» Agnitum Outpost Firewall Pro

Цитата:

Тем более что последние его версии имеют опцию с настройкой типа "транзитные пакеты"

Я в сое время много времени угробил, прежде чем посмотрел логи Аутпоста и нашел эту галочку...

Цитата:

Еще наверняка ты через ADSL модем то же не под выделеным IP в нет ходиш, а то же через NAT.

Имеется выделенный IP (т.е. с сервера Мул стабильно HighID получает).

Цитата:

Тебе просто нужно правильно настроить NAT, вернее заставить его пропускать пакеты во внутрь, только как он поймет кому непонятно?

Не понял смысл выделенной фразы.

Цитата:

Короче отпуст тут не причем, надо рыть в топике с натом и ослом ...

Так у сисадминов порыть, да?

ven1999
Имеется выделенный IP (т.е. с сервера Мул стабильно HighID получает).
Это хорошо ... Кстате, понятия HighID в муле нет, вернее я не замечал, у негно или просто все в норме, или LowID


Цитата:

Не понял смысл выделенной фразы.

Сам о нате знаю только поверхностно, в общем если даже есть возможность проходить через NAT из внешней сети (интернета) во внутренюю локальную, то я не понимаю как предположим человек с интернета попадет к тебе на предположим FTP зная внешний адрес NAT, ведь нат получив пакет на 21 порт не поймет кому его перенаправить, если у него в локалке штук 100 внутрених IP.
Чтоб работать через NAT любые соединения должен начинать ты, а вот в осле все соединяються с друг другом получая ссылки от основного сервера начинают ищущие файл !!!


Цитата:

Так у сисадминов порыть, да?

Да, в топике где обсуждаються проблемы NAT и его настройки. Agnitum тут совершенно не причем. Да и вообще, выключи на время отпуст, и попробуй без него ишака поганяй, наверняка всё равно ты не получиш норамльный ID.
Заканчиваем с натом, он сдесь OFFTOPом.

2ULTRASPEED

Цитата:

понятия HighID в муле нет

Вкладка "Серверы" -> "Моя информация" -> "eD2K Сеть" -> строка под ID

Цитата:

ведь нат получив пакет на 21 порт не поймет кому его перенаправить

Мой вопрос как раз и заключается в том, как Аутпостом сделать безусловную переадресацию с определенного порта сервера (в твоем примере это 21 порт) на порт клиента так, чтобы это было незаметно "снаружи"...

Цитата:

!!!

Не надо нервничать, многих это раздражает.

Возможно ли как-то централизованно управлять настройками оутпоста в сети? Или подгружать экспортированные правила (если есть такое) при установке, а дальше в случае чего пехом по пользователям?

Может кто-нибудь подсказать (а то ни в каикх хелпах не нашел) - для чего в аутпосте при создании правил для приложений есть событие "где локальный порт совпадает с удаленным" и что вообще это означает?

ven1999


Цитата:

Мой вопрос как раз и заключается в том, как Аутпостом сделать безусловную переадресацию с определенного порта сервера (в твоем примере это 21 порт) на порт клиента так, чтобы это было незаметно "снаружи"...

Мы друг друга не понимаем. Файервол не должен делать или не делать безусловную переадресацию, он должен фильтровать пакеты на основании твоих правил.
Если ты сделал безусловную переадресацию а отпуст не дает ей работать то разбирайся с вариантами в закладке с разновидностями пакета (локальный, транзитный, нат)


Цитата:

Не надо нервничать, многих это раздражает.

Вот как раз нервничают обычно раздражительные люди. я знаком !!! пометил предложение, на которое нужно обратить найбольшее внимание.

Из каких соображений ты решил, что в твоей ситуации нужно настраивать отпуст, а не тот же NAT. Что с отключиным отпустом все работает а с работающим нет ?

Stass1977

Цитата:

Может кто-нибудь подсказать (а то ни в каикх хелпах не нашел) - для чего в аутпосте при создании правил для приложений есть событие "где локальный порт совпадает с удаленным" и что вообще это означает?

если, допустим, входящее соединение будет таким: 80 port (удаленный - не твоего компа порт - порт сервера) -> 81 port (локальный - твоего компа порт), то при галочке правило не сработает. А если 80 на 80 или 81 на 81 или ХХ на ХХ, то сработает. Что тут не понятного?

Panamaaa
Понял. Не дошло, что имелось в виду совпадение номеров портов, думал, что это что-то про localhost:loopback или типа того.

После перехода с версии 2.5 на 2.7 стал частенько замечать в сетевой активности вот такой процесс _"n/a"_ ,причем удаленный IP и порт каждый раз разные.
Чтобы это может быть?

karagan
Несколько страниц назад кто то давал такое ц/у
"В outpost.ini - [Interface] параметр ShowNAProcess. Если стоит "1", то будет показывать "n/a", если "0", то нет.
Я пробовал , все точно, ставиш как написано и n/a превратиться в system

ULTRASPEED
Ну я вообщем так и предполагал, только само название n/a смущало

karagan
Это небольшой глюк Outpost-а: процесс System он определяет почему-то как неизвестный процесс. Поэтому проще отключить эту опцию, чтобы глаза не мозолила.

Кто небудь пробовал ставить Outpost v2.6 || v2.7 на Windows Server 2003 Standard Edition with Service Pack 1 ? И Вообще работает ли он с этой ОС ?????????

maleev
У меня стоит v.2.7 на Win2003 Enterprise +SP1. Работает прекрасно, не нарадуюсь.

я установил его, а он The Bat вообще блокирует... Причем вроде пишет, что разрешено все, а Мышь просто висит.... Да и вообще, страницы стали медленне качаться, что за бред? Причем в загрузкке процессора он лидер, в том смысле, что вообще не тратит процессорного времени, в отличие от 2,6

что делать с сетевым подключением Bluetooth?
для аутпоста его не существует.

yenpox

Цитата:

что делать с сетевым подключением Bluetooth?
для аутпоста его не существует

Причем тут аутпост. Если у тебя есть сетевое подключение по Bluetooth то у тебя возникает дополнительная подсетка 192.168.0.x, вот ее и нужно добавить либо автодетектом либо ручками в Outpost Options/System/LAN Settings
Я под Outpost v2.6-2.7 великолепно выхожу в интернет с наладонника соединенного по Bluetooth с десктопом
Главное было настроить Bluetooth а Outpost (с правилами по умолчанию!!) подхватил все автоматом - никаких проблем не было.

maleev

Цитата:

Кто небудь пробовал ставить Outpost v2.6 || v2.7 на Windows Server 2003 Standard Edition with Service Pack 1 ? И Вообще работает ли он с этой ОС ?????????

у меня win 2003 server ent SP1, сегодня всю ночь ковырялась с установкой и настройкой...

Сначала поставила 2.7 ставится нормально, работает нормально, но не смогла заставить отправлять транзитные пакеты с внутренней сети, то есть как персональный фаер работает отлично, а как сетевой вроде и не предназначен...

______________________________

У меня вопрос знатокам Оутпоста

Пыталась правилами задавать разрешения для транзитных пакетов - не проканало, пишет входящие блокированы и все. Скачала поставила 2.5 версию чтобы сделать как прочитала:


Цитата:

для того, чтобы отучить Outpost от самовольного блокирования транзитных пакетов, и заставить его нормально раршаривать соединения необходимо сделать следующее:
1. Выгрузить Outpost из памяти (с остановкой сервиса).
2. Открыть папку с Outpost (по дефолту "C:\Program Files\Agnitum\Outpost Firewall").
3. Открыть в ней файл "outpost.ini", и найти в нем раздел "[Interface]".
4. Добавить в конец этого раздела строчку "ShowNATColumn=yes" (если она и так присутсвует, то поменять "no" на "yes"). Сохранить файл.
5. Загрузить Outpost заново.
6. Идти в Параметры/Системные, открыть окно с настройками локальной Сети (вместе с двуми привычными колонками "NetBIOS" и "Доверенные" там будет еще и третья - "ICS" (Internet Connection Share)).
8. Поставить в столбце "ICS" галочку рядом с той сеткой, с которой необходимо расшарить соединение.
9. Запустить Outpost.

После этого все должно волшебным образом заработать
Стопроцентной гарантии этот метод не дает, но в большинстве случаев помагает.

P.S. Я его проверял на версии 2.1.303.4009 (314) и на бетке 2.5. У меня все работало в обоих случаях.

но на версии 2.5 у меня не проканала такая фишка, поэтому нашла и скачала 2.1.303.4009 (314)

все получилось, столбец ICS появился с транзитными пакетами проблем нет,

но не могу толком настроить разрешения... если галочку в интерфейсе повернутом к локальной сети где нетбиос убрать то даже при явно заданном разрешении для одного моего компа из сети соединения нетбиос все равно не разрешаются. Правила создаю в системе "Параметры" - "Системные" - "Параметры" поднимаю на самый верх, чтобы с этого компа доступ по нетбиос был разрешен тип входящие порты 137-139. Но все равно блокируется. Если же ставлю разрешение для интерфейса локалки нетбиос для всех в "Параметры" - "Параметры сети" то при сканировании сервака с компов внутри сети слишком много всего открыто, кто сталкивался с такой проблемой?

И еще при сканировании если галочка убрана в разрешениях нетбиос но стоит только ICS то он при сканировании выдает перечень открытых процессов на сервере... не знаю что прикрыть чтобы этого небыло

кому интересно попробуйте прогой LanSpy http://forum.ru-board.com/topic.cgi?forum=5&topic=11930#1 проверить как защищается комп из локалки и что можно сделать чтобы и защита была нормальная и в то же время одному компу был разрешен доступ на сервер по нетбиос

я как раз и ставила оутпост для защиты от сканильщиков из локальной сети, так как из внешней у меня стоит брандмауэр в проге трафик инспектор

Подскажите, что сделать, чтоб аутпост 2.6 перестал добавлять разширение *.aq во вложенных в письма доковских файлах при получении писем через Bat.

sting325
Параметры-Подключаемые модули-Фильтрация почтовых вложений-Параметры

arta999
Ну вот ты уже перебралась и сюда. У меня вопрoс. Вот постоянно Гнать Дуру - это у тебя хоби такое или образ жизни.
Не стал даже и вникать в твою ахинею, но на некоторые положения всё-таки решил среагировать.
Цитата:

я как раз и ставила оутпост для защиты от сканильщиков из локальной сети, так как из внешней у меня стоит брандмауэр в проге трафик инспектор

1. Два одновременно работающих экрана. Я не говорю стоящих на компе (т.к в теории их может быть и несколько), но активных (т.е работающих). Это уже будет ОДНАКО!. И не потому, что кто-то сказал, что это нельзя, и не потому, что это просто не логично, а потому, что это просто не работает.
2. Поставить Outpost специально, для работы с локалкой. А как-же ты собралась отрубать ему уши и нос (вместе с головой), чтобы он не лез наружу и не начал войну с экраном твоего Трафик Инспектор-а. A если и умудришься, то остатками (т.е задницей) он и делать будет соответсвующим образом. ОДНАКО!!
3. А твои эксперименты с версиями 2.1 и 2.5. Как вообще это могло быть возможно и работоспособно, если Outpost до версии 2.6 вообще с Win2003 с установленным SP1 не работал. ОДНАКО!!!

Schmalz

Цитата:

если Outpost до версии 2.6 вообще с Win2003 с установленным SP1 не работал.

Т.е. версии выше 2.6 с W2K2 SP1 уже работают нормально?..

arta999


Цитата:

но не могу толком настроить разрешения... если галочку в интерфейсе повернутом к локальной сети где нетбиос убрать то даже при явно заданном разрешении для одного моего компа из сети соединения нетбиос все равно не разрешаются. Правила создаю в системе "Параметры" - "Системные" - "Параметры" поднимаю на самый верх, чтобы с этого компа доступ по нетбиос был разрешен тип входящие порты 137-139. Но все равно блокируется. Если же ставлю разрешение для интерфейса локалки нетбиос для всех в "Параметры" - "Параметры сети" то при сканировании сервака с компов внутри сети слишком много всего открыто, кто сталкивался с такой проблемой?

Прочти это, может поможет, это писал я пару страниц назад , ситуация такова по сей день на версии 2.6.452.5123(403) пробовал два последних build сабжа, все анологично, я откатился к ранней версии из за глюков с полями.


Цитата:

KovuBC
Так же как ты перекрыл системными правилами с высоким приоритетом общие ICMP настройки для всех удаленных адресов, я пытаюсь разрешить себе выйти по протоколу NetBios на адрес 10.10.10.10 при том что в настройке сети стоит 10.10.10.* запретить протокол NetBios.
Так вот прописую так:
протокол TCP
направление исходящее
где удаленный 139
разрешить эти данные
пометить правило как правило с высоким приоритетом
Называю правило Premit outbоund all NetBios

набираю \\10.10.10.10
Смотрю в активности, вижу красным "запретить протокол NеtBios"
То есть правило с высоким приоритетом стоящее в самом верху не являеться приоритетнее чем правила для всей сети(я про нет биос)

И самый косяк ....
К созданому правилу:
протокол TCP
направление исходящее
где удаленный 139
разрешить эти данные
пометить правило как правило с высоким приоритетом
Называю правило Premit outbоund all NetBios
Добавляем "Игнорировать контроль компонентов"
Набираем \\10.10.10.10 смотрим в активность и видем
разрешить на основании правила Premit outbоund all NetBios
Правило стало приоритетнее !!! но из за чего из за игнора компонентов ??

Кто мне пояснит, это баг или фитча ???

Чисто ради интереса ставил недоделаную версию Agnitum Outpost Firewall Pro 2.7.484.5330(412) ситуация аналогична, плюс несохранение полей.

Щас откатился к версии Agnitum Outpost Firewall Pro 2.6.452.5123(403)

NetBios - это зло не поспорить !!
Не забывай, что в настройках сети ты можеш прописать индивидуально конкретный адресс и разрещить NetBios только ему, и так с каждым, не обязательно же мод маску всю сеть прописывать.
Schmalz



Цитата:

1. Два одновременно работающих экрана. Я не говорю стоящих на компе (т.к в теории их может быть и несколько), но активных (т.е работающих). Это уже будет ОДНАКО!. И не потому, что кто-то сказал, что это нельзя, и не потому, что это просто не логично, а потому, что это просто не работает.

Тут я стобой соглашусь, так как у меня отпуст работает и встроеный в ТИ отключен, но я сидел 2 месяца на NIS2004 + Outpost 2.1? оба работали и оба обрабатывали правила, просто один был ближе к внешней сети а другой лиже к локальной машине.
Похерил я это дело, так как сам продукт NIS2004 ресурсоемкий и тяжелый для системы. Глюков не наблюдал !

Markes
Да, именно так. Изначально ОР работал с 2003-м (и я пользовался именно им), но года полтора назад, когда пошли первые (ещё бетки) SP1, работа стала просто невозможна (и я першёл на Sygate). После выхода финального SP1, оутпостовцы где-то напряглись и выдали версию 2.6 в которой официально продекламировали возможность дальнейшей работы. Я её поставил, вскоре появилась 2.7, которая у меня работает (как я и писал ранее) просто превосходно. Вообще никаких замечаний не имею.

ULTRASPEED
Возможно, всё может быть в умелых руках, но я буду говорить только о том, что я знаю сам. Два экрана, которые изначально (и как правило) имеющие разные правила по умолчанию и которые будут пытаться рулить каждый по своим, как это примерить и кому и каким способом отдавать преоритет. Нет, и ещё раз нет. Другое дело, вот есть некоторые экраны, например Sygate (который я лично пользовал) в котором можно определить с каким соединением работать, с наружным или внутренней локалкой т.е. определить с каким соединением (конкретно прибор, нетцкарта или чё) должно работать правило. Да, если два экрана с подобными возможностями, то видимо в теории возможно, хотя на практике я очень сомневаюсь. И если где-то, чё-то будет функционировать не так, как задуманно, то где и кого ловить и кого грохать.
Но поскольку тут-то идёт разговор за Outpost, то дискуссия вообще отпадает, так-как в нём вообще нет возможности как-то конкретно и чётко определить с каким соединением работать, а с каким нет.

Ну и последнее, для всех. Если осмыслить всего-то четыре основных правила, то многие проблеммы отпадают сами сомой:
1. Приоритет правил - OР использует первое правило (по перечню), отвечающее критериям сетевой активности приложения, и игнорирует все последующие правила.
2. Правилам для приложений отдается предпочтение по умолчанию.
3. Правила для приложений - Правила создаются и работают только для приложений, имеющих Пользовательский уровень фильтрации. При переводе приложения в доверенные, правила больше не работают. Можно создать правило на основе стандартного или создать (определить) своё.
4. Системные правила - правила для блокирования низкоуровневой сетевой активности и правила для всех приложений (но смотри преоритет).
Системное правило с определённым (заданным) высоким приоритетом имеет преимущество над правилами для приложений.

Schmalz

Цитата:

появилась 2.7, которая у меня работает (как я и писал ранее) просто превосходно. Вообще никаких замечаний не имею

Отлично! Попробую и я.

Версия 2.6 и 2.7 Outpost'a: в настройках "Active Content Properties \ Exclusions" для forum.ru-board.com разрешено ВСЁ, тем не менее клик по любому нику, т.е. выполнение javascript:pasteN('.....'), не приводит ко вставке его в поле "Сообщение" (Пробовал в IE, Oпере, Firefox'e) После выгрузки Outpost'a и перезагрузки страницы в браузере - все пучком, вставка происходит. И такая ерунда только с РуБордом, на iXbt выполнение тамошней javascript:p1('.....') нормально срабатывает при загруженном фаерволле. Может кто чего присоветует?
з.ы. В версии 2.5 такой проблемы не возникало.
з.з.ы. Сорри, если уже обсуждалось.

lexder

Вот этот скрипт где-то блокируется:
_http://i2.ru-board.com/board.js

Если не в браузере, то в Аутпосте значит запрещена поддержка сценариев Java.

Schmalz

Цитата:

Вот постоянно Гнать Дуру - это у тебя хоби такое или образ жизни.

прошу модеров извинить за флуд, но все-таки отвечу:

если ответа на вопрос не знаешь лучше помалкивай

а то создается такое впечатление что ты меня специально провоцируешь, уже вторая тема где ты в суть вопроса совершенно не въезжаешь, а влезаешь со своими офтопными замечаниями


Цитата:

Два одновременно работающих экрана. Я не говорю стоящих на компе (т.к в теории их может быть и несколько), но активных (т.е работающих). Это уже будет ОДНАКО!

флуд, подобные обсуждения типа хорошо плохо и т. д. во флейм, я не интересовалась твоим мнением по поводу хорошо или плохо два одновременно работающих экрана, прочти вопрос еще раз


Цитата:

А как-же ты собралась отрубать ему уши и нос (вместе с головой), чтобы он не лез наружу и не начал войну с экраном твоего Трафик Инспектор-а

мдя... типично ламерское высказывание...

одно другому не мешает, даже если десять поставить, каждый будет обрабатывать проходящий через него трафик согласно созданным в нем правилам поэтому единственное ограничение это ресурсы машины... сколько выдержит

если уж на то пошло, то фаеры подобного типа вообще не предназначены для серверов,
потому что когда 100 человек лезет в сеть через этот сервер а оутпост обрабатывает все пакеты то загрузка на проц возрастает капитально, так что оутпост это временное решение под 2003 винду и маленькую сеть, но под большую уже никак не проканает


Цитата:

А твои эксперименты с версиями 2.1 и 2.5. Как вообще это могло быть возможно и работоспособно, если Outpost до версии 2.6 вообще с Win2003 с установленным SP1 не работал. ОДНАКО!!!

прочти мой предыдущий пост в этой теме еще раз:


Цитата:

у меня win 2003 server ent SP1, сегодня всю ночь ковырялась с установкой и настройкой...

Сначала поставила 2.7 ставится нормально, работает нормально
поставила 2.5 версию
нашла и скачала 2.1.303.4009 (314)
все получилось, столбец ICS появился с транзитными пакетами проблем нет

Оутпост нормально ставится и нормально работает на Windows server 2003 Enterprise Edition SP1 (английская версия ос) Причем вместе с одновременно установленным и работающим Traffic Inspector 1.1.3.160rc со включенным сетевым экраном и антивирусом касперского

а загрузка на проц при одновременно сидящих в инете 5-8 юзверях на атлоне 1500MHz 256Mb of RAM, возрастает максимум до 38% когда ни один в инете не сидит то 3% до установки оутпоста была 1-2%

ULTRASPEED

Цитата:

Прочти это

сенкс! это оно самое! просто лень тему было перечитывать

arta999
Это в какую-такую суть я должен был бы въехать. Это я что-ли когда-то имел сомнения, что ОР не предназначен для работы на компе, работающего как сервер. Я пытался розовым бантиком привязать его к экрану Traffic Inspector-а и у меня при этом чё-то не работало и я спрашивал совета. Я ставил на 2003+SP1 изначально не работающие там версии ОР, подвывая от восторга и приговаривая при этом, что "все получилось, столбец ICS появился с транзитными пакетами проблем нет".
Как можно вообще ответить на вопрос, не имея ввиду и не затрагивая концепсию и идею вообще.
Не, Гнать Дуру, это у тебя всё-таки образ жизни.
И если кто-нибудь ещё, акромя тебя, скажет мне, что конкретно Outpost работает у него совместно с другими экранами без проблемм, да ещё и обоснует необходимость этой совместной работы, то клянусь, я отгрызу себе этот палец, которым я сейчас печатаю.

Schmalz
Палец посолите предварительно, да и на кетчупе не экономьте
Потому что за такой тон дискуссии Вам его модераторы отгрызть могут.

Вы не помните - не на этом форуме периодически обсуждалась совместная работа двух разных стенок? зоналармы разные, виснетики там какие-то.... ТОлько не надо про, что это разного назначения экраны. Вы это в пари насчёт пальца не оговаривали. Так что необходимость совместной работы уже обоснована.

А касаемо ваших несомнений " что ОР не предназначен для работы на компе, работающего как сервер." - внесите их в шапку, а то там позволяют себе думать не по-Вашему.
Вот только признаваться, что "сейчас печатаете этим пальцем" - это как? Даже машинистки при коммунизме печатали как минимум двумя. Или пару пальцев уже проспорили? Вкусно было?