» Jetico Personal Firewall

parovoZZ
это значит, что даже с "Jetico Personal Firewall" светится дырка под названием "netbios-ssn"

ЗЫ. Нетбиос вырубается в "Диспетчер устройств"=>"драйверы устройств не Р&P"=>"NetBios через TCP/IP", или же есть маленькая программа (непомню как называется ), которая отключает фсе "дырявые" сервисы (DCOM, NetBios, и т.п.)

dariusii,

Цитата:

И еще вопрос. Винда икспи по дефолту врубает свой файер. Что с ним делать до установки jetico?

Сносить или не сносить с сетевого интерфейса?
Нужно ли останавливать еще и сам сервис?

Конечно,его нужно убрать.

Minoz

Нее. Тама окромя tcp/ip ничего нету. Я все убрал кроме этого протокола. не то.
Только если его зашили в ядро и вынесли в devманагер для "типа". Странно.

los2

Спасипки за инфо.

=================

Сервис или сайт нормальный нужен. Не всегда линь под рукой, что бы проверить настройки. nmap под win, имхо, не то.

С pcflanc'ами разными все ясно. Это наверное такие же "независимые эксперты", как и для "get the facts" у M$

хм. забавный факт.
был момент, когда после перезагрузки netbios свалил. хотя, так и должно было быть. даже винда сама просит после выключения модуля netbios, перегрузиться (про devmanager).

Затем, снова засветился.

даже nmap не понадобился. стеганоса было достаточно.

Из всего этого возникает дилемма, вообще, что использовать.

Если поставить kerio и вырубить netbios в devmanager, то такого уже не будет.

имхо, как файер, kerio лучше. Но контроля приложений там не видать. Если и есть, то не то.
Это еще одна дилемма. Ибо у jetico с этим все очень даже хорошо. Я про работу с исходящим трафом. Короче, либо сани, либо горка Но не вместе.

А вот работа Outpost ))

netbios в настройках заблокирован:
starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-12 00:43 MSD
Interesting ports on x.x.x.x:
(The 1665 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1434/tcp filtered ms-sql-m
MAC Address: ...............

фильтрация, конечно , хорошо, но что там за Фильтраццио - x.. ..ет

Задача была скрыть netbios. Outpost этого, как я вижу, не делает.

в фейсе сетевом и в среде винды модули netbios все были опущены, как только можно.

Буду ждать vista, а пока ... всем удачи на Windows (не в плохом смысле)

dariusii
Да выключается netbios. Кстати, чуток выше я приводил лог скана с Shields UP - ALL PORTS tested were found to be: STEALTH.
Или, что говорит Seagate по этому поводу -
Location Service 135 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
NetBIOS 139 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

Цитата:

Буду ждать vista

А я, скорее на Linux пересяду... (только бы модем настроить...)

kesic


Цитата:

А я, скорее на Linux пересяду... (только бы модем настроить...)

Так и я о том

Висту буду ждать лишь для пробы. интересно же Поменяется ли что или "как всегда"


Звиняюсь перед админом и конечно же перед посетителями за флейм, если он имел место быть.

Забавный момент Пользователи JPF переходят на Линукс %) (Я так уже)
К чему бы это

Надо будет мне свои правила для ДжПФ выложить, что ли... Там было на что посмортреть...

А может есть у кого настройки для System и lsass (получение и отправка датаграмм, исходящее соединение) для локальной сети. И как задать диапазон вида 192.168.*.*?

Добавлено:
И ещё момент:
для wmplayer.exe запрещён доступ к сети, но тем не менее файл типа \\192.168.196.90\mp3\UPLOAD\U2 - Electrical Storm (William Orbit mix).mp3 он играет без проблем. Как такое может быть и про какой протокол идёт речь в правиле "доступ к сети"?

dariusii

Цитата:

Висту буду ждать лишь для пробы.

Что-то нет желания подгонять железо под такие пробы.
GQ
Может встречал где, как настроить Acorp USBшный?

GQ Надо будет мне свои правила для ДжПФ выложить, что ли... Там было на что посмортреть...



А как jetico работает из под учетки юзера без прав админа? Что нужно сделать, что бы он работал там?

2 kesic
А форумы?

Просто я далек от модемов. Кабельный, только, в подъезде стоит и все. Со стороны прова - кокс. Со стороны меня - витуха.

dariusii

Цитата:

А форумы?

В том то и дело, сколько уже облазил, а ничего дельного нет...

kesic

#>

2 dariusii

А чему удивляться-то

Кто-нибудь из опытных. Объясните плиз.
Столкнулся с такоими вопросами при создании таблицы DHCP.
Смотрел в "System Applications". Там расположены несколько правил DHCP для "services.exe" и "svchost.exe".
По два стандартных правила на каждый.
1. Первое - это отправка UDP (датаграмм) на широковещательный адрес 255.255.255.255 (лок. уд. порты естественно 68 и 67).
И тут сразу два вопроса.
Первое. Насколько я понимаю 255.255.255.255. это то же самое что и "broadcast address". Почему же тогда в правиле именно - "хост 255.255.255.255"., а не просто выбрано "broadcast address"?
Второй вопрос. Я не большой специалист в сетях. Но в принципе насколько я понимаю, 255.255.255.255 (это же "broadcast address"?) - это "широковещательный адрес" на который отправляется пакет в надежде что DHCP-сервер откликнется.
Тут мне только не совсем понятно (вследствии пробелов в образовании)...
Чем это отличается 255.255.255.255 ("broadcast address"?) от "все" (любой адрес - 0.0.0.0/0)? Вроде и догадываюсь, но хотелось бы уверенности.
2. Второе правило - это уже приём UDP (датаграмм) c любого адреса (лок. уд. порты естественно 68 и 67).
Тут вроде всё понятно. DHCP-сервер отозвался "с любого адреса" и начинает "зажигать".

Однако для "services.exe" кроме этих двух стандартных, есть и ещё одно правило.
Отправка UDP (датаграмм) на "local network" (лок. уд. порты естественно всё те же 68 и 67).
Насколько я понимаю, "local network" - это локальная сеть. И если мы не используем в локальной сети DHCP (все адреса заданы статически), то следовательно это правило можно не использовать? Я прав?
Вопрос ещё, почему это правило необходимо только для "services.exe", а для "svchost.exe" нет?

Den_Klimov
Вообще-то broadcast - это любой адрес, заканчивающийся на 255. К примеру, такой: 192.168.31.255
А 255.255.255.255 это т.н. limited broadcast. Он используется для конфигурации хоста, когда этот хост вообще ничего о себе не знает - ни IP, ни маску. Ни один маршрутизатор такой адрес через себя не пропустит, так что это широковещание останется в пределах одной сети за маршрутизатором.
Насколько я помню, broadcast в понимании Джетики в категорию "все" не входит.


Цитата:

И если мы не используем в локальной сети DHCP (все адреса заданы статически), то следовательно это правило можно не использовать?

Угу.

И всё же - что делать для svchost, services и system? Создавать для них правила для каждого или можно всё в кучу собрать (отправка и получение датаграм, входящее, исходящее соединение).

И получается любая шняга с компьютера из доверенной зоны может приконнектиться к моей машине? Mysql коннектиться - Jetico молчком.

ArtLonger
Понял. Сильно благодарю.

parovoZZ
А ты не используй доверенные зоны!


Цитата:

И всё же - что делать для svchost, services и system? Создавать для них правила для каждого или можно всё в кучу собрать (отправка и получение датаграм, входящее, исходящее соединение).

Насколько я понимаю, лучше создать для каждого свою таблицу.

dariusii

Цитата:

135/tcp open msrpc

У тебя часом не работает "Диспетчер очереди печати"?
P.S. Открытые порты в Windows можно просмотреть netstat_том без инета.

И всё-таки...
Что необходимо сделать в Jetico, чтобы быть абсолютно уверенным что твой IP никто не увидит/не узнает?

Den_Klimov
IP? Это не к файерволам, это к прокси...

kesic

Дык, а рзница? диапазон был настройками закрыт.
блокируем вход:
125-440
444-1000

скан велся с другой машины.

Да и речь, вообще, была про Outpost.

Буду грызть wipfw (ipfw порт *BSD'ного файера). Правда, на сколько грамотно его драйвер сидит с ядром и модулем сетевухи на win, не знаю. А то, так и iptables можно поставить. Но был бы толк!
То есть, я не про настройки, а про сам модуль. (На сколько неуязвима система в отличии от реализации родного ipfw. Я, именно, про сам файрволл, а не про остальные дыры/недыры в вин)

dariusii

Цитата:

Дык, а рзница?

Сдавалось мне, будто ты говорил, что службы соответсвенные (портам) поотключал.

Цитата:

Да и речь, вообще, была про Outpost.

Странно... Я не заметил того, что ты об этом говорил ранее.

Цитата:

Буду грызть wipfw

А смысл? Jetico на мой взгляд достойно справляется со своей задачей.

Код: Starting nmap 3.81 ( _http://www.insecure.org/nmap/ ) at 2006-04-23 18:18 EDT
All 1663 scanned ports on <skip> are: filtered
--
GRC Port Authority Report created on UTC: 2006-04-23 at 22:17:26
Results from scan of ports: 0-1055
0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested
ALL PORTS tested were found to be: STEALTH.
TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

kesic

Цитата:

IP? Это не к файерволам, это к прокси...

Это понятно. Хотя Отпост вроде ж скрывает...

Ещё...
Ребята, вы же опытные... Ну выложьте пожалуйста свои настройки... Ну хотя бы таблицу для svhost.exe.
Пожалуйста... Ну очень надо! Я этому svhost-у уже задолбался таблицу правил переделывать!

Den_Klimov

Цитата:

Хотя Отпост вроде ж скрывает...

Ни разу не видел такого.

Цитата:

svhost.exe

Это не системный процесс, а... Системный процесс - svсhost.exe.

kesic

Цитата:

Системный процесс - svсhost.exe.

Да, сори, очепятка...
Но я не про это спрашивал, а про таблицу для него.

Смотри ещё и здесь:
http://forum.ru-board.com/topic.cgi?forum=5&topic=11375&start=600#lt

Den_Klimov

http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=780#3

http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=800#6

последняя ссылка под уточнение настроек udp под svchost

Кстати, я бы убрал из шапки фразу
Цитата:

В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров.

Развитие приостановлено еще в прошлом году. И не факт, что оно вообще продолжится.
Проект уже болье, чем пол года стоит на месте. Для файрволла это, даже не знаю.. Все же течет и меняется, как и с антивирями.

Хотя бы, временно. Зачем людей вводить в заблуждение.

Кто-нибудь в курсе - пропускает ли JPF транзитные пакеты? Можно ли его использовать в системе с ICS или NAT?

http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=780#3

кстати, в его жоках я некоторые вещи что-то не совсем понимаю

к примеру, DNS:

удаленный порт и адорес - any
локальный порт - 21, ip - any

Это правило под момент, если я держу DNS - сервер, что ли?

Добавлено:
Еще вопрос. В правилах можно порты указывать. Там есть либо single, либо диапазон.

А как определенное число портов поставить, типа:

143, 995

Если так писать в single, то получим 144 port
range тоже не то.

Неужто еще одно правило придется создавать?

Добавлено:
блин. вот, к примеру нужно забить 80-83, 443, 1080, 3128, 8080, 8088, 11523 порты в download manager
неужто нужно столько правил создавать

млин. опять стоим

dariusii

Цитата:

Проект уже болье, чем пол года стоит на месте. Для файрволла это, даже не знаю..

Его специфика работы отличается от других, соответсвенно когда всё работает нет смысла торопиться, что-то менять...

Цитата:

вот, к примеру нужно забить 80-83, 443, 1080, 3128, 8080, 8088, 11523 порты в download manager
неужто нужно столько правил создавать

80-83 диапазон, а далее создаёшь одно правило с опредлённым портом, клонируешь его и исправляешь порт на необходимый.

Решил проблему!
http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=780#19
http://forum.ru-board.com/topic.cgi?forum=5&topic=11193&start=800#3

Непонятное поведение Jetico, постоянно определяющего изменение сетевых настроек, удалось вылечить переустановкой системы.

При установке ПО заметил, что Jetico ругнулся на изменение сетевой конфигурации и предложил перезагрузиться при установке Avast. Может быть там копать надо было? Имейте ввиду, коллеги!