» Agnitum Outpost Firewall Pro

Цитата:

У меня стоит клиент 3.40. Никаких проблем не наблюдается. Что случилось?

Значится вводные - xp sp1 outpost последний, novell client 4.9sp1,server intranetware 4.11 sp8a протокол на сервере ipx - на ящике 2 сетевухи(может в этом все дело)
одна с реальным ип вторая с внутренним при попытке залогинится клиент выдает ошибку с определенным номером предлагает перегрузится но это не помогает
думаю что дело именно вокруг 2 сетевух и новелл клиента так как он к примеру биндит себя на обе карты и с этим в xp и w2k кстати проблема - в нт4 например можно было гибко разобраться с этим а тут фиг - в общем не знаю что и делать

Добавлено:

Цитата:

пройдись по топику. как минимум трижды эта тема поднималась и как минимум трижды обьяснялось, какие системные правила надо создать для нормального логона новеловского...

Постараюсь - бо шерстить придется долго - поиска то нету по ветке - кстати если я далеко не первый почему бы это не вынести в шапку или может в фак какой то добавить - кстати на каком то форуме нашел я эти правила (не на рубоард) не помогло
правда там они постились давно еще до выхода 2.5 и там высказывалась слабая надежда на то что с выходом версии 2.5 это пофиксят но не пофиксили или может пофиксили но не до конца

NeoHunter
ты считаешь. что по твоим постам можно понять. что там у тебя происходит?
вот уже и 2 сетевухи всплыли... вопрос - зачем они там? зачем там оутпост? что не работает? причем тут новел клиент? вообще. ты о чем?!!!:))

NeoHunter

Цитата:

Постараюсь - бо шерстить придется долго - поиска то нету по ветке

Как нету? А версия для печати и Ctrl+F ?

Цитата:

Как нету? А версия для печати и Ctrl+F ?

10x посыпаю главу пеплом

После Fast switch user у второго пользователя нет Интернета.
Возвращаю пользователя обратно-Интернет появляется.
Что делаю не так?

Кстати, после Fast switch user, а также Hybernate иконка в трее исчезает. Баг?

Цитата:

ты считаешь. что по твоим постам можно понять. что там у тебя происходит?
вот уже и 2 сетевухи всплыли... вопрос - зачем они там? зачем там оутпост? что не работает? причем тут новел клиент? вообще. ты о чем?!!!)

В общем проблема решилась - но обо все по порядку
Значит есть ящик xp sp1 с двумя сетевухами одна смотрит в мир - реальный ип а вторая в локалку в локалке есть новел сервер на ящике установлен новел клиент
4.9sp2a(уже до этого был 4.9sp1a) щас при установленном оутпосте снес новеловкого клиента и поставил заново - при это при инсталяции выбрал ipx only (до этого стояло ipx&ip) и вроде усе заработало и никаких дополнительных правил не надо(по поводу 524 и 427 портов) Но кстати сервак у нас новеловский пока по ipx работает(поанируем проапгрейдить его на netware 5.1 и перевести на ip) так вот интересно когда произойдет переход то аутпост опять начнет выпендриваться ?
И кстати у кого тоже есть в сетке новел и используется новел клиент и как в моем случае есть ящик с 2 сетевухами(одна смотрит в мир вторая в локалку)
кто нить пробовал полностью отвязать протоколы новела от сетевухи что смотрит в мир(мне к примеру там кроме ип ничего не надо) а то тут галку у нетбиоса к примеру уберешь на одной сетевухе - так она убирается и у другой тоже с ипх и тд
в нт4 красиво в этом смсле было - жестко задал на сетевуху что биндить а что нет а тут какие то танцы с бубном

НО отловил еще один интересный баг - не знаю что там аутпост кэширует но - если я к примеру залогинился на новеловский сервер к примеру как "вася" то при повторной попытке залогинится как "вася" не делая логаут можно вводить любой пароль - он проходит - можно даже вообще без пароля - если же сделать отключение от сервера/дерева то тогда все нормально

кто нить является бетатестером или у кого есть емыл разработчиков - хочу написать осбоятельное письмо - нехай фиксят

Ребят подскажите почему у меня при прохождении теста http://www.pcflank.com/scanner1.htm повсюду стоит close а не stealthed, хотя в настройках файрвола "режим невидимости". Версия 2.5.375, ОС ХР, соединение модемное, через провайдера, комп домашний. Где то прочитал, точно не помню где что если ходишь в сеть через провайдера то сканируется IP провайдера а ты как вроде бы и не причём.

Да кстати вот ответ агнитумцев про gzip - компрессию

> Изменения не будет. Зато перестанут работать модули Реклама,
> Содержимое и Интерактивные элементы.

хотя я пока не заметил изменений, пока всё блокируется по прежнему.

Urist
При установке можно выбирать, только для себя или для всех, ставится Outpost.
Если было только для себя (точную надпись не помню) Outpost вроде бы работает, но в скрытом режиме т.е. без иконки.

Гмм не пойму почему(( выхожу в инет первый раз все нормально, выхожу во второй никакой активности хотя подключен, перезагрузка нормально инет есть.... и ничего кроме перегруза не помогает... по насторйкам уже исходился... может кто в стречался с подобным?

NaxAlex
Глянь в "Свойства модуля Детектор атак" стоит флажок "Оповещать при обнаружении атаки"? Если нет, то поставь и глянь, не "My address атака" это часом? Если она, то сними флажок в "Блокировать IP-адрес атакующего на".

valni

Цитата:

Да кстати вот ответ агнитумцев про gzip - компрессию
> Изменения не будет

Какого изменения? Фиксить не будут?

Цитата:

Какого изменения? Фиксить не будут?

Ответ Агнитума

Цитата:

это не баг, а фича, компресированный html не сможет разбираться content activecontent и adblock - поэтому мы насильно заставляем html быть нескомпрессированным. если хочется gzip и готовы мириться с неработающей фильтрацией html - в реестер есть сеттинг

voros

Цитата:

это не баг, а фича

Ну, естественно это ФИЧА. За обрезку баннеров лавры им, а за трафик платим мы. А скорость загрузки? И что мешает развернуть gzip Outpost`у уже на месте, я не понимаю...

Цитата:

если хочется gzip и готовы мириться с неработающей фильтрацией html - в реестер есть сеттинг

А в хелпе есть об этом хоть слово, да и рекомендовать лезть в реестр... хмм. (можно ссылку на этот отписон?)

Ответ на пост ниже:

voros
Спасибо за ссылки. И вот еще:

Цитата:

Dmut
оффициальное замечание от Агнитум:
все изменения в реестре - на свой страх и риск, после изменния сеттингов в реестре про супорт наш можно забыть.

P.S. action=addbookmark&Сходка РУ-Борда в Новосибирске.

Цитата:

можно ссылку на этот отписон?

Лови
и вот

Братцы подскажите плиз какие правила установить для программы Web Money Keeper

gati

WebMoney connection
Protocol: TCP
Direction: Outbound
Remote Port(s): 2802
Action: Allow It

WebMoney HTTP connection
Protocol: TCP
Direction: Outbound
Remote Port(s): HTTP (80), 81-83, HTTPS (443), SOCKS (1080), 3128, 8080, 8088, 11523
Action: Allow It
What it's for
This rule is used by your e-commerce application when it browses the Internet. HTTP (Hyper Text Transfer Protocol) is the only port you really need for browsing the Internet, ports 81, 82, 83 are auxiliary web browsing ports and are rarely used. HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer (SSL)) is used when connecting to secure sites. SOCKS is only needed by people using a SOCKS proxy server. 3128, 8080, and 8088 are common ports that proxy servers use. If your e-commerce application needs to use a proxy server for HTTP connections then it will probably be on one of these ports. 11523 is used by AOL's browser.
To optimize
Remove the remote ports: 81, 82, 83 unless you know that you need them. If you don't use a SOCKS proxy server remove SOCKS. If you don't use a remote or local proxy remove 3128, 8080 and 8088. If you don't use AOL's browser remove 11523.

To Yanson
Спасибо!

Пробую перейти на этот Firewall с Sygate. Но здесь столько настроек... Посоветуйте, оптимальные настройки, что лучше сразу вклучить/отключить и т.д.?
И какие порты сразу лучше закрыть?

Harrier
Читай русскую справку к программе. Всё станет ясно и понятно, не поленись.

Harrier
Outpost сам неплохо настроится. Поставь режим обучения и дерзай.
А это тебе в помощь.

Harrier

Цитата:

Пробую перейти на этот Firewall с Sygate. Но здесь столько настроек... Посоветуйте, оптимальные настройки, что лучше сразу вклучить/отключить и т.д.?
И какие порты сразу лучше закрыть?

Дам несколько примитивных советов. Предустановленные правила не инсталь. После запуска живи в режиме обучения. Окно Аутпоста на первое время положи поверх всех окон в небольшом размере (чтоб видно было сетевую активность). Раскладки и столбцы везде включи все возможные, чтоб глаз привыкал. Начнётся сетевая активность - не спеша разрешай всё разово и изучай журнал (кто пошёл, куда пошёл, зачем пошёл). По мере изучения и понимания передвигай процесс из разового разрешения в пользовательский уровень. Правила обзывай подробно. Детектор атак включай на полную кроме блокировки IP атакующего, рекламу естесно туда же... включай. Интерактивные элементы выбирай на вкус. К общим правилам не подходи пока не освоишься с приложениями и модулями. Включи GZIP компрессию в реестре иначе трафик обожрётся.

Такая ситуация:
2 компа.
Один W2003Server - на нем Аутпост, в нем же две сетевухи, одна смотрит в инет, вторая смотрит на второй комп (ноутбук который я очень хочу выпустить в инте).
Настроил маршрутизацию на первом компе, с горем пополам научным тыком включил NAT, пингую сервера в инете (для понту пробовал пинговать рубоард и lib.ru) все пингуется, трейсы ходят, ну думаю настроил....

Сел за ноут, открываю браузер, набираю рубоард и .... ничего неоткрывается и все тут... и ни один сайт не открывается...

Полез в логи аутпоста - написано

Цитата:

0:25:05 SYSTEM TCP OUT REFUSED forum.ru-board.com HTTP Запретить транзитные пакеты

Для проверки, правильно ли я настроил или нет, вклчюил "режим разрешения", пробую на ноуте жать Рефреш - и бац, все загружается написал пару постов на рубоард какртинки и даже баннеры все присутствует .
Полез таки в журнал аутпоста, смотрю, там где раньше писал Запретить транзитные пакеты теперь пишет:

Цитата:

0:33:34 SYSTEM TCP OUT forum.ru-board.com HTTP Разрешить пакеты NAT

И что характерно, сразу же вернул "режим обучения" обратно, аутпост по прежнему пропускает пакеты с ноута в инет, я на ноуте еще какое то время смог поработать.. для чистоты эксперимента перегрузил оба компа... все работает, (подумалось видимо быстро перегрузил), выключил, перегрузил еще раз но уже через 5 мин. и опять Запрет транзитных пакетов.

Что же это получается? В морг аутпост???? или есть еще надежда?...

P.S. Понятное дело что правил именованных "Запрет транзитных пакетов" и "Разрешить пакеты NAT" я ненашел .... хотя они есть, раз в журнале написаны... .
Вот и думай потом....
А я ведь хотел основным рабочим местом сделать ноут а машину с W2003Ser оставить даже без монитора и включать только по надобности когда нужно в инет залезть... а теперь выходит все? Нереально????

Если все таки возможно очень Вас прошу расскажите как?!

Добавлено:
Добавлю только что версия аутпоста 2.1.303.4009.
И насчет ваших возражений что оне не предназначен для серверов (до этой проблемы все работало как надо . А насчет серверной платформы, неужели если я вместо сервера 2003-го поставлю XP что-то изменится? Найдется правило о транзитных пакетах или правило разрешающее NAT???

Вообщем жду ваших советом о том как разрулить сию проблему ибо без фаера в нашей локалке оставатся нельзя нисекунды... пионеры просто "занюкают" да обсадють троянами

Добавлено:
Вот, написал эти строки, нажал на ноуте Рефреш и рубоард загрузился . Ничего не понимаю, то он пропускает пакеты то непропускает.... Вообщем беспредел...

И еще одно, пинги и трейсы ходят на сайты инета независимо от того грузятся сайты в браузере и независимо от того чего там аутпост пишет в своем журнале.

Вообщем, попутно объясните мне пожалуйста чего ему нехватат и шо за самоуправство такое?

mvgfirst

Цитата:

0:25:05 SYSTEM TCP OUT REFUSED forum.ru-board.com HTTP Запретить транзитные пакеты

Для начала давайте посмотрим в первый вопрос из краткого фака в шапке - это там написано не просто так, хотя на эту тему помнится было много споров - у кого-то работает, у кого-то не работает и т.д. Каких-то постов на этом форуме с щепетильным разбором полетов я не припомню, может просто пропустил...

Вообще, суть такая - никто вам работы с транзитными пакетами не обещал, для этого есть спец. средства, типа MS ISA Server.

Цитата:

0:33:34 SYSTEM TCP OUT forum.ru-board.com HTTP Разрешить пакеты NAT

Как я понимаю, Запретить транзитные пакеты и Разрешить пакеты NAT - это встроенные "ядерные" правила OF и повлиять вы на них не сможете. А то что в разных режимах они обрабатываются по разному, так это, наверное, так показалось правильным разработчикам. Хотя, конечно, странно что в одном случае это называют транзитные пакеты, а в другом - пакеты NAT (вот это, если никто тут не объяснит, лучше спросить у разработчиков).


Цитата:

И что характерно, сразу же вернул "режим обучения" обратно, аутпост по прежнему пропускает пакеты с ноута в инет, я на ноуте еще какое то время смог поработать.. для чистоты эксперимента перегрузил оба компа... все работает, (подумалось видимо быстро перегрузил), выключил, перегрузил еще раз но уже через 5 мин. и опять Запрет транзитных пакетов.

Ну тормоз да Хотя в причинах этой инертности следовало бы разобраться отдельно анализируя журнал - у этого поведения должны быть к.л. объяснения.

Цитата:

А я ведь хотел основным рабочим местом сделать ноут а машину с W2003Ser оставить даже без монитора и включать только по надобности когда нужно в инет залезть... а теперь выходит все? Нереально????

Реально, но скорее всего проще и правильнее это будет сделать без участия OF, а, например, при помощи MS ISA Server, ну или Windows Firewall + ICS (Internet Connection Sharing) средствами Windows.

P.S.
Кстати, а работает ли схема: ICS средствами Windows + OF на одной и той же машине, смотрящей одним интерфейсом в WAN, а другим в LAN (ну ессно с целью раздачи интернета для LAN-хостов)? Или тут тоже вылезет проблема: Запретить транзитные пакеты? М.б. кто-инть пробовал или может попробовать?

Добавлено:

Цитата:

до этой проблемы все работало как надо

Какой проблемы-то? Это не проблема

Цитата:

А насчет серверной платформы, неужели если я вместо сервера 2003-го поставлю XP что-то изменится? Найдется правило о транзитных пакетах или правило разрешающее NAT???

Нет конечно. Дело не в ОС, а в применении. На рабочих станциях для которых предназначен этот фаер, обчно нет транзитных пакетов как класс. Вернее быть то они могут, только вряд ли посланы туда с легальной целью

Цитата:

Вот, написал эти строки, нажал на ноуте Рефреш и рубоард загрузился . Ничего не понимаю, то он пропускает пакеты то непропускает.... Вообщем беспредел...

Ищите систему в поведении, шлтите баг-репорт разработчику. Только не удивляйтесь если вас пошлют куда подальше (возращаясь к 1-му "постулату" из фака). Хотя если настоять, то, наверное, можно будет привлечь внимание к инертности и нестабильности (если, это, конечно не фичи OF).

Цитата:

И еще одно, пинги и трейсы ходят на сайты инета независимо от того грузятся сайты в браузере и независимо от того чего там аутпост пишет в своем журнале.

На ICMP есть свои правила (System > ICMP > Settings), нужно разбираться с внутренними приоритетами OF между различными типами правил (на эту тему можно почитать мануал и форумы - вопрос должен проясниться; я же с ходу не скажу).

Цитата:

Добавлю только что версия аутпоста 2.1.303.4009.
0:25:05 SYSTEM TCP OUT REFUSED forum.ru-board.com HTTP Запретить транзитные пакеты

Значит так. Не знаю как у Вас, но на нашем форуме http://forum.five.mhost.ru/ это уже обсуждалось много много и много раз. Итак.
Будем считать, что ICS уже нормально настроена и работает без ОР (типа обязательно 192.168.0.1 - шлюз и еще машина из той же подсетки). Дело в том, что агнитум поддерживает и работает по принципу микрософта (о чем на сайте гейтса так и заявили, а сам микрософт с ICS будет работать если только на шлюзе 192.168.0.1, хотя я хитрыми методами делал и другие адреса, но это уже другая история). Та вот Для этой версии делаем так:
Вариант 1.
Выключаем ОР с выгрузкой сервиса. Правим ручками файл outpost.ini.
В разделе INTERFACE ищем ShowNATColumn=no - изменяем на yes.
Запускаем OР. В разделе Options-System-Lan Settings смотрим графу - ICS.
Ставим галочку на транзитные соединения. Готово.
Вариант 2.
outpost.ini - раздел [DisableNetworkForHiddenProcesses] - удаляем iexplore.exe оттуда.
Вариант 3.
Если уже плагин AttackDetection блокирует траффик, то конкретно для AttackDetection в файле protect.lst в конце файла
<IgnoreHosts>
192.168.0.Х (твоя сетка)
</IgnoreHosts>
Вариант 4.
Если то пускает, то не пускает, делаем так - отключаем DNS-кеширование.
Вариант 5.
Конкретно разрешить NetBios для локалки.
Вариант 6.
Аутпост блокирует некоторые типы ICMP, поэтому тут уже надо экспериментировать.
Вариант 7.
Если в режиме обучения пропускает пакеты, а в режиме блокировки режет, то создаем отдельное правило (тоже элементарно) в глобальных правилах, но это отдельная тема, зависит от самой настройки сети, хотя в данном случае все должно и так работать.
Вариант 8.
Если не хватает знаний по настройке сетей - читаем в Интернете

А в версии 2.5. - все ОК
http://forum.five.mhost.ru/kb/index.php?page=index_v2&id=14&c=1
Совет - обновляй до 2.5.

Надеюсь объяснил все понятно и доходчиво.

Что за процесс SYSTEM всё врямя ломиться в инет. Пробовал поискать информацию о нём с помощью поисковиков, но ничего не нашел. Оутпост предлагает разрешить правила для него как "другие" . Следующий раз подключаешся снова просит. В окошке запроса стоят два адреса, один из них как я понял мой IP на данный момент, другой по схожести цифр наверное
принадлежит провайдеру.

Народ, прошу прощения за мою лень, но читать 70 страниц очень много. Проблема такая. У меня Dual-up. Периодически, по непонятным причинам, Outpost не даёт выхода в и-нет ни одной проге. Помогает выход и него и запуск его снова. Что это может быть? С чем это связано?

Eugen65
Отключить Attack detector или запретить ему баниться.

Contru
VonSimon
Zeroglif

Спасибо.

ozioso

Цитата:

Отключить Attack detector или запретить ему баниться.

А кто же тогда защитит от сканирования портов? Частенько бывает. А какое действие этот детектор имеет на исходящие соединение? В списке заблокированных никаких соединений нет. А в инет все равно не пускает. Глюк какой-то. Причём, я так понял, что глюк тянется давно.

orvman
Спасибо за ответы, к сожалению, тут немного таких конкретных ответов...

Цитата:

Значит так. Не знаю как у Вас, но на нашем форуме http://forum.five.mhost.ru/ это уже обсуждалось много много и много раз.

А вы случаем не имеете отношение к Агнитуму? Ответ можно в приват

Цитата:

типа обязательно 192.168.0.1 - шлюз

Это "фича" OF?

Цитата:

хотя я хитрыми методами делал и другие адреса, но это уже другая история

Расскажите плз, раз уж упомянули

Цитата:

outpost.ini - раздел [DisableNetworkForHiddenProcesses] - удаляем iexplore.exe оттуда.

Интересно, а этот метод как работает? Или теперь транзиты разрешаться только для IE?

Цитата:

А в версии 2.5. - все ОК
http://forum.five.mhost.ru/kb/index.php?page=index_v2&id=14&c=1

Не понял, где ОК, о чем конкретно речь?

поддерживаю Eugen65 проблема в точности как у него раз выходи в инет... другой раз нет... только после перезагрузки...и отключая детектор... и атаку мой адркс тоже все равно по барабану... по чему так?