» Jetico Personal Firewall

на сервере стоит Jetico Personal Firewall 2.0.0.37
настраиваю VPN соединение средствами Windows XP
вношу IP адрес клиента (того компьютера с которого подключаюсь) в Trusted Addresses
авторизация проходит, подключение есть
настраиваю выход в интернет. И вот тут натыкаюсь на то что доступа нет.
При отключении фаера доступ сразу появляется.
Вопрос такой: что я забыл прописать в фаерволе?
PS никаких запросов на обучение не выдает

ZloyFox
В " system ip table" надо ещё правила создать.

2 ALL
Подскажите, кто-нибудь видел тест в сравнении с Agnitum Outpost Firewall Pro?

Victor_VG
не помогает
можт из-за этого..

ZloyFox 20:54 30-10-2007
Цитата:

Вопрос такой: что я забыл прописать в фаерволе?

См. здесь...

Цитата:

XenoZ См. здесь...

Спасибо. Видимо я некорректно поставил вопрос, из-за чего меня не поняли.
То что находится по ссылке аналогично

Цитата:

вношу IP адрес клиента (того компьютера с которого подключаюсь) в Trusted Addresses

т.е. VPN у меня есть, у меня нет выхода во внешку с компьютера клиента. Этот вопрос я уже решил путем создания правил

S Addr D Addr S Port D Port
accept исходящие для VPN TCP outgoing packet Z.Z.Z.Z -/- -/- -/-
accept исходящие для VPN UDP outgoing packet Z.Z.Z.Z -/- -/- -/-
accept исходящие для VPN TCP outgoing packet X.X.X.X -/- -/- -/-
accept исходящие для VPN UDP outgoing packet X.X.X.X -/- -/- -/-
accept http для VPN TCP incoming packet X.X.X.X -/- -/- 80
accept http для VPN TCP outgoing packet -/- X.X.X.X 80 -/-
accept http для VPN TCP incoming packet -/- Z.Z.Z.Z 80 -/-
accept DNS UDP incoming packet -/- Z.Z.Z.Z 53 -/-

где "-/-" пустое поле
Z.Z.Z.Z - адрес VPN сервера на котором стоит Jetico
X.X.X.X - адрес который получает клиентская машина внутри VPN (серый адрес)

Другими словами, исходящие разрешены все, а входящие только с интересующих портов. В данном случае интересует http. Аналогичным методом разрешаются и другие порты.

удалил "Jetico Personal Network Monitor" из сетевых подключений.остался одинTCP/IP
J.на это никак не среагировал.
сразу модем нашёлся,надеюсь на секьюрности эт никак не отразиться...?

onny

Цитата:

удалил "Jetico Personal Network Monitor" из сетевых подключений.остался одинTCP/IP
J.на это никак не среагировал.
сразу модем нашёлся,надеюсь на секьюрности эт никак не отразиться...?

ты таким образом отключил фаер с интерфейса, т.е. открыл его.

onny

А чтобы было понятно, что получилось объясню: "Jetico Personal Network Monitor" это управляемый фильтр-датчик, в данном случае Jetico. У разных файерволов он называется по разному, но его смысл один - он пропускает через себя весь поток на проверяемом интерфейсе и блокирует в нём только то, что запрещено пропускать, а остальное он пропускает без ограничений. Таким образом отключив данный модуль ты просто выключил всю защиту на данном интерфейсе. Это равносильно его исключению из списков контроля например включением его в список доверенных.

Victor_VG

Цитата:

выключил всю защиту на данном интерфейсе.
равносильно его исключению из списков контроля например включением его в список доверенных.

относится только к "Jetico Personal Network Monitor?"

TCP/IP фильтрует на всю катушку?



Цитата:

чтобы было понятно

увы...

onny
Вроде и Victor_VG понятно объяснил, но попробую немного попроще:
тот сетевой интерфейс, на котором вы отключили "Jetico Personal Network Monitor" больше не контролируется джетико. Ничего заблокировать он на этом интерфейсе не сможет.

Нужна помощь. Стоит Jetico и Kerio WinRoute. На winroute настроент НАТ, как настроить Jetico, чтобы вторая машина могла заходить в сеть через НАТ?

Доброго времени суток!
Поставил Jetico 2, имею подключение к инету через минипорт РРРоЕ (настройки ай-пи авто). Пытаюсь соединится - не пускает, никаих вопросов не задает. Ставлю режим Разрешить - соединяет, но страницы нормально не грузит - пишет внутренняя ошибка сети. Выключаю сабж вообще - доступа по минипорту РРРоЕ не дает. В начале конфигурирования постаил разрешения и на локальную сеть и на минипорт РРРоЕ. Что делать?
Заранее спс.

TVikS
А в Network`е разрешенно PPPoE?

Kapit2003
Сабж русский, в "оптимальной защите", закладка "Сеть" есть правило "Разрешить по РРРоЕ". При попытке соединится долгая пауза и "удаленный компьютер не отвечает". Или что-то вроде того.
(Извиняюсь за неточности формулировок, но для того, чтобы войти в нет мне нужно сносить Jetico 2)
Где рыть дальше?

Если из-за джетики что-то не работает(раньше тоже с впн и пппое были проблемы, но сейчас через роутер всё проще) решаются так: все правила с пометкой Block All not Processed Protocol Packets(их 3 у меня) пишутся в лог и смотрится, какие порты надо открыть(правой кнопкой по записи в логе и "создать правило").

Поставил вышеназванный файрвол - все установилось как надо. В процессе работы создаю правила, по высвечивающимся окошкам. в Большинстве случаев выбираю Aplication Trusted Zone. При повторном включении ящика, обнаруживаю, что многие настройки конфигурации сброшены и приходиться заново тупо дать кнопку ок на окнах...

dumplock

Меню "Параметры", "Общие", отметить "Автоматическое сохранение изменений". Или не забывать записывать вручную.

Я установил неделю назад JPF 1 (снес Outpost).
Отличный файер. Маленький и быстрый и ОЧЕНЬ ГИБКИЙ (Мечта после ATGuard).
Пока не вижу причин переходить на 2 версию
В качестве примера приводят что при загрузки комп не защищен пока не войдет пользователь (Типа он запущен не как сервис). Тогда объясните такую штуку.
Соединил два компа W2K+SP4 чистые присвоил им IP 192.168.0.1 и 192.168.0.2 соотвественно указываю с компа с ip 192.168.0.2 команду \\192.168.0.1\С$ и подключаюсь к его дику С и все ок тоже самое в обратную сторону т.е. все открыто NetBios и 445 . Далее
Устанавливаю на компе с ip 192.168.0.1 JPF 1 и настраиваю блокирую NetBIOS, 445 и прочее еще раз перегружаю и оставляю его на приглашении. Проделываю ту же операцию с компа с с ip 192.168.0.2 команду \\192.168.0.1\С$ и ..... НИФИГА уже немогу подключится как в прошлый раз. Объясните почему. Значит всетаки он блокирует и работает? Или я что-то не так проверяю?

AndreyPA
Попробуй каким-нить сканером пройтись. Похоже разработчики добавили такую фичу - раньше (во времена пре-релизов) не было.

Подскажите, пожалуйста, какая из 2-ой версии наиболее стабильная, а то последняя у меня жутко тормозит при загрузке компа.
Спасибо.

GQ

Если честно я не пользовался сканерами если можно тогда поподробнее об этом и тогда я попробую. Да и нет у меня их.
Просто нет времени сейчас изучать работу сканеров и на что надо обращать внимание при их работе.
И еще есть же программы из ResKit для Windows позволяющие запускать программы как сервисы. Чуть освобожусь попробую погонять в режиме сервиса.
Просто мне кажется версия 1 на данный момент стабильная и выполняет практически все задачи возложенные на неё как на персональный файер.

AndreyPA

Всё правильно. Брандмауэр ждёт пока в систему войдёт пользователь и тогда снимает блокировку. Логон пользователя равноценен запуску Jetico. А сервис в JPFP работает от имени учётной записи Local System (во всяком случае в 2-ке). У меня стоит 2.0.0.34 пока планов по обновлению не имею.

Victor_VG

Я говорю про 1 версию она не сделана как сервис. И у многих было сомнений по поводу что пока пользователь не войдет система беспомощна,т.е. открыта для зловредных происков ))). Поэтому я предположил что скорее всего она должна блокировать всю активность до входа пользователя (как делает outpost 3.5 и поэтому у меня на компе с WinRoute 4.25 до входа пользователя не раздавался инет я и снес его (outpost) т.к. получалось два фаера не место ) и поэтому провел это тест. Хотя это не абсолютно т.к. это простая проверка на доблестный 445 доступ к компу по IP .
Мне нужен бесплатный фаер, ну и чтобы можно было гибко управлять. (Comodo слишком говорливый). А тут настроил отключил остальные вопросы и все кому положено идите пожайлуста, а остальным пошли на ...

GQ


Тут в обед продолжал читать этот топик (ТОЛЬКО без ОБИД) злобный вы %) не любите ЛУЗЕРОВ начинающих. Всем предлагаете не использовать JPF(может в последствии они разобравшись в нем станут "ВЕЛИКИМ СЕТЕВИКАМИ"). Хотя я тоже не очень люблю ленивых. Я сам только перешел на JPF тока неделю назад снес Outpost хотя проработал на нем ~ 3 года после ATGuard

AndreyPA
Файрвол это не самоцель, это инструмент для решения задачи обеспечения безопасности. Эта же задача может быть решена гораздо более простыми способами. Нет смысла человеку учиться пользоваться опасным строительным пистолетом, если все что ему надо - это иногда забивать гвозди. И он не может сформулировать (даже для себя), чем его так не устраивает молоток.
Поэтому, это не злость, это прагматизм.

Добавлено:
AndreyPA

Цитата:

Я говорю про 1 версию она не сделана как сервис. И у многих было сомнений по поводу что пока пользователь не войдет система беспомощна,т.е. открыта для зловредных происков ))).

Даже если она не сделана как сервис - ядерный компонент файрвола стартует вместе с поднятием сетевых интерфейсов. И, если ты все правильно понял, похоже с политикой "блокировать все, пока не запустилась моя гуйня".

GQ


Цитата:

И, если ты все правильно понял, похоже с политикой "блокировать все, пока не запустилась моя гуйня".

Если все таки это так тогда все стоны по поводу что он не работает как сервис мне не понятны. "Блокировать все" до входа пользователя ЭТО ЕСТЬ НОРМА ДЛЯ ПЕРСОНАЛЬНОГО ФАЙРА и значит на текущий момент ВЕРСИЯ 1 достойный файер и мне пока больше ничего не надо. И все равно как только появится у меня возможность я попробую еще раз прогнать тест со сканером и посмотреть так ли то что я написал или нет. И еще попробую его запускать сервисом и посмотреть как он себя поведет. Хотя боюсь может быть это не скоро будет. т.к. конец года и все такое на работе.

ОСОБЕННОЕ СПАСИБО создателям страницы _http://www.doejohn.nm.ru/jetico/jetico.htm и _http://www.jetico.narod.ru/ и конечно тебе за помощь в полном разбирательстве в этом (твоя статья и ответы на форуме) файре.

AndreyPA
Ну таки как сервис он не работает.
Для меня нормальное поведение персонального файрвола - это сервис, к которому может подключаться гуйня и рулить этим сервисом. Но и без гуйни он должен работать с заданными правилами (разве что вместо аск юзер делать реджект). А тут просто заради безопасности костыль, что пока гуйня файрвола не запустится, вообще сеть не работает.

Для меня (когда у меня стояла винда) это означало бы, что в случае ребута машины (например свет надолго отключили), машина загрузится, но доступа до нее не будет. И я даже не смогу зайти на нее удаленно. Сильно, знаете ли, не комильфо.

Хотя, конечно, полная прозрачность работы JPF (когда до нее допрешь) все равно перевешивала.

AndreyPA

Запустить программу как сервис можно например используя srvany.exe (Microsoft) или anysrv.exe либо nnCron.

GQ


Цитата:

Ну таки как сервис он не работает

Вопервых практически любую программу можно запустить сервисом с помощью программ из RESKIT windows о чем и говорил Victor_VG и очем я говорил

Цитата:

И еще попробую его запускать сервисом и посмотреть как он себя поведет

и назначить при этом любой аккаунт значит при этом она может будет брать правила из этого аккаунта. Но это все надо проверять. Хотя Outpost сидит как сервис он все равно действует также. До входа пользователя никого не пускает (покрайней мере 3.5 это проверенно)
По остальному что ты пишешь это больше походит на Пакетный (сетевой)ФАЙЕР вроде WinROUTE. Любой ПЕРСОНАЛЬНЫЙ подразумевает работать с акаунтами пользователей от сюда и следствие что до загрузки он по логике программирования НИКОГДА не будет знать какой юзер войдет значит надо запретить все. По той же логике он должен для разных юзеров выполнять разные правила т.к. может быть у них разные права. Сетевые файеры хранят всегда одну настройку и действуют по ней. Извини но это очень близко к логике программирования разные цели и задачи.

Victor_VG

Спасибо. Я и имел ввиду это само попробывать с помощью утилит из RESKIT windows запустить как сервис. Но вот по поводу nnCron я с ним сталкивался как с универсальным ПЛАНИРОВЩИКОМ ЗАДАЧ (запуск программ и пакетов в назначенное время)а не как запускателем программы сервисом. Хотя если попробывать разобраться и изучить его то можно и выкрутиться с помощью его. Это интересная мысль

AndreyPA

Да я им в этом качестве сто лет пользуюсь ещё с самых древних первых beta, как он появился, чуть не с первой. Флаг поставь "Запускать как службу" и укажи аккаунт, пароль и рабочий каталог, естественно если требуются параметры. И всё. Он сам прекрасно "службу" стартанёт. Иное дело, что если это не полноценный демон, то и SCM им не сможет управляеть, а потому используй либо ANYSRV или SRVANY или есть ещё одна утилита ExeAsService v1.0, но пока я её не проверял, только скачал и ничего кроме того что посмотрел описание сказать о ней не могу. Но, вроде штука интересная, сам посмотри.