» Agnitum Outpost Firewall Pro

9milimetrov
Конечно можно - выбираешь в allowed Connection Add filter- Process name ( в самом низу списка), далее кликай на undefined и на нужный тебе application ( конечно можешь еще сузить статистику - например выбрать только Received).
Это в OP3, названия в меню для предыдущих версий может отличаться.

Ну так там тоже по соединениям - а если мне нужен общий трафик приложения ?

Скажите а у Outpost есть запуск из командной строки с необходимыми параметрами?
Интересует автоматическое завершение outpost

nobodyexebiche
А в чем смысл сей акции? файр должен работать. Если конечно не нужно кому то свинью подложить.

Смысл простой. Запускается соединение с инетом - запускается outpost. Завершилось соеденение - завершился outpost

9milimetrov
Цитата:

а если мне нужен общий трафик приложения

Тогда учи SQL и делай свой плагин к ОР, кстати, пару плагинов уже есть где-то в сети, ссылок не помню. Можно еще пользоваться не специально написанными к ОР разработками, а сторонними программами, только выбирать их нужно осторожно - не всегда они корректно работают в связке с ОР.

nobodyexebiche
Цитата:

Интересует автоматическое завершение outpost

По идее официальных ключей нет, во всяком случае пока, по известным всем причинам.
Но есть обходные пути. Например, net stop (start) "Outpost Firewall Service" - подобными. Заваять это дело в скрипты, для автоматики (обратить внимание на модуль Anti-Spyware). Можно по-другому - тоже через скрипты - но через посылку ключей и имитацию ввода клавы (мыши), типа открыл/закрыл (тоже обратить внимание на модуль Anti-Spyware, отключить пароль в ОР - если есть, запуск службы ОР как сервис Винды автоматом и иметь админские права - вообще все зависит от тонкостей написания). Особых знаний для написания не нужно, все описано даже в справке к Винде. Делается просто элементарно. Сам не пробовал, но работать обязано. Кстати, в январе еще, встречал где-то в Инете такой метод вырубления ОР скриптами. Написано было под v2.5. - прокатывало на ура, по идее для v3 тоже должно прокатывать - при условиях см. выше.

Интересует автоматическое завершение outpost
Может кто возьмёт на себя труд написать такой скрипт для 3-ей версии? Благодарности последуют немедленно. Своих знаний не хватает.
Спасибо. Удачи!!!

Уже был подобный вопрос, но предложенные решения (ini править) у меня не работают. Итак, вопрос в следуещем: имеем локалку и аутпост версии 2.7.493.5421 (416), как настроить нормальный шаринг ресурсов? Причем галочка напротив сети стоит (разрешать netbios), но часть соединений блокируется по правилу "запретить netbios соединения", где это правило находится и как его отключить не понятно.
Что посоветуете?

Bercut
Вообще, непонятное поведение. Может попробовать сделать резервную копию текущего конфига и попробовать создать новый?

Ребят, помогите плз.
Сижу на Корбине Телеком. Для юзания локалки включаю обычное соединение, а если пользоваЦЦа и-нетом, то приходицца включать VPN соединение.
Тут начинаеЦЦа хаос.

0:17:21    Short Fragments    хх.ххх.ххх.ххх

После этог Аутпост блочит эту хрень на 5 мин, и и-нет на пять минут слетает.

19.10.2005 18:37:23    IP Spoofing    255.255.255.255    9C-B6-20-00-01-00
18.10.2005 22:31:26    RPC DCOM Attack    хх.хх.хх.ххх    

Это все он тоже блочит мин а 3. И и-нет опять слетает.
Что то Аутпост много чело считает за атаки.
Чем кто может помогите, заканался уже...

Сижу в политике BLOCK MOST.    

Пробовал - не помогает. Сейчас попробую поставить новую версию, возможно поможет. Тут кто-то говорил, что нужно включить ICS, перед установкой, чтоб аутпост нормально распознал сетку, так вот это имеется ввиду сервис?

проблема такая.... стоит у меня OF 543.5722 (431) и захотел я себе поставить super stealth.... вырубил я оутпост... начинаю ставить рлагин... он поставился... отправил машину на рестарт...потом при запуске OF выкидавает ошибку и не в какую не хочет запускатся.... если удальть этот плагин, то OF начинает работать как миленький....
в чём проблема???

P.S. плагин скачан по ссылку которая публиковалась ранее...

Bercut
Цитата:

как настроить нормальный шаринг ресурсов?

Цитата:

нужно включить ICS

Просто шаринг? Типа локаль и все? Или еще выход через шлюз в инет?
Если ICS, то - http://forum.five.mhost.ru/kb2/index.php - Вопрос 40 - "У меня не получается настроить общий доступ к подключению Интернета по сети в Outpost Firewall".
Если Нетбиос, то проставить галочки на подсеть или на отдельные машины, но тогда возможно придется еще широковещательные разрешить. Подробно разбираться нужно, хотя все должно работать по дефолту.
Но если
Цитата:

галочка напротив сети стоит (разрешать netbios)

, то тогда действительно скорее где-то идет перекрытие правил в общих/системных правилах. Но я не знаю деталей, что, где и как и т.д. блокируется... Поэтому как сказал Accessor - лучшее решение будет:
Цитата:

Может попробовать сделать резервную копию текущего конфига и попробовать создать новый?

Stiff Master Как я понял у Вас локаль + Инет. На шлюзе стоит ОР и для Инета Вы подключаетесь по VPN. Есть проблемы у ОР с подключениями по VPN. Скорее всего у Вашего провайдера используется железо от Cisco. В Вашем случае детально разбираться нужно. Копать нужно в настройках Детектора атак. И анализировать историю заблокированных и разрешенных очень и очень подробно. Какой пакет по какому порту пошел первым, что получил, куда ломанулся, и вообще отдал ли ответ обратно и т.д. и т.п. Возможно, что при подключении провайдер посредствами туннелирования протоколов через свою сеть посылает Вам запрос и не получив ответа делает повторный запрос и т.д., а потом вырубает связь. Вполне возможно, что ОР из-за железяк на стороне провайдера ошибочно воспринимает это как за атаку. Либо вообще провайдер использует неизвестный для ОР протокол на основе IP - трудно что-либо сказать...
Лучше проконсультироваться об этом у провайдера какие запросы и какие порты должны быть открыты и для какого конкретного адреса провайдера (чтоб дыры не было) для Вашей идентификации в системе.
Если поможет, то вот:
http://forum.five.mhost.ru/kb2/index.php - Вопрос 37 - "У меня возникают проблемы при использовании Outpost с клиентом Cisco VPN."
Еще как вариант убрать галочку в ОР "Блокировать атакующего" и посмотреть как поведет себя система...
А вообще ОР+VPN - длинная тема. Беда многих фаеров... Глюки ОР+VPN подтверждаю. Агнитум работает над этим. Будете смеяться или плакать, но еще со времен v2.5. ничего так и не изменилось в этой связке... - как глючило, так и глючит и по сей день...

Joey Jordison
Та версия несовместима с ОРv3

orvman
Большое спасибо за ответ. У меня еще один вопрос: если снять галочку с "блокировать атакуещего" не будет ли мой ПК целью для атакующих? Безопасно ли это?

а какая совместима с OF 543.5722 (431) RUS???
просто очень надо...

Joey Jordison

Цитата:

а какая совместима с OF 543.5722 (431) RUS???

К сожалению пока нет такой версии

Kronch

Цитата:

К сожалению пока нет такой версии

Да, ну здрасьте, у меня в about написано Outpost Firewall Pro 3.0.543.5722 (431)
Это, наверное, у меня дежавю?

Accessor

Цитата:

Да, ну здрасьте, у меня в about написано Outpost Firewall Pro 3.0.543.5722 (431)
Это, наверное, у меня дежавю?

Я имел ввиду версию плагина super stealth, для Outpost Firewall Pro 3.0.543.5722 (431).
Что нету новой версии данного плагина для OP v.3

Возникла проблема.
На моем компе стоит ftp-сервер (Gene6FTP) и OF v.3.0.543.5722 (431).
Для фтп разрешил выполнять любые действия, но на мой фтп-сервер люди все-равно попасть не могут (при любом режиме OF, кроме Отключить). Хотя OF показывает, что с сервером люди коннектяться (10 сек.). Как устранить возникшую проблему? До этого такого не было.

А куда вводить серийник, если у меня даже не роявляется предложение ввода?
Предлагает только купить?

Idle
У меня тоже стоит Gene6FTP и OP v.3, я разрешил G6FTPSERVER.EXE полную свободу и все работает, люди заходят качают. Странно, должно все работать.

Помогите плиз разобратся!

Под Outpost Firewall Pro ver. 3.0 программа Maple 10 не работает. Причем ставиш файрвол в режим "Разрешать" работает! Ставиш в "Обучение" неработает!! При этом всем файлам Maple которые требуют доступ к сети установлено правило "Доверенные".

Такое впечатление что в "Обучение" действует какието дополнительные правила??? Но не пойму какие и где искать. В журнале при этом заблокированных нет! А Maple говорит что не может соеденится с сервером...?

В чем трабл непойму??

Stiff Master
Цитата:

если снять галочку с "блокировать атакуещего" не будет ли мой ПК целью для атакующих? Безопасно ли это?

Хороший вопрос. (Это надо будет как-нибудь в Базу Знаний по Ор закинуть). Разговаривали мы с Paranoid2000 (http://www.outpostfirewall.com/forum/) насчет этого... Вообще-то в безопасности от сетевых атак и т.д. можно чувствовать себя только при полном отсутствии интернета... А если по теме, то ОР также будет отражать атаки (сканирование портов и перечень которых прописан в Детекторе Атак в ОР), о чем и будет извещать пользователя (если стоит галка "оповещать" - точно не помню). Единственная разница в том, что блокировать удаленную машину ОР не будет. Другое дело с обработкой пакетов + нестандартная реализация протоколов и их туннелирование через другие. Сам ОР знает не все протоколы и т.д. - а только основные - поэтому и есть такая фича в ОР - "неизвестный протокол".... Тут стоит настоятельно упомянуть, что это беда не только ОР, но и других фаеров. Вот поэтому-то, и есть у многих пользователей многих фаерволлов проблемы при подключениях через VPN. Достаточно вспомнить многие RFC, где описываются нестандартные варианты потоков, применимые к определенным сетям (и) или железкам....
...Отвлекся...
Конечно, можно еще долго вспоминать когда при явном флуде, а затем неправильной обработке пакетов, затем и таймаутов, а потом и падение ОР и Винды (утечка памяти потом это стали называть), но это было в раньших версиях, кажись в 2.1. Кое-что осталось и сейчас. Дело в том, что есть вероятность пробоя, многое зависит от настроек самого ОР и правильной работы стека TCP/IP (например параметры MTU и многие другие) в Винде. До v3 было много уязвимостей именно из локальной сети (многие об этом знали, но помалкивали). Поэтому Агнитум и ввел в Детектор Атак вкладку Ethernet... А что же касается внешней сети, то, скажу так. Если задумал человек взломать систему, то абсолютно (!) никакой программный фаерволл не поможет, помогут только железяки, хотя тоже не всегда (это уже отдельная тема). Поясню почему. Стоит Винда. На ней стоит ОР или другой фаер. Что проще использовать для взлома? Например, я бы сделал ставку на уязвимости самой Винды - это проще и элементарнее. Смысл - есть уязвимость в Винде - никто Вам не поможет. Что же можно говорить о программых продуктах (неважно каких), установленных в системе, если сама Винда дырявая (в смысле уязвимости имеет)?... Делаем выводы и патчим Винду сервис-паками и апдейтами... А если добавить к этому атаку под специальный установленный на машине продукт.... Короче, все зависит от квалификации и фантазии атакующего. И нет никакой разницы стоит там в Детекторе Атак в ОР галка или нет. Юзается ОР или ZA, Керио или Сигейт и т.д. и т.п... Для профессиональной защиты нужно использовать многоуровневую защиту, а для домашнего пользования это ни к чему....
...Отвлекся...

Вывод:
Можно убрать галку.
Но предварительно прочитать http://forum.five.mhost.ru/kb2/index.php - Статья "Руководство по созданию безопасной конфигурации Outpost" - и настоятельно обратить внимание на секции D4, D5 и D3

Подскажите плиз, после обновления не могу соединиться через VPN, лог следующий:

12:44:38    Недоступно    ВХОД БЛОКИРОВАНО     UDP    localhost    1028    Пакет на закрытый порт
12:44:22    Недоступно    ВХОД БЛОКИРОВАНО     ICMP    xxx.xxx.xxx.227    Эхо-запрос/0    ICMP соединения

получается что заблокирован локальный порт 1028?

Добавлено:
и заблокирован localhost. пытался из бата отправить письмо с помощью yahoopops
как открыть?..

Где то с месяц назад появилась такая проблема:
Время от времени OutpostFirewall просто не видит запущенную программу. Например - запускаю Оперу, она НИКУДА не может достучаться, а в самом OF Оперы даже не видно. Выгружаю OF (Опера тут же добирается до нужного мне сайта), снова врубаю OF и только тогда он видит все запущенные программы работающие с сетью.

Такая проблема возникла ВДРУГ, до этого ничего подобного не случалось. Глюк начался с версии 2.х (на Win XP), и не прекратился после перехода на версию 3.х (уже на Win 2003 Enterprise)

Кто то сталкивался с подобной проблемой, или имеет идеи как ее решать?

Дам более подробные сведения:
15:07:44 system    ИСХ БЛОКИРОВАНО TCP ***** NETBIOS_SESSION Запретить NetBIOS соединения
14:59:23    NETBIOS    ВХОД БЛОКИРОВАНО     UDP    *****    NETBIOS_DGM    Запретить NetBIOS соединения
14:54:17    NETBIOS    ВХОД БЛОКИРОВАНО     UDP    *****    NETBIOS_DGM    Запретить NetBIOS соединения
14:52:42    NETBIOS    ИСХ БЛОКИРОВАНО     UDP    *****    NETBIOS_NS    Запретить NetBIOS соединения
14:52:08    NETBIOS    ИСХ БЛОКИРОВАНО     UDP    *****    NETBIOS_NS    Запретить NetBIOS соединения
14:51:44    NETBIOS    ВХОД БЛОКИРОВАНО     UDP    *****    NETBIOS_DGM    Запретить NetBIOS соединения


Непонятно, что за правило, нигде его я не нашел. Конфигурацию заново создавал - не помогает.

Начиная с 8.01 Опера перестала дружить с ftp-серверами. Начал разбираться - виноват ОР. Не устанавливается соединение FTP DATA. У IE с идентичными правилами проблем нет. Подробно описал здесь: http://forum.five.mhost.ru/showthread.php?t=2468
Подскажите, где копать?

forever
Ни Опера, ни IE НЕ МОГУТ по собственной инициативе лезть на ftp.kaspersky.com. Это невозможно в принципе. Потому что ни Опера, ни Билл Гейтс в упор не видят Гену Касперского. В зависимости от версии твоей винды и версии установленного на твоей системе KAV апдейтер KAV может тем или иным способом стучаться на родной ftp за обновлениями. Например, в качестве скрытого процесса. А сервис KAV (на платформе NT) - фильтровать сетевой контент по обоим направлениям. Если инициация обновления происходит из оболочки KAV-центра, то KAVSVC инспирирует апдейт сам, получая DNS от SVCHOST.
Что касается неспецифицированных портов, то, как тебе известно, их использование характерно только для сторонних сетевых приложений (в т.ч. для удаленного управления aka backdoor) либо для локального отклика по инспирированному сокету. Иначе говоря, "TCP ftp.kaspersky.com 63946" - это не запрос браузера, а отклик от него (или приложения, воспользовавшегося его процессом) в пределах сокета. Отклик, который ты САМ инспирировал.
Если IE у тебя работает, а Опера - нет, то можно посоветовать проверить настройки доступа через прокси. Либо это трабл созданных тобою правил для Оперы. Либо трабл самой Оперы. Другого не дано.
З.Ы. "Троечка" работает далеко не безупречно. Но глюки, в основном, касаются визуальной части. Если у тебя нет явного крэша аутпостовского сервиса, говорить о глюках Аутпоста рановато. Но это imho. Только imho.

Bercut

Цитата:

Непонятно, что за правило, нигде его я не нашел. Конфигурацию заново создавал - не помогает.

Залезь в "Параметры>Системные>Параметры". Галочки там есть такие. Напротив каждого диапазона сети. "NetBios" и "Доверенные". Сними "NetBios". А если тебе NB вообще не нужен, - убери его прямо из протоколов, установленных для данного соединения (клиент для сетей Майкрософт) и выруби сервис "NetBios over TCP/IP". Тогда и раппортов левых не будет.

У меня была такая же беда с инетом - фаерволл отрубал подключение к инету. Я исправил это тем что поставил открытых портов 9 а не 2 как по умолчанию

Хорош ли встроенный антишпион? И зачем было в файрволл его добавлать... Скоро и антивирь включат.