» Agnitum Outpost Firewall Pro

Поставил четвертый оутпост, прочитал советы, отключил анти шпионский модуль, сделал исключение в антивирусе, вроде тормозить меншь стало, но появидась другая проблема, время от времени зависает панел задач и вообще весь рабочий стол, на минуту примерно, потом отпускает, кто знает как с этим боротся?

Простите если вопрос уже задавался...

ребят, у меня svchost.exe периодически стучится на 10.64.18.208:2869, исходящие порты разные (удаленый всегда один), каспер ниче не видит... вфт, а?

roman78
Некоторые звери маскируются под svchost.exe. Надо выяснить где твой беспокойный svchost находится, если не в System32, то значит вирь. Посмотреть это можно в списке Установленных сетевых приложений в "Параметры"->"Приложения".

привет

Есть классный плагин Blockpost, которым я могу временно блокировать все подключения к инету для определенного компа в локальной сети (например для 192.168.0.3/255.255.255.255).
(Инет раздается через мой комп мастером виндоус).

Существует плагин который мог бы блокировать так же как Blockpost, но только определенные файлы, например .mp3, .mpg?

Как отредактировать список в свойствах модуля Реклама?
Мне надо чтобы там было всего несколько строк по которым он будет блокировать ссылки. В каком файле находится этот список и можно ли его отредактировать?

Outpost 3.51

AmdAd
Реклама - Свойства - Экспорт/Импорт - Сохранить
Сохраняешь куда тебе нужно,сохранятся Ключевые слова и Размеры изображений,
редактируешь как тебе нужно,потом Реклама - Свойства - Экспорт/Импорт -Загрузить.

Уменя проблема с 3.51.759.6511(ну тоесть с последней версией 3), установил, после чего, например: нажимаю в самом же оутпосте обновить базы spyware, появляется сообщение: создать правило на основе стандартно "агнитум апдейтс" или типа того, нажимаю OK, после чего обновление не идёт, сам же оутпост блокирует себя, так же и со всеми другими программа, которые лезут в нет...

попробуй не создавать правило, а разрешить обновлялке выполнять любые действия...

ostro
так и приходится делать.. но в предыдущей версии всё было нормально!

Dimitr1s
Цитата:

редактируешь как тебе нужно,потом Реклама - Свойства - Экспорт/Импорт -Загрузить

Увы, так не прокатит Дело в том, что по импорту из файла всего лишь добавятся новые записи (которые и так можно внести напрямую, без всякого экспорта/импорта), существующие же останутся на месте, а AmdAd просил
Цитата:

Мне надо чтобы там было всего несколько строк

Так что только обычным образом чистить список удалением по-одной ненужных записей и вносить нужные. А хранятся эти списки в конфигурационных файлах в бинарном виде

Подскажите пожалуйста, что делать:
Всё блокируется по правилу "*Разрешить исходящее TCP на 1100" (весьма вероятно, что это правило создано с ошибкой, по невнимательности), а когда я выхожу в Параметры > Системные > Параметры, то не вижу так поименованного правила в списке Глобальных правил.

Где же мне искать правило "*Разрешить исходящее TCP на 1100"?

Lapochka ili Chai
Первое посмотреть имя процесса, второе смотреть в приложениях вероятней всего svchost, если "все"
Не плохо бы уточнить, что что пишется в журнале для этого "все"

----------------------------------------------------------------

Существует плагин который мог бы блокировать так же как Blockpost, но только определенные файлы, например .mp3, .mpg?
для компов в локальной сети, (например для 192.168.0.3/255.255.255.255).

Отвечайте на поставленный вопрос!

Dimitr1s
Не помогло, откатился на версию 3.51

NothingAnother

Цитата:

Dimitr1s
Цитата: редактируешь как тебе нужно,потом Реклама - Свойства - Экспорт/Импорт -

Загрузить Увы, так не прокатит

Вот и я о томже... Ну не извращаться же - по одной все удалять?! Значит нормального способа нет... Скрипт если только написать, чтобы кнопку мыши нажимал постоянно тогда все автоматом удалится .

---
добавлено 21-08-2006

Программка, которая бысто нажимает кнопку мыши: _http://rapidshare.de/files/30217534/CrazyClick.rar.html
Хоть и , но другого способа я не вижу.

Вроде должно прокатить для избавления от обвала VPN на 4 бете, создать правило - "Где протокол IP и IP-протокол GRE" - поставить галку - разрешить эти данные, узел шлюза добавить в доверенные.

gameman

Цитата:

создать правило - "Где протокол IP и IP-протокол GRE" - поставить галку - разрешить эти данные,

Это правило и так по умолчанию во всех версиях включено.

Как подружить Аутпост с антивирусниками, проверяющими электронную почту? При проверке почты F-Secure глушит Outpost и он виснет. Помогает только перезагрузка.

SimplyNik

Цитата:

Первое посмотреть имя процесса, второе смотреть в приложениях вероятней всего svchost, если "все"

Действительно, это именно svchost.


Цитата:

Не плохо бы уточнить, что что пишется в журнале для этого "все"

А в журнале так и пишет: "*Разрешить исходящее TCP на 1100".
Вопрос в том, что я хочу отредактировать это правило, но не могу его найти. Где оно прячется?

Цитата:

Как подружить Аутпост с антивирусниками, проверяющими электронную почту? При проверке почты F-Secure глушит Outpost и он виснет. Помогает только перезагрузка.

Stass1977 правила разрешал? с Касперским Про 5.0 нормально работает.

Lapochka ili Chai

Цитата:

Действительно, это именно svchost.
А в журнале так и пишет: "*Разрешить исходящее TCP на 1100".
Вопрос в том, что я хочу отредактировать это правило, но не могу его найти. Где оно прячется?

Если svchost, то в приложениях (svchost.exe),
Кстати правила для приложений имеют более высокий приоритет чем глобальные, это к тому что все блокируется.
Хотя если "по невнимательности" может и в системные затесатся с галкой высокого приоритета/игнорировать контроль компонентов, и тогда будет иметь приоритет выше приложений.
О приоритетах http://forum.five.mhost.ru/showthread.php?t=3213

NPC
Цитата:

Stass1977 правила разрешал? с Касперским Про 5.0 нормально работает.

Насчет Касперского - не знаю. Про правила фокус вот в чем - с Нортоном удавалось создавать эти правила, но Нортон я щас забросил по некоторым причинам. А вот с McAfee и паче того с F-Secure все намного хуже - Аутпост не успевает даже запросить эти правила - сразу виснет. Предполагаю, что это срабатывает внутренняя система самозащиты этих антивирей, поскольку Аутпост на время запроса правила блокирует действия приложения (антивирусного модуля проверки почты в данном случае) до разрешения, а антивирю, вероятно, подобные дейтвия со стороны Аутпоста по отношению к себе представляются посягательством на систему защиты. Мож у кого уже есть готовые рабочие правила для F-Secure? Пробовал даже разрешить тому процессу F-Secure, который ломится в инет при проверке почты, любую активность - не помогает (все равно, хоть и не в 100%, но в 95% случаев виснет аутпост и блокирует весь траф). Видимо, еще зихерит контроль компонентов или еще хз что ((((

Stass1977
Попробуй добавить F-Secure и его модуль проверки почты (если такой есть) в
Сервис - Приложения - Process Mem...
Сервис - Приложения - Hidden Proc...
Если F-Secure работает как прокси попробуй для него(и... или... для модуля проверки почты) создать разрешающие правила по почтовым протоколам какими пользуешся типа:
Где протокол TCP
и Где направление Исходящее
и Где удалённый адрес (адрес твоих mail серверов) необязательно
и Где удалённый порт (типа POP3 или какими пользуешся)
Разрешить эти данные
Проверь включено ли глобальное: Allow local TCP connection.
Еще если F-Secure или его модуль проверки почты "слушает" трафик по какому то определённому локальному порту,для него может потребоваться правило типа:
Где протокол TCP
и Где направление Входящее
и Где удалённый адрес 127.0.0.1
и Где локальный порт (порт который он "слушает")
Разрешить эти данные
Если в F-Secure есть возможность добавь в доверенные Outpost.
Может поможет, удачи.

Dimitr1s
Цитата:

Попробуй добавить F-Secure и его модуль проверки почты (если такой есть) в Сервис - Приложения - Process Mem... Сервис - Приложения - Hidden Proc...

Это не работало - пробовал.

А помогло вот что (сам придумал =))):
Нашел при режиме "отключить" екзешник, ломящийся в инет при проверке почты: им оказался процесс FSDFWD.EXE - я вручную добавил его в пользовательский уровень и создал для него правило на основе стандартного правила аутпоста "E-Mail Client" - и это работало через 3 раза на 4-й и не при каждом виде подключения к инету, потом пробовал добавить этот процесс в список разрешенных - и это не работало вообще , потом додумался в пользовательском уровне опять создать набор правил "E-Mail Client" и к каждому из этих правил дописал галочку "и игнорировать контроль компонентов" - вроде пока работает

Добавлено:

Цитата:

Еще если F-Secure или его модуль проверки почты "слушает" трафик по какому то определённому локальному порту

Цитата:

Если F-Secure работает как прокси

Dimitr1s
А как это проверить (на будущее)?

Цитата:

Проверь включено ли глобальное: Allow local TCP connection.

- это было включено всегда.




Добавлено:
Dimitr1s
В любом случае СПС

Stass1977

Цитата:

А как это проверить (на будущее)?

В журнале разрешённых посмотри кода отправляешь/принимаешь почту, FSDFWD.EXE
перехватывает трафик от твоей почтовой программы или нет,то же и с exe'шником F-Secure.Каой порт слушает - в "Открытые порты" Outpost'а,или через netstat -ano
посмотри какие порты открыты,по PID в "Диспетчер задач" каким процессом.

Народ, подскажите пожалуйста.
Имеется спутниковый интернет: запросный канал через GPRS, прием данных через спутниковую карту SkyStar2. Установлен OpenVPN клиент и ускоритель Tellitec, ну и Outpost конечно же. В настройка браузера и других программа прописан прокси 127.0.0.1:9202, тоесть ускоритель работает как прокси. Ускоритель перехватывает запросы от приложений с указанного выше адреса и через OpenVPN отправляет на сервер провайдера. Провайдер делает свои темные делишки и отправляет мне ответ через спутник.
Так вот, загвоздка в том, что получается Outpost не фильтрует траффик через OpenVPN соединение. У меня стоит режим блокировки и помимо стандартных прописаны правила только для OpenVPN и ускорителя(доступ на отправку данных на IP адрес провайдера), а другие приложения автоматически получают доступ к сети стоит только мне прописать адрес прокси в настройках интернет соединения.
Подскажите, как мне настроить Outpost, чтобы он фильтровал и траффик идущий через прокси ускорителя? В режиме обучения он ничего не перехватывает.

P.S. А то пару дней назад на одном варезном сайте трояна поймал. Я его грохнул, а он зараза опять себя сам скачал в обход Outpost, у меня чуть челюсть не отпала. В конечном итоге моя взяля, но больше такого не хочется.

millenium
У тебя что, в настройках IE прописан этот прокси?

unreal666
Да, прописан прокси 127.0.0.1:9202

millenium
Так убери его оттуда.
Эта фигня происходит потому, что многин проги (в том числе и этот вирус) используют настройки прокси IE для выхода в Инет. И у тебя вдобавок в системных правилах OF разрешены локальные соединения.

И получается такая фигня.
Вирус (1) -> Прокси (2) -> Инет
(1) - разрешено из-за системного правила.
(2) - разрешено настройками проги

Т.е. тебе надо сделать одно из двух:
1. Запретить в системных правилах локальные соединения и в настройках каждой проги, которая использует локальные соединения (прокси), настраивать это отдельно. Но это муторно, т.к. локальные соединения могут использовать и проги. не связанные с Инетом (например, дефрагментатор Diskeeper).
2. Или в IE убрать все настройки прокси и вместо самого IE пользоваться надстройками над его движком (типа Maxthon - лучше, Avant). В них можно отдельно создавать несколько настроек прокси и переключаться между ними.

unreal666
А я собственно Авантом и пользуюсь.

Цитата:

разрешены локальные соединения.

Это вот эти правила: Allow local UDP connection, Allow local TCP connection ?

Цитата:

Эта фигня происходит потому, что многин проги (в том числе и этот вирус) используют настройки прокси IE для выхода в Инет.

Это я уже понял, поэтому и спросил что делать.

Цитата:

Т.е. тебе надо сделать одно из двух:

А собственно между вариантами в моем случае разница то не большая. Мне кажется что первый вариант, лучше с точки зрения безопасности, потому как трояны и вири умнеют с каждым днем.

Цитата:

т.к. локальные соединения могут использовать и проги. не связанные с Инетом (например, дефрагментатор Diskeeper).

Я как раз им пользуюсь. И что, если я заблокирую локальные соединения, то он работать перестанет?

unreal666
Большое вам спасибо!