» Jetico Personal Firewall

Dimitr1s

Цитата:

В Контрольных суммах запрещать вообще ни чего не надо, она для подсчёта SHA-1 и больше для информации.

Гы-ы, я на эти грабли только что наступил. Сидел перелопачивал данные хэш-таблицы, явно сетевым приложениям назначал единое правило с полным допуском, а тем, котрым контакт с сетью вроде как явно излишен, назначал по 2 правила: первым разрешал косвенный допуск, а вторым блокировал всё, что к косвенному допуску не относится, т.е. допуск к сети и передачу данных по сети. Вот после этих манипуляций стало наблюдаться дикое торможение скринсейвера. Как то странно, что разрешение только на косвенный достум SCR-файлу вызывает такие проблемы, теперь видимо придётся и у остальных процессов ограничения снимать, а то пойди потом догадайся почему та или иная функция системы вдруг не так стала функциклировать.
Вообще странно, зачем разрабы Джетики понапихали возможность ограничения косвенного допуска/допуска к сети/сетевой активности почти во все типы табличных правил, ограничились бы только таблицей контроля процессов. Гибкость конфигурирования это конечно хорошо, но это, ИМХО, уже гибкость излишняя, вводящая в соблазн неокрепшие умы чего-нибудь понастраивать там, где этого в принципе делать не стоит.

P.S. Photoshop вот тоже при ограничении его в хэш-таблице только косвенным допуском ругается на неверную лицензию и закрыается, мол, приходите позже, когда меня ваша лицензия устроит.

P.P.S А вообще запретить запуск приложения, как я понял, Джетикой не выйдет? Некоторые назойливые программы уж очень нуждаются в такой функции, например, эдобовский апдейтер.

VN8

Цитата:

Вообще странно, зачем разрабы Джетики понапихали возможность ограничения косвенного допуска/допуска к сети/сетевой активности почти во все типы табличных правил

Вопрос часто задаётся: зачем сделано, всё равно, если запретить тогда не работает?
Сделано для того, что бы обнаружить и отслеживать данный, конкретный вид активности. Проактивка (в отличии от антивируса, который ищет сигнатурно или эвристически по заранее заданным, строго определённым параметрам) обнаруживает всю активность приложения и предоставляет Вам выбор, а дальше зависит от Ваших познаний работы как приложений так и системы.

Цитата:

ИМХО, уже гибкость излишняя, вводящая в соблазн неокрепшие умы чего-нибудь понастраивать там, где этого в принципе делать не стоит.

Гибкость не излишняя, призванная неокрепшие умы, укреплять как раз .

Цитата:

Photoshop вот тоже при ограничении его в хэш-таблице только косвенным допуском ругается на неверную лицензию и закрыается

Цитата:

Некоторые назойливые программы уж очень нуждаются в такой функции, например, эдобовский апдейтер

Вы пытаетесь резать проактивкой, встроенный механизм (функционал) программы, именно так и задуманный её разработчиками, а потом удивляетесь, что не так работает. Хотя с помощью проактивки Джетики можно сделать практически любую задачу "чисто", если её как следует изучить, не забываем что кроме как заблокировать всю данную активность (по умолчанию), есть выбор заблокировать активность по отношению к определённому процессу (атакуемому):

Фотку как пример привёл, не помню как AdobeUpdater "чисто" совсем зарезать, я им пользуюсь иногда . Поэтому чтоб не совсем зарезать функционал (вызвав тем сам непредсказуемую работу программы), а взять под контроль только сетевую активность, я поступил так - создал в Сетевой активности таблицу, выше общих правил (что б приложения из неё не могли ими пользоваться):

и занёс туда AdobeUpdater.exe (а вместе с ним и ещё кучу софта, для которого нежелательна любая сетевая активность):

Теперь когда я захочу (а не он) проверить обновы, сниму галку и всё, вместе с тем не нарушается работа программы.

Цитата:

А вообще запретить запуск приложения, как я понял, Джетикой не выйдет?

Как не выйдет? Как раз запросто, если запускаете кряку, к примеру, а он "вдруг" попытается инжект сделать в svchost.exe, тут же и убьёте его, без последствий для системы.

PS То же верно и для таблицы Контрольные суммы, если программа не вызывает подозрений, зарезав "от балды" что то здесь, нарушите как и её работу так и (выражаясь языком разрабов Джетики) функции всех вовлечённых приложений.
А вот как раз, если вдруг, ни с того ни с сего, начинают меняться контрольные суммы exe'шников тогда надо резать и разбираться. В любом другом случае - сначала разбираться, потом резать.

Dimitr1s, в очередной раз большое спасибо за столь развёрнутый ответ.

Dimitr1s
Цитата:

Sagus
Цитата: ...заблокировать одним правилом и входящие, и исходящие соединения к определённому IP?

Можно:Действие Описание Адрес источника Целевой адрес

Sagus
Да, не будет такое правило работать и не может, это я, что называется, думал об одном, а написал другое. Это для приложений, можно одним правилом заблокировать Входящие/Исходящие (соединения и пакеты UDP) - TCP/IP - Удалённый IP, а в IP Table два правила создавать придётся Входящий пакет - Адрес источника и Исходящий пакет - Целевой адрес.

Доброго времени суток, форумчане!

У меня вопрос: есть ли у кого запрещающие правила в таблице "косвенного доступа" и могут ли они там быть вообще?

Ведь даже если какая-то "нехорошая" программа попытается получить доступ к сети, используя "хорошую", а вы захотите ей воспрепятствовать, то запрещающее правило автоматом запретит доступ им обоим. Разумеется, такой вариант не устраивает. А если эта "нехорошая" мне нужна (только доступ в сеть ей ни к чему). Я пока вручную создаю запрещающее правило в таблице "контрольных сумм".

zye

Цитата:

...если какая-то "нехорошая" программа попытается получить доступ к сети, используя "хорошую", а вы захотите ей воспрепятствовать,...

Воспрепятствовать можно по разному, как вариант попробовать воспользоваться дополнительными функциями, отключёнными по умолчанию, в правилах Контроля процессов и в правилах Косвенного доступа в сеть:


с помощью которых можно более тонко разрулить взаимодействие. Если и так не получится:

Цитата:

...то запрещающее правило автоматом запретит доступ им обоим.

Если программы не смогут нормально работать без определённого взаимодействия (как пример взять Punto Switcher которая "внедряет" свою библиотеку correct.dll, практически во все процессы), то тут: или разрешать требуемый доступ, или удалять/не запускать саму прогу. Есть ещё вариант: если прога запускается или требует взаимодействия очень редко, то как вариант "топтать" вручную (как бы под контролем, для успокоения).

Цитата:

А если эта "нехорошая" мне нужна (только доступ в сеть ей ни к чему).

Если имеется ввиду только сетевая активность "нехорошей", но нужной проги, то без проблем, всё можно порезать в таблице Сетевая активность, не трогая проактивку.

Dimitr1s

Давай конкретно на примере:

Когда "вылетело" такое окно как мне правильно отредактировать правило в таблице "косвенного доступа" чтобы запретить косвенный доступ Irfan-у к Oper-е.
Причём я уверен, что ни Irfan, ни большинство других программ уличённых в косвенном доступе не имеют намеренья что-то передавать.

zye
Насколько помню, с косвенным доступом ничего нельзя сделать. Либо разрешить и все будет работать, либо запретить и тогда при запуске запрещенного приложения умрет сеть на уровне интерфейса. Косвенный доступ работает де-факто, т.е. уже по свершившемуся событию. Соответственно, если запрещаешь в цепочке какое либо приложение/компонент, - запрещаешь всю цепочку. На оффоруме Nail (один из разработчиков) как-то разъяснял позицию компании на этот счет.
Возможно, с тех пор что-то и изменилось... У меня косвенный доступ стоит в режиме "bypass" - долго воевал с ним в свое время и утомили постоянные запросы, причем зачастую в самый неподходящий момент.

XenoZ

Цитата:

Насколько помню, с косвенным доступом ничего нельзя сделать.

Похоже, так оно и есть. Я тоже сначала "байпасил" его. Потом решил попробовать.
Причём зачастую вопрос задается, когда приложение уже закрыто и списке процессов его уже нет!

zye
Цитата:

Причём зачастую вопрос задается, когда приложение уже закрыто и списке процессов его уже нет!

По заявлению уже упомянутого Nail'а, это происходит из-за того, что в памяти остался какой-то компонент приложения.

zye
XenoZ
Отвечу сразу обоим .
2XenoZ
Цитата:

Насколько помню, с косвенным доступом ничего нельзя сделать. Либо разрешить и все будет работать, либо запретить и тогда при запуске запрещенного приложения умрет сеть на уровне интерфейса.

Сделать можно практически всё, что захочется и ни чего не умрёт, если соблюдать одно правило: после запрета/создания запрещающих правил нужно или перегрузиться или перезапустить Джетику, сделано это очень разумно т.к. ты правильно написал:
Цитата:

По заявлению уже упомянутого Nail'а, это происходит из-за того, что в памяти остался какой-то компонент приложения.

так оно на самом деле и есть, практически любой "зловред" при запуске "садится на мертво" в память. После перезапуска должно всё работать как задумано (ключевое слово "задумано", я выше несколько раз писал уже, если точно не знать что и как должно быть, лучше не трогать).
2zye
Цитата:

Давай конкретно на примере:

Так выше пару раз уже написал, подробно вроде, давай ещё подробней попробую, с картинками:
Цитата:

Когда "вылетело" такое окно как мне правильно отредактировать правило в таблице "косвенного доступа" чтобы запретить косвенный доступ Irfan-у к Oper-е.

Я не любитель оперы, по умолчанию FF, на примере с ним и IrfanView (по умолчанию правил ни каких нет), попробую показать:
Жмём в IrfanView , начинают выскакивать по порядку срабатывания, балуны: Контрольных сумм, потом Контроля процессов (можно уже здесь зарезать), дальше Косвенный доступ, делать так:

создастся правило вида:

Добавим ещё в Тип косвенного доступа: пункт Запуск дочерних процессов, выставим лог и перезапустим Джетику. После перезапуска (всё работает, в том числе и сеть) проделываем выше перечисленную последовательность, смотрим лог - указанный Косвенный доступ режется. Всё то же самое и на счёт Контроля процессов. Всё работает, но третий раз напишу, нужно только знать точно что хочешь получить в итоге.
2XenoZ
Цитата:

У меня косвенный доступ стоит в режиме "bypass"

У меня "bypass" не стоит ни где, но соглашусь, время нынче такое, что проще собрать чистый софт по любому функционалу, и особо с проактивкой не заморачиваться.

Dimitr1s
Ну так я ж не зря уточнил
Цитата:

Возможно, с тех пор что-то и изменилось...

С косвенным доступом возился очень давно, тогда еще не было возможности разрулить его по типу.

XenoZ
По поводу bypass, решил я вообще избавиться от этих глючных чекбоксов в корне таблицы и возможных багов с этим связанных. У меня так теперь выглядит:

2All
Кому интересно, [more=вот]
<config>
<policy name="Optimal Protection">
<summary name="Политика безопасности для повседневного использования." />
<table name="Сеть" id="0" action="reject">
<rule type="12" action="8" name="Таблица IP">
<protocol value="0x0800" />
</rule>
<rule type="12" action="accept" name="Разрешить ARP">
<protocol value="0x0806" />
<stateful />
</rule>
<rule type="12" action="reject" name="Запретить необработанные пакеты протоколов" />
</table>
<table action="reject" id="1" name="Приложение">
<rule type="7" action="reject" name="Запретить общение с Блокируемой зоной">
<event value="0x603" />
<protocol value="0x2" />
<remote_addr group="Blocked Addresses" />
</rule>
<rule type="7" action="7" name="Спросить пользователя" />
<rule type="7" action="reject" name="Запретить все необработанные запросы" />
</table>
<table action="reject" id="2" name="Контроль процессов">
<rule type="8" action="ask" name="Контроль процессов" log="1">
<control id="6" state="0x2" />
<popup value="Контроль процессов обнаружил активность. Пожалуйста внимательно прочтите параметры события: оно могло быть вызвано безвредной программой.\n\nИсточник угрозы: %attacker% пытается сделать %event%.\nПриложение: %application%.\n\nВаше решение?" allow="3" block="3" template="2" />
</rule>
</table>
<table action="accept" id="3" name="Контрольные суммы">
<rule type="9" action="ask" name="Контрольные суммы">
<popup value="Контрольная сумма приложения.\n\nПриложение: %application%\nИндефикатор процесса: %misc%\nC контрольной суммой SHA1:\n%hash%\nСобытие: %event%\n\nВаше решение?" />
</rule>
</table>
<table action="continue" id="4" name="Косвенный доступ в сеть">
<rule type="7" action="ask" name="Косвенный доступ" log="1">
<event value="0x80000" />
<popup value="Попытка косвенного доступа в сеть.\n\nПриложение: %application%\nВыполняет: %parent_event% и, возможно, пытается обратиться к сети, используя другое приложение. \nИндефикаторы: %misc%\n\nЗапрет косвенного доступа в сеть, может затронуть сетевые функции других приложений.\n\nВаше решение?" allow="7" block="7" />
</rule>
</table>
<table action="continue" id="5" name="Доступ в сеть">
<rule type="7" action="ask" name="Доступ в сеть" log="1">
<event value="0x4000" />
<popup value="Попытка доступа в сеть.\n\nПриложение %application%\nПытается получить доступ к сетевым функциям.\n\nВаше решение?" template="2" />
</rule>
</table>
<table action="continue" id="6" name="Сетевая активность">
<rule type="7" action="accept" name="Allow to Listen TCP Ports">
<event value="0x10" />
</rule>
<rule type="7" action="accept" name="Allow to Listen UDP Ports">
<event value="0x100" />
</rule>
<rule type="7" action="ask" name="Сетевая активность" log="1">
<popup value="Обнаружена сетевая активность.\n\nПриложение: %application%\nСобытие: %event% \nИсточник события: %parent_event%\nПротокол: %protocol%\nЛокальный адрес: %local_addr% Локальный порт: %local_port%\nУдалённый адрес: %remote_addr% \nУдалённый порт: %remote_port%\n\nВаше решение?" template="82" />
</rule>
</table>
<table action="continue" id="7" name="Спросить пользователя">
<rule type="7" action="5" name="Непосредственный доступ в сеть" />
<rule type="7" action="4" name="Косвенный доступ в сеть">
<event value="0x80000" />
</rule>
<rule type="7" action="6" name="Сетевая активность">
<event value="0x84000" inv="1" />
</rule>
</table>
<table action="continue" id="8" name="Таблица IP">
<rule type="13" action="reject" name="Deny Bad Packets" log="5">
<checksum value="0" />
</rule>
<rule type="13" action="reject" name="Deny All Fragmented Packet" log="5">
<fragment value="1" />
</rule>
<rule type="13" action="reject" name="Deny TCP w/o flags (NULL scan)" log="5">
<protocol value="0x6" />
<tcp_flags value="0x0" mask="0xFF" />
</rule>
<rule type="13" action="reject" name="Deny TCP with flags FIN PSH URG (Xmas scan)" log="5">
<protocol value="0x6" />
<tcp_flags value="0x29" mask="0xFF" />
</rule>
<rule type="13" action="reject" name="Deny RPC TCP" log="5">
<event value="0x1" />
<protocol value="0x6" />
<dst_port value="135" />
<dst_port value="113" />
</rule>
<rule type="13" action="reject" name="Deny RPC UDP" log="5">
<event value="0x1" />
<protocol value="0x11" />
<dst_port value="135" />
<dst_port value="113" />
</rule>
<rule type="13" action="reject" name="Deny NetBIOS UDP">
<protocol value="0x11" />
<dst_port value="137" range="3" />
<dst_port value="445" />
</rule>
<rule type="13" action="reject" name="Deny NetBIOS TCP">
<protocol value="0x6" />
<dst_port value="137" range="3" />
<dst_port value="445" />
</rule>
<rule type="13" action="reject" name="Deny IGMP" log="5">
<protocol value="0x2" />
</rule>
<rule type="13" action="reject" name="Входящие из Блокируемой зоны" log="5">
<event value="0x1" />
<src_addr group="Blocked Addresses" />
<dst_addr group="local address" />
</rule>
<rule type="13" action="reject" name="Исходящие в Блокируемую зону" log="5">
<event value="0x2" />
<src_addr group="local address" />
<dst_addr group="Blocked Addresses" />
</rule>
<rule type="13" action="accept" name="Allow Echo Request Out">
<event value="0x2" />
<protocol value="0x1" />
<icmp_type value="8" />
</rule>
<rule type="13" action="accept" name="Allow Echo Reply In">
<event value="0x1" />
<protocol value="0x1" />
<icmp_type value="0" />
</rule>
<rule type="13" action="accept" name="Allow Destination Unreachable In">
<event value="0x1" />
<protocol value="0x1" />
<icmp_type value="3" />
</rule>
<rule type="13" action="accept" name="Allow Time Exceeded In">
<event value="0x1" />
<protocol value="0x1" />
<icmp_type value="11" />
</rule>
<rule type="13" action="reject" name="Deny Other ICMP" log="5">
<protocol value="0x1" />
</rule>
<rule type="13" action="accept" name="Stateful TCP Inspection" log="1">
<protocol value="0x6" />
<stateful />
</rule>
<rule type="13" action="accept" name="Stateful UDP Inspection" log="1">
<protocol value="0x11" />
<stateful />
</rule>
<rule type="13" action="accept" name="FTP DATA Packets" log="1" flags="0x1">
<event value="0x1" />
<protocol value="0x6" />
<dst_addr group="local address" />
<src_port value="20" />
<dst_port value="1024" range="64512" />
</rule>
<rule type="13" action="reject" name="Запретить необработанные IP пакеты" log="5" />
</table>
</policy>
</config>[/more] состряпал чистую таблицу, на русском, только основные правила в IP Table.
Сохранить в UTF-8, с расширением .xml и импортнуть.

Уважаемый, Dimitr1s, ответь пожалуйста (последний раз) на 2 вопроса:
1) как быть в случае комбинированной зависимости (что добавлять в тип косвенного доступа?);
2) мне необходимо каждую такую программу сначала принудительно отправлять на Homepage? И как быть с программами типа "C:\Program Files\Arsenal Company\Сократ Персональный 4.1\SPE.exe", которая никак себя не проявляет пока не наступит сам процесс косвенного доступа;
А, в общем, если я правильно тебя понял, можно смело запрещать... и после перезапуска всё должно работать. Так?

Dimitr1s
И еще немного "про макароны"...
Возможно, что некоторые типы косвенного доступа и можно блокировать без последствий...
Сейчас провел блиц-эксперимент:

(контекстный переводчик, внедрение dll-ки ему нужно для перехвата позиции мыши.)
создал правило, запрещающее конкретный тип косвенного доступа, перегрузил машину, запустил Firefox - инет работает. Запустил QDictionary - инет умер. В логе - блокировка QDictionary.
Может быть, здесь играет роль временный фактор, т.к. по запросу - это уже свершившееся событие (made inject dll), а когда запрос идет типа "is trying to make...", его можно блокировать без последствий...
И еще не въехал в понятие "indirect relativeness" (на русский вроде переведено как "комбинированная зависимость") - в типах косвенного доступа такого нет.
Пока вернул все назад - разбираться с типами доступа нет времени

zye
Всё зависит, чего ты хочешь добиться в итоге. Как я понимаю тебе нужно просто ограничить сетевую активность программ, проще говоря что б не лазили куда не надо, кто не надо. Для этого не надо ничего запрещать в проактивке, в том числе и Косвенный доступ (зачем?). Создай таблицу приложений, выше всех общих правил занеси туда все неугодные проги (IrfanView, Сократа, "Алкаша", если ломаный и кого угодно) и порежь всю (ну практически всю ) активность правилом:
Действие Приложение

Простите, Dimitr1s или XenoZ, но не могли бы вы выложить свои файлы конфигурации, хотелось бы посмотреть очень

Dimitr1s
Цитата:

Ну так и отлично (без ёрничества), именно так и должно работать

Я и не спорю. Это было типа комментария на:
Цитата:

Сделать можно практически всё, что захочется и ни чего не умрёт, если соблюдать одно правило: после запрета/создания запрещающих правил нужно или перегрузиться или перезапустить Джетику

Как у тебя вышло заблокировать косвенный доступ для IrfanView без ущерба для сети - не знаю, не пользуюсь. Насколько помню разъяснение Nail'а, с косвенным доступом все должно быть однозначно: если запрещенный процесс запущен, блокируется вся цепочка, в к-рую он внедрился.

Jarikk
Немного причешу и выложу. только не жди чего-нибудь сверхъестественного...

Добавлено:
Да, тут еще протестил правила для общего доступа в И-нет через Джетику. Опять же, слегка систематизирую и выложу, если кого нибудь заинтересует...

XenoZ

Цитата:

Как у тебя вышло заблокировать косвенный доступ для IrfanView без ущерба для сети - не знаю

Так я про это вторую страницу и пишу, заблокировать можно всё что угодно и как угодно, но без ущерба вряд ли. А если созданы запрещающие правила (может кому так и надо), всё работает после перезапуска и правила срабатывают.
Jarikk
Свои не выложу , не охота выковыривать много разного личного. Выложу:
Стандартный набор Пароль: ru-board
Там на все случаи жизни набор, ставлю на разные машины. Правила для VPN не убирал, отключены только, и набор для KAV - 7, если не нужен можно выкинуть, для Тотала одно правило как пример для FTP и русик чуть поправил.
Отдельная таблица, только импортировать.

В 2.0.2.7 действительно опять появился косяк с подсчетом SHA1. Вернулся на 2.0.2.6.
Мои правила тем, кому интересно посмотреть (пасс: ruboard). Все приложения, кроме системных, удалены, т.к. у каждого свой набор. Process attack и Indirect access отключены - поставил отдельный HIPS-монитор (к-рый, кстати, работает гораздо четче). В IP Table набор правил для проброса транзитного трафика через Джетику.

Поставил 2.0.2.7 — полезли запросы типа "critical system object modification" от самых разных программ, якобы модифицирующих файл \WINDOWS\win.ini. Как я понял, это как раз новая фича новой версии, но я посмотрел с помощью FileMon'а — файл если и открывается, то только на чтение. Сами программы к win.ini отношения не имеют: ATI Tray Tools, Total Commander, The Bat, сам Jetico… Пришлось временно создать разрешающее правило, но даже оно не помогает: запросы продолжают появляться. Пока не отключил правило "ask" (оставив дефолтным последнее reject-правило), работать было невозможно. У кого-нибудь что-то подобное проявилось?

CaptainFlint

Цитата:

Поставил 2.0.2.7...

Эта версия, сломаная похоже, лучше поставить 2.0.2.6 пока.
На оф.форуме у них, по традиции, ни слова о плохом...

CaptainFlint
Цитата:

это как раз новая фича новой версии

Скорее - новый баг новой версии. Добавляют новые глючные фишки вместо того, чтобы отполировать уже имеющиеся.
По теме: В Джетике 2 в модуль process attack вставлен эвристик (для чего - непонятно). И иногда выкидывает оригинальные перлы. На одни события просто не реагирует, на другие закидывает кучей запросов. Было такое несколько раз, когда при запуске приложения начинают сыпаться запросы типа "direct memory access" и др. на все процессы, к-рые присутствуют в памяти.

Dimitr1s

Цитата:

лучше поставить 2.0.2.6 пока.

А если я поставлю 2.0.2.6 поверх, триальная лицензия будет работать ещё месяц или слетит? (2.0.2.7 ставил поверх 2.0.2.6, у которой месячный срок как раз вышел; ломать не хочется…)

CaptainFlint
Поверх не надо ставить, нужно удалить, а лицензия лежит в папке с программой - License.txt. Сохраните куда-нибудь лицензию от 2.0.0.7, перед удалением, а когда будете ставить старую версию, укажите: "взять из файла" .
Лицензию ещё, всегда можно взять не распаковывая и не устанавливая Джетику: запустить exe'шник на исполнение и он сам распаковывается в %temp% профиля, только в этом варианте, файл лицензии называется DemoLicense.txt.

CaptainFlint
Сохрани лицензию от [more=2.0.2.7]-----BEGIN SIGNED MESSAGE-----
LICENSE_TYPE: Evaluation version
EXPIRATION_DATE: Mon Nov 10 13:24:57 2008 (4917E1C9)
Signature:
BIGAAyDIgTSxlQOl5s/TbT6P94DNSHB4MNJCbqFZyPEowlBWxrFCPYGMsoC3CyD+OMZv
cRLDwstpDGQsmX95qPEu/VhINIQK5fNRlVTdMjch8TxLHkijqi0Avt87hnn+9sbh
LctxDR8dOOJYY6gMWlWP+BAYEMwQEIojv19PGUm7awc=
-----END SIGNED MESSAGE-----[/more], ставь 2.0.2.6 и подключи сохраненную лицензию.

Добавлено:
Dimitr1s
Упс...

Dimitr1s
XenoZ
Спасибо, попробую.

вопрос.
У меня стоит уже 2 год 1.61 все работает нормально. Надо было поставить в раздел детям программу учет за трафиком. Просмотрел много или платные и не совсем (понравилась DUTraffic но она работает через RAS а у меня прямое соединение через кабель и в результате она не работает) остановился на Tmeter. Но в него всего навертели и NAT и Firwall и т .д. У кого нибудь есть опыт работы с Tmeter и Jetico или может предложите чтонибудь. Не хочу отказываться от Jetico - долго маялся без нормального FW.

Спасиба огромное за конфигурации, которые выложили здесь!
Есть вопрос, сделал правила для пакетов в таблице IP такие как в выложенной настройке Dimitr1s. При попытки в локальной сети зайти на мои шары срабатывают блокирующие правила :

Deny Other ICMP | ICMP | входящий пакет | 192.168.0.68 | 192.168.0.59 | TTL: 32; TOS: 0; ID: A86F; ICMP type: 8, code: 0    

Deny RPC TCP | TCP | входящий пакет | 192.168.0.68 | 192.168.0.59 | 1530 | 135 | TTL: 128; TOS: 0; ID: D96F; Don't fragment; TCP flags: SYN ; TCP Seq: C1770CCF    
При этом коммандер подвисает надолго. Можно ли разрешать эти пакеты ?

и кто объяснит, что это за пакеты такие в локальной сети :
Запретить все необработанные IP пакеты | UDP | входящий пакет | 192.168.0.250 | 192.168.0.255 | 520 | 520 | TTL: 1; TOS: 0; ID: 7694

Спасибо!