такет с установлеными флагами RST и ACK, правда M$ зачастую таким образом(вместо FIN ACK) закрывает и установленные соединения, так что запретив эти пакеты, рискуешь остаться с подвешенными соединениями.


Цитата:

Может. Поэтому и интересно.

О! точно! а в предыдущих версиях не давала. хотя пакеты по continue в root-овой таблице всё равно DROP-ает.

Тут у вас дискуссия уже вышла на недоступный мне пока уровень...

dinoz

Цитата:

Поубирай лучше все кроме ТСП/ИП в свойствах соединения винды.

У меня и так кроме него только QOS остался (имеется в виду та "сеть" которая к модему идёт).
Кстати, какой это должно было дать эффект, кроме того что "ничего лишнего"?

И я так и не смог понять, насколько я прозрачен и какие у меня проблемы с безопасностью могут быть из-за того чтоя отключаю Stateful.


Цитата:

В таблице Application table находятся правила типа Application rule. В Джетике 4 вида правил, это одно из них.

У меня русификация стоит, потому сразу не понял. У меня это называется "Правило: приложение".

И всё же.... Если несложно, объясни каким образом можно контролировать локальный трафик. Только запрещая его для конкретных приложений? И всё?
Нельзя запретить для всех, а потом разрешать для отдельных приложений?
Может потому нельзя, что некие не особо приятные эффекты могут быть?
------------
Кстати я сразу отметил, что любой локально-сетевой машина на мой прокси "ходит" и использует, а Jetico молчит (самому прокси я разрешил). Точно так же и с моими локальными программами, которые этот прокси используют.
Можно конечно запретить на конкретный адрес конкретный порт "для всех", а потом разрешить то же самое для конкретных приложений, но хотелось бы чего-то более глобального.

Добавлено:
И никто так и не ответил на конкретный вопрос...

А если бы у меня был только один общий сетевой интерфейс. И я бы получал и доступ в локалку, и через локалку к ADSL-модему через одну сетевую карту? (Не два сетевых интерфейса а один.)
Это решило бы мою проблему?

Кстати Джетику добавили в список голосования.
http://forum.ru-board.com/topic.cgi?forum=5&topic=18822&start=20

Поддержим ?

NightHorror
А как же...

Добавлено:
Тьфу, пошёл по ссыле проголосовать, а получил:

9 Вы уже проголосовали в этом опросе.
Возможные причины:
1. Неправильный пароль
2. Неправильное имя пользователя
3. Незарегистрированный Пользователь

Что-то не припоминаю я этого.

NightHorror
Я проголосовал

Jetico Personal Firewall на первом месте в сводной таблице по FireWall-ам на 2006 год!

http://www.firewallleaktester.com/tests.php

Итак, по результатам тестов Jetico лидирует со значительным отрывом в 11%. По общему результату Jetico набрал 85.2%, а Look 'n' Stop и Outpost только по 74%. Что собственно и требовалось доказать.

Есть у меня правда некоторые сомнения, насчёт того, что авторы тестов его как следует настроили. В частности DNS-тест почему-то провален, хотя прекрасно известно, что при соответствующих настройках он вполне проходится Jetico.

Добавлено:
Кстати необходимо дать инфу в шапке, по поводу первого места в тестах: http://www.firewallleaktester.com/tests.php

Добавлено:
Кстати такой глупый вопрос (хотя ещё на предыдущие не ответили).
Если используется не активный а пассивный FTP, то "FTP DATA connection" (удалённый 20 порт/входящие соединения) не нужен? Его можно отключить в этом случае?

crypt77
По моему,для тех кто использует jetico-это давно было очевидно.

Ещё такое...
В самом первом правиле "доступ к сети", существующих таблиц правил для приложений (веб-браузер, почта и другие) в протоколе указан 0... (при редактировании видно, что включено "Всё" и "Обратное соответствие...")
Однако создать такое правило самостоятельно просто невозможно. Если указываешь "всё", то "всё" и будет (без всяких "Обратных соответствий").
Я вообще не могу понять в чём разница, если при редактировании отображается одно и то же - "всё". Почему же тогда в таблице отображается протокол 0 в обном случае, а когда создаёшь сам то же правило, то только "всё"? "Какая между ними разница", до меня просто недоходит!

Добавлено:
Ребята. Хотелось бы всё-таки услышать.

1. Как правильно абсолютно полностью и прозрачно заблокировать свою машину от всего и всех в локальной сети (и на вход и на выход) да и вообще от любой сети. И только спрашивать при попытке установки соединения, или же отправки пакета. Как ВСЁ прозрачно закрыть?
2. После чего разрешить для всех или только отдельных машин (конретным IP машин, или диапазону IP) доступ к моей машине ТОЛЬКО по определённым портам (например для работы NetBIOS, а также доступ извне к моему локальному прокси WinRoot 4 который стоит на моей локальной машине 192.168.1.2:3128 и которую я собственно и защищаю). Чего именно и как надо открыть, чтобы не было глупых вопросов (оставиив при том всё остальное закрытым)?
3. После чего, как разрешить доступ моих локальных программ к другому прокси (HandyCache) установленному также на моей защищаемой машине (127.0.0.1(localhost):8080). Но только для конкретных программ этой машины, а для остальных спрашивать.

Как всё это правильно и прозрачно реализовать в таблицах?
Помогите ребята, пожалуйста.

Господа, помогите решить проблему:поставил джетико последнюю версию, он у меня трохи поработал правда так, что выход в нет был перекрыт намертво при заводских настройках, а потом при каждой загрузке системы или просто при запуске кричит что конфига сети изменилась и надо ребутицца. Запустить никак невозможно. У самого сети нет. Сижу на дайлапе . Винда хп сп2. Стоит также агнитум но я его вырубил вааще. Дырявое корыто. Из за чего это может быть? Заранее спасибо.

ZONE51
Может из за "агнитум"а. Врят ли 2 фаервора вместе приживутся на 1 компе, даже если ты один из них "вырубил вааще"

ZONE51
Не может, а точно!
Уже говорено-переговорено... НЕ СТАВЬТЕ ДВА ФАЕРА ОДНОВРЕМЕННО!!!
Но нет! Мы снова и снова наступаем на одни и те же грабли!

Ну что за детский сад!

Добавлено:
Den_Klimov
Правильные вопросы задаешь...

Но я пас, пусть тебе хлопцы объяснят популярно. В принципе всем начинающим будет полезно.
Ты в основном с dinoz-ом шарился? Вот пусть и объясняет.

Снес я короче агнитум на*, и из реестра и папку, всекилянул, и деинстоллером..и все равно та же херь..не хочет джетика работать хоть тресни..

Den_Klimov
У Джетики есть такая особенность - если создать сложное правило, а потом его упростить до "всё", то могут остаться хвосты. Редко, но бывает. Удали это правило и создай заново.

По вопросам - ты не о том спрашиваешь. Для начала надо знать, какая у тебя сеть. Протоколы, сервисы, ресурсы и т.п. Как правило это всё стандартно и может использоваться как база для настроек. Не знаешь? Сделай большие логи и правило "разрешить всё" с ведением лога. Воспроизведи несколько типичных действий и посмотри в логах кто куда ходит. А потом создавай правила. Прочее можно запрещать.

ZONE51
А устройства Аутпоста все удалены?

Подскажите, как быть.
Настраиваю, например, правила для p2p, еще конкретнее, для eMule.
Как сказано в ссылке шапки, в разделе правила, настроил порты для TCP/IP. А в тот же набор правил порты UDP добавить нет возможности вообще.
Как быть в такой ситуации?!

PS Правило создал как отдельную категорию, по образцу созданых Web Browser. Причем как я понял, в этом виде правил добавить UDP вообще нельзя.

ZONE51
Ты точно деинсталлировал?
Попробуй полностью деинсталлировать Outpost и Jetico (чего надо, удали ручками) и переустанови Jetico заново. Если не поможет... Что вполне вероятно, после таких "игр в многовекторность".
То тебе видимо... тебе "поможет" только установка на свежеустановленную систему.

Добавлено:
Zueuk
Зришь в корень!

Добавлено:
ArtLonger

Цитата:

По вопросам - ты не о том спрашиваешь. Для начала надо знать, какая у тебя сеть.

Он вроде не про то спрашивал. И если внимательно почитать все его посты то лично мне становится понятно какая у него сеть.
Имхо. Чел кое-что уже знает, кое о чём подозревает, кое в чём неуверен, но догадывается, кое о чём имеет смутное или неверное представление. И судя по всему, просит объяснить всё так понятно и развёрнуто, "чтобы сразу всё стало ясно, и не осталось сомнений как правильно настроить Jetico".
Напрашивается на "примеры", короче.

Кстати, хотя "очень многие ответы на очень многие вопросы" есть в данной теме, но они всё-таки разбросаны. Не знаю и не представляю как новички будут "сами до всего доходить".

ZONE51

Цитата:

Снес я короче агнитум на*, и из реестра и папку, всекилянул, и деинстоллером..и все равно та же херь..не хочет джетика работать хоть тресни..

Откат системы попробуй, но это неоднозначно...
При удалении агнитум, джетик может заблокировать корректное удаление агнитум.
Установи заново и удали агнитум при отключенном джетик(типа разрешить все).
Возможно! чистое удаление агнитум.

Добавлено:
Поддержим здесь(голосование) отличный Jetico Personal Firewall
http://forum.ru-board.com/topic.cgi?forum=5&topic=18822&start=20#lt

Добавлено:
Evgeny Roshin
Kaspersky Lab
помогал в создании программы? на сайте информация

AnexeR
А по конкретнее, как быть?
Как тогда эти порты UDP вообще добавить?
Создать отдельное правило, обозвать типа UDP порты, и запихнуть туда нужные для всех прог порты??

Если так, то это очень, очень не удобно....
У меня это вызывает кучу ?????????????
Как могли разработчики сделать так?? (если это так)

AnexeR
Какая у него сеть, я тоже представляю, но пока он сам её себе не представит, проблем у него будет достаточно.
Цитата:

<...> прозрачно заблокировать свою машину <...>
<...> только спрашивать при попытке установки соединения <...>

- желания как-то плохо увязываются.
Имхо человеку лучше сесть с бумажкой и расписать - кому куда надо и что можно. Службы - типы ресурсов - диапазоны адресов - локально/транзитом - программы и т.п...

PS: И мне не очень хочется внимательно почитать все его посты. Выискивать крупицы информации по многостраничной простыне нет ни времени, ни сил. Научить же работать с сетью на пальцах нельзя.

В общем глюк оказался в русификаторе. Без него все пашет идеально

Zueuk

Цитата:

Подскажите, как быть.
Настраиваю, например, правила для p2p, еще конкретнее, для eMule.
Как сказано в ссылке шапки, в разделе правила, настроил порты для TCP/IP. А в тот же набор правил порты UDP добавить нет возможности вообще.
Как быть в такой ситуации?!

PS Правило создал как отдельную категорию, по образцу созданых Web Browser. Причем как я понял, в этом виде правил добавить UDP вообще нельзя.

для UDP на уровне приложений есть события "listening datagrams", "receive datagrams" и "send datagrams"

Zueuk
Тяжёлый случай...
Ты что шуток непонимаешь?!

Конечно они и "не могли"!

crypt77 вполне чётко всё объяснил (правда на инглише), а явот бы не стал...

Цитата:

для UDP на уровне приложений есть события "listening datagrams", "receive datagrams" и "send datagrams"

Ладно уж... "искатели".
Для тех кто недогнал объясняю что имел в виду crypt77 на совсем иностранном инглише...
Так вот, datagrams означает UDP !!!

В русской локализации ArtLonger в событиях для приложений это вообще записано так что всем понятно - "получение датаграм", "отправка датаграм", "прослушивание UDP-портов". И чтобы уж совсем было ясно - это ВСЁ UDP!!!
В отличии от TCP - "входящее соединение", "исходящее соединение", "прослушивание TCP-портов"!
НИЧЕГО ДРУГОГО ТАМ НЕТ!!! КАК МОЖНО БЫЛО ЭТО НЕ УВИДЕТЬ!!!
Для тех кто непонимает разницу между UDP и TCP объясняю...
UDP - это всегда лишь ПАКЕТ без подтверждения получения, а TCP это ВСЕГДА СОЕДИНЕНИЕ!!!

И я всё не пойму никак...
Почему это я должен был до всего сам доходить, а некоторые "исчут" тут готовых ответов?!
Хоть бы кто блин мне, в своё время (когда начинал), выложил готовые таблицы настроек для приложений...
Но все ж зажали...

---------------
ArtLonger

Цитата:

Имхо человеку лучше сесть с бумажкой и расписать - кому куда надо и что можно. Службы - типы ресурсов - диапазоны адресов - локально/транзитом - программы и т.п...

Объясню насколько я его понял...
Он типа хочет знать как "правильно и наверняка" "всё запретить". Точнее даже не запретить, а чтобы "спрашивало" про любую попытку принять/отправить пакет или установить соединение с любого источника (будь то сеть локальная глобальная или свои собственные "локальные прогаммы").

А когда уже абсолютно ВСЁ перестанет работать и его его начнут заваливать всякими глупыми вопросами с разных источников одновременно, он видимо и планирует вычленить что "типа можно разрешить", а что нет.

Поправь меня если я не прав.

Имхо, я не думаю что он прямо таки ничего не знает...
Думаю он просто во всём сомневается.
Ждёт что мы типа скажем - "всё запрещать надо так-то и так-то", а потом "это и это надо разрешить так и так" и наконец "и теперь у тебя всё будет в порядке, ты защищён!".

---------------
Всё хлопцы... я пас... в отрыве...
Занят ближайшее время.
Делаю сайт для дочерней компании.
Всем бай.

Буду правда заглядывать время от времени, та что "дерзайте и воздастся"!

AnexeR

Вы в правы, в целом.
Именно это и имелось в виду.
И по прежнему мне никто не помог.

-----------
Люди, пожалуйста объясните точно...
Как всё и полностью надёжно заблокировать, чтобы быть точно уверенным?
Потом я сам разрешу что надо.

И простите за глупый вопрос в тему...
Допустим, что интернет идёт из локальной сети (точнее через неё).
Ведь в этом случае он, находится в Trusted Zone (в файле settings.xml)?
И не доходя даже до System Internet Zone он полностью принимается в System Trusted Zone. А это ведь неограниченный доступ?
Как же решить ситуацию? Я запутался...
У меня между прочим второй сетевой интерфейс (который идёт на модем) Jetico всё время хочет в Trusted Zone добавить... А если бы Интернет шёл у меня через общую локальную сеть?

И объясните толком наконец, что будет если я удалю из Trusted Zone (в файле settings.xml) вот это - 127.0.0.0/8

-----------
AnexeR
Простите за бестактность, а вы тоже украинец?

Немогу врубится... Дал Firefox-у стандартный вердикт Web Browser, вроде все нормально, но при входе на gmail.com выдается предупреждение о исходящем соединении на 66.249.93.104 через 443 порт Но ведь в правилах для Web Browser-а разрешено соединение на любой хост по 443-порту...
Я чего-то не понимаю?

Yarylo
У меня Опера тоже в Web Browser,попробовал gmail.com, ничего не выдается... 66.249.93.104 - это http://www.google.ru/, а для http в Web Browser открыт только 80-й порт, 443-й для https...