» Jetico Personal Firewall

Den_Klimov

Цитата:

А вот это не совсем ясно, хоть я и представляю что такое маршрутизатор/роутер. Раздача у меня другим машинам идёт через прокси, а программы на моей "серверно-пользовательской" машине работают только напрямую с соединением ADSL-модема, которое подключено правда через отдельный сетевой интерфейс (локально-сетевое соединение), а не USB.
Поподробней нельзя, пожалуйста? Почему всё-таки на моей "маршрутизирующей" машине надо отключать Statefull Inspection. В чём проявляется эта маршрутизация?

в данном случае твоя машина не является маршрутизатором, а является посредником (proxy). Statefull Inspection тебе отключать ненадо. а не работает с ним с большой вероятностью из за второго файера.

немного теории как работает Statefull Inspection:
1. при получении входящего пакета правило Statefull Inspection сверяется с уровнем приложений на предмет того, разрешён ли этот пакет на уровне приложений и является ли он ожидаемым (легальным) пакетом.
пакет ожидаемый если:
a. уже установленно и разрешено соединение которому принадлежит данный пакет,
b. какое либоо приложение слушает порт и разрешены входящие соединения на этот порт(в случае с пакетом на установку соединения)
....

2. при получении исходящего пакета правило Statefull Inspection опять же сверяется с уровнем приложений на предмет легальности этого пакета. т.е. что этот пакет принадлежит какому либо приложению, которому разрешено посылать эти пакеты.

В итоге, в случае если у тебя сидит какой либо троят или драйвер, который сам создаёт IP пакеты, то такие пакеты будут заблокированны. это же верно и для входящих пакетов. поэтому многие сниферы и не видят ничего.

Тем самым Statefull Inspection делает жёсткую динамическую привязку сетевого уровня к уровню приложений. соответственно если у тебя что то смогло обой один из уровней, то оно обязательно наткнётся на второй.

Братцы, помогите!

Jetico не дает Опере работать через Proxomitron, даже в режиме Allow All.

В Optimal Configuration - вообще беда: добавил Оперу в Application Trusted Zone, дал ей access to network и к любым сайтам/протоколам, но все равно говорит internal error, работает только в Allow All с подключением напрямую (без proxomitron-а).

Доступ к локальному или удаленному MSSQL Server-у тоже не удается настроить в Optimal Configuration, хотя все ему поразрешал. Что еще можно сделать?

Товарищи, а можно вопрос, можно ли в джетике или в принципе можно ли сделать так чтобы шла постоянная фильтрация ип адресов, то есть сижу я на руборде сейчас, и больше нигде. у руборда есть свой ип. так вот пакеты отовсюду кроме руборда блокировались, а затем вышел я на другой сайт, и все остальные ип прикрылись. Было бы удобно. Спасибо.

zhuman
Сорри, пробовал сабж пару дней. При первой перезагрузке спрашивает тебя про правила для приложениЙ? Отвечаешь: Opera - browser, Proxomitron - browser. У меня после этого всё заработало (я в корп. сетке с прокси). Это, конечно, по наглому (да и права у меня э-э-э, не очень ограниченные), но потом всё, что не надо - закрыть можно. Сорри, за ламерский ответ , но получилось же. Может поподробнее опишешь ситуацию, имхо, тутошние гуру тебе помогут.
ЗЫ. Обрати внимание: Proxomitron - доверенное приложение!
ЗЗЫ. Всё равно на входе (ну, типа, у меня ) стоит аппаратный файервол. Можно иногда ставить эксперименты .

Jetico глючит.
Не совместим со словарём Babylon. Мне нужно запретить все соединения этого словаря с интернетом. Но т.к. babylon вешает глобальные хуки в систему, то jetico определяет большинство приложений, при их попытке лезть в сеть, как babylon. К ним относятся Opera, The Bat и т.д. Look'n'Stop в этом плане чётко работает. Кто сталкивался?

ZONE51

Цитата:

Товарищи, а можно вопрос, можно ли в джетике или в принципе можно ли сделать так чтобы шла постоянная фильтрация ип адресов, то есть сижу я на руборде сейчас, и больше нигде. у руборда есть свой ип. так вот пакеты отовсюду кроме руборда блокировались, а затем вышел я на другой сайт, и все остальные ип прикрылись. Было бы удобно. Спасибо.

ты можешь написать плугин для броузера который бы прописывал необходимый IP в файл переменных(settings.xml) для JPF и создать соответствующее правило в конфигурации. точно знаю, что есть люди которые проделывали подобные вещи с JPF.
JPF автоматически перегружает конфигурацию при изменении файла переменных.

scamm

Цитата:

Jetico глючит.
Не совместим со словарём Babylon. Мне нужно запретить все соединения этого словаря с интернетом. Но т.к. babylon вешает глобальные хуки в систему, то jetico определяет большинство приложений, при их попытке лезть в сеть, как babylon. К ним относятся Opera, The Bat и т.д. Look'n'Stop в этом плане чётко работает. Кто сталкивался?

если бы ты почитал эту тему повнимательнее то наверняка нашёл бы ответ.
JPF не путает другие приложения с твоим словарём, а считает, что твой словарь может пойти в сеть посредствам другого приложения, так как он установил хуки. поэтому и спрасивает про доступ к сети для него.

1. разреши ему вешать хуки.
2. разреши ему "access to network" (это из за хуков)
2. запрети всё остальное.

Помогите с настройками 110 порта, у меня в тестах он как небезопасный (открытый) определяется. Как правильно настроить его в Jetico?

2crypt77: Спасибо. Ясно. Начинаю догонять "идеологию" jetico...

Francky, необходимо создать правило, запрещащющее все входящие соединения на 110порт

Blackbox7
Спасибо за ответ. Помогла переустановка Jetico + ручное убийство файлов в папке %userprofile%\Application Data\Jetico Personal Firewall\ (они не удаляются сами).

Как оказалось, проблема в первую очередь возникла из-за того, что я переименовывал профили с правилами и сохранял их в %ProgramFiles%\Jetico\Jetico Personal Firewall\Config\ вместо папки Jetico в %userprofile%, а еще, видимо, потому, что вручную создавал правила в разных таблицах.

Все-таки, на поверку, выяснил, что самый надежный способ создавать правила — это при запросе (Ask), выбрать Custom, и настроить правило, как требуется (в случаях, когда приложение не вписывается в какой-нибудь профиль типа Browser, Mail Client, etc).

И еще, в версии для печати упоминается профиль BitTorrent Client, но в моей версии (1.0.1.61, GUI 1.0.1.86) ничего подобного не нашел. Где он водится?

Еще интересуют правила для MsSQL сервера, локального и удаленного, а также для JBoss сервера (только для локальной машины).

Знающие люди, подскажите пожалуйста, Send / Receive Datagrams для svchost'а - разрешать или запрещать ?

namchik
It depends...

Если запретишь - перестанет работать синхронизация времени (NTP - UDP:123) и вероятны проблемы с DNS (UDP:53).

P.S. Я бы разрешил, но только для серверов NTP и DNS провайдера

Herr Kaleun

Цитата:

синхронизация времени

не нужна
Вобщем, запретил все протоколы, порты и адреса для send/receive datagrams от svchost'а... пока вроде полет нормальный.

А чем это чревато? (я про то что не разрешил днс своего прова )

namchik

Цитата:

А чем это чревато? (я про то что не разрешил днс своего прова )

могут быть проблемы с разрешением имён у системных сервисов (тот же NTP), прикладные же программы обычно делают это от себя...

P.S. Я бы сделал так: правило, разрешающее запросы DNS (исх. на UDP:53) только на DNS провайдера (обычно ns1.myprovider.net и ns2.myprovider.net, только в правило заносить их ip!) на сетевом уровне (т.е. без привязки к процессу). Тогда тот же svchost будет блокироваться закрывающим правилом в таблице (предполагается идеология - запрещено всё, что не разрешено), и даже если нежелательный процесс вылезет то, всё что он получит - разрешение имён (ну и пусть разрешает, при правильной остальной настройке ему туда всё равно не прорваться, заодно и посмотрим куда он лезет) (+ защита от DNS-spoofing).

crypt77
ArtLonger
Благодарю. Я сейчас болею, потому и благодарю только сейчас.

Цитата:

Но всё же не очень понятно. Обычно прокси имеет конкретный адрес и порт. Зачем открывать порты "на всякий случай"?

Хочется иметь универсальные правила. Прокси разные бывают. Если все частоиспользуемые порты (для ВСЕХ адресов) задать в таблице, то тогда исчезнет необходимость в индивидуальной настройке, при смене удалённого прокси.

Den_Klimov
Я, к примеру, добавил правило для браузера (firefox со switchproxy) с прокси портом. Всё отлично работает.

Den_Klimov

Цитата:

Если все частоиспользуемые порты (для ВСЕХ адресов) задать в таблице, то тогда исчезнет необходимость в индивидуальной настройке, при смене удалённого прокси.

Зато образуется n-ное количество дыр изнутри наружу - в том случае, если данный порт не относится к какому-либо из используемых прокси.

ArtLonger

Цитата:

Зато образуется n-ное количество дыр изнутри наружу - в том случае, если данный порт не относится к какому-либо из используемых прокси.

Но ведь всё это в спец.-таблице "Прокси", а следовательно будет работать только в привязке к конкретному приложению, так что это нестрашно.

Ребята подскажите, вопрос немного не в тему, я проверил Jetico Personal Firewall на пробиваемость снаруже тем что предложено в разделе Лучший файрволл firewall http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=15135#1 и оказалось что в половине тестов был показан мой реальный адресс, а в другой нет. Вопрос как сделать чтобы небыло видно моего реального адресса. А все тесты Jetico Personal Firewall прошел на ура, настройки почти заводские.

HSWT

Цитата:

оказалось что в половине тестов был показан мой реальный адресс, а в другой нет.

Твой реальный адрес и должен быть показан, иначе какой адрес тестировать ?
А там, где не показывалось - это наверное тесты такие, не показывают просто.

Цитата:

Вопрос как сделать чтобы небыло видно моего реального адресса.

Ответ: использовать анонимный прокси. Но не при тестировании

NightHorror

Цитата:

Твой реальный адрес и должен быть показан, иначе какой адрес тестировать ?
А там, где не показывалось - это наверное тесты такие, не показывают просто.

Ты непоня в половине тестов вместо моего адресса был показа обсолютно левый адресс. Тоесть они несмогли определить откуда я.

Назначил я Internet Explorer стандартное правило вэб-браузера. В ask user последнее правило, там где ask, заменил риджектом, чтоб не доставал лишними вопросами. Так вот, ie работал, но с огромными задержками т.е. любая страница начинает загружаться секунд через 6-10. Поставил обратно вопрос, оказалось Internet Explorer пытается отсылать/принимать UDP пакеты через локальный и удаленный порт 1225 либо 1227 по localhost. Создал два правила:
accept TCP/IP send datagrams/receive datagrams l.p. any local address: 127.0.0.1 remote address: 127.0.0.1 r.p.any
И задержки пропали.
Для чего интернет эксплореру это соединение? Что он там пересылает?

Интересно когда же наконец 2 версия выйдет. Писал разработчикам, вот ответ:
JPF v2 is on the way. The final date is not assigned yet, although we
have functional alpha version.
The main UI changes are:
- improved rule editing interface (something like Outlook express main
filters);
- improved popup message;
- firewall variables (formerly managed by the Configuration Wizard) are
integrated into main
application.
JPF v2 is planned to be 'pure' firewall without anti- spyware or ad
filters. We also do not plan to
add
any resource hungry visual functions.
As for docs, I hope that we'll finally have complete one.

А обещали выпустить ещё в том году....

Вот интересно, удалил ради теста из ask user некоторые правила для программ, в частности exe-модули антивируса mcaffee. Перезагрузился и джетико не задал ниодного вопроса, что эти модули хотят access network. По логу видны красные надписи Block All not Processed, где в поле application фигурируют данные exe-модули и в action написано access to network. Всё, комп стоит раком, rapimgr из комплекта activesync грузит проц на 99%, в интернет через Proxomitron не выходит и др. Пока вручную в ask user не прописал для всех прог из лога access network, комп нормально не заработал. Вопрос: разве джетико не должен был сам спрашивать у меня хотят ли access network данные модули?

Почему-то если запретить access to network программе Ati Tray Tools, то в доступ в интернет вообще блокируется

namchik
Это меня тоже убивает. Запретишь access network какому-нибудь модулю драйвера мышки или линвго и всё, аллес гутте. Чешешь репу, почему инет не работает или комп раком стоит.

Та же фигня и у меня . Но только с Прагмой и Switch It! (у обоих по жизни всякие лазанья в сеть отрублены, и проверено другими фаейрволами). Сабж постоянно при запуске спрашивает: а не надо ли им куда? Если запретишь, то
Цитата:

Чешешь репу, почему инет не работает или комп раком стоит.

.
Конечно, проблема в моём ДНК , но хотелось бы, чтобы сабж был более лоялен к пользователям. У мена с Look'n'Stop даже как-то легче пошло в своё время, а уж как им пугали...
ЗЫ. Всё таки хорошо иметь время, чтобы составлять подробные таблицы разрешений для всех портов и протоколов, но, ленивый я для этого .
ЗЗЫ. Попрошу ногами не бить, ветку читаю долго и с интересом, кое-что понял.

Blackbox7, baribal, namchik

Народ читайте повнимательнее или пользуйтесь поиском

вот некоторые ссылки:

структура конфигурации:
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11193&start=52

как работает "access to network":
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11193&start=33
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11193&start=97

Statefull Inspection:
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11193&start=750

crypt77
спасибо за ссылки.
такой вопрос... безопасно ли в настройках Application table - Ask user - самое последнее по списку правило, которое по умолчанию выставлено в "Ask" изменить на "Accept" и "event" на "Access to network" (насколько я понял, это правило, которое выполняется для всех новых приложений) ?

crypt77
Это всё прочитано, но рекоммендации бы не помешали. Т.е. я так понял, что для всех прог, установленных на компе, которые хотят access network, нужно давать на это разрешение. В противном случае, есть большая вероятность получить тупящий комп.