» Jetico Personal Firewall

2kesic
Да я и сам сижу на первой. Бету в тестовой системе гоняю. Точнее, пытаюсь, т.к. у нее GUI никак с сервисом состыковаться не может... IMHO, "горячие финские парни" слегка погорячились, сразу объявив бету коммерческой .

XenoZ

Цитата:

"горячие финские парни" слегка погорячились, сразу объявив бету коммерческой

точно. У меня по єтому поводу один вопрос - зачем же так с беткой

А у меня все никак не получается настроить Jetico на работу eMule
может кто поделится правилом для него?

2Yarylo
А здесь смотрел Настройка персональных файерволов (firewall rules)?

XenoZ
смотрел и пробовал, но безуспешно...

2Yarylo
А в чем проблема, поконкретнее?

XenoZ
Это я затупил пометил осла как веб браузер уже работает

Народ, поставил тут сабж, посмотрел... В целом - понравилось, но есть вопрос. Если кто разъяснит - было бы супер!

Для примера, в Ask User у меня на процесс svchost стоит переход в Application Blocked Zone.
Все, что попадает в "Application Blocked Zone" судя по соответствующей таблице должно получать Reject.
так почему у меня каждый раз файер опять про svchost спрашивает?

Вот скриншот для демонстрации:

http://img104.imageshack.us/img104/7509/testfk0.gif

На нем четко видно, что в "Ask User" для процесса svchost стоит переход в таблицу "Application Blocked Zone". В этой таблице только одно правило - для всех делать Reject.

Так почему мне задается вопрос про svchost постоянно? По логике этот процесс должен потерять возможность сетевой активности...

2Big_Ban

Цитата:

Я так понимаю существуют Blocked zone и Trusted zone

Запускаешь Configuration Wizard и забиваешь нужные адреса. Либо в папке %PROGRAMFILES%\Jetico\Jetico Personal Firewall\Config\ ручками правишь файл settings.xml .

Цитата:

так почему у меня каждый раз файер опять про svchost спрашивает?

Если у перехода Blocked Zone/Trusted Zone стоит восклицательный знак, то это означает отсутствие данных в соответствующих разделах settings.xml и, соответственно, данное правило не активно.

Цитата:

Более того, если сделать собственную таблицу, например "Deny App" и правило по умолчанию там поставить Reject для всего, то если для какого-то процесса при любых условиях сделать вход в эту таблицу - то почему-то Reject не наступает! Почему?!

Не совсем понятно . К примеру, у меня для IE сделана отдельная таблица, в к-рой первым правилом стоит reject all и все нормально... А когда мне от него что-то нужно, я это правило отключаю (вторым правилом у меня стоит ask) и разруливаю, как нужно.

Добавлено:

Цитата:

Вот скриншот для демонстрации:

Так у тебя там правило одноразовое (буковка T). При запросе флажок поставь на Remember my answer .

Big_Ban

Цитата:

так почему у меня каждый раз файер опять про svchost спрашивает?

Есть ещё и System Applications, где есть правила для svchost, так вот не проще ли там выставить reject? Примерно так:

2Big_Ban
Рассмотрел твой скриншот повнимательней и заметил, что у тебя две таблицы Application Blocked Zone: одна в Application Table, а вторая в Ask User. Проверь, на какую именно таблицу идет переход. По моим опытам, Джетика ищет таблицы, начиная с Root, т.е. переход у тебя должен идти в Application Table->Application Blocked Zone. Если нужен переход именно в Ask User'е, измени название таблицы.

Добавлено:
2Big_Ban
И еще, вопрос в целя повышения образованности . Как ты собираешься выходить в сеть/И-нет, если запретишь все svchost'у ?

Парни, спасибо

Причина была действительна в том, что правило одноразовое. Я тупанул просто не по детски, столько эеспериментировал -и в результате пропустил данный пункт.


Цитата:

Как ты собираешься выходить в сеть/И-нет, если запретишь все svchost'у ?

да это я для примера привел. Сейчас все ок, svchost'у разрешено резольвить имена к DNS-провайдера + разрешены некоторые действия, связанные с ALG. Остальное запрещено

Теперь думаю - вот для того, чтобы шарами пользоваться в локалке - достаточно ли SYSTEM'у разрешить коннекты по 445 порту TCP / UDP?

Или еще что надо?
К сожалению, сейчас проверить не могу, ноут не у меня...

Добавлено:

Цитата:

Рассмотрел твой скриншот повнимательней и заметил, что у тебя две таблицы Application Blocked Zone: одна в Application Table, а вторая в Ask User

гы, ты еще просто не понял как Jetico работает с системными таблицами

Назначать какому-нибудь приложению в "Ask user" переход в "Application Blocked Zone" - и получишь тот же эффект

Если собственная новая таблица при ее использовании перемещается в нужную ветку, то системная таблица остается на месте и копируется в нужную ветку. Вот

Добавлено:
Файервол отличный!

Но почему он не умеет работать как сервис?!?!?
Если бы не такая бага - я бы нашел самый лучший в мире файер...

А иначе получается:

1) когда компьютер стартует - файервол получается не действует. То есть, любой сервис может получить абсолютный доступ к сети

2) если в WinXP сделать WIN+L и одновременно зайти в другой сеанс - то в том сеансе любые приложения могут делать что угодно

А у меня такое часто бывает, под одним юзером что-то качается, а потом приходит другой напечатать что-нибудь - и заодит под своим пользователем...

2Big_Ban

Цитата:

Теперь думаю - вот для того, чтобы шарами пользоваться в локалке - достаточно ли SYSTEM'у разрешить коннекты по 445 порту TCP / UDP?

Я 445-й убил вообще. А для локалки достаточно 137:138 и 139.

Цитата:

гы, ты еще просто не понял как Jetico работает с системными таблицами
Назначать какому-нибудь приложению в "Ask user" переход в "Application Blocked Zone" - и получишь тот же эффект
Если собственная новая таблица при ее использовании перемещается в нужную ветку, то системная таблица остается на месте и копируется в нужную ветку. Вот

Так с системными таблицами я и не экспериментировал - ни к чему было . Просто был вариант - рассматривал чужой конфиг - там была подобная фишка, а когда проверял переход, - переходило на системную таблицу.

Цитата:

2) если в WinXP сделать WIN+L и одновременно зайти в другой сеанс - то в том сеансе любые приложения могут делать что угодно

Когда разруливал Джетику дома на всю семью, просто отключил быстрое переключение пользователей, во избежание возможных конфликтов.

Цитата:

Я 445-й убил вообще. А для локалки достаточно 137:138 и 139

а Сетевое окружение при этом работает?!?! Насколько я знаю - файлы как раз по 445 порту передаются службой "Доступа к файлам MS".


Цитата:

Когда разруливал Джетику дома на всю семью, просто отключил быстрое переключение пользователей, во избежание возможных конфликтов

вот... А меня это не устраивает. Ну вот эту фишку бы еще подделали в jetico - и было бы просто супер!

У меня, например, eMule часами может что-то тянуть, качает и качает себе. А любой другой пользователь может при этом зайти под собой, под своими настройками и делать свои дела - очень удобно. Просто когда уходишь - нажимаешь WIN+L и все.
А тут получается фигня с файером

Цитата:

1) когда компьютер стартует - файервол получается не действует. То есть, любой сервис может получить абсолютный доступ к сети

- А случаем нет настроек типа "когда жпф не запущен"? Чтоб выставить там "блокировать всё, когда не запущен".
//по крайней мере, на некоторых стенах такие настройки видел/юзал//

bredonosec
я уже вроде все облазил там, нигде такого пункта не нашел. Если бы кто подсказал - было бы супер круто.

2Big_Ban

Цитата:

а Сетевое окружение при этом работает?!?! Насколько я знаю - файлы как раз по 445 порту передаются службой "Доступа к файлам MS"

Насколько мне известно, файлы в NetBIOS гонятся в основном по 139 порту. 137:138 - пересылка диаграмм. 445-й впервые появился в Win2000 и используется обычно тогда, когда нет коннекта по 139. Учитывая то, что 445-й - это один из "любимых" хакерских портов, IMHO, лучше его сразу прибить и в локалке и в "System Internet Zone" (и 135-й заодно ), чтобы потом не было мучительно больно...

Цитата:

Ну вот эту фишку бы еще подделали в jetico - и было бы просто супер!

Ну, эту фишку и еще много чего разработчики обещают во второй версии. Но пока у них серьезные проблемы с бетой (почитай пару страничек назад).

Цитата:

Учитывая то, что 445-й - это один из "любимых" хакерских портов, IMHO, лучше его сразу прибить

пофигу. Я все равно весь NB разрешаю только для "Home Local Zone", в которую входит только моя домашняя локальная сеть.

подскажите где что править ... у меня скорость локалки и инета в два раза падает когда фаер включен ...

упс

Makak
нет таких понятий - "скорость локалки" и "скорость интернета".

Народ! А как грамотно настроить NAT?

Расшариваю его с помощью стандартых средств WinXP (в настройках PPPoE соединения на вкладке дополнительно "Разрешить другим компьютерам локальной сети работать... бла бла")

2 Big_Ban
ну смысл то ты понял

Помогите ребята пожалуйста. Кто знает.
Ситуация такая.
Есть локальная сеть домового провайдера, к которой подключены все кто хочет пользоваться его услугами, включая машину на которой мне нужно настроить фаер.
Фаер, понятное дело Jetico.
В двух словах.
Настройки локально-сетевого соединения к провайдеру по умолчанию - то есть провайдер раздаёт адреса на автомате через DHCP. При наличии этого локально-сетевого соединения можно подключиться только к ftp-серверу провайдера и больше ни куда.
Интернет же провайдер раздаёт через VPN-соединения (правда без шифрования), но с логином и паролем.
Адрес сервера провайдера который указывается для VPN-соединения 10.2.1.1.
Естественно. Пока этот адрес у меня в фаере не разрешён, никакое VPN-соединение с провайдером я установить не могу. Если же я устанавливаю для 10.2.1.1 - полный доступ (всё разрешено), к примеру через мастера настройки сети (есть такой в Jetico), или другим способом, то естественно появляется возможность установить с провайдером VPN-соединение и выйти таким образом в интернет.
НО! Таким образом хотя и защищён перед инетом, но со стороны сервера провайдера (10.2.1.1) я полностью открыт (голый).
"Вопрос жизни и смерти".
Как мне лучше настроить правила доступа для 10.2.1.1, чтобы VPN-соединение с провайдером могло устанавливаться, но при этом чтобы со стороны сервера провайдера я был надёжно закрыт. Жду рекомендаций ребята как мне лучше защититься. Заранее благодарю.

Den_Klimov
ты знаешь что такое паранойя? ))
Ты всерьез думаешь, что провайдер со своего VPN-узла (а это наверняка какая-нибудь циска) будет тебя атаковать?! ТЫ этому IP передаешь свой логин и пароль, это уже некое доверие, не так ли?

Вообще, конечно, можешь в "System IP table" создать 2 правила, протокол: PPTP

Одно правила на исходящие пакеты на destination: 10.2.1.1
Второе правило на входящие пакеты от source: 10.2.1.1

Или тебе этого мало?

В описанном случае никаких другим соединений с удаленным хостом 10.2.1.1, окромя VPN-трафика не будет. Но это уже - ПАРАНОЙЯ

2All
Кому не терпится попытать 2 бету, но постоянно выскакивает

Цитата:

CoCreateInstance hr=0x80070005

могут попробовать экспериментально-тестовый вариант, полученный в результате общения с разработчиками:

Цитата:

...If "CoCreateInstance" problem presists,
you can do following experiment to check if the problem comes from
service security settings or local security policy.

1. Run jpfsrv.exe /unregserver (uninstall service)
2. Run jpfsrv.exe /regserver (register jpfsrv as ordinary COM server)
3. Run jpf.exe. jpfsrv.exe will run as ordinary application without service priveleges...

Вышеуказанная комбинация перерегистрирует jpfsrv.exe, как обычную COM-службу, и запускаться он будет как обычное приложение, без служебных привилегий.
ВНИМАНИЕ! Обратного преобразования, судя по всему, не предусмотрено, так что, в случае чего, возврат в исходное состояние - только через Uninstall .

Добавлено:
Только что получил от разработчиков:

Цитата:

I do suspect that JPF service experiences some startup problems.
Now I'm investigating possible sources for those problems including
security settings. Unfortunately, I'm still unable to reproduce the bug.
Even if I insert extra faults my version loads ok.

Какой-то затык у них с этим багом - даже воспроизвести не могут .

XenoZ
Да странно. Бэту на рабочую машину не ставил, поставил на виртуалку - бага вылезла сразу.
P.S.
Судя по ответу разработчиков версия 2 будет платной

Big_Ban
Искренне благодарю за совет.

Man in White

Цитата:

Бэту на рабочую машину не ставил, поставил на виртуалку - бага вылезла сразу.

бету первый раз ставил?
Возможно после установки предыдущей остались следы, т.к. я специально попробовал установить на чистую виртульную винду - без проблемм.

Seva I
Ставил первый раз. Раньше ни Джетико ни других файерволлов там не стояло. Винда на виртуалке вин ХП СП2(та что с диска т.е без всяких дополнительных обновлений).
P.S.
Правда стоит KAV 6.