» Comodo Firewall Pro

valmont al

Цитата:

Дело в зелёных юзверях, которые создают правило "блокировать всё", а потом начинаются вопросы - "а фига с включенным файером ничего не работет" ?
Сколько уже я сталкиваюсь с этим "завершающим правилом", в большинстве случаев оно только помеха юным энтузиастам, желающим защитить свой ПК.

Вот именно зеленым оно и важно. Потому что именно у них от неправильной настройки потом мнение, что вот то = кака и ничем не переубедить.


Цитата:

Хотите, знаете как - создавайте. Есть желание - напишите мануал для неопытных пользователей. А то они начитываются, а потом получается.... кака

правила настройки персональных файерволов, шапка. Продукт совместного (в т.ч. и моего) творчества. Так что, аргУмент "если ты такой умный" несколько опоздал


Цитата:

Файрволл настраивается один раз и про него потом можно забыть.

именно, забыть. А не вскакивать каждый раз, если что-то не начинает не так выглядеть.

Цитата:

Все файрволлы настраиваются по одному принципу: разрешается то, что необходимо, всё остальное блокируется.

Вот только есть отличие - настраивать, или надеяться, что стена сама знает, что делать с остальными. (при том, что неизвестно, знает ли. ) Я предпочитаю настроить сам.

Цитата:

В другой режим переключаться вообще не надо. Файрволл настраивается один раз и про него потом можно забыть. Разве что по мере добавления каких-то приложений, требующих сетевой доступ, вы разрешаете то, что вам необходимо.

valmont al, вопрос не в том надо или не надо, а в том, что можно забыть переключиться. Если новых приложений не предвидется, то и не надо никуда переключаться, а если пробовать новые программы (а для чего ещё комп нужен?), то переключаться прийдётся. Не все крутые хакеры и заранее знают как то или иное приложение себя поведёт. Большинство пользователей используют именно режим обучения для создания новых правил, потому что так в любом случае удобнее (мало ли какие там соединения запросит приложение, например, какая-нить сетевая игра). И я не исключение.
Цитата:

Все файрволлы настраиваются по одному принципу: разрешается то, что необходимо, всё остальное блокируется.

Не очень понял. Я тоже самое написал выше (подход 1). Или здесь имелся в виду подход 2: Вера во всемогущего батюшку царя ? Тогда процитирую то, что сказал bredonosec:
Цитата:

Вот только есть отличие - настраивать, или надеяться, что стена сама знает, что делать с остальными. (при том, что неизвестно, знает ли. ) Я предпочитаю настроить сам.

И, в конце концов, спор ни о чём. Что такого страшного произойдёт, если данное правило будет стоять ?
Цитата:

Сколько уже я сталкиваюсь с этим "завершающим правилом", в большинстве случаев оно только помеха юным энтузиастам, желающим защитить свой ПК.

Будет блокировать что-то ? Но так и должно быть, надо блокировать это что-то неизвестное, а известное прописывать. Какая же это помеха, если фаер блокирует что-то неизвестное ему как разрешённое ? А зачем тогда вообще фаер ? Может его сразу лучше снести, чтобы он ничего не блокировал ?...
Правила в шапке написаны для всех. А это завершающее блокирующее правило - гарантия, что у вас фаер стоит, который выполняет всвою работу до конца (на сколько в него заложено), а не типа-фаер стоит, который что-то блокирует, что кто-то написал, а остальное можно пропустить.
Как делают совсем начинающие пользователи, у которых фаер постоянно что-то спрашивает, а они это что-то запрещают, а он опять спрашивает и опять, и наконец они это что-то разрешают и он не спрашивает уже ничего (между прочим, не раз встречался именно с такой логикой настройки фаеров пользователями). А если фаер не спрашивает, а просто разрешает, потому что в нём стоит чудесное правило "Разрешить все TCP/UDP", а завершающего блокирущего нет ?

WIGF, ой как много букав
Не хотел я уже отписываться по этому поводу, поскольку каждый всё равно останется при своём мнении и будет настраивать файрволл как ему удобно, но вот с утра сегодня казусный случай.
Мой приятель решил последовать за мной в переходе на комодо после установки новой ОСи. Поставил, вроде бы настроил для своих нужд. Всё работает. Через пару часиков стучит в аську и говорит - что-то не работает он. Говорит блокирует инет и хоть ты тресни.
Я думаю все с первой попытки угадали в чём проблема. Захожу к нему на машину, иду в глобальные правила, и о ДА !!!
Последнее правило BLOCK ALL IN/OUT (IP) All IP All ports. Лично я не принимал участия в настройке, было интересно как человек без опыта поймёт шапку и сможет сам настроить.
"А вы говорите Царь, Царь..." (с)


Цитата:

Так что, аргУмент "если ты такой умный" несколько опоздал

Я разве такое сказал?
Одно лишнее правило типа "для надёжности" конечно не помешает, но с таким подходом можно понасоздавать их сотни. Представьте себе картину на дороге: стоит знак ограничения скорости 60км/ч, и тут же сбоку ещё 100км/ч на всякий случай, и тут же на самый крайняк 150км/ч. Всё равно ж 60 ехать будете

Цитата:

Вот только есть отличие - настраивать, или надеяться, что стена сама знает, что делать с остальными.

Она и не знает что делать. Она делает что ты ей скажешь. Если соединение не подходит под заданые критерии, оно просто блокируется и дело с концом.

Цитата:

valmont al, вопрос не в том надо или не надо, а в том, что можно забыть переключиться.

WIGF, да не надо переключаться никуда. Файрволл должен быть всегда в одном режиме - Блокировки (по аналогии с аутпостом), тут аналог - это Custom policy mode.
Если ты не знаешь куда и что надо открыть приложению, чтоб оно получило сетевой доступ, включи попапы в Firewall behaivor settings и посмотри там, а может и разреши/блокируй. После этого попапы опять убираются и файрволл продолжает свою работу в том же режиме.
Это лично мой подход к ситуации.

А вообще конечно каждый сам за себя решает как и что настраивать. Я просто пытаюсь помочь советами. И давайте закончим на этом спор



Добавлено:
А никто не замечал вот такого бага ?

Цитата:

Заметил кстати ещё один баг.
Когда комод запускается первый раз ( к примеру при запуске системы), то при открытии правил файрволла, дефенса, событий, текущих соединений и др. там просто пусто ! Правил как-будто бы нет.
Стоит перезапустить его - всё появляется.
Это не мешает правильной работе и все функции выполняются, однако вот такой неприятный баг.

Цитата:

А вообще конечно каждый сам за себя решает как и что настраивать.

Это точно.

Цитата:

Я просто пытаюсь помочь советами. И давайте закончим на этом спор

valmont al, да не вопрос ! Без обид
А тройку я пока только на бумаге изучаю. Все свои примеры писал по двойке и аутпосту (а они тоже реальные). Может и тут некоторое недопонимание возникло. Хотя всё равно я при своём мнении остался...

valmont al

Цитата:

каждый всё равно останется при своём мнении

-- сложно не согласиться У меня например последних блокирующих правил аж два - одно на исходящие и одно на входящие. Разница между ними только в том, что на исходящие постоянно стоит лог, а на входящие лог включаю по необходимости. Но мне в любом случае, удобнее включить/отключить чекбокс, чем создавать/удалять правило

Genri, WIGF, bredonosec у вас всех версия 2.4 ?

Цитата:

Я разве такое сказал?

примерно Более вежливо

Цитата:

Одно лишнее правило типа "для надёжности" конечно не помешает, но с таким подходом можно понасоздавать их сотни.

А про подход к создаванию я не говорил Исключительно явное указание, что всё, что не разрешено, должно быть блокированно.

Цитата:

Она делает что ты ей скажешь. Если соединение не подходит под заданые критерии, оно просто блокируется и дело с концом.

Возможно. А в новой версии сия фича обязательна и не изменяется? Напр, я неоднократно видел стенки, где в глобальных правилах есть выбор: "разрешено всё, что не запрещено" или "запрещено всё, что не разрешено явно".
Вы уверены, что юзер как-нить не полезет туда наживать-глядеть, что там такое и "нечаянно" сменит? Я не уверен.
(кроме того, для себя лично - мне удобнее видеть в логах несколько отдельных запрещающих правил, под которые настроены некие действия (баны на некий период по ипу, тарпиты, т.д.) - чтоб заглянув в список забаненных и обнаружив там некие адреса, иметь понятие, почему именно (по какому правилу) они забиты. )


Цитата:

Поставил, вроде бы настроил для своих нужд. Всё работает. Через пару часиков стучит в аську и говорит - что-то не работает он.

то есть, сначала при данном списке правил работало?

Цитата:

А вообще конечно каждый сам за себя решает как и что настраивать. Я просто пытаюсь помочь советами.

вообще-то также пытаетесь указать, что некие вещи, доказавшие свою полезность, вредны. С чем согласиться не могу.


Цитата:

у вас всех версия 2.4 ?

На данный момент у меня виснетик. Бо 98 вынь не дружит со шкафами-комодами Но с двойкой игрался, ставя другим.

valmont al -- Comodo v.3.0.13.268

Цитата:

Genri, WIGF, bredonosec у вас всех версия 2.4 ?

valmont al, у меня действительно 2.4. Пока читаю английский хелп по тройке (Xenoz, спасибо ещё раз за него!) и раздумываю над установкой тройки на тестовую/резервную систему.

Как в Comodo 2.4 разрешить связь с DNS-сервером?Comodo пользуюсь уже почти год,но таких вопросов не возникало(настройки стояли по умолчанию).В прошлом месяце Comodo обновился до версии 3.0.Пользовался неделю,но т.к. версия англоязычная,снес ее и поставил снова 2.4.Недавно обратил внимание,в Журнале Comodo пишет,что идет UDP сканирование портов с одного IP-адреса.Comodo временно блокирует атакующего.Я позвонил в тех.поддержку своего провайдера и оказалось,что это IP-адрес DNS-сервера.Они сказали,что в моем файерволле сбились настройки и нужно разрешить связь с DNS-сервером.Как это сделать,где эти настройки?

bredonosec
Цитата:

то есть, сначала при данном списке правил работало?

Всё работало, до того, как это правило было вписано.

Вообще получается, что мы спорим о разных вещах. Я говорю про 3-й комод, а вы про 2.4
Посмотрел я комод 2.4. Как оказалось, есть разница между системами правил.
В 3-м комоде Глобальные правила являются приоритетными над правилами приложений в любом случае, как при входящих, так и при исходящих соединениях!
Т.е. к примеру если в глобальных правилах создать "Блокировать все входящие запросы ТСП/ЮДП любые айпи/порты", то входящих соединений можно и не ждать, даже если в приложениях оно разрешено.
Тоже самое касается исходящих.
Протестил сегодня сам.
Поэтому завершающее правило (в Global rules) в 3-м комоде на блокирование любой направленности Входящие/Исходящие является АБСОЛЮТНО лишним и будет блокировать соединения независимо от Правил приложений.
Сие можно внести в шапку

Я, конечно, могу себя отнести к "зелёным" юверям, т.к. познакмился с Comodo 2.4 и файерволами вобще в июле, а сейчас, со дня релиза, стоит 3.0. И последнее запрещающе правило стоит.
Никаких проблем с интенетом. И все возможные тесты прошёл "ура".
Может я что-то неправильно делаю?

Я конечно понимаю что вопрос детский, но тем не менее...
Сомнения короче!
Есть локальня сетка с двумя-тремя компами. Один комп с двумя сетевухами,
одна сетевуха смотрит в интернет, вторая в локалку адресом 192.168.01 , расшарен
доступ в интернет, на нем же стоит COMODO и антивирусник. На остальных компах только антивируники. Вопрос вот в чем, защищены ли остальные компьютеры от атак из вне или нужно ставить фаервол на каждый комп?
Спасибо!

Цитата:

Вопрос вот в чем, защищены ли остальные компьютеры от атак из вне или нужно ставить фаервол на каждый комп?

От хакерских атак ИЗВНЕ они защищены через твою машину 192,168,1,1=интернет IP, от угроз вирусов и от внутренних атак хаЦекеров ни одна машина в локали не защищена...

Если политика партии запрещает выходу варезу на всет божий (это коло 99% всех установленных программ), то оптимально ставить файервол на каждую машину и соответствующим образом настраивать каждую машину

Добавлено:

Цитата:

Как в Comodo 2.4 разрешить связь с DNS-сервером?Comodo пользуюсь уже почти год,но таких вопросов не возникало(настройки стояли по умолчанию).

для 2.4 примерно так:

1. разрешить исходящие соединения по ТСР-УДП с локального адреса "МОЙ АйПи" на адрес "ДНС провайдер" по протоколам источника-получателя 53 и 1025
2. разрешить входящие соединения по ТСР-УДП с удаленного адреса "ДНС" на адрес "МОЙ АйПи" по протоколам источника-получателя 53 и 1025

Для ситуации с версией 2.4 мой пров меня тоже периодически сканирует, но от этого мой интернет не ухудшается,

обидно то, что очень много сканирование портов идет по следующим условиям: 5-6 портов/секунду

но именно эта версия файера не позволяет уменьшить цифру 20 (как минимальная) на цифру 5-7

Цитата:

Как в Comodo 2.4 разрешить связь с DNS-сервером?

Ronin666, у меня тоже было такое. Разрешил для процесса svchost.exe входящие UDP и конкретный порт (см. в журнале, я не помню какой точно порт у меня, т.к. не дома) от конкретного DNS-сервера (у нас таким грешит только один DNS из четырёх).

EDIT: не увидел, что caspara уже написал решение, хотя вроде не было его, когда я читал... или одновременно это произошло (я написал, а он добавил)...

caspara
Спасибо человеческое!

Vidente
Цитата:

И последнее запрещающе правило стоит.

Правило в студию пожалуйста и желательно его местоположение, я так понимаю оно в глобальных ?

Пожалуйста:
Glbal rules
Block and Log IP in/out From IP any To IP any Were Protocol is any

Цитата:

Block and Log IP in/out From IP any To IP any Were Protocol is any

И какие логи есть по этому правилу? Можешь катринку сделать и привести текстовку?

Если никаких, то правило НЕРАБОЧЕЕ, то есть бессмысленное -> интернет твой не страдает, если бы хоть где-то было указано твой настоящий АйПи - тогда б другое дело...

Добавлено:

Цитата:

В 3-м комоде Глобальные правила являются приоритетными над правилами приложений в любом случае, как при входящих, так и при исходящих соединениях!

В этой фразе заложена истина 100%, если бы убрать слова
Цитата:

В 3-м комоде...

, так как эта истина действительна стандарту ТСП,
смотри вот здесь:
http://www.unix.org.ua/ip/glava_2.htm
а именно обрати на уровни 3 и уровень 2.

На уровнях 3 и 2 работают глобальные правила ЛЮБОГО НОРМАЛЬНОГО файервола, а именно запрет на посещение Айпи_шников, запрет опредиленных портов, создание спецправил для ДНС:53 порт, или локаль на 137-139 портах, печать через порт №.

И лишь на 1 уровне работают правила для приложений - флешгеты, браузеры, службы печати и прочее...

ЗЫ если ты забанишь диапазон мелкософта, к примеру, на уровне IP - диапазона, то найти обновления через Виндоуз апдейт будет для тебя весьма сложно, а именно нереально, несмотря на правило в приложениях "разрешить все виндоуз апдейт"

1. На рисунке в Help по Комод3 Glbal rules показано единоственное правило:
Block and Log IP in/out From IP any To IP any Were Protocol is any,
но у меня в Glbal rules стоит единственное правило:
Block and Log ICMP in From IP any To IP any Were ICMP Message Is ECHO REQUEST.
Как оно там появилось не знаю. В настройки я не лазил, файер стоит в режиме
"Train with Safe Mode: While filtering network traffic, the firewall will automatically create rules that allow all traffic for the components of applications certified as SAFE by Comodo. For non-certified new applications, you will receive an alert whenever that application attempts to access the network."
По ходу установки Комода, на один из вопросов я ответил, что буду пользоваться P2P прогами.

2.
Цитата:

а если пробовать новые программы (а для чего ещё комп нужен?),

Мне комп нужен. чтоб на нем работать. а не играться с новыми прогами. Но ставить новый/обновленный софт для работы приходится.
Отсюда вопрос к тем, кто реально юзает Комод3:
обучающие режимы файера (Train with Safe Mode) и
Defense+ (Train with Safe Mode: While monitoring critical system activity, the firewall will automatically learn the activity of executables and applications certified as 'Safe' by Comodo. It will also automatically create 'Allow' rules these activities. For non-certified, unknown, applications, you will receive an alert whenever that application attempts to run. Should you choose, you can add that new application to the safe list by choosing 'Treat this application as a Trusted Application' at the alert. This will instruct the firewall not to generate an alert the next time it runs. If your machine is not new or known to be free of malware and other threats as in 'Clean PC Mode' then Train with Safe Mode' is recommended setting for most users - combining the highest levels of security with an easy-to-manage number of Defense+ alerts)
обеспечат автоматическое создание всех нужных правил в процессе работы?
Судя из описаний этих режимов, все должно создаться автоматом при моих правильных ответах на Алерты.
ЗЫ. Несознательные к компу доступа не имеют

caspara

Цитата:

Если никаких, то правило НЕРАБОЧЕЕ, то есть бессмысленное -> интернет твой не страдает

А не кажется что наоборот? У меня лично при этом правиле блокируется просто ВСЁ (в режиме Custom policy mode, что является аналогом Аутпостовского - Режим блокировки)
Как-будто сетевой кабель выдернул. И так и должно быть, шо за, простите, херня.
Этим правилом запрещаются все входящие/исходящие соединения. Как вообще что-то может работать ?
Vidente, в каком режиме файрволл ? И вообще покажи скриншот, если не тяжело.
Мне честно говорят харит разбираться в остальных режимах работы, возможно в режиме Train with Safe mode и игнорируются глобальные правила, если приложение разрешено в Правилах приложений.
Но с уверенностью могу сказать, что в режиме Custom policy mode правило
Block IP in/out From IP any To IP any Were Protocol is any заблокирует всю сетевую активность намертво и без вариантов.
Аналогично этому правила:
Block IP IN From IP any To IP any Were Protocol is any - заблокирует ВСЕ входящие
Block IP OUT From IP any To IP any Were Protocol is any - заблокирует ВСЕ исходящие
Независимо от созданных правил приложений.

Цитата:

если бы хоть где-то было указано твой настоящий АйПи - тогда б другое дело...

Чушь полная. Any IP включает весь диапазон айпи-адресов.

Цитата:

но у меня в Glbal rules стоит единственное правило:
Block and Log ICMP in From IP any To IP any Were ICMP Message Is ECHO REQUEST.

Это правило блокирует входящие ехо-запросы (ping), создаётся оно комодом по-умолчанию при установке.

У кого-то получилось настроить комодо 3, чтоб работало подключение через VPN? В глобальных правилах прописал:
Allow IP Out From IP Any To IP vpn Where Protocol Is 47
Allow IP In From IP vpn To IP Any Where Protocol Is 47
Allow TCP/UDP Out From IP Any To IP vpn Where Source Port Is Any And Destination Port 1723
Allow TCP/UDP In From IP vpn To IP Any Where Source Port Is 1723 And Destination Port Any

аналогично прописал для System Idle и все равно при проверке пароля ошибка 619. В логах никаких записей о блокировании пакетов из/в адреса впн-сервера нет. Пока не разрешал входящих со стороны впн-сервера в логах были записи о блокировании входящих GRE и с порта 1723.

Да, действительно, стоял режим Traine with Safe. Но переключение в Custom Policy
ничего не изменило. Я проверил e:mail, поговорил по MSN, открыл пару стрниц
интернета. Всё OK.
Я новый в этом деле и зашел сюда, потому, что Comodo форум превратился в конкурс
вопросов без ответов. Как вставить screen shot? И что имено? Спасибо.

Цитата:

Comodo форум превратился в конкурс вопросов без ответов

Для "чайников" здесь эта тема почти тоже самое.
Для "спецов" или тех, кто таковыми себя считает, тема стала полигоном амбиций.
Ребята, у меня просьба. Откройте тему по Комоду3 "для чайников", вернее просто юзеров. Очень много практических вопросов, Help на английском плохо понимается.
Надеюсь найдутся несколько знатоков, которые смогут просто советовать или отвечать на вопросы. Чтобы помочь, а не чтоб доказать свою "умность". Да и взаимоподсказки сыграют свою роль.

Vidente
Как вставить картинку в пост?

Sssvan
Цитата:

1. На рисунке в Help по Комод3 Glbal rules показано единоственное правило:
Block and Log IP in/out From IP any To IP any Were Protocol is any

Поправка:
Block And Log IP In From IP Any To IP Any Where Protocol Is Any
т.е. блокировка только входящих.

Цитата:

но у меня в Glbal rules стоит единственное правило:
Block and Log ICMP in From IP any To IP any Were ICMP Message Is ECHO REQUEST.
Как оно там появилось не знаю.

Ты ж уже сам ответил:
Цитата:

По ходу установки Комода, на один из вопросов я ответил, что буду пользоваться P2P прогами.

Цитата:

обучающие режимы файера (Train with Safe Mode) и
Defense+ (Train with Safe Mode: <...>
обеспечат автоматическое создание всех нужных правил в процессе работы?

Для "безопасных приложений", т.е. тех, к-рые есть в базе Comodo, разрешающие правила будут создаваться автоматически. Для всех остальных будут запросы.

Вообще, с 3-м Комодом возникает довольно много вопросов. IMHO, ребята очень уж намудрили... А ответы проблематично найти даже на оффоруме. Что касается неизвестно откуда возникающих правил в Global Control, возможно, это действие Мастера настроек.

Цитата:

1. разрешить исходящие соединения по ТСР-УДП с локального адреса "МОЙ АйПи" на адрес "ДНС провайдер" по протоколам источника-получателя 53 и 1025
2. разрешить входящие соединения по ТСР-УДП с удаленного адреса "ДНС" на адрес "МОЙ АйПи" по протоколам источника-получателя 53 и 1025

Для ситуации с версией 2.4 мой пров меня тоже периодически сканирует, но от этого мой интернет не ухудшается

Благодарю за советы!Начну с того,что у меня инет тоже нормально пашет.Если бы я случайно не залез в Журнал,у меня бы голова не болела.Меня смущает,что меня кто-то атакует(но инет работает нормально).Теперь по правилам.Создал 2 правила:
1.Разрешить исходящие TCP-UDP от любого IP к IP-адресу DNS-сервера,где порт источника 53 и порт получателя 1024-4999.
2.Разрешить входящие TCP-UDP от IP-адреса DNS-сервера к любому IP,где порт источника 53 и порт получателя 1024-4999.
Теперь вопрос:на какое место в списке поставить эти правила? Я поставил 1 в 5 строку,а 2 в 6 строку.После них идет глобальное правило блокировки.
И еще...В Comodo есть такая настройка:как долго блокировать подозрительный хост после попытки сканирования портов?Там по умолчанию стояло 5 минут.Я поставил 20 минут.Правильно я сделал или нет?

Ronin666
Цитата:

1.Разрешить исходящие TCP-UDP от любого IP к IP-адресу DNS-сервера,где порт источника 53 и порт получателя 1024-4999.

Наоборот: порт источника 1024-4999 и порт получателя 53.

Цитата:

1.Разрешить исходящие TCP-UDP от любого IP к IP-адресу DNS-сервера,где порт источника 53 и порт получателя 1024-4999.


Наоборот: порт источника 1024-4999 и порт получателя 53.

Спасибо.Это я поменял местами.А на входящих тоже поменять?

Ronin666
На входящих все верно, только, IMHO, это правило ни к чему. Не должен тебя DNS-сервер забрасывать запросами, запросы должны идти с твоего компа, т.е только исходящие.

Последнее блок. правило стоит.
Файервол в режиме: Custom Policy.