» Comodo Firewall Pro / Comodo Internet Security

MusicLover
Цитата:

эти настройки вырубают мне upnp

Коль скоро ты ипользуешь UPnP, его тоже надо разрешить (и не забывай ещё необходимый ему SSDP). Почитай спецификации этих протоколов - может, я чего забыл, а так разрешай:
исходящие TCP, порт назначения 5000
оба UDP, порт назначения 1900
оба UDP, IP назначения 239.255.255.250 (для мультикаста)

Подскажите, какие правила надо для HTTP File Server

NothingAnother

Спасибо, конечно... Но с такими настройками upnp все-равно не работает и в логе по несколько блоков в минуту... Еще раз, почему нельзя uTorrent просто все разрешить?

Добавлено:
логи выдает такие:

Цитата:

D:\Program Files\uTorrent\utorrent.exe
Blocked 192.168.xxx.xxx 6771
239.192.xxx.xxx 6771

В таком формате понятно?

А еще мне интересно, что сие означает: часто бывает такое...

Цитата:

System Blocked 192.168.40.171 10845 192.168.xxx.xxx 139

порты все время разные, часто несколько раз подряд одни и те же, потом чуть позже другие.

а еще и такое


Цитата:

Windows Operating System Blocked 192.168.23.24 3064 192.168.xxx.xxx 1433

Если кто разъяснит что означают эти записи - буду очень благодарен!

ЗЫ, что неудобно, в экспортированных логах Comodo не показывается протокол. Но может он и не обязателен чтобы понять что они означают?

MusicLover
Цитата:

почему нельзя uTorrent просто все разрешить?

А кто сказал, что нельзя? Мне показалось, что это как раз твоя позиция...

Цитата:

кто разъяснит что означают эти записи

1. Адреса 239.xxx.xxx.xxx используются для групповой рассылки, так что это похоже на DHT (что-то вроде поиска локальных пиров) - в разных клиентах это реализовано по-разному
2. Порт службы NETBIOS
3. Порт сервера SQL

NothingAnother

Цитата:

А кто сказал, что нельзя? Мне показалось, что это как раз твоя позиция...

а, ну так это все очень даже упрощает. Разрешу ему все да и дело с концом. Нет, я наоборот изначально хотел ему все разрешить.

2 и 3 ты говоришь о портах: но эти ip (я вообще думал, что это ip локальной сети) используют разные порты. Я просто привел по одному из примеров.
Например 192.168.23.24 - 3255 на 445, 4408 на 445, 3629 на 1423 и т.д. в разное время. Так и должно быть?

Зачем виндоус эти два соединения, где можно почитать? Хотя у меня они и блокируются все работает нормально. А как выглядит атака по локалке?

MusicLover, на порты 1433 и 445 стучатся разные червячки. Владельцы данных компутеров скорее всего и не подозревают о том, что у них поселилась всякая живность и хочет со всеми подружиться. Так что если задолбали данные срабатывания в журнале, то сделай блокирующее правило по данным срабатываниям, но без протоколирования:
Block TCP and UDP In From Any To Any Where Source Port is Any And Destination Port Is In [135,137,138,139,445,1433]

Порт 139, как сказал NothingAnother, служит для NetBIOS, т.е. для доступа к общим сетевым ресурсам через "Сетевое окружение" (в благих целях), а также для для распространения живности (в нехороших целях).
NetBIOS, если он не нужен, можно отключить (такое чуство, что я об этом недавно писал уже...)
Вот тут писал, лень переписывать (там же про WWDC почитай, полезная штука).

WIGF
ясно, спасибо

MusicLover..прости..может я паранойу немного навлеку на тебя, но на порт 6771 стучится один троянчик..
http://main.soobcha.org/security/003.html

WhiteyR
а ну... там почти все порты перечислены. И почему это он стучится именно при активной работе uTorrent? та не, не думаю. Действительно, то уже паранойя...

Просто читал описание всех портов...http://www.pogreb.nm.ru/ports1.html

И про порт 6771 написано только это... на самом деле не переживай )

Цитата:

На самом деле, твои настройки очень похожи на то, какие global rules создает stealth ports wizard если сказать ему скрыть все порты.

MusicLover, немного запоздалый с моей стороны ответ на этот пост (как-то я проглядел в прошлый раз его), но всё-таки отвечу: это, действительно настройки от stealth ports wizard. Просто я об этом забыл упомянуть.

Цитата:

настройки от stealth ports wizard

это вот что, простите?

Я вот тут отсутствовал некотрое время, и за него (это время) уж очень много вы тут наобсуждали без меня - придется наверстывать. Но зато после переустановки фаера (если кто еще помнит мои проблемы) перестал выпадать (пока!) синий экран. Так уже с неделю где-то.

И все-таки, я вот не могу понять: ну почему не дать браузеру разрешенное все? Мне, скажем, надоедает сейчас, когд при каждом запуске Firefox просит разрешить ему доступ по адресу 127.0.0.1 (!) в TCP и каждый раз 2 новых порта выдает в запрос. Че ему делать то там? Это же мы сами, в смысле, ну да - мы сами! Если другой какой адрес - я бы понял, а так...

И еще. Скажем частенько требуется просмотр роликов (та же труба или еще чего - не, не порнуха, я уж стар для этого ). Так вот, требуются еще какие-то порты или нет?

Далее. Мож туплю уже, но сколько времени фаеру требуется находиться в режиме обучения? Может перевести на включенный режим и этим решить все проблемы?

Я почему собственно спрашиваю, раньше просто стоял Нортон в комплекте и вообще ни о чем я не думал. Но вот захотелось приобщиться к культуре так сказать...

Khotckevich
не знаю, что-то у вас не то. Я как выставил для firefox обычные браузерные дефолтные правила так и забыл про него, никогда ничего не выскакивало.

Цитата:

браузерные дефолтные правила

чего-то нету у меня их в двойке

Khotckevich
ну я сразу тройкой пользовался, двойку не пробовал

Насчет обучения тоже - у меня обучился очень быстро... Теперь только defense+ выскакивает...

Khotckevich, правильно что нет
Они предустановленные политики в тройке сделали...

А как проблем-то разрешилась? Только фаер переустанавливал? Или еще чего? Обновлялся? Драйверы там всякие?

А почему не сделать для браузера вот такое:

Web Browser:
ALLOW TCP OUT FROM IP ZONE:[Internet Zone] TO IP [Any] WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS IN [80,81,82,83,443]

??


Добавлено:
А почему тройку-то не поставить? С ней вроде как-то все проще )
Правда она еще...далека до идеала.. и есть кое-какие..недостатки..на мой взгляд )

Цитата:

А почему тройку-то не поставить?

Боязно мне... Как прочту? то там со скайпом проблемы, то еще чего. Нет, естественно переход будет, но надо насобирать инфы, чтобы поставить и не париться потом уже.
Я так понял, ч то в тройке уже есть набор предустановленных правил? Если так, то это хорошо. Тогда где-то в марте бум переставляться - раньше просто руки не дойдут.


Цитата:

А как проблем-то разрешилась?

Что я сделал:
1. Обновил драйвер Нвидиа
2. Удалил и поставил по новой Комоду
все, пожалуй. Это из глобального, а так по мелочам вроде бы ничего. Но вот зато почему то упала скорость торрента. Правда, может это и не из-за Комоды

Khotckevich, по правилам для браузера: посмоти в шапке раздел Predefined Policies блока Firewall для тройки и там политику Browser и сделай также в двойке.
Т.е. тебе ещё надо разрешить исходящие TCP/UDP на 127.0.0.1 на порты 1024-4999 (это loopback) или поставить данные галочки в настройках (Skip Loopback), но лучше прописать правило.

По поводу тормозов: проверь журнал и, если там много всего отображается, отключи протоколирование в Сетевом мониторе.

WIGF
Цитата:

надо разрешить исходящие TCP/UDP на 127.0.0.1 на порты 1024-4999 (это loopback)

Если это конкретно для Fx, то не совсем так - по loopback он работает только через TCP (точнее - не он сам, а движок SQLite), а ограничивать диапазон портов в данном случае смысла нет, так что действительно лучше просто посадить гульку на "Skip Loopback"...

NothingAnother, честное слово, не знаю через какой протокол работает аська по loopback'у. Если только TCP, значит только TCP (не помню как я прописывал в двойке это правило, в тройке оба протокола указал, а разработчики фаера вообще предлагают это правило в виде всего протокола IP... у меня средний вариант тогда выходит ).

WIGF
Цитата:

не знаю через какой протокол работает аська по loopback'у

loopback'ом пользуются, как правило, не сами программы, а движки их БД. Интересно, есть ли какие-нить зловреды, использующие это?

Цитата:

Интересно, есть ли какие-нить зловреды, использующие это?

NothingAnother,
да вроде как есть: ведь можно же подменять IP на 127.0.0.1, можно править hosts, так что есть такие программы, которые могут использовать под видом loopback-соединений свои (ну об это ты знаешь, конечно). Хотя я данной тематикой (разбор вирусов и атак) не очень-то увлекаюсь.
Да и loopback не всем программам нужен. Поэтому я в конкретных приложениях прописывал его в двойке (аська, браузер), а не для всех разрешал.

WIGF
Цитата:

можно же подменять IP на 127.0.0.1

Можно-то оно, конечно, можно, просто не могу придумать, как это использовать в практических целях... Ну да и ладно, отвечать не надо, поскольку оффтоп, да и мало ли кто читает топик - зачем наводить неокрепшие умы на неправедные мысли...

))))))))))))))))))))))))

Простите, не удержался

вопрос по поводу Emule - как грамотно настроить в тройке? Прочел на форуме комодовском мануал, но там ничего не сказано про глобальные правила - или я плохо глядел... Емуле коннектится на машину в интернете, причем номер порта на той стороне всегда разный. Получается, что нужно разрешать

Код: ALLOW TCP OR UDP OUT FROM [ANY (ну или айпи/мак вашего компа. У меня ВПН, потому пишу ANY)] TO [ANY] PORT 1025..65536 TO 1025..65536

А зачем что-то вписывать в Global Rules?
Достаточно просто прописать правила для Emule в Application Rules

Добавлено:
Можно еще в Stealth Port Wizard'е выбрать случай для P2P сетей...

WhiteyR
тогда ни фига не коннектится ни к одному серверу

Код: 02.03.2008 12:26:33: Main Movie Server (208.53.147.27:7366) appears to be dead.
02.03.2008 12:26:33: Connecting to Razorback 3.3 (92.48.193.14:5000)...
02.03.2008 12:26:34: Razorback 3.3 (92.48.193.14:5000) appears to be dead.
02.03.2008 12:26:34: Connecting to Otomika2 (83.149.116.131:5232)...
02.03.2008 12:26:35: Otomika2 (83.149.116.131:5232) appears to be dead.
02.03.2008 12:26:35: Checking internet connection... [http://www.google.com]
02.03.2008 12:26:36: Internet connection detected. Connecting to a server...
02.03.2008 12:26:36: Connecting to # eMule Serverlist Nr.2 # (193.138.221.210:4242)...
02.03.2008 12:26:36: # eMule Serverlist Nr.2 # (193.138.221.210:4242) appears to be dead.
02.03.2008 12:26:36: No more servers available to connect to
02.03.2008 12:26:36: Connecting to Razor_3.2 (193.138.204.213:6232)...
02.03.2008 12:26:37: Razor_3.2 (193.138.204.213:6232) appears to be dead.
02.03.2008 12:26:37: Connecting to Byte Devils (194.213.0.20:3306)...
02.03.2008 12:26:38: Byte Devils (194.213.0.20:3306) appears to be dead.

Во-первых, я слышал, что чаcть eDonkey серверов была закрыта принудительно по постановлению суда, так как они нарушали авторское право

Во-вторых...странно... у меня все работает...при этом..у меня вообще выставлено "Блокировать все входящие соединения" )
Надо тут подумать...в логе фаер..нет ни одной записи блокированного TCP соединения..хммм..надо подумать тогда...

Добавлено:
Может я ошибаюсь, но.. там есть еще Важное замечание

solstice

Цитата:

вопрос по поводу Emule - как грамотно настроить в тройке?

Application Rules:

Allow TCP In From IP Any To In [Твой IP] Where Source Port Is In 1024-65535 And Destination Port Is [TCP порт прописанный в Emule]
Allow UDP In From IP Any To In [Твой IP] Where Source Port Is In 1024-65535 And Destination Port Is [UDP порт прописанный в Emule]
Allow TCP OR UDP Out From In [Твой IP] To IP Any Where Source Port Is In 1024-5000 And Destination Port Is 1024-65535
Ask And Log TCP Out From In [Твой IP] To IP Any Where Source Port Is In 1024-5000 And Destination Port Is 80
Block And Log IP In/Out From IP Any To IP Any Where Protocol Is Any

Global Rules:

Allow TCP In From IP Any To In [Твой IP] Where Source Port Is In 1024-65535 And Destination Port Is [TCP порт прописанный в Emule]
Allow UDP In From IP Any To In [Твой IP] Where Source Port Is In 1024-65535 And Destination Port Is [UDP порт прописанный в Emule]

WhiteyR

Цитата:

Может я ошибаюсь, но.. там есть еще Важное замечание

это я читал - только у меня рубит именно исходящие соединения... До входящих даже дело не доходит.
qpola
Цитата:

Allow TCP In From IP Any To In [Твой IP]

...
айпи меняется каждый раз, так как ВПН.