Господа, мы начинаем уже грызню
Давайте забудем разногласия и взвесим всё здраво.
Цитата: Насколько я знаю - перебирать только до тех пор, пока он не подпадет под какое-либо, запрещающее или разрешающее.
Видимо так и есть, в противном случае бы не работал нет.
Цитата: а вы случаем в глобальные не забыли поместить разрешающие для основных сервисов? там, обычные 80й, 20-21й, 53, 443, порты, т.д.?
Это можно (а на мой взгляд и нужно) указывать в правилах приложений. Есть system, есть svchost.exe. А открывать всем - ИМХО неправильно.
Лично у меня в глобальных правилах прописан только запрет на входящие ICMP echo-request. Все остальные, несоответствующие правилам запросы, блокируются (политика файрволла такая).
А теперь к нашим баранам. Спор возник по причине правила
Block And Log IP In From IP Any To IP Any Where Protocol Is Any Как я уже отмечал, и не только я - casparа тоже согласен, при этом правиле не может быть никакой сетевой активности.
Единственная причина, по которой у
Vidente работает инет - это первое правило, которое просто разрешает ВЕСЬ исходящий тсп/юдп траффик. Получается, что первое разрешает, а последнее блокирует. Напоминает 2 стакана: один полный - если захочется пить, второй пустой - если не захочется пить.
Цитата: Поэтому, уважаемый Valmont Al, никакого противоречия нет. Я разрешил всё, что
мне надо
Вы разрешили не всё, что вам надо, а просто ВСЁ (исходящее).
Всё, что вам надо - это бы были правила приложений, где вы бы указали действительно только то, что вам надо. Ваше первое правило на мой вгляд более чем асбурдно. Не вижу в нём необходимости, поскольку вы каждый раз дублируете его, разрешая той же опере/мозилле к примеру исходящий траффик.
Цитата: Согласно разработчикам Comodo, engine файервола устроен таким образом, что, разрешив исходящее соединение по TCP/UDP, Вы тем самым разрешаете входящее по тому же протоколу для того же приложения.
Вы меня конечно простите, но это полная чушь. Вы вероятно что-то не так поняли.
Цитата: А у меня счетчик "inbound connection" всегда показывает " 0 "
Вы определённо не используете p2p клиенты.
Ещё раз по поводу правил.
Vidente, ничего не поменяется, если Вы удалите первое правило, а в последнем запретите только входящие запросы.
Приложение не получит сетевой доступ, если оно не прописано в Правилах приложений, даже если в глобальных разрешить ВЕСЬ траффик. Поэтому первое правило выглядит как "неудачная попытка настройки".
Вот знаете, для меня этот спор вообще аналогичен вот такому примеру: ".. катаетесь вы на велосипеде, тут к вам подходит кто-то и говорит, что педали надо крутить назад, чтоб ехать быстрее и прикладывать меньше усилий. Вы отвечаете, что это глупость, а он продолжает упорно настаивать на своём. В какой-то момент вы уже готовы сорваться и сделать что-то с этим советчиком, потому что уверены в своей правоте на 101%.."
Вот так и я - уверен сейчас в своей правоте на 101% и считаю правила Vidente нелогичными.
Поймите наконец, что файрволл и так будет блокировать все запросы, которые не соответствуют критериям. Нет никакой необходимости тыкать его мордой ещё раз в то, что он и так сделает. Ровно как и нет необходимости разрешать ещё раз то, что уже разрешено.
Добавлено: А вообще я устал спорить. Если считаете такой способ самым правильным, ну пускай будет так. В конце-концов это ваше личное дело. Я ещё раз скажу, что просто пытаюсь дать совет, а слушать или нет - это сугубо личное дело каждого.
Давайте лучше о багах поговорим. Саппорт комода до сих пор молчит и ничего не отвечает. Активно работают или активно забили ?
