2Spark
А у тебя логи на запрещающие правила включены?
А у тебя логи на запрещающие правила включены?
» Jetico Personal Firewall
XenoZ
Log level имеется в виду? Нет, везде стоит disabled - ведь так по умолчанию, кажется? А какой уровень выставить? Warning?
Log level имеется в виду? Нет, везде стоит disabled - ведь так по умолчанию, кажется? А какой уровень выставить? Warning?
Spark
Выставляй что хочешь. От уровеня зависит каким цветом они будут выделяться на общем фоне. Подбирай на глаз.
Выставляй что хочешь. От уровеня зависит каким цветом они будут выделяться на общем фоне. Подбирай на глаз.
Ага, спасибо. Поставил alert и вот что он мне подсветил красненьким(на момент блокировки сетевой активности):
A: 10/06/2006 12:08:38.453 reject Block All not Processed IP Packets 176 ICMP outgoing packet 192.168.1.2 212.188.4.10 TTL: 128; TOS: 0; ID: 0B06; ICMP type: 3, code: 3
B: 10/06/2006 12:28:54.906 reject Block All not Processed IP Packets 48 TCP incoming packet 82.56.80.185 192.168.1.2 3541 4662 TTL: 114; TOS: 28; ID: 7E03; Don't fragment; TCP flags: SYN ; TCP Seq: D2989199
Офигенная куча вопросов возникла:
1. Пакет A разрешен правилом
accept Allow ICMP Ping disabled ICMP outgoing packet any any ICMP type: Echo (8), code: any
а пакет B правилом
accept Stateful TCP Inspection disabled TCP any any any
Что за .... ???
2. Даже, допустим, сабж блокирует эти пакеты(по непонятной причине) - но тогда почему когда уже после блокировки я пытаюсь открыть, допустим, yandex.ru(и получаю отлуп) новых строчек в логе не возникает? Только эти две что я привел.
3. Самое непонятное - почему первые 30 мин. никакой блокировки нет? Откуда она возникает за нафиг??
И почему потом шотдаун/рестарт самого Jetico не помогает, а помогает только рестарт системы? Он что - не полностью выгружается из памяти???
Короче - хелп, плиз!!
A: 10/06/2006 12:08:38.453 reject Block All not Processed IP Packets 176 ICMP outgoing packet 192.168.1.2 212.188.4.10 TTL: 128; TOS: 0; ID: 0B06; ICMP type: 3, code: 3
B: 10/06/2006 12:28:54.906 reject Block All not Processed IP Packets 48 TCP incoming packet 82.56.80.185 192.168.1.2 3541 4662 TTL: 114; TOS: 28; ID: 7E03; Don't fragment; TCP flags: SYN ; TCP Seq: D2989199
Офигенная куча вопросов возникла:
1. Пакет A разрешен правилом
accept Allow ICMP Ping disabled ICMP outgoing packet any any ICMP type: Echo (8), code: any
а пакет B правилом
accept Stateful TCP Inspection disabled TCP any any any
Что за .... ???
2. Даже, допустим, сабж блокирует эти пакеты(по непонятной причине) - но тогда почему когда уже после блокировки я пытаюсь открыть, допустим, yandex.ru(и получаю отлуп) новых строчек в логе не возникает? Только эти две что я привел.
3. Самое непонятное - почему первые 30 мин. никакой блокировки нет? Откуда она возникает за нафиг??
И почему потом шотдаун/рестарт самого Jetico не помогает, а помогает только рестарт системы? Он что - не полностью выгружается из памяти??? Короче - хелп, плиз!!
Уже писали что в следующей версии будет запуск Jetico как службы. Только когда это будет?(следующая версия) А сейчас есть вариант, кто нибудь пробовал?
Spark
Думаю у тебя все из-за правила А. 212.188.4.10 наверно твой ДНС. Попробуй сохранить конфиг, а потом сделать сброс к заводским настройкам. Можно так же и переставить Jetico. А еще ты не на ADSL в инет ходишь? У нас есть с ним небольшой косяк. Связь как бы рвется при бездействии и потом когда запрашиваешь страницу проходит много времени пока разкочегариться.
Думаю у тебя все из-за правила А. 212.188.4.10 наверно твой ДНС. Попробуй сохранить конфиг, а потом сделать сброс к заводским настройкам. Можно так же и переставить Jetico. А еще ты не на ADSL в инет ходишь? У нас есть с ним небольшой косяк. Связь как бы рвется при бездействии и потом когда запрашиваешь страницу проходит много времени пока разкочегариться.
DOE_JOHN
У меня выход в инет через ADSL но связь устойчивая
протокол PPPoE добавлен в Protocol Table
У меня выход в инет через ADSL но связь устойчивая
протокол PPPoE добавлен в Protocol Table
2Spark
Если не трудно, кинь свой конфиг мне на мыло.
В среду гляну (Джетика у меня на работе).
Если не трудно, кинь свой конфиг мне на мыло.
В среду гляну (Джетика у меня на работе).
DOE_JOHN
Цитата:
Абсолютно точно, он!
Цитата:
Не понял - это каждую ссесию придется с этого начинать? Или это однократное действие?
Цитата:
Именно на нем!
Цитата:
Хмм... А в чем физическая сущность этого "кочегарения"? Почему без Jetico после ЛЮБОГО(по времени) простоя связь устанавливается мгновенно?
Kapit2003
Цитата:
Вот и я до Jetico не знал что есть "связь как бы рвется при бездействии". С моей точки зрения связь 100% стабильна, вне зависимости от моих действий/бездействия.
XenoZ
ушло!! Файл Optimal.bcf приаттачен к письму БЕЗ упаковывания, 26.4Кб Это именно мой рабочий конфиг, а не заводские настройки - я их перекофигурировал "под себя".
Цитата:
Думаю у тебя все из-за правила А. 212.188.4.10 наверно твой ДНС.
Абсолютно точно, он!
Цитата:
Попробуй сохранить конфиг, а потом сделать сброс к заводским настройкам.
Не понял - это каждую ссесию придется с этого начинать? Или это однократное действие?
Цитата:
А еще ты не на ADSL в инет ходишь?
Именно на нем!
Цитата:
Связь как бы рвется при бездействии и потом когда запрашиваешь страницу проходит много времени пока разкочегариться
Хмм... А в чем физическая сущность этого "кочегарения"? Почему без Jetico после ЛЮБОГО(по времени) простоя связь устанавливается мгновенно?
Kapit2003
Цитата:
У меня выход в инет через ADSL но связь устойчивая
Вот и я до Jetico не знал что есть "связь как бы рвется при бездействии". С моей точки зрения связь 100% стабильна, вне зависимости от моих действий/бездействия.
XenoZ
ушло!! Файл Optimal.bcf приаттачен к письму БЕЗ упаковывания, 26.4Кб Это именно мой рабочий конфиг, а не заводские настройки - я их перекофигурировал "под себя".
2Spark
Получил OK.
Получил OK.
Почти аналогичная проблема. JPF 1.0.1.61 на Windows 2003 server минут через 20 работы начинает блокировать входящие соединения, даже прямо разрешённые в настройках. При этом исходящие соединения работают по правилам. Сбрасывал на заводские настройки, переписывал всё заново, но проблема повторялась.
Как я почитал, Jetico работает на Windows 2003 server, но может там есть хитрости?
Как я почитал, Jetico работает на Windows 2003 server, но может там есть хитрости?
Spark
Цитата:
Нет это однократно, чтобы убедиться что в твоем конфиге что то из нужного не запрещено тобой.
Цитата:
Я считаю что это все ADSl косячит. Типа не пользуешься, отключтм тебя на время. А при запросе опять астанавливается соединение.
Kapit2003
Цитата:
В каком случае это надо? Когда модем на USB или когда через Lan тоже. Можешь привести свои настройки для протокола PPPoE. У меня в прочих протоколах только arp, а wifi я отключил за ненадобностью.
Цитата:
Не понял - это каждую ссесию придется с этого начинать? Или это однократное действие?
Нет это однократно, чтобы убедиться что в твоем конфиге что то из нужного не запрещено тобой.
Цитата:
А в чем физическая сущность этого "кочегарения"?
Я считаю что это все ADSl косячит. Типа не пользуешься, отключтм тебя на время. А при запросе опять астанавливается соединение.
Kapit2003
Цитата:
протокол PPPoE добавлен в Protocol Table
В каком случае это надо? Когда модем на USB или когда через Lan тоже. Можешь привести свои настройки для протокола PPPoE. У меня в прочих протоколах только arp, а wifi я отключил за ненадобностью.
Удивительно, но, удалив какие-то временные файлы или бэкапы Jetico... Он начал работать. Фух... Не пришлось ни переустанавливать систему, ни мучаться по всякому.
А вот что именно удалил — фиг его знает. Просто очищал систему с помощью FreeSpacer. Я, когда смотрел, что удалять, а что нет, к сожалению, не запомнил имена файлов.
А вот что именно удалил — фиг его знает. Просто очищал систему с помощью FreeSpacer. Я, когда смотрел, что удалять, а что нет, к сожалению, не запомнил имена файлов.
DOE_JOHN
Модем подключен через USB
На компьютере стоит протокол PPPoE поэтому я и добавил его
если нет то не надо
Вот настройки
accept PPPoE discovery disabled PPPoE discovery any
accept PPPoE session disabled PPPoE session any
Модем подключен через USB
На компьютере стоит протокол PPPoE поэтому я и добавил его
если нет то не надо
Вот настройки
accept PPPoE discovery disabled PPPoE discovery any
accept PPPoE session disabled PPPoE session any
2Spark
Ты ничего не перепутал? Рабочий конфиг хранится по этому пути:
%USERPROFILE%\Application Data\Jetico Personal Firewall\1.0\Optimal.bcf
А тот, что ты прислал, здорово смахивает на дефолтовый.
Ты ничего не перепутал? Рабочий конфиг хранится по этому пути:
%USERPROFILE%\Application Data\Jetico Personal Firewall\1.0\Optimal.bcf
А тот, что ты прислал, здорово смахивает на дефолтовый.
Может новичкам будет полезно. я так делаю правила для программ.
Создаю новую таблицу и в ней делаю правило спросить/ask. Затем в таблице с правилами приложений делаю правило для конкретной программы а вердиктом указываю новую таблицу. Теперь все вопросы о программе будут собираться в эту таблицу. Остается только из проанализировать и обобщить. Все. Если уверены что больше ничего не надо то можно правило ask в конце поменять на reject.
XenoZ
Рабочий конфиг может лежать где тебе удобно. Хотя он мог и действительно дефолтный прислать.
Создаю новую таблицу и в ней делаю правило спросить/ask. Затем в таблице с правилами приложений делаю правило для конкретной программы а вердиктом указываю новую таблицу. Теперь все вопросы о программе будут собираться в эту таблицу. Остается только из проанализировать и обобщить. Все. Если уверены что больше ничего не надо то можно правило ask в конце поменять на reject.
XenoZ
Рабочий конфиг может лежать где тебе удобно. Хотя он мог и действительно дефолтный прислать.
Ну в принципе проблема упростилась после перестановки джетико - теперь он сразу начинает блокировать все входящие, при этом с исходящими работая по правилам. Есть тут люди у которых он стоит на 2003 сервере?
ishipenkov
У тебя 2003 сервер как отдельная машина или как сервер. И блокирует точно ВСЕ входящие или неожидаемые входящие, которые ни одна программа с твоей машины не запрашивала. Это кажется относиться к stateful inspection.
У тебя 2003 сервер как отдельная машина или как сервер. И блокирует точно ВСЕ входящие или неожидаемые входящие, которые ни одна программа с твоей машины не запрашивала. Это кажется относиться к stateful inspection.
Цитата:
Рабочий конфиг может лежать где тебе удобно.
Ну, это если указать конкретно, а по умолчанию он лежит именно там:
Цитата:
%USERPROFILE%\Application Data\Jetico Personal Firewall\1.0\Optimal.bcf
Добавлено:
2ishipenkov
Насколько я помню, эта тема уже поднималась.
"...Джетика - не серверный файер. А stateful inspection - это привязка пакетов к уровню приложений, т.е. при включенной s.i. Джетика проверяет полученный пакет на ожидаемость каким-либо приложением и, если не находит такого, то режет пакет. Другими словами - при включенной s.i. Джетика не пропустит ни один транзитный пакет. Единственный выход - поиграться со Stateful inspection (определить, где ее можно и нужно отключить), правда уровень защиты от этого несколько снизится..."
Уф-ф-ф. Получите сборную "солянку" из инфы, к-рая у меня отложилась в памяти
. Если где-то соврал - извиняйте 
. Добавлено:
2All
Господа! На базе своего конфига сваял htm'ку с краткими комментариями. Если кому интересно, могу отмылить. В кодинге не спец, поэтому набирал во FrontPage 2003, так что просьба строго не судить
. Размер в zip'е - 28K.Понятно, спасибо всем. Пришлось переходить на другой фаервол.
XenoZ
Конфигами можно и так обмениваться. Свой перенес с работы домой на виртуалку и потом на домашнюю машину. Надо только переопределить hash для всего.
ishipenkov
Полистай тему. Про настройку на серверной машине было. Только не помню к чему пришли.
Конфигами можно и так обмениваться. Свой перенес с работы домой на виртуалку и потом на домашнюю машину. Надо только переопределить hash для всего.
ishipenkov
Полистай тему. Про настройку на серверной машине было. Только не помню к чему пришли.
2DOE_JOHN
Да я и не настаиваю. Просто, IMHO, для того, кто только начал знакомиться с Джетикой, чужой конфиг (в оригинале) - темный лес. Сам несколько тем перелопатил, пока разбирался что к чему.
Да я и не настаиваю. Просто, IMHO, для того, кто только начал знакомиться с Джетикой, чужой конфиг (в оригинале) - темный лес. Сам несколько тем перелопатил, пока разбирался что к чему.
XenoZ
А закинь ка мне его. Посмотрю и может выложу в сети, если не против. Адрес в личку отправил.
А закинь ка мне его. Посмотрю и может выложу в сети, если не против. Адрес в личку отправил.
XenoZ
Цитата:
Вот это верно, задачи на машинах могут быть разными.
Цитата:
Просто, IMHO, для того, кто только начал знакомиться с Джетикой, чужой конфиг (в оригинале) - темный лес.
Вот это верно, задачи на машинах могут быть разными.
Вроде бы немного 
, но ситуация, на мой взгляд, интересная.
Смотрел лог и обратил внимание, что Джетика периодически режет исходящие пакеты по протоколу IGMP с вердиктом "Block All not Processed IP Packets" на адрес 224.0.0.22. Немного "погуглил" и нашел такую инфу:
основное имя домена для адреса 224.0.0.22 – IGMP.MCAST.NET
Информация об ip-адресе 224.0.0.22
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
На иноязычных форумах вопросов по подобной проблеме довольно много, но внятного ответа, кто и зачем, я не нашел. Кто-нибудь в курсе, что это за хрень?
OS - Win XP Pro RUS SP-2 + SP-2.1
P.S. Троян и иже с ним в системе - маловероятно.
P.P.S. Пока вставил в System IP Table правило "резать все исходящие по IGMP".
P.P.P.S. Вспомнил один эпизод: некоторое время назад (год или два) купили для одной конторы лицензионный диск с XP SP-2. Поставил ее на комп, настроил. Потом решил потестить на ней антивир Panda Titanium. Поставил, перегрузился, и тут антивир радостно сообщает, что грохнул шпиена (на свежеустановленной системе 
). Тогда разбираться было некогда, антивир снес, комп отдали заказчику. Или это был косяк антивира или, если связать с вышеописанным - какая-то виндовая фишка? 
.
Добавлено:
Выявилась закономерность: данные пакетики выявляются в моменты подключения к И-нету и отключения от оного.
, но ситуация, на мой взгляд, интересная. Смотрел лог и обратил внимание, что Джетика периодически режет исходящие пакеты по протоколу IGMP с вердиктом "Block All not Processed IP Packets" на адрес 224.0.0.22. Немного "погуглил" и нашел такую инфу:
основное имя домена для адреса 224.0.0.22 – IGMP.MCAST.NET
Информация об ip-адресе 224.0.0.22
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
На иноязычных форумах вопросов по подобной проблеме довольно много, но внятного ответа, кто и зачем, я не нашел. Кто-нибудь в курсе, что это за хрень?
OS - Win XP Pro RUS SP-2 + SP-2.1
P.S. Троян и иже с ним в системе - маловероятно.
P.P.S. Пока вставил в System IP Table правило "резать все исходящие по IGMP".
P.P.P.S.
Вспомнил один эпизод: некоторое время назад (год или два) купили для одной конторы лицензионный диск с XP SP-2. Поставил ее на комп, настроил. Потом решил потестить на ней антивир Panda Titanium. Поставил, перегрузился, и тут антивир радостно сообщает, что грохнул шпиена (на свежеустановленной системе ). Тогда разбираться было некогда, антивир снес, комп отдали заказчику. Или это был косяк антивира или, если связать с вышеописанным - какая-то виндовая фишка? . Добавлено:
Выявилась закономерность: данные пакетики выявляются в моменты подключения к И-нету и отключения от оного.
XenoZ
Это плагин Alexa, не обращай внимания...
Это плагин Alexa, не обращай внимания...
XenoZ
Цитата:
Упс! Был реально не прав но уже исправился - новый Optimal.bcf из правильного пути(66 Kb) ушел на то же мыло.
Добавлено:
Цитата:
А не подскажешь - где в конфиге Джетика можно такие "игры" проводить?
Добавлено:
Проблема с периодическим "block all" все еще актуальна, как исправить не знаю.
Пример: я выхожу в и-нет через ADSL модем. Последний видится компьютеру через его(модема) IP http://192.168.1.1/ Набирая этот адрес в IE я получаю доступ к интерфейсу модема и могу настраивать его и т.п. Так вот в основном при запущеном сабже все OK, но иногда http://192.168.1.1/ не срабатывает - "нет страницы". Выгружаю Джетика - все OK. Загружаю снова - все снова bad. Перегружаю систему(сабж в автозагрузке) - все опять OK. Блин, я никак не могу врубиться - это глюки такие, или это у сабжа такая логика работы, какую нам, черным, не понять?
Цитата:
Ты ничего не перепутал? Рабочий конфиг хранится по этому пути:
Упс! Был реально не прав
но уже исправился - новый Optimal.bcf из правильного пути(66 Kb) ушел на то же мыло. Добавлено:
Цитата:
Единственный выход - поиграться со Stateful inspection
А не подскажешь - где в конфиге Джетика можно такие "игры" проводить?
Добавлено:
Проблема с периодическим "block all" все еще актуальна, как исправить не знаю.
Пример: я выхожу в и-нет через ADSL модем. Последний видится компьютеру через его(модема) IP http://192.168.1.1/ Набирая этот адрес в IE я получаю доступ к интерфейсу модема и могу настраивать его и т.п. Так вот в основном при запущеном сабже все OK, но иногда http://192.168.1.1/ не срабатывает - "нет страницы". Выгружаю Джетика - все OK. Загружаю снова - все снова bad. Перегружаю систему(сабж в автозагрузке) - все опять OK. Блин, я никак не могу врубиться - это глюки такие, или это у сабжа такая логика работы, какую нам, черным, не понять? Spark
Это в System Intrernet Zone так и называется Stateful inspection для TCP И UDP.
А если для браузера сделать правило с превязкой на адрес и порт.
Это в System Intrernet Zone так и называется Stateful inspection для TCP И UDP.
А если для браузера сделать правило с превязкой на адрес и порт.
2Spark
Для начала, скомпонуй "Ask User": запреты - наверх, потом - переходы, а затем уже разрешения.
Для Janus, USDownloader, WebMoney сделай отдельные таблицы.
Старый переход для eMule можно убить.
Растащи по соответствующим таблицам правила для Maxthon и eMule.
Что касается Lingvo.exe и LvAgent.exe - сам не пользую, но в топике инфа проходила:
Цитата:
Отсюда вывод:
1. LvAgent.exe - системный hook разрешить,
2. LvAgent.exe - "access to network" разрешить,
3. LvAgent.exe - запретить все.
Возможно, еще понадобится такая же комбинация (пп. 2 и 3) и для Lingvo.exe.
А вообще-то ты с хуками поаккуратней, по крайней мере, IMHO, Maxthon'у он ни к чему.
На ВСЕ режекты включи лог.
Посмотри еще здесь (в конце), если интересно.
Stateful Inspection:
Два глобальных правила - в таблице "System Internet Zone", а также есть внутри некоторых правил, как дополнительный параметр.
Пример: System IP Table -> правило "Allow DHCP request" -> Редактировать -> Зависящие от протокола параметры -> Контекстная фильтрация (Stateful Inspection)
Пока все
.
Для начала, скомпонуй "Ask User": запреты - наверх, потом - переходы, а затем уже разрешения.
Для Janus, USDownloader, WebMoney сделай отдельные таблицы.
Старый переход для eMule можно убить.
Растащи по соответствующим таблицам правила для Maxthon и eMule.
Что касается Lingvo.exe и LvAgent.exe - сам не пользую, но в топике инфа проходила:
Цитата:
Автор: kkk4, Отправлено:02:30 26-09-2004
Отсюда вывод:
1. LvAgent.exe - системный hook разрешить,
2. LvAgent.exe - "access to network" разрешить,
3. LvAgent.exe - запретить все.
Возможно, еще понадобится такая же комбинация (пп. 2 и 3) и для Lingvo.exe.
А вообще-то ты с хуками поаккуратней, по крайней мере, IMHO, Maxthon'у он ни к чему
. На ВСЕ режекты включи лог.
Посмотри еще здесь (в конце), если интересно
. Stateful Inspection:
Два глобальных правила - в таблице "System Internet Zone", а также есть внутри некоторых правил, как дополнительный параметр.
Пример: System IP Table -> правило "Allow DHCP request" -> Редактировать -> Зависящие от протокола параметры -> Контекстная фильтрация (Stateful Inspection)
Пока все
.Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687
Предыдущая тема: pcInternet Patrol
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.