» Jetico Personal Firewall

AndreyPA
Цитата:

AndreyPA Теперь встал вопрос ЧТО ЗНАЧИТ "Local Adress" 127.0.0.1 или IP компьютера или то и другое вместе

В таблице "Local Adress", автоматически генерятся все присвоенные IP твоей машине, которые, при включённой сети так же можешь посмотреть консольной командой: ipconfig /all. Для настройки правил, где должен указываться 127.0.0.1, пользоваться ей не нужно. В основном от неё польза, если у тебя IP динамический, тогда есть смысл проставлять её в правилах, в качестве локального адреса.

AndreyPA
У Джетики в понятие Local Address входит loopback (127.0.0.x или даже 127.x.x.x, точнее уже не помню...) и все сетевые интерфейсы, включая модемные, vpn и т.п. соединения. Посему в этой переменной смысла не вижу вообще, т.к. при ее использовании возможно пересечение разных интерфейсов.

XenoZ

Цитата:

127.0.0.x или даже 127.x.x.x

127.0.0.0/8 ну или 127.х.х.х кому как больше нравится.


Цитата:

в этой переменной смысла не вижу вообще, т.к. при ее использовании возможно пересечение разных интерфейсов.

ну у меня есть одно правило, в котором очень удобно использовать эту переменную:

Код: accept    ICMP MTU    notice    ICMP    incoming packet    any    local address    ICMP type: Destination Unreachable (3), code: 4    

Прописал вместо "Local Adress" 127.0.0.1 вроде все работает никто не стонет.

Я знаю что ICMP используется у некоторых провайдеров которые на внешку подключают через VPN. У нас такой провайдер если не запустить VPN то только работаешь в локальной городской сети. После загрузки VPN пускало в внешку. Этот протокол они используют для отключения тебя от внешки. В Outposte приходилось настраивать это ICMP что-то типа эхо-ответа т.к. у кого стоял Outpost не настроит этот протокол то через 30 минут происходил разрыв VPN. На Jetico при стандартных настройках такого не замечал.ТАМ в таблице Sytem Inernet Zone уже прописан ICMP .(У меня тоже ноут так что скорее всего это зависит от провайдера что он там нахимичил)

AndreyPA

Цитата:

ICMP используется у некоторых провайдеров которые на внешку подключают через VPN

Может, и используется. Если внимательно посмотреть на приведенное мной правило и почитать статью по ссылке будет понятнее. Ноутбук-не ноутбук, смысл не в этом...

К стати, когда столкнулись с этой же проблемой в одной из сетей заказчика (интернет на телефонах не работал, т.к. использалась инкапусляция GRE и пакеты просто не помещались из-за MTU), выяснилось что умный google сразу посылает пакеты такого размера, чтобы в любой тоннель пролезли

AndreyPA
Для нормальной работы любой сети, достаточно четыре правила ICMP:
Два для Ping'а, два правила:
1. Протокол ICMP - Исходящее - Тип/код 8 (Echo Request Out/Исходящий эхо-запрос)
2. Протокол ICMP - Входящее - Тип/код 0 (Echo Reply In/Входящий эхо-ответ)
При этом входящий Ping, будет блокироваться (типа - невидимости).
Для Tracert'а:
3. Протокол ICMP - Входящее - Тип/код 11 (Time Exceeded for a Datagram In - Превышено время датаграммы) Опять же входящий трасерт будет заблокирован.
Сообщения, что адрес не доступен, то же достаточно одной:
4. Протокол ICMP - Входящее - Тип/код 3 (Destination Unreachable In/Адресат не доступен)
Если возникнут проблемы с Торрентами и прочим, можно добавить: Исходящее для Тип/код 3, если всё нормально со связью, то можно закрыть снизу, всё это дело, пятым правилом, запретив все остальные пакеты ICMP :
5. Протокол ICMP - Запретить.
С этими правилами твоя машина будет в принципе не видима, что то на подобие "Включить невидимость" в других фаерах и при этом должно всё прекрасно работать. Для одиночной машины то что надо.
P.S. BasiL Про:
Цитата:

ICMP type: Destination Unreachable (3), code: 4

Если для передачи датаграммы требуется фрагментация, то в правиле Протокол ICMP - Входящее/Исходящее - Тип/код 3 можно поставить - Пакет фрагментирован, а обшее правило в IP Table, запрещающее фрагментированные пакеты, или отключить, или "спустить" ниже. Мне правда такое ни разу не встречалось.

Sos!
Подскажите плиз, в чём может быть проблема ! при запуске - вылетает ошибка could not connect to firewall server . сервис подключён. внешне всё нормально...

D555
У меня такое случилось после установки криптософта, который поставил свой драйвер в систему, вылечилось деинсталляцией оного...

... значит копать в драйверах нужно , жаль что он сам не может определить недруга (((. т.е. как понимаю, - его сервис - с чем-то недружит(((.

All
Пообщался с саппортом по поводу 2х багов (неподсчет sha1 некоторых приложений и BSOD при быстром переключении пользователей). Nail пообещал, что в понедельник выйдет новый релиз, в к-ром проблема, как он надеется, будет решена.

XenoZ
Если не трудно, спроси у них пожалуйста (как лицензионный пользователь), когда Stateful Джетики будет резать 113 (Authentication Service) порт, когда в нём нет необходимости? А то если "руками" не закрывать, ну не дыра конечно, а "дырочка" есть.

А этот firewall рекламу может вырезать из web страничек, типо как у Outposta сделано?

Dimitr1s

Цитата:

1. Протокол ICMP - Исходящее - Тип/код 8 (Echo Request Out/Исходящий эхо-запрос)
2. Протокол ICMP - Входящее - Тип/код 0 (Echo Reply In/Входящий эхо-ответ)
При этом входящий Ping, будет блокироваться (типа - невидимости).
Для Tracert'а:
3. Протокол ICMP - Входящее - Тип/код 11 (Time Exceeded for a Datagram In - Превышено время датаграммы) Опять же входящий трасерт будет заблокирован.
Сообщения, что адрес не доступен, то же достаточно одной:
4. Протокол ICMP - Входящее - Тип/код 3 (Destination Unreachable In/Адресат не доступен)

Эти настройки идут по умолчанию (по крайней мере у меня уже прописаны в таблице "Sytem Inernet Zone"). Про эхо запросы я хотя Outpost для невидимости и его отключает. Про Tracert'а я не знаю что это такое, но не стал его трогать.

blackjack111
НЕТ
Этот продукт чистой воды FireWall а не комбайн все в одном.(к счастью). Для убивания рекламы есть достаточно инструментов-начиная с расширения для FF (AdBlock Plus) также http://handycache.ru/, www.proxomitron.ru (это которые я знаю) и может еще с 10-к или более тебе скажут.

AndreyPA
Цитата:

Эти настройки идут по умолчанию...

Не помню просто какие были по умолчанию, но если так, то респект разрабам, ни чего лишнего, даже по умолчанию.
Цитата:

Про эхо запросы я хотя Outpost для невидимости и его отключает.

Первые то два правила (Исходящий эхо-запрос, Входящий эхо-ответ) Outpost точно не отключает, да и не зачем, плюс по умолчанию в нём ещё включены несколько ICMP правил, по мимо выше перечисленных, если память не изменяет, то ещё три: Адресат не доступен - исходящее и два: Запрос маршрутизатора - исходящее/входящее. Получается 7 шт. Поправьте если не так.
blackjack111
Действительно (к счастью - без кавычек), пока не додумались "прикрутить".
P.S. Хотя забанить по IP, особо назойливые, рекламные хосты, ни кто не запрещает.

Dimitr1s
Цитата:

(как лицензионный пользователь)

Я этого не утверждал!
Сейчас сижу на лицензии, к-рую финны за участие в бета-тесте прислали и к-рая уже больше месяца назад закончилась. Тем не менее, пока все работает...

Цитата:

когда Stateful Джетики будет резать 113 (Authentication Service) порт

А в чем баг?

XenoZ
Цитата:

А в чем баг?

Если "пробить" по 113'ому порту, Stateful прекрасно принимает и выпускает пакеты, хотя никакой нужды со стороны машины, для ident'а и в помине нет.

Цитата:

А этот firewall рекламу может вырезать из web страничек, типо как у Outposta сделано?

А почему нет? Прописываешь ip и в запрет =) Я так яндекс очистил)) Ляпота.

Собственно, вот...

Цитата:

June 30, 2008
Jetico Personal Firewall for Windows v.2.0.2.4 released.

Dimitr1s
Странно... Дома гляну.

parovoZZ

Я примерно так же кое-кого в блок загнал - мне нужно было блокировать пару местных гнусных серваков с динамическим IP. Прибил по характерному признаку - MAC-адресу их NIC. Благо в одной локалке сидят. А то достали хуже спам-ботов. "Орлы" коллекционируют порнуху и лезут как слон в посудной лавке на все машины сети в её поиске - а вдруг у кого есть? Естественно это раздражает.

XenoZ

Да, действительно есть, смотри-ка (скачал пять минут назад, я почему-то ближе к вечеру либо завтра его ждал):

MD5SUM:

0879937e3b84d2d62df38e3d30ecd78e *jpf2setup.exe (2.0.2.3, 3484782)
c57f24db2c6f31a2307cba5a6fa4b4c1 *jpf2setup.exe (2.0.2.4, 3486096)

И только что страницу обновили, почитай на глазах:

Цитата:

30-June-2008 | v.2.0.2.4

Firewall now creates backups prior to updating configuration file.
More accurate "indirect access to network" detection.
"Access to network" for large .exe files fixed.
Truncated path in "access to network" events fixed.
Kernel exception on fast user switch fixed.
Protocol list in low level protocol module fixed.

Потестим.

Эх, жаль единичку бесплатную уже никто не правит
Все бы ничего, да достали БСОДы из-за %systemroot%\system32\drivers\bcftdi.sys
Не дружит как-то TDI с SecureCRT ((

XenoZ
Цитата:

Странно... Дома гляну.

Попробуй, с любого сканера, все пакеты пропускает на 113 и ответы, хотя должен только запросы от identd сервера и то если у меня их кто то ждёт естественно. Этак зафлудить, как минимум, по IP можно до смерти . По Stateful UDP то же бага есть, при имеющемся запрещающем правиле, Stateful сначала пропускает, а только потом срабатывает правило.
Victor_VG
Цитата:

Потестим.

Встала как влитая, да же багу (Protocol list in low level protocol module fixed) исправили, которую мы выше нашли.

Dimitr1s

Так же. У меня просто опять вылезли проблемы со SCSI контроллером. Придётся снимать и переставлять систему - она у меня на SCSI винте. Мать с контроллерами "не дружит". Видно при пробое старого БП что-то пробило, а я не устранил при ремонте.

Dimitr1s

Цитата:

Первые то два правила (Исходящий эхо-запрос, Входящий эхо-ответ) Outpost точно не отключает

3.5x однозначно отключает если при установке включить невидимость. Т.к. я уже писал выше про наших провайдеров с их VPN и проверкой по ICMP запросам. Мне просто надоело всем "спецам" перенастраивать ворованный и не ворованный outpost. Пришлось дажебумажку с картинками им давать где какие поставить галки для того чтобы каждые 30 мин не разъединялось.
parovoZZ

Цитата:

А почему нет? Прописываешь ip и в запрет =) Я так яндекс очистил)) Ляпота.

если только реклама с этого ip. А если реклама и лишние банеры с этого же сайта. Не искушайте новичков
Victor_VG

Цитата:

Прибил по характерному признаку - MAC-адресу их NIC

Если можно по подробнее это где можно отрегулировать в правилах. Это очень интересно

AndreyPA

В IP таблице добавить в запрещённые. В качестве признака MAC адрес.

Ну, подсчет sha1 поправили... а BSOD при быстром переключении так и остался...

Dimitr1s
accept TCP Stateful 64 TCP incoming packet 208.79.211.77 90.138.21.107 59410 113

Цитата:

если только реклама с этого ip. А если реклама и лишние банеры с этого же сайта. Не искушайте новичков

Сейчас такое всё реже и реже встречается.

AndreyPA
Цитата:

Если можно по подробнее это где можно отрегулировать в правилах. Это очень интересно

Узнать MAC-адрес можно запустив сначала cmd-команду ping (интересующий IP), потом cmd-команду arp -a. Но это все работает, только если машины в одной сети, т.е. до ближайшего шлюза. Дальше, как Victor_VG написал, создаёшь правило: Запретить - Протокол ARP - Адрес отправителя (указываешь полученный MAC-адрес).
XenoZ
Цитата:

т.е. по 113 порту пропускает. Правда, сканер рапортует, что порт закрыт.

Правильно рапортует, он от нас же и получил ответ, что порт closed. Неприятная бага, как вариант создать/добавить 113 порт в запрет, пока не исправят.
Цитата:

(по поводу UDP...

У меня svchost зажат дальше некуда, вопрос в другом: есть запрещающее правило, приходит пакет, на запрещённый правилом порт, Stateful его пропускает, а только потом срабатывает запрещающее правило. ИМХО чистой воды, косяк.
Цитата:

Imageshack тормозной и прожорливый, зараза.

Да надо отказываться давно от него, привычка просто, а в тэг [img][/img] технические картинки вставлять - ИМХО что так, что строка, разницы ни какой.

может просто stateful поместить ниже чем блокирующее правило?
Или именно так и есть?

BasiL
Stateful в IP Table, а правила для приложений в Network Activity, сути это не меняет, Stateful должен резать пакеты, если они не ожидаются, а тем более если есть запрещающее правило (не важно в какой таблице, главное чтобы не выше самого Stateful).
P.S. Конкретно для этого примера, который мы обсуждаем (по UDP), приведу выдержку как должна работать Stateful:
Каждый запросный UDP пакет, которому разрешено пересечь firewall записывается и UDP пакеты движущиеся в противоположном направлении сверяются со списком незаконченных сессий на соответствие разрешенному контексту. Пакет, являющийся подлинным ответом разрешается, а все другие запрещаются. Если ответный пакет не придет в течении определенного времени, соединение прерывается. В этом случае все атаки блокируются, в то время как UDP приложения могут быть безопасно использованы. Сама статья тут.

Dimitr1s
ну вот я и имел ввиду, что в таблице IP поместить правила запрета до stateful.

Цитата:

главное чтобы не выше самого Stateful

я предлагаю как раз наоборот. Запреты ставить _ДО_ stateful в таблице IP.