» Jetico Personal Firewall

Klirik
Уже все нормально, после очередного вопроса нажал "Пометить событие как..." - "Web Browser".А старое правило я создал так: "Настроить" - "Правило" - "Вердикт" - "Web Browser" В результе получилось два идентичных правила для Firefox, но нормально работает только если пукаю через "Пометить событие как..."
А в чем разница между "Пометить событие как..." и "Настроить" - "Правило" если в вердикте я указываю на ту-же таблицу?

Den_Klimov
Да там по умолчанию вполне приличные настройки, остальные сугубо под конкретные нужды пользователя.
Yarylo

Цитата:

нормально работает только если пукаю через

Я понимаю, все могут допускать ошибки, но зачем же так... [простите, ну не смог удержаться]

Den_Klimov

Цитата:

Люди, пожалуйста объясните точно...
Как всё и полностью надёжно заблокировать, чтобы быть точно уверенным?
Потом я сам разрешу что надо.

1. так как ты пытаешься пристроить персональный Firewall на маршрутизатор, то ты явно не сможешь обеспечить хорошую защиту на сетевом уровне. хотябы по тому, что JPF не разделяет разные интерфейсы. у него нету возможности сказать, что это входящий пакет вот для этого интерфейса, а этот исходящий для другого. в итоге, по большому счёту, ты вынужден открыть весь сетевой уровень.
2. соответственно у тебя остаётся только защита на уровне приложений. если тебя не устраивают настройки по умолчанию, то можно поступить очень просто: удали все правила из таблицы приложений и создай одно правило с вердиктом "ask" ("спросить", незнаю как в русском варианте. у меня английский). в итоге на уровне приложений всё окажется заблокированным, и при каждой попытке, что либо сделать будет задаваться вопрос. вопросов будет много.....


Цитата:

И простите за глупый вопрос в тему...
Допустим, что интернет идёт из локальной сети (точнее через неё).
Ведь в этом случае он, находится в Trusted Zone (в файле settings.xml)?
И не доходя даже до System Internet Zone он полностью принимается в System Trusted Zone. А это ведь неограниченный доступ?
Как же решить ситуацию? Я запутался...
У меня между прочим второй сетевой интерфейс (который идёт на модем) Jetico всё время хочет в Trusted Zone добавить... А если бы Интернет шёл у меня через общую локальную сеть?

весь интернет в понятии IP адресов это - 0.0.0.0/0. этот адрес у тебя находится в Trusted Zone ?


Цитата:

И объясните толком наконец, что будет если я удалю из Trusted Zone (в файле settings.xml) вот это - 127.0.0.0/8

это адреса для общения машины с собой же(loopback). многие приложения общаются друг с другом на одной и той же машине через этот интерфейс. если удалишь, то ничего страшного не произойдет, просто увеличится количество вопросов.

Yarylo

Цитата:

Уже все нормально, после очередного вопроса нажал "Пометить событие как..." - "Web Browser".А старое правило я создал так: "Настроить" - "Правило" - "Вердикт" - "Web Browser" В результе получилось два идентичных правила для Firefox, но нормально работает только если пукаю через "Пометить событие как..."
А в чем разница между "Пометить событие как..." и "Настроить" - "Правило" если в вердикте я указываю на ту-же таблицу?

повидимому когда ты создавал (настраивал) правило, то забыл выключить проверку удалённого адреса и/или порта. а когда ты говоришь "Пометить событие как...", то в проверке для перехода учавствуют только имя приложения и его хеш.

kesic действительно, очень прикольная вишла ошибка...

crypt77

Во первых искренне благодраю за ясный и развёрнутый ответ.

Я уже знаю, что на уровне интерфейса тут ничего сделать нельзя.
Но на уровне приложений можно резать абсолютно всё? Или всё-таки не всё?
Насколько это сказывается на безопасности?
Знаю что глупый вопрос, но всё-таки...

Ведь это обычная для многих ситуация. Когда выход в интернет только через локальную сеть, или через несколько различных интерфейсов.


Цитата:

весь интернет в понятии IP адресов это - 0.0.0.0/0. этот адрес у тебя находится в Trusted Zone ?

Понял, лажанулся, но не совсем понял почему.
Тоесть Интернет, даже раздаваемый через локальную сеть через "общее соединение", идёт всегда как 0.0.0.0/0 (и его в Trusted Zone конечно нет).
Другими словами, как бы я его не получал... Через USB-модем или через локальную сеть (которая находится в Trusted Zone), он всё равно будет обрабатываться в таблице "System Internet Zone"? Правильно?

Кстати, в Trusted Zone я оставил только "192.168.1.0/24" и "127.0.0.0/8".
И тут-то у меня есть вопросы.

Я например знаю, что пока у меня "192.168.1.0/24" находится в Trusted Zone (settings.xml) с любой машины в нашей сети 192.168.1.0/24 можно использовать мой установленный на машине прокси (192.168.1.7:3128) и Jetico даже не спросит, если конечно не создать специальное правило для 192.168.1.7:3128.

Точно так же и "127.0.0.0/8". Я знаю что это "адреса для общения машины с собой же", то есть "Loopback" или "Localhost". Интересно что это целый диапазон адресов, хотя локальные прокси используют только 127.0.0.1.
Пока он "127.0.0.0/8" находится в Trusted Zone (settings.xml), любая программа на моей машине можеи выходить в интернет через прокси. Если я конечно не создам специальное правило для 127.0.0.1:номер порта прокси.

Благодарю что вы объяснили что его можно удалить из Trusted Zone (settings.xml).
Теперь я создал таблицу для приложений - "Localhost" с несколькими правилами:
Принять отключено все доступ к сети
Принять отключено TCP/IP получение датаграмм все 127.0.0.1
Принять отключено TCP/IP отправка датаграмм все 127.0.0.1
Принять отключено TCP/IP входящее соединение все 127.0.0.1
Принять отключено TCP/IP исходящее соединение все 127.0.0.1

Так правильно? Вроде всё работает.
Возможно мне лучше было создать две отдельных таблицы? Отдельно для исходящих с клиента на прокси и для входящих с прокси на клиент? Как они должны были бы выглядить в отдельности? А то тут всё вместе.

Но вы уверены что побочных эффектов не будет от запрещения 127.0.0.0/8 ?
Кстати, я правильно называю "127.0.0.0/8" - Localhost?

Теперь такой вопрос. Если возможно настроить можно настроить доступ с/на 127.0.0.0/8, то может можно настроить доступ и с/на 192.168.1.0/24, убрав его из Trusted Zone (settings.xml)?
Что будет если убрать его из Trusted Zone? Тоже ничего смертельного не произойдёт, или могут возникнуть проблемы?
Да и не совсем понятно что там надо будет разрешать/запрещать...

Добавлено:
ArtLonger
Нашёл описание вашей структуры таблицы.
Если не секрет. Почему у вас так?


Цитата:

Приложения
1. Сетевые
2. Пользовательские
Localhost
Антивирус
Браузер
Почтовый клиент
FTP-клиент
ICQ-клиент
MS Office
3. Блокировать
4. Спросить меня

Хотя по умолчанию порядок таблиц в "Приложения" такой:
1. Блокировать
2. Спросить меня
3. Сетевые
4. Пользовательские

В этом есть смысл? Стоит изменить порядок таблиц?

Den_Klimov

Цитата:

я создал таблицу для приложений - "Localhost" с несколькими правилами

Можно ещё добавить диапазон портов 1024:5000 (ну или до 65535) - как правило localhost работает именно с ним.
Этим ты, кстати, можешь обойти проблему повального доступа локальных программ к локальному же прокси - при разрешённом диапазоне портов 1024:5000 прокси на 127.0.0.1:8080 будет обрабатываться очень даже отдельно.


Цитата:

Почему у вас так?

Потому что так мне удобнее

Сначала идут application-ориентированные сетевые правила - прослушка портов, DNS, DHCP, NetBIOS, SMB и т.п.
Потом собственно приложения, которым можно - привязанные к типовым таблицам.
Затем приложения, которым нельзя - и даже спрашивать нефиг.
Про оставшееся пусть спрашивает - это я желаю знать.
По приложениям всё.

Далее в IP-протоколах идёт nonapplication-ориентированные сетевые правила - пакеты DNS, DHCP, ICMP, broadcast, контекстная фильтрация, кое-какие фильтры (NULL scan, Xmas scan, повреждённые пакеты).

Потом идут прочие протоколы и процесс-атаки.

И подпёрто это моим любимым правилом "всем остальным - хрен" .


Цитата:

Стоит изменить порядок таблиц?

А смысл? Если работает, то и пусть себе...

Den_Klimov
мой тебе совет: для раздачи интернета поставь аппаратный маршрутизатор за $30-40 или линукс на какой нибудь старенькой машинке типа P166 и не парься.....


Цитата:

Но на уровне приложений можно резать абсолютно всё? Или всё-таки не всё?
Насколько это сказывается на безопасности?

всё что "выше" ядра операционной системы. т.е. все приложения.



Цитата:

Тоесть Интернет, даже раздаваемый через локальную сеть через "общее соединение", идёт всегда как 0.0.0.0/0 (и его в Trusted Zone конечно нет).
Другими словами, как бы я его не получал... Через USB-модем или через локальную сеть (которая находится в Trusted Zone), он всё равно будет обрабатываться в таблице "System Internet Zone"?

под описание 0.0.0.0/0 подходит вообще любой адрес. 0.0.0.0/0 - это не адрес интернета!!!

почитай чтонибудь про IP сети. для начала можно это прочитать: http://gazette.linux.ru.net/rus/articles/povest_ob_ip.html
или это: http://www.opennet.ru/docs/RUS/ip_network/contents.html

ArtLonger

Цитата:

Можно ещё добавить диапазон портов 1024:5000 (ну или до 65535) - как правило localhost работает именно с ним.
Этим ты, кстати, можешь обойти проблему повального доступа локальных программ к локальному же прокси - при разрешённом диапазоне портов 1024:5000 прокси на 127.0.0.1:8080 будет обрабатываться очень даже отдельно.

Но если добавить ко всем созданным в таблице Localhost правилам диапазон портов 1024:5000, то тогда то ради чего это всё создавлось не будет работать.
Ведь у меня пока проявились только две программы которые используют таблицу "Localhost". Это WinRout4 при общении со своим "админ-клиентом" (управление и настройка) на порту сорок с чем-то тысяч, и конечно HandyCache на 8080. Хотя если использовать 1024:65535, тогда конечно всё будет работать. Благодарю за совет.
А на 127.0.0.1 больше никто пока не просился и других программ использующих Localhost я пока не знаю.
Но ты пишешь так что я понял будто и другие программы (не прокси и их клиенты) могут проситься и использовать 127.0.0.1.
Какие именно? Имеет смысл создать две отдельные таблицы? Одну для них, а одну для прокси?

И ещё такой вопрос. Я ведь убрал из Trusted Zone (в файле settings.xml) целый диапазон адресов - 127.0.0.0/8. А разрешил в таблице "Localhost" только 127.0.0.1 (на другие у меня просто никто не просился). Мне просто интересно какие ещё программы могут использовать другие адреса, да и тот же 127.0.0.1.
------------

crypt77

Цитата:

мой тебе совет: для раздачи интернета поставь аппаратный маршрутизатор за $30-40 или линукс на какой нибудь старенькой машинке типа P166 и не парься.....

Спасибо конечно за совет, и ещё большее спасибо за ссылки. Ведь меня интересует не столько практика, как в первую очередь понять теоретически.

Добавлено:
Установил Jetico на совершенно другую машину.
Подключение к сети через обычный внутренний диал-ап модем.
Имеется пара сетевых интерфейсов, но они вообще не используются и отключены.

Зато установлен VMware Workstation 5.5.1.19175, который по умолчанию создал два виртуальных сетевых интерфейса - VMnet1 и VMnet8.
VMnet1 отключен за ненадобностью, а VMnet8 - описывается как NAT 192.168.228.0.
Сразу мастер Jetico предложил 192.168.228.0/24 поместить в Trusted Zone (в файле settings.xml). Так что в Trusted Zone у меня находится только 192.168.228.0/24.

Одну виртуальную машину запустил. Вышел в Интернет.

Кстати Localhost (127.0.0.1) в Trusted Zone у меня нет. Сделал в виде таблицы (смотрите выше).
Интересно. На этой машине сразу запросили 127.0.0.1 несколько системных приложений:
svchost.exe на локальный порт 1900 - получение датаграмм
System на удалённый 445 - исходящее соединение
а потом снова svchost.exe на удалённые 1274, 1275, 1276 - отправка датаграмм.
А в потом и сам VMware - vmnat.exe на локальный порт 0 - получение датаграмм

Непонятно - "зачем, и что мне с этим делать"?

Но не это даже главный вопрос.
Проблема в том, что сразу после установки JPF и выхода в Интернет, возникли вопросы про 82.207.
входящие соединения на System, локальный порт 445 с диапазона адресов
82.207.0.0/16.
а также...
входящие соединения на svchost.exe, локальный порт 135 с того же диапазона адресов(82.207.0.0/16).
На запущенной виртуальной машине которая имеет тот же выход в сеть, те же самые запросы на входящие соединения...
Интернет от запрещения этих входящих не блокируется, но хотелось бы понять что именно я запрещаю. Statefull Inspection на эти пакеты естественно никак не влияет.
С чем это может быть связано? Идут и идут...

Только что попробовал использовать другое соединение (другого провайдера). Входящие пакеты с адресов 82.207... пропали. Они только от одного провайдера шли, удругих всё чисто. Непонятно...

Den_Klimov
Вот блин... Опять сравниваешь ежа с задницей!
Ты понимаешь, что локальный прокси это дыра изнутри наружу, через которую можно сделать что угодно??? Программ, использующих localhost для своих нужд исключительно локально - море! У тебя вот их одна (WinRoute), а у меня с десяток наберётся - браузеры, офис, антивирус... И не надо им мешать, если не знаешь каковы будут последствия.
А HandyCache к localhost имеет косвенное отношение - не удивлюсь, если для его собственных нужд localhost вовсе не нужен. И подгонять локальный прокси под другие правила нельзя.


Цитата:

Входящие пакеты с адресов 82.207... пропали. Они только от одного провайдера шли, удругих всё чисто. Непонятно...

Чего же тут непонятного? Порты 135, 445 - это что?

Den_Klimov

Цитата:

Проблема в том, что сразу после установки JPF и выхода в Интернет, возникли вопросы про 82.207.
входящие соединения на System, локальный порт 445 с диапазона адресов
82.207.0.0/16.
а также...
входящие соединения на svchost.exe, локальный порт 135 с того же диапазона адресов(82.207.0.0/16).
На запущенной виртуальной машине которая имеет тот же выход в сеть, те же самые запросы на входящие соединения...

это просто кто то сканирует на предмет открытых ресурсов или уязвимостей, а JPF честно у тебя спрашивает.

вот информация о провайдере с которого тебя сканируют:
Ukrtelecom IP access network in Odessa
JSC Ukrtelecom

ответственное лицо:
person: Alexander Remiga
address: JSC UKRTELECOM
address: 18, Shevchenko blvd.
address: 01030, Kiev, Ukraine
phone: +380 (44) 246-4416
fax-no: +380 (44) 226-2586
e-mail: aremiga@ukrtel.net

можешь с ним связаться и пожаловаться.

crypt77
Может и мне подскажешь?
Независимо от провайдера (пробовал 2ух) постоянно имею отправляющих UDP пакеты на порты 1025 - 1028, причём IP IANA, DoD были и от Department of Social Security of UK, Defense Research Establishment, Japan Network Information Center.
Это при том, что никаких действий заслуживающих внимания, я не делал (да и IP у меня непостоянный, я диалапщик).
Да, вирей и руткитов не имею.
P.S.
19.03.2006 1:31:05.000 имею IP NAVAL AVIATION DEPOT CHERRY POINT (Address:COMMANDING OFFICER) отправленные на мою машину UDP пакеты на порты 1025, 1026.

ArtLonger
Не стоит так эмоционально реагировать, я тормоз местами, до меня туго доходит и я во всём сомневаюсь.
Попробую перефразируя объяснить насколько я усвоил ваш урок.
Вы предлагаете мне оставить 127.0.0.1 в Trusted Zone (в файле settings.xml), (надеюсь 127.0.0.0/8 стоит оттуда убрать?) создав исключения-вопросы только для конкретных портов наиболее часто используемых прокси и их клиентами.
Или же вместо Trusted Zone разрешить 127.0.0.1 в виде таблицы localhost, как у меня, с диапазоном 1024:65535 (1024:65535 - порты до 1024 советуют для всего закрыть, оставив дырочку DHCP, это понятно; а если только до 5000, то недостаточно, потому 65535), и заблокировать в этой таблице конкретные порты часто используемые локальными прокси и их клиентами через localhost (тот же 8080).
Для прокси, как я и предположил, нужно создать отдельную таблицу 127.0.0.1 с перечислением наиболее часто используемых локальными прокси портами.
Ничего лучше тут не сделаешь? И это не вопрос, а предположение.

crypt77
Я тоже так подумал... хоть и странно.
Но как вы узнали что это Ukrtelecom?
Действительно, то соединение которое имелось в виду - это диал-ап от Укртелекома (в Киеве). И постоянные входящие на соответствующие порты никуда не исчезли до сих пор. Довольно странно, ведь это государственый провайдер.
Указанное вами лицо действительно может решить эту проблему?

Пока я временно создал таблицу с двумя правилами:
Отклонить    информация    TCP/IP    входящее соединение    все    82.207.0.0/16    135    
Отклонить    информация    TCP/IP    входящее соединение    все    82.207.0.0/16    445    

Может стоит отклонять для System и svchost.exe всё что им неразрешено, поместив соответствующие правила отклонения в конце таблицы системных приложений? Или может только входящие соединения для них?

И тут не совсем понятно почему это спрашивает.
Это должно блокироваться Block All not Processed IP Packets.
И блокируется.
Зачем же спрашивать System и svchost.exe?

Сейчас в логах отклоняется сразу Block All not Processed IP Packets:

19.03.2006 23:44:14.812    отклонить    Block All not Processed IP Packets    48    TCP    входящий пакет    82.207.64.158    82.207.64.174    4012    445    TTL: 127; TOS: 0; ID: D0F4; Don't fragment; TCP flags: SYN ; TCP Seq: F42CFF35    
а потом ещё и в соответствии с моей таблицей отклоняет:

19.03.2006 23:44:28.046    отклонить    TCP/IP    разрыв соединения удалённым сервером    System    82.207.64.174    82.207.62.31    445    4438    PID: 4; Connection: FFFFFFFF; Hash: 00000000 00000000 00000000 00000000 00000000    

Den_Klimov

Цитата:

Но как вы узнали что это Ukrtelecom?

IP его же. Кстати, как я погляжу Ukrtelecom любит посканировать 135, 445 порты, так что тут жалоба может не пройти...

kesic

Цитата:

Может и мне подскажешь?
Независимо от провайдера (пробовал 2ух) постоянно имею отправляющих UDP пакеты на порты 1025 - 1028, причём IP IANA, DoD были и от Department of Social Security of UK, Defense Research Establishment, Japan Network Information Center.
Это при том, что никаких действий заслуживающих внимания, я не делал (да и IP у меня непостоянный, я диалапщик).
Да, вирей и руткитов не имею.
P.S.
19.03.2006 1:31:05.000 имею IP NAVAL AVIATION DEPOT CHERRY POINT (Address:COMMANDING OFFICER) отправленные на мою машину UDP пакеты на порты 1025, 1026.

вот некоторая статистика:

Цитата:

Двадцатка портов, наиболее часто использовавшихся в интернет-атаках
Рейтинг % от общего числа Порт
1 26,14 445
2 18,75 80
3 15,65 135
4 12,71 1026 (UDP)
5 5,13 1433
6 4,23 1434 (UDP)
7 4,19 1027 (UDP)
8 2,68 4899
9 2,57 15118
10 1,03 5554
11 0,98 22
12 0,87 1025 (UDP)
13 0,71 4444
14 0,61 3128
15 0,59 2745
16 0,53 6129
17 0,33 42
18 0,31 21
19 0,17 139
20 0,12 3127

надеюсь всё понятно?
Den_Klimov

Цитата:

Довольно странно, ведь это государственый провайдер.
Указанное вами лицо действительно может решить эту проблему?

а что гос. провайдер предоставляет доступ только гос. органам?
этот человек официально ответственный за данную сеть, и должен отреагировать на обоснованную жалобу. По Российским законам поведение их клиентов может расцениваться как уголовно наказуемое.


Цитата:

Пока я временно создал таблицу с двумя правилами:
Отклонить информация TCP/IP входящее соединение все 82.207.0.0/16 135
Отклонить информация TCP/IP входящее соединение все 82.207.0.0/16 445

всё правильно. но я бы посоветовал создать правило запрещающие входящие соединения ещё на сетевом уровне, чтобы до уровня приложений и дело не доходило.
да и вообше бы закрыл любые входящие как минимум на порты 135, 139 и 445.


Цитата:

Может стоит отклонять для System и svchost.exe всё что им неразрешено, поместив соответствующие правила отклонения в конце таблицы системных приложений?

можно, если ты в уверен, что им больше никуда ходить ненадо.


Цитата:

И тут не совсем понятно почему это спрашивает.
Это должно блокироваться Block All not Processed IP Packets.
И блокируется.
Зачем же спрашивать System и svchost.exe?

Сейчас в логах отклоняется сразу Block All not Processed IP Packets:

19.03.2006 23:44:14.812 отклонить Block All not Processed IP Packets 48 TCP входящий пакет 82.207.64.158 82.207.64.174 4012 445 TTL: 127; TOS: 0; ID: D0F4; Don't fragment; TCP flags: SYN ; TCP Seq: F42CFF35

так как на сетевом уровне эти пакеты не запрещены, то запрос посылается на уровень приложений. получив отказ с уровня приложений эти пакеты не разрешаются (по TCP Statefull) и на сетевом уровне.

Den_Klimov

Цитата:

Не стоит так эмоционально реагировать

Прошу прощения, обстановка на работе нервная, вот и сорвался...


Trusted и Blocked Zone я не пользуюсь, т.к. их конфиг-файл абсолютно не зашифрован. Поэтому по зонам не подскажу.

Для localhost (127.0.0.1:1024-65535) у меня создана отдельная таблица и я включаю её в типовые таблицы приложений. Если какой программе нужен только localhost, создаю для неё отдельное правило с переходом на таблицу "Localhost".

Если Вам нужен локальный прокси, то лучше удалить его порт (к примеру, 8080) из таблицы localhost, т.е. создать два диапазона портов: 1024-8079 и 8081-65535. Затем создать правило отдельно для локального прокси (127.0.0.1:8080) и раздавать тем программам, которым разрешён доступ в Интернет.
Выстригание порта ничем не грозит, т.к. во-первых порт сразу забирает работающий локальный прокси, а во-вторых основной диапазон портов localhost 1024-5000. Не так уж и много программ, которым нужны более высокие порты для localhost.

crypt77

Цитата:

этот человек официально ответственный

Благодарю, так и поступлю.
Тем более что этот же провайдер предоставляет мне и ADSL-доступ на другой машине. И там также идут входящие на 135 и 445. Смотрите мои первые посты.


Цитата:

всё правильно. но я бы посоветовал создать правило запрещающие входящие соединения ещё на сетевом уровне, чтобы до уровня приложений и дело не доходило.
да и вообше бы закрыл любые входящие как минимум на порты 135, 139 и 445.

Нельзя ли поподробней пожалуйста, многим будет интересно.
Какие ещё дополнительные правила, кроме уже существующих заводских, стоит разместить на сетевом уровне? Перед какими или после каких именно правил их стоит разместить?

ArtLonger

Цитата:

Прошу прощения, обстановка на работе нервная, вот и сорвался...

Да я не обижаюсь, привык...


Цитата:

Trusted и Blocked Zone я не пользуюсь, т.к. их конфиг-файл абсолютно не зашифрован. Поэтому по зонам не подскажу.

Я тоже не хотел бы ими пользоваться, потому и пытаюсь настроить всё без них. Начал как раз с localhost.

Ты подтвердил мои предположения. И настройка localhost у меня сейчас практически идентична твоей, что подтверждает её правильность.
Вот только я не использую для исключений портов прокси диапозоны. Так как исключаю из таблицы localhost целый ряд различных прокси-портов, которые при помощи диапазонов исключать не так удобно.
Вместо этого, я создал в таблице localhost отдельные откланяющие правила для каждого отдельного прокси-порта, и разместил их перед всеми другими правилами. Это удобней.
Единственное, когда требуется разрешить программе использующей таблицу localhost доступ к локальным прокси, приходится следить чтобы сначала шло правило отсылки на таблицу локальных прокси, а только потом на таблицу localhost, иначе прокси-порты блокируются.

Теперь подумываю. Ребята, может стоит убрать из таблицы "Прокси" конкретные адреса (у меня там 127.0.0.1)?
Это сделает таблицу прокси универсальной и её можно будет использовать для любого прокси и их клиентов, где бы они не находились. Правда какие должны быть настройки универсальной таблицы "Прокси", я ещё не совсем разобрался.

Den_Klimov

Цитата:

при помощи диапазонов исключать не так удобно

Чесно говоря, всё равно . Просто Ваш способ требует размещения правил в определённом порядке, но позволяет при этом быстро менять порты для блокировки. Диапазонный менее универсален в этом плане, но не налагает жёстких требований на порядок правил. В случае одного локального прокси правил надо одинаково.
Вот за это мне и нравится Джетико - делайте, как удобно


Цитата:

какие должны быть настройки универсальной таблицы "Прокси"

Речь о локальных или удалённых прокси?

ArtLonger

Цитата:

Речь о локальных или удалённых прокси?

Честно говоря, о всех.
Но из этого вопроса понял, что желательно создать две отдельных таблицы. Для локальных прокси свою, для удалённых свою?
Какой же всё-таки должен быть набор правил?
Я предпологаю, но боюсь ошибиться...

Den_Klimov

Цитата:

Нельзя ли поподробней пожалуйста, многим будет интересно.
Какие ещё дополнительные правила, кроме уже существующих заводских, стоит разместить на сетевом уровне? Перед какими или после каких именно правил их стоит разместить?

вот моя таблица "System IP Table"

Цитата:

System Blocked Zone    disabled    any    incoming packet    Blocked Zone    any
System Blocked Zone    disabled    any    outgoing packet    any    Blocked Zone
System Trusted Zone    disabled    any    incoming packet    Trusted Zone    any
System Trusted Zone    disabled    any    outgoing packet    any    Trusted Zone
accept    Allow antivirus update    disabled    TCP    incoming packet    local network    local address    8081    
accept    Allow sharing for localnetwork    disabled    TCP    incoming packet    local network    local address    139    
accept    Allow sharing for localnetwork    disabled    TCP    incoming packet    local network    local address    445    
reject    reject incoming connections    warning    TCP    incoming packet    any    any    TCP flags: SYN !ACK     
System Internet Zone    All Other Traffic    disabled    any    incoming packet    any    any    
System Internet Zone    All Other Traffic    disabled    any    outgoing packet    any    any    
accept    Allow DHCP request    disabled    UDP    outgoing packet    any    255.255.255.255    68    67    
accept    Allow DHCP reply    disabled    UDP    incoming packet    any    255.255.255.255    67    68    
reject    Block All not Processed IP Packets    debug    any    any    any    any    

здесь я разрешаю пользователям из локальной сети ходить ко мне за обновлениями антивируса и обращатся к моим открытым дискам. а все оттальные входящие соединения рублю на корню, за исключением конечно Trusted Zone.

crypt77

Цитата:

здесь я разрешаю пользователям из локальной сети ходить ко мне за обновлениями антивируса и обращатся к моим открытым дискам. а все оттальные входящие соединения рублю на корню, за исключением конечно Trusted Zone.

Огромная тебе благодарность от всех за эту таблицу. Никто не выкладывает свои настройки. Так что ты первый, кто выложил, пускай пока лишь одной из четырёх основных таблиц.
Благодарю!

crypt77
Это понятно, но кто этим занимается... не просто настораживает...

Я всё понять пытаюсь.
Почему я должен отключать Statefull Inspection, чтобы у меня работал интернет?
Пока не очень уверен что понимаю в чём дело.

Давайте сначала.
Сетевые соединения проблемной машины:

"ЛВС или высокоскоростной интернет"
1. Первая сетевая карточка/соединение - это выход в локальную сеть:
Заданное IP - 192.168.1.7/255.255.255.0
Кстати, в сети несколько машин со статическими чётко заданными IP.
2. Вторая карточка/соединение - это прямой доступ через сетевой интерфейс к ADSL-модему:
Заданное IP - 192.168.2.1/255.255.255.0

"Высокоскоростное"
1. Соединение самого ADSL-модема (к которому мы получаем доступ через сетевое соединение):
Тип подключения: "Протокол точка-точка по Ethernet (PPPoE)", хотя это неважно. IP-адрес получает автоматически.
(Доп.инфа: знаю, что зашитый в модем IP - 192.168.1.1. Мне пришлось из-за этого отказаться от использования IP 192.168.1.1)

Общих соединений нет. Раздача интернета происходит через прокси-монстрика WinRoute4 со встроенным но отключенным фильтром портов.

Пока я слабо разбираюсь во всей этой кухне.
Варианты, которые предположительно могут вызывать проблему:
1. Возможно несовместимость с WinRoute 4 ? Наблюдаются проблемы с автовыгрузкой Jetico при выключении компьютера, приходится отключать вручную.
2. Наличие двух сетевых интерфейсов и доступ в Интернет через одно из них, само по себе ведь не может вызывать?
3. А то что зашитое IP модема находится в том же диапазоне, что и локальная сеть на первом сетевом соединении, не может вызывать?

Надеюсь на ваше мнение.

Den_Klimov

Цитата:

Почему я должен отключать Statefull Inspection, чтобы у меня работал интернет?

Потому что эта функция привязывает пакеты к приложениям. Транзит будет жестоко резаться, ибо с точки зрения Джетики пакеты эти ничейные.


Цитата:

из этого вопроса понял, что желательно создать две отдельных таблицы. Для локальных прокси свою, для удалённых свою?

Если соединение с удалёнными прокси идёт через локальный, то нет. Всё только для локального.


Цитата:

Возможно несовместимость с WinRoute 4 ?

Да, т.к. это полноценный серверный файервол, пусть и старый. Если задача WinRoute - только прокси, лучше настроить его на полноценную фильтрацию, а от Джетики отказаться. При всех своих плюсах Джетика - не серверный файер.

Den_Klimov

Цитата:

Я всё понять пытаюсь.
Почему я должен отключать Statefull Inspection, чтобы у меня работал интернет?
Пока не очень уверен что понимаю в чём дело.
.......
.......
Общих соединений нет. Раздача интернета происходит через прокси-монстрика WinRoute4 со встроенным но отключенным фильтром портов.

если ты не используешь ICS (Internet Connection Sharing), то Statefull выключать ненадо.
в случае с прокси все пакеты имеют своего отправителя и получателя в системе.
Statefull нужно выключать, только если у тебя машина работает как маршрутизатор.

а по поводу двух firewall-ов уже не раз писали........

ArtLonger
crypt77
Благодарю за ответы.

Уточняющие вопросы. До меня туго доходит ребята.

Цитата:

если ты не используешь ICS (Internet Connection Sharing), то Statefull выключать ненадо.

Но я не использую ICS. У меня нет "общих подключений". У меня даже служба "брандмауэр/ICS" вообще отключена.
А Statefull приходится отключать.


Цитата:

в случае с прокси все пакеты имеют своего отправителя и получателя в системе.

Это понятно. Но при чём здесь Statefull Inspection непонятно.


Цитата:

Потому что эта функция привязывает пакеты к приложениям. Транзит будет жестоко резаться, ибо с точки зрения Джетики пакеты эти ничейные.

Это я понимаю. Но в чём эта привязка заключается? Ведь получается, что отключая Statefull Inspection я отключаю эту привязку. Какие у этого последствия?


Цитата:

Statefull нужно выключать, только если у тебя машина работает как маршрутизатор.

А вот это не совсем ясно, хоть я и представляю что такое маршрутизатор/роутер. Раздача у меня другим машинам идёт через прокси, а программы на моей "серверно-пользовательской" машине работают только напрямую с соединением ADSL-модема, которое подключено правда через отдельный сетевой интерфейс (локально-сетевое соединение), а не USB.
Поподробней нельзя, пожалуйста? Почему всё-таки на моей "маршрутизирующей" машине надо отключать Statefull Inspection. В чём проявляется эта маршрутизация?
Иначе получается что на любой машине имеющей доступ в сеть через локально-сетевой интерфейс должны возникать подобные проблемы. Особенно если у неё несколько сетевых интерфейсов, как у нотбуков (WiFi и обычный проводной).
Только не надо писать что я тупой, я и сам знаю.


Цитата:

Да, т.к. это полноценный серверный файервол, пусть и старый. Если задача WinRoute - только прокси, лучше настроить его на полноценную фильтрацию, а от Джетики отказаться. При всех своих плюсах Джетика - не серверный файер.

Цитата:

а по поводу двух firewall-ов уже не раз писали

Да я знаю... Просто хотелось потестить Jetico в максимально сложных условиях.
Но тут не совсем понятно... Проблемы с автовыгрузкой это понятно, но может ли это вызывать другие проблемы? К примеру необходимость отключать Statefull Inspection?


Цитата:

Если соединение с удалёнными прокси идёт через локальный, то нет. Всё только для локального.

Не только через локальный. Должна быть возможность подключаться как через удалённый прокси напрямую, так и через локальный. Значит всё же две отдельных таблицы?
Не могли бы вы привести желательные правила для таблицы удалённых прокси?

Den_Klimov

Цитата:

Да я знаю... Просто хотелось потестить Jetico в максимально сложных условиях.
Но тут не совсем понятно... Проблемы с автовыгрузкой это понятно, но может ли это вызывать другие проблемы?

а ты не пробовал на машину две шины поставить, одну поверх другой? ну чтобы потестить в максимально сложных условиях....
у меня нет слов.......

crypt77

Цитата:

а ты не пробовал на машину две шины поставить, одну поверх другой? ну чтобы потестить в максимально сложных условиях....
у меня нет слов

Да я тоже боялся сначала. А потом ничего, смотрю заработало.
Вот только проблемы с автовыгрузкой JPF есть. На других машинах такого нету, так что считаю что из-за этого.
Ничего, в следующем месяце уже установлю на машине вторую ось без Винрута и там буду тестить.

А по моим вопросам, разъяснишь?

Добавлено:
Кстати, ещё раз благодарю за ссылки.
Изучаю сейчас "Введение в IP-сети". Интересные впечатления.
Кажется будто ты наконец впервые увидел как выглядит план дома в котором ты живёшь. Вроде бы всё знакомо, но ты начинаешь видеть всю картину в целом, оценивая план создателя. А не так как видишь обычно изнутри "вот моя тёплая кухня, холодный туалет, а здесь я вобще сплю".

Den_Klimov

Цитата:

Должна быть возможность подключаться как через удалённый прокси напрямую, так и через локальный.

В таблицу каждого типа приложений, допущеных в интернет, добавляете разрешающее обращение к удалённому прокси правило.

Цитата:

В таблицу каждого типа приложений, допущеных в интернет, добавляете разрешающее обращение к удалённому прокси правило.

Да это-то ясно. Хотелось бы отдельную универсальную таблицу сделать с наиболее часто используемыми прокси-портами.

Den_Klimov
Сколько угодно. Для каждого приложения в таблице, соответствующей типу приложения (браузер, почта), надо сделать правило, отсылающее к таблице внешних прокси. Исправление в этой таблице будет действовать сразу и для всех приложений.


Цитата:

Хотелось бы отдельную универсальную таблицу сделать с наиболее часто используемыми прокси-портами.

Но всё же не очень понятно. Обычно прокси имеет конкретный адрес и порт. Зачем открывать порты "на всякий случай"?