» Comodo Firewall Pro / Comodo Internet Security

AlaRic
80,81,82,83,443 -- такого набора в GR будет недостаточно: браузеру могут потребоваться еще 8080, 843, 5050.. чтобы юзать встроенный ftp-клиент: 21 и все из диапазона [1024-65535], это не говоря уже про другие приложения

в GR исходящие по TCP имеет смысл ограничить только по своим портам:
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is Any
+ ...
+ ...
- Block And Log IP IN/Out From IP Any To IP Any Where Protocol Is Any

а в AR для Oper'ы если предполагается использовать ftp, то добавить
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is 21
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is In [1024 - 65535]

остальные разрешения формировать постепенно, в зависимости от ее запросов, меняя конкретный IP на Any

Спасибо за ответ, а на последние мои вопросы в посте можете ответить? Правильно ли я там все понял. Правила я привел как пример, портов конечно я открою больше.

Добавлено:
То есть вначале запрос проходит через глобальное правило, а уже потом через правило приложений...

2 fixist

Цитата:

По поводу составления порядка правил в Network Control Rules

Есть 4 правила

a. 1-е не зависит ни от каких других и влияет на 2-е и 3-е и 4-е
b. 2-е правило может повлиять на правило № 3 и №4 и чучтвует влияние номера 1
c. №3 не дествует на верхние 1 и 2-ые правила (при этом считаясь с их условиями)
d. 4-е - не действует на все три, но включает в себя ихние оговорки Так?

Я бы попроще сказал: правила обрабатываются сверху вниз. Если данное соединение разрешено правилом N, то производится проверка правила N+1 и т.д., а если данное соединение запрещено правилом X, проиходит блокировка и дальнейшая проверка не производится.

По поводу правил:
• Я бы правила 1 и 2 объединил в одно и поставил бы направление только Вх.
• Правило 3 не понял. Смысл этого типа ICMP - исходящий пинг. Зачем ты его ограничиваешь ? Ведь именно ты инициатор данного типа соединения. Поставь разрешать для всех зон.
Аналогично по правилам 4 и 5. Не стоит их запрещать для интернет зоны, хотя если проблем с соединениями не будет, то можешь оставить.
Хотя нет. Не так ты понял. Надо разрешить только то, что можно, а остальное запретить.
Так вот у тебя запрещены только конкретные ICMP, а всё остальные ICMP разрешены.
Лучше сделай разрешающими для всех правила 3-5 и добавь правило полсе них:
Блокировать ICMP От IP любого к IP любому где тип ICMP любой
• Правилом 7 можно заменить правила 1, 2 и 7, но убрать в нём зону (сделать для всех).
• Правило 8 по DNS будет не всё охватывать. Ведь так ты запрещаещь только запросы не на порт 53 на на DNS-серверы, но ведь запрета по DNS-запросам на любые другие адреса нет.
Лучше сделай 2 правила:
Разрешить UDP Исх. с любого IP на IP [DNS] с любых портов на порт 53
Запретить UDP Исх. с любого IP на любой IP с любых портов на порт 53
Локальные стоят любые в связи с недавним обновлением винды, после которого запросы приложений идут по-старому с портов 1024-4999, а запросы svchost.exe (т.е. системы) идут с портов 49152-65535.

В целом принцип построения должен быть иной: сначала разрешить нужное, а остальное запретить. А ты, наоборот, запретил ненужное, а остальное разрешил, но ведь так можешь что-то упустить и будет дырка.

---

basstard, присоединился к нам Приветствую.

---

AlaRic, схему обработки правил смотри здесь (для исходящих - верно).

Еще парочку вопросов появилось. Что можно разрешить приложению svchost?
Пытался настроить комод по торрент. Вот глобальное правило:
Разрешить TCP В/Из с любого IP на любой IP с любых портов на порт 40000. В опциях торрента порт 40000 для входящих соединений. В правилах приложений затрудняюсь как лучше написать. Разрешить TCP В/Из со всех ip?

WIGF
Дело в том что если я ставлю по правилу из шапки - у меня нЭт не фурыкеает
Добавил правило под номером 2, а то UDP блокируется по правилу №11
3-е правило я убрал вообще (т.е. разрешено). ОНО БЛООКИРОВАЛО ВСЕ ИСХ. ECHO REQUEST, ЕСЛИ ОНИ НЕ В ЛОКАЛКЕ. Нужно ли переправить это правило на блокировку входящих?

Цитата:

• Правилом 7 можно заменить правила 1, 2 и 7, но убрать в нём зону (сделать для всех).

Правило №2 (теперь №3) переделал -> запрещает все TCP и UDP Вх. и Исх. по всем портам кроме 137-139 ходящих в Локалке. Правильно, до этого оно блокировало TCP и UDP Вх. и Исх. по всем портам, кроме 137-139 только в Локалке Поэтому 7-е убрал. 135 и 445 блокируются по правилу №1, а порты 137-139 по правилу №3

Цитата:

• Правило 8 по DNS будет не всё охватывать. Ведь так ты запрещаещь только запросы не на порт 53 на на DNS-серверы, но ведь запрета по DNS-запросам на любые другие адреса нет.
Лучше сделай 2 правила:
Разрешить UDP Исх. с любого IP на IP [DNS] с любых портов на порт 53
Запретить UDP Исх. с любого IP на любой IP с любых портов на порт 53

Спасибо, переделал. Только оставил первую строку: все не запрещенные UDP блокируются в №11
Добавил также сервер комоды

Цитата:

ALLOW TCP OUT FROM IP ZONE:[Internet Zone] TO IP 195.92.253.141 WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS 21
ALLOW TCP OUT FROM IP ZONE:[Internet Zone] TO IP 195.92.253.141 WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS 1024-4999

11-ым правилом добавил блок на вх./исх. UDP, если нужно исключить порт то добавляю его в получателя, с приставкой "НЕ", т.е. "исключая выбранному" для DC++ и т.д.

По этим правилам у меня остались для исходящих соединений TCP открытыми порты получателя (DESTINATION) 25, 80, 81, 82, 83, 110, ... для интеренета с любого не запрещенного (№6) мной исходящего порта 1024-4999 (правило № 10).
№ 12 - блокировать все TCP входящие. TCP Исх./Вх. также не проходит - исходящие блокируются

WIGF, спасибо ждал твоего комментария по поводу настроек fixist -- а то опасался, что это либо я чего-то сильно недопонимаю, либо специфика двойки -- но теперь понятно, что для версий принципы одни и те же, поэтому:

fixist, дружище, пожалей тех, кто пытается тебе помочь -- разобраться как все это безумие будет работать бесконечно сложно, по первым постам однозначно можно сказать только следующее:

a. 1-е не зависит ни от каких других и влияет на 2-е и 3-е и 4-е
b. 2-е правило может повлиять на правило № 3 и №4 и чучтвует влияние номера 1
c. №3 не дествует на верхние 1 и 2-ые правила (при этом считаясь с их условиями)
d. 4-е - не действует на все три, но включает в себя ихние оговорки Так?
Так и есть, но ты как-то очень своеобразно это понял: обычно в связи с этим, последним правилом запрещают все и для всех, а выше чего-нибудь все-таки разрешают, а ты наоборот последним разрешил, а выше начал кое-что блокировать..

10-е правило никакого смысла не имеет, т.к. ниже него нет ни одного запрета -- поскольку все, что не запрещено -- разрешено, то разрешения имеют смысл лишь тогда, когда ниже них находятся запрещения по тем же портам/протоколам, иначе они и так разрешены

правилами 3,4,5 ты блокируешь как раз те ICMP-запросы, которые нужно разрешить, при этом все остальные ICMP, кот. следовало бы запретить у тебя пройдут, т.к. ни явного на них, ни общего на всех запрета нет -- возможно политикой интернет-зон ты пытался получить обратный результат, но интернет-зоны регулируют не принадлежность твоего компа к той или иной сети, а принадлежность входящего/исходящего IP к той или иной сети, а указанные тобой ICMP приходят как раз на твой внешний IP

также у тебя пройдут ВСЕ входящие TCP/UDP на ВСЕ порты, кроме указанных в 7

также пройдут ВСЕ исходящие TCP/UDP по портам [0 - 1023], кроме тех, что указаны в 6

в целом можно было оставить "разрешить все и для всех" и не париться -- результат был бы тот же

по исправленному варианту никаких значимых изменений не заметил

вобщем, как сказал WIGF:

Цитата:

В целом принцип построения должен быть иной: сначала разрешить нужное, а остальное запретить. А ты, наоборот, запретил ненужное, а остальное разрешил, но ведь так можешь что-то упустить и будет дырка.

Поэтому, имеет смысл реализовать базисную стратегию:

+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is Any
+ Allow UDP Out From IP Any To IP [DNS-Server-1] Where Source Port Is In [1024 - 65535] And Destination Port Is 53
+ Allow UDP Out From IP Any To IP [DNS-Server-2] Where Source Port Is In [1024 - 65535] And Destination Port Is 53
+ Allow ICMP Out From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
- Block And Log IP In/Out From IP Any To IP Any Where Protocol Is Any
*Правил для DNS столько, сколько DNS-серверов

И уже ВЫШЕ всех этих правил добавлять те РАЗРЕШЕНИЯ, которые тебе нужны под конкретные задачи

Добавлено:
AlaRic

По торренту все очень просто, выше всех правил, например тех что в сообщении выше, нужно добавить еще два:
+ Allow UDP Out From IP Any To IP Any Where Source Port Is [Torrent-Port] And Destination Port Is In [1024 - 65535]
+ Allow TCP or UDP In From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is [Torrent-Port]

В AR для p2p-клиента обязательно добавить:
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is In [1024 - 65535]
+ Allow UDP Out From IP Any To IP Any Where Source Port Is [Torrent-Port] And Destination Port Is In [1024 - 65535]

Входящие в ТЕКУЩЕЙ ВЕРСИИ фаера можно не добавлять, но ситуация может измениться и тогда придется добавить входящие в AR:
+ Allow TCP or UDP In From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is [Torrent-Port]

Кроме того, клиенту нужно общаться не только с пирами, но и с треккером, но это он будет делать по TCP/HTTP-портам, так что сам спросит и ты ему разрешишь

Еще заметил, что мой uTorrent при закачке с torrents.ru ломится по UDP с порта 6771 на такой же на треккере, поэтому и в AR и в GR добавил:
+ Allow UDP Out From IP Any To IP Any Where Source Port Is 6771 And Destination Port Is 6771
но насколько это универсально для различных клиентов/треккеров пока не выяснил

Как в 3 версии прописать в глобальных правилах разрешения для Loopback Zone? Чтобы разрешал все локальные соединения и не выводил сообщения предалагая разрешить такое соединение для каждого приложения.

WIGF
И где дырища? Не надо открывать все входящие порты в глобальных правилах и не будет никакой "дырищи".

fixist, как сказал basstard, голова идёт кругом
Если не работает интернет, значит что-то конкретное не разрешил.
Если стоит последнее запрещающее правило с включённым протоколированием, то по логам журнала можно это что-то увидеть и прописать.
Т.е. лучше возьми конфу, которую basstard предложил:
Цитата:

+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is Any
+ Allow UDP Out From IP Any To IP [DNS-Server-1] Where Source Port Is In [1024 - 65535] And Destination Port Is 53
+ Allow UDP Out From IP Any To IP [DNS-Server-2] Where Source Port Is In [1024 - 65535] And Destination Port Is 53
+ Allow ICMP Out From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
- Block And Log IP In/Out From IP Any To IP Any Where Protocol Is Any

а потом уже уточняй правила.
Если по данной конфе не будет работать и накак не выйдет по журналу правила дописать, то выложи выдержки из него и вместе посмотрим.

Как возможные варианты, почему не работал интернет:
• DHCP-запросы (правило именно для двойки):
Разрешить UDP В/Из от IP любого к IP любому, где порты источника 67, 68, а порты получателя 67, 68
• соединение с vpn-сервером

---

---

Цитата:

Как в 3 версии прописать в глобальных правилах разрешения для Loopback Zone? Чтобы разрешал все локальные соединения и не выводил сообщения предалагая разрешить такое соединение для каждого приложения.

Imperator, для исходящих - никак. Всё равно будут запросы. Лучше прописать в политиках эти соединения и на основе политик сделать правила для большинства приложений.
Или же снять галочку с опции "Firewall Behavior Settings" -> "Alert Settings" -> "Enable alerts for loopback request" - в итоге для новых (непрописанных) loopback-соединений не будет запросов (они будут молча блокироваться).
А по входящим - я выше про дырку писал. Так что по входящим можно прописать.

---

---

Цитата:

И где дырища? Не надо открывать все входящие порты в глобальных правилах и не будет никакой "дырищи".

kipus, ну а как действовать пользователям торрента ? Ведь им надо разрешить на вход конкретный порт, а ведь при нынешней ситуации этот порт откроется для всех приложений и не будет контролироваться совсем. В этом и дырища.
Если не открывать ничего, то ничего и не будет. Я об этом написал выше:
Цитата:

Конечно дырки нет, если в GR не разрешены входящие.
У меня, например, там прописаны только IPTV и несколько ftp-серверов (всё вплоть до конкретных адресов). Но и это тоже является дырой...

WIGF
У меня для торрента никаких портов отдельных не открыто. Просто для utorrent'а разрешены входящие соединения. В глобальные правила я ничего не добавлял. Все левые входящие соединения блочатся нормально.
А все ненужные входящие порты блочатся на роутере.

Цитата:

У меня для торрента никаких портов отдельных не открыто. Просто для utorrent'а разрешены входящие соединения. В глобальные правила я ничего не добавлял. Все левые входящие соединения блочатся нормально.

Если не открыто и проходят соединения, то значит, что не закрыто.
Цитата:

А все ненужные входящие порты блочатся на роутере.

Ну это совсем другое дело. Если проброшен только 1 порт, то и остальные порты не надо на компе блочить. В итоге, я так понимаю, что в GR вообще нет блокирующих правил.

Смысл данного бага COMODO, что по открытому порту для торрента на комп может пройти любое соединение (там ведь нет урезания по IP).
Поэкспериментируй: заблокируй входящие для торрента в AR и посмотри будет ли он работать. Я думаю, что будет, если версия CFP последняя (на других не проверял) и в GR нет блокировки данного порта.
Потом может принудительно разрешить этот порт в GR и в данном правиле включить протоколирование (для торрента в AR должна быть блокировка входящих). Я думаю, что после этого всё равно торрент будет работать, а в журнале будет фигурировать WOS, а не торрент-клиент.
Во всяком случае у нас с basstard именно так и было.

Или же на роутере порт открыт только для торрента ?

Цитата:

Если не открыто и проходят соединения, то значит, что не закрыто.

Как я понял если нет глобальных правил - он смотрит на правила приложений, в противном случае юзает глобальные.

kipus

Цитата:

Как я понял если нет глобальных правил - он смотрит на правила приложений, в противном случае юзает глобальные.

В этом и заключается баг, что он должен так так делать, как любой другой фаер, но на деле, он смотрит в AR только для исходящих, а все входящие не то что по AR не проверяет, он вообще не различает, кто их инициировал

Цитата:

У меня для торрента никаких портов отдельных не открыто. Просто для utorrent'а разрешены входящие соединения.

Что может быть проще? -- запрети uTorrent'у все входящие -- и посмотри, как он тебя послушает..

Цитата:

В глобальные правила я ничего не добавлял.

А вот это самая большая проблема -- по умолчанию ничего не заблокировано, т.к. предполагается, что их будет AR разруливать, но AR их не разруливает, поэтому если ты не добавлял глобального запрета, то у тебя открыты ВСЕ порты для ВСЕХ входящих, какое бы приложение об этом не попросило

Цитата:

Все левые входящие соединения блочатся нормально.

Попробуй проверить -- убедишься в обратном

basstard

Цитата:

Что может быть проще? -- запрети uTorrent'у все входящие -- и посмотри, как он тебя послушает..

Цитата:

Попробуй проверить -- убедишься в обратном

Только что проверил - все замечательно блочится.

kipus

Можно скриншоты?

basstard

kipus
Спасибо за скрины!, если не против, кину ссылку на оф.форум -- по результату видно, что в рамках локальной сети все работает корректно

я так понимаю, это заслуга роутера

Когда роутера нет и IP для входящих внешний -- ситуация прямо противоположная:

uTorrent:


eMule:

basstard
Нет, не против.

Только что добавил в глобальные правила разрешение для всех входящих и запретил входящие для utorrent - по прежнему все блокируется нормально на основе правил для приложений.

Да, мб еще понадобится для багрепорта. ОС: XP x64 SP2.

kipus
XP x64??? -- 64-битную версию фаера никто не тестировал, она может быть в принципе лишена подобных проблем, если есть интерес и возможность выйти в сеть минуя роутер, то это будет первый тест и станет понятно, в локалке дело или в 64-битности

basstard
Попробовал напрямую без роутера. Видимо в х64 версии COMODO этого бага действительно нет.

Цитата:

В AR для p2p-клиента обязательно добавить:
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is In [1024 - 65535]
+ Allow UDP Out From IP Any To IP Any Where Source Port Is [Torrent-Port] And Destination Port Is In [1024 - 65535]

AR - это правила приложения если не ошибаюсь. Но там вроде бы можно задавать только ip и порт получателя.

kipus
По всей видимости так, дело именно в другой версиии фаера и локалка ни при чем
как будет время, я на виртуальную машину Vist'у x64 поставлю -- тоже отпишусь

basstard
windows xp pro sp2, comodo v.3.0.20.320 - в глобальных разрешено, в приложении (utorrent) запретил - все блокируется на раз.

Добавлено : Винда 32битная

docsan
Скажи пожалуйста версию ОС: 32 или 64
и, если не сложно, запости скрины на оф.форуме

Цитата:

AR - это правила приложения если не ошибаюсь. Но там вроде бы можно задавать только ip и порт получателя.

AlaRic, если версия фаера 2 (вроде она у тебя), то как ты пишешь, а если тройка, то можно и источник прописывать.
По самим правилам не скажу, т.к. не пользуюсь p2p, да и basstard их уже написал (и в шапке также есть различные правила по p2p).

А когда выйдет следующая версия файрволла

NAGRIS

Цитата:

А когда выйдет следующая версия файрволла

Года через три-четыре. Можешь подождать, в принципе.

Dead_Moroz

Цитата:

Года через три-четыре. Можешь подождать, в принципе.

Откуда такая уверенность? хотя судя по тому сколько они делают мультиязычность и когда обещали... насчет нее не слышно ничего кстати?

redwhiterus
Моя уверенность взята с потолка. Просто не понимаю, зачем непременно нужна следующая версия продукта, который и так относительно недавно вышла.

Скажите пожалуйста какой доступ дать процессу Generic Host Process и даунлодеру(флэшгет или орбит)?