» Look 'n' Stop firewall

Поставил на пробу. Жена тут же обидилась...
Она у меня отдельным юзером (для спокойствия душевного). Так вот, я делаю switch user и ухожу. Она приходит, логинется своим, и у нее нихрена не работает. И что интересно, firewall блокирует logoff, reset и shutdown.
Только кнопкой...

Ясно, что как и многие другие программы данный продукт плохо работает, если у Вас загружено более одного юзера...

Снес от греха подальше...

OldGopher
А настройки по умолчанию были глобальные или для одного пользователя?

ArtLonger
Вроде как глобальые...
Надо пробовать дальше, пока некогда этим заниматься. Своей оценки продукта не даю, рано судить, ИМХО...

OldGopher
Так Вроде как или всё же глобальные? Потому что по умолчанию они как раз отдельные для каждого юзверя...

Перевёл справку к программе. Взять можно по ссылке http://artlonger.fromru.com/looknstop.zip (есть в шапке). Лежит в одном архиве со свежим русским ЕХЕшником.

ArtLonger
Спасибо!!!
ALL
Не подскажите, какие dll желательно прописать в контрол dll, или не особо надо?

Цитата:

Askhat Просто взяла и заблокировала? Может быть в списке интерфейсов что-нибудь поменял или Advanced Options?

что самое забавное, абоалютно ничего не трогал, как после установки сделал настройку и все


Цитата:

ArtLongerУ меня эта версия блокировала Интернет уже раз десять - и всегда разбор логов показывал что это мои ошибки...

видимо все же дело в человеческом факторе жаль уже логов не сохранил, надо было бы еще раз пересмотреть пока разглядываю ф-секьюри

West55
Имхо достаточно просто включить контроль DLL. А когда спросит, разбираться с уже внесённой в список библиотекой.

Вот здесь можно скачать 4 плагина:
http://www.looknstop.com/En/plugin.htm

Человек, профессионально занимающийся тестированием файерволов сказал, что ежели при проведении leak тестов, переименовать в тестах исполнимые файлы, то для Look'n'Stopа некоторые тесты не идут (подробности могу уточнить), что говорит о том, что программа просто заточена на набор некоторых популярных тестов, которые "узнает" в лоб, и все (отсюда и высокий рейтинг на www.firewallleaktester.com).

aictel
Какой человек? Сайт, ссылки на обзоры? Если нет, новости ОБС обсуждаются во флейме.

У меня только что пролез Wallbraker (3 и 4 тест), например.
Человек- тестер ПО (FW)
А подробности послезавтра (завтра я в командировке) А на заангажированные сайты и так уже полно ссылок ....

aictel

Цитата:

У меня только что пролез Wallbraker

Пустой разговор. У меня также только что WallBreaker.exe не пролез ни одним тестом. Для начала распишите правила и что в логах.

Цитата:

Человек- тестер ПО (FW)

Уй. Я и сам тестер ПО (FW)... поневоле. А если это Вы о его работе говорите:
Цитата:

на заангажированные сайты и так уже полно ссылок

то зачем вообще упоминать было...
Неподкреплённые фактами слова ничего не стоят. Файервол это не ПО для домохозяек, и от настроек зависит оччень много.

PS: Немного обновил справку и программу, брать там же.

ArtLonger
С Вашего позволения дал ссылку на справку и патченный модуль Уралу. ?-)
хост нагрузку выдержит?

Askhat
Если есть возможность, лучше пусть берут и выкладывают у себя. Хост за последний год сильно поплохел. Просто никак не могу собраться и выбрать что получше...

Конечно можно отправить на сайт русификаторов, к примеру МSI Lab, но во-первых процесс не завершён (всё время что-то нахожу, есть разные тонкости и т.п.), а во-вторых делаю больше для себя (LnS в России не шибко известен) и в общем мне всё равно, насколько широко мой русификатор будет распространён...

Кстати, пришёл домой и опять обновил справку. У братьев-французов категорически неряшливый стиль исполнения как программы, так и справки (да ещё справка и устарела слегка). Пытаюсь более чётко структурировать материал.


Заодно до кучи пара вопросов.
1. С официального форума:

Цитата:

Look'n'Stop isn't perfect, by a long shot. I feel that it needs to rise above the current limit of 128 for its stateful packet inspection feature (128 concurrent connection limit), and and application filtering feature as well (128 max applications). Some of us have quite a few applications installed, and when many of them launch others... they add up.

Ну 128 программ у меня вряд ли будет, а вот 128 параллельных соединений требуют разьяснений. Чем это грозит простому юзверю?

2. Занимался сегодна пробиванием LnS. По результатам имитации DoS-атаки могу сказать, что включение антифлуда строго обязательно. Без него нагрузка на проц доходит до 100% (см. обзор Олега Зайцева). Флудил с максимальной нагрузкой программой PortFuck.

3. А вот чего не понял, так это категорической открытости портов 25 и 110. Сканил XSpider'ом и STools xakep'ом - оба показывают, что порты открыты. Причём в логах файерволла вижу скан этих портов и их блокировку! Отрубал все правила (делал на основе Standart) оставляя Block all - тот же результат. В чём же проблема? Никак не могу понять...

Цитата:

Ну 128 программ у меня вряд ли будет, а вот 128 параллельных соединений требуют разьяснений. Чем это грозит простому юзверю?

После SP2 XP по умолчанию вроде бы ставится ограничение 10 сетевых соединений одновременно и это похоже оттуда же. Простой юзер вряд ли столько использует, хотя на осле и скоростном канале все возможно, но тогда должны сработать ограничения ОС.

Askhat
Ну ограничение в 10 параллельных соединений в SP2 давно лечится, а Р2Р у маньяков способен сожрать сколько угодно. Тут хорошо бы послушать пользователей eDonkey и иже с ним...

А вот на счёт 25 и 110 портов - есть мысли?

ArtLonger
может обсуждение перенесем в аську?

Askhat
Лучше уж здесь. Во-первых может это и пригодится кому, во вторых с аськой у меня на работе проблемы (а дома на диалапе смысла нет, оперативность сравнима с чтением форума).

У меня тоже dial-up, а на работе инета нет.
просто это может занять много строк, было бы лучше опубликовать выжимку.
Если правильно понял порты 25 и 110 вообще снаружи не закрываются?

Askhat
Дома, когда я захожу на PC Flank или Sygat'овский SOS - всё нормально, открытых портов нет. А когда начинаю на работе в локалке сканить с другой машины - вот они, голубчики, 25 и 110 открыты. A LnS в логе исправно рапортует - блокировано. Вот и чешу репу...

ArtLonger

Если правильно понял взгляд изнутри(из-за файервола) показывает открытые порты?
А чем это диагностировано?

Цитата:

A LnS в логе исправно рапортует - блокировано.

это весьма странно

Askhat
Не-а. Взгляд снаружи. Есть какой-то глюк, имхо. LnS говорит, что всё блокированно, детектор атак APS молчит как рыба. Однако два сканнера утверждают, что почтовые порты открыты, и это при том, что ни одна программа у меня их в принципе не использует - корпоративная почта завязана на Exchange, и ей 25 и 110 не нужны. В общем получается, что ничем это не диагностировано, окромя утверждений сканнеров портов. Бред. Завтра буду разбираться...
А сейчас пойду спать, а то в 6 -00 вставать.

PS:, да, пока базар-вокзал, справку ещё подновил, добавил об ограничении на программы и соединения.
PPS: А на официальном форуме те ещё баталии вокруг ограничения соединений. Но аргументы разработчиков железные - никакого процессора не хватит на SPI-контроль пары тысяч соединений...

ArtLonger


Цитата:

LnS говорит, что всё блокированно, детектор атак APS молчит как рыба. Однако два сканнера утверждают, что почтовые порты открыты, и это при том, что ни одна программа у меня их в принципе не использует - корпоративная почта завязана на Exchange, и ей 25 и 110 не нужны. В общем получается, что ничем это не диагностировано, окромя утверждений сканнеров портов.

Проверю из под linux, но это будет не быстро, т.к. для этого нужно быть в конторе.

Оказался глюк машины, с которой шло сканирование. Она мило показывает открытые 25 и 110 порты абсолютно на всех машинах, даже которых вовсе не существует... Так что правильно LnS показывал блокировку.

Зато теперь всплыла такая вещь. В процессе общения с Exchange почтовик Outlook требует порты 1024-5000 на обоих сторонах. Если я делаю это правилом, то всё чудесно и наука двигается вперёд. А вот если задам диапазон 1024-5000 аутлуку в фильтре приложений, то из него преспокойно выкидывается порт 1177 и до сервера я достучаться уже не могу. Этот порт (UDF Archive server) числится в possible trojan, но почему он выкидывается? Причём если я его рядом пропишу (1177;1024-5000), то порт разрешается и связь будет. Это кто его из диапазона-то выкидывает? Сам LnS или антивирус McAfee шалит?

ArtLonger

Цитата:

Оказался глюк машины, с которой шло сканирование

???!!! наверное на ней кривая MS клава/мышь...

Цитата:

Это кто его из диапазона-то выкидывает? Сам LnS или антивирус McAfee шалит?

Для чистоты эксперимента может быть антивирус остановит и посмотреть?

Askhat

Цитата:

наверное на ней кривая MS клава/мышь...

Нет, там SAV Corporate мёртвой хваткой держит эти порты - возможно это и сказалось. А его я к сожалению остановить не могу - не положено...


Цитата:

Для чистоты эксперимента может быть антивирус остановит и посмотреть?

Уже. То же самое...

ArtLonger
для очистки совести тоже проверил по локалке(nmap и прочая) - нормально держит, только DoS не моделировал.
С Exchange проверить не могу, ее у меня нет.

Цитата:

Причём если я его рядом пропишу (1177;1024-5000), то порт разрешается и связь будет.

этот момент несколько выпадает - если это штучки LnS он должен был и в этом случае тоже блокировать.

Цитата:

о из него преспокойно выкидывается порт 1177

а в логе есть что его именно LnS режет?

Askhat
Запись в журнале есть.
APP: TCP port not allowed и далее детально - Outlook, 1177...

ArtLonger
в этом есть логика - если для приложения задан диапазон, он выкидывает потенциально опасный порт. Может быть имеет смысл задать support этот вопрос?