» Comodo Firewall Pro / Comodo Internet Security

WIGF, это как можно маршрутизацию настроить для конкретного приложения?

Цитата:

WIGF, это как можно маршрутизацию настроить для конкретного приложения?

AndreyAgrh, в COMODO никак.
И в винде никак, если не ошибаюсь (именно для конкретного приложения).
Есть программы, которые это делают. Я сам с данными программами не работал, но мне кажется, что WinGate и WinRoute это могут. Но могу и ошибаться.

Добавлено:
В догонку ещё одну ссылку дам (по совету XenoZ'а) - Настройка персональных файерволов (firewall rules) - вроде там что-то есть по данному вопросу.

Цитата:

Цитата:Ребята, подскажите пожалуйста.
Имеется два установленных одновременно соединения: ADSL и Dialup.
Нужно, чтобы ReGet Deluxe (или другая прога, неважно) работала только через Dialup.
Стоит Comodo v3. Пробовал в правилах запрещать исходящиий ADSL-овский ip, но не-
получилось (или не разобрался) - ReGet хапнул через ADSL.
Вобщем повсякому крутил-вертел правилами но так и не добился нужного результата.
Подскажите, кто знает.

Dorovsky, в COMODO таких функций нет. В данном случае нужно настраивать маршрутизацию.

А как же насчет кучи настроек по исходящим ip и портам ?

Имею ввиду Firewall->Advanced->Network Security Policy->Application или Global Rules->
а там Source Address и Source Port

Как я могу применить (как вообще) эти настройки ? т. е. какое их практическое применение ? Не запрещать ли какому-нибудь приложению выход с определенного
ip или порта ?
Спасибо.

Цитата:

А как же насчет кучи настроек по исходящим ip и портам ?

Dorovsky, эти настройки не касаются указания пути, по которому должен идти трафик. Ими можно только разрешить/запретить трафик по пути, который прописан в виндосе.
Суть маршрутизации (а тут именно она нужна) в том, чтобы указать какой трафик будет идти через какой интерфейс. Обычный файервол этого не может.
В виндосе это делается с помощью команды route. С помощью неё можно указать трафик к каким IP будет идти не через основной шлюз, но нет возможности указать это для конкретного приложения.
Даже если запретить в фаере исходящие с IP от ADSL, то это ничего не изменит. Трафик просто будут резаться, но не будет перенаправляться через DIALUP.
В данном случае можно указать, что соединением по умолчанию будет DIALUP, но тогда весь исходящий трафик будет идти через DIALUP при условии, что он включен, а если не включен, то через другой интерфейс (через ADSL). Проверить не могу, т.к. у меня только одна сетевая и всё, но вроде так должно работать.

Цитата:

Как я могу применить (как вообще) эти настройки ? т. е. какое их практическое применение ? Не запрещать ли какому-нибудь приложению выход с определенного ip или порта ?

В смысле какое ? Основная задача персонального файервола - разрешить сетевые соединения всем, кому можно и нужно по заданным критериям (с точностью до направления/протокола/IP/порта), а остальным запретить. Или суть вопроса в другом ?

Цитата:

Цитата: А как же насчет кучи настроек по исходящим ip и портам ?

Dorovsky, эти настройки не касаются указания пути, по которому должен идти трафик. Ими можно только разрешить/запретить трафик по пути, который прописан в виндосе.
Суть маршрутизации (а тут именно она нужна) в том, чтобы указать какой трафик будет идти через какой интерфейс. Обычный файервол этого не может.
В виндосе это делается с помощью команды route. С помощью неё можно указать трафик к каким IP будет идти не через основной шлюз, но нет возможности указать это для конкретного приложения.
Даже если запретить в фаере исходящие с IP от ADSL, то это ничего не изменит. Трафик просто будут резаться, но не будет перенаправляться через DIALUP.
В данном случае можно указать, что соединением по умолчанию будет DIALUP, но тогда весь исходящий трафик будет идти через DIALUP при условии, что он включен, а если не включен, то через другой интерфейс (через ADSL). Проверить не могу, т.к. у меня только одна сетевая и всё, но вроде так должно работать.

Спасибо, вроде все понятно.


Цитата:

Цитата:Как я могу применить (как вообще) эти настройки ? т. е. какое их практическое применение ? Не запрещать ли какому-нибудь приложению выход с определенного ip или порта ?

В смысле какое ? Основная задача персонального файервола - разрешить сетевые соединения всем, кому можно и нужно по заданным критериям (с точностью до направления/протокола/IP/порта), а остальным запретить. Или суть вопроса в другом ?

В файерволе предусмотрена возможность запретить приложению определенный исходящий ip (всего 7 исходящих параметров), вот я собственно об этом. Если с интерфейсом это не прокатит, тогда зачем нужна возможность данной настройки ?

Цитата:

В файерволе предусмотрена возможность запретить приложению определенный исходящий ip (всего 7 исходящих параметров), вот я собственно об этом. Если с интерфейсом это не прокатит, тогда зачем нужна возможность данной настройки ?

Например, чтобы запретить доступ к каким-то вредоносным сайтам (или просто IP), либо запретить связь с другими адресами по всем портам, кроме действительно необходимых, либо ограничить соединения какой-то программы только локальными IP (без выхода в интернет) и т.п.

Проблема с загрузкой web страниц. В Опере страницы могут загрузиться не до конца, как будто был обрыв связи. Проблема остается, даже если использовать режим разрешить все. исчезает при выгрузке comodo firewall 3.
Никто не встречался с такими проблемами обрыва загрузок web трафика?

Цитата:

Проблема с загрузкой web страниц. В Опере страницы могут загрузиться не до конца, как будто был обрыв связи. Проблема остается, даже если использовать режим разрешить все. исчезает при выгрузке comodo firewall 3.
Никто не встречался с такими проблемами обрыва загрузок web трафика?

akbashev, а не перегружен ли записями журнал в COMODO ? Может это проблема не с загрузкой страниц, а просто в журнале всё подряд записывается и поэтому комп в целом тормозит.
Либо проблема не в модуле Firewall, а в модуле Defense+ (может что заблокировал в нём для Оперы случайно). Его попробуй отключить, а то вдруг отключался только Firewall.

Отключались оба модуля. Проблема не только с оперой, а в целом. ie так же не догружает. только у него еще хуже, он при обрыве потока сразу пишет о невозможности отобразить страницу. Журнал пуст. Удивляет то, что даже при разрешении всего трафика глюки продолжаются.

akbashev, а в момент глюков какой процесс грузит систему ? Может COMODO с кем-то конфликтует на компе (не с браузерами). Например, с какой-нибудь антивирусной программой, которая проверяет трафик.

Загрузки процессора нет. антивирус pctools. был так же avast была та же проблема. но у avast проверка инет трафика была отключена.

Увидел еще глюк. при установленном comodo firewall 3 не проходят пинги длиной более 1472 байта независимо от того загружен фаервол или нет, включен или выключен. есть подозрение на ограничение по длине передаваемонго блока MTU. попробую покопать в эту сторону.

akbashev, а версия фаера последняя ? Хотя я данный глюк наблюдал эдак в билде 14 (если не ошибаюсь), а сейчас уже 25-й. К тому же уже вышла третья бэтка CIS, в которой также идёт обновления файервола.
По поводу ограничения MTU проверить не могу, т.к. у провайдера итак стоит 1460 (на странице с технической информацией), а по факту выходит 1400 (проходит пинг 1372). А в локалке как раз 1500 (пинг 1472).
Т.е. по максимуму по значениям по умолчанию (для VPN-1400, для Ethernet-1500).

Билд 25. Изменение MTU не повлияло. Я так думаю фаер должен либо пускать в инет либо нет, а тут как-то наполовину получается, страницы на половину грузяться. Буду ждать версию 3.1 или CIS, а пока поставлю 2.4 с ней глюков меньше, хотя тоже есть.

akbashev, попробуй поставить CIS последнюю. Там в процессе установки можно выбрать только фаер (без антивируса). И там всякие баги тоже фиксятся (я сам пока не ставил, но вроде есть вещи, которые пофиксены по сравнению с 25-м билдом).
Ссылки на закачку

WIGF
А настройки с простого фаервола туда можно перенести?

У меня сабж почти постоянно запрещает доступ в сеть локалки (VPN). Копался в настройках до опупения, не нашел причины. Приходится его отключать, запускать сеть и вновь включать. Однако при этом он, как правило, не хочет запускаться (выкидывает объяву, что какая-то dll-ка не загружена и просит переустановить). Приходится перезагружаться и повторять процедуру - в большинстве случаев запускается. Кто что посоветует?

Цитата:

А настройки с простого фаервола туда можно перенести?

Imperator, сам не переносил (т.к. ещё не ставил CIS), но и на этом форуме, и на родном писали, что всё нормально переносится.
Главное не забыть их сохранить в файл, т.к. CIS надо устанавливать не поверх CFP, а вместо, т.е. сначала удалить CFP, потом перегрузиться, а потом ставить CIS в нужной конфигурации.

---

---

Цитата:

У меня сабж почти постоянно запрещает доступ в сеть локалки (VPN). Копался в настройках до опупения, не нашел причины. Приходится его отключать, запускать сеть и вновь включать. Однако при этом он, как правило, не хочет запускаться (выкидывает объяву, что какая-то dll-ка не загружена и просит переустановить). Приходится перезагружаться и повторять процедуру - в большинстве случаев запускается. Кто что посоветует?

yut, в шапке я свои настройки по VPN написал и для двойки, и для тройки.
Если не помогут, то выложи логи журнала после блокировок (предварительно не забудь включить протоколирование всех запрещающих правил).
Но для начала переустанови фаер заново, потому что надпись про dll-ку не нормальна.
Если стоит какой-то антивирус, то попробуй и его удалить, перегрузить комп, потом поставить фаер, опять перегрузить и только потом поставить антивирус.

WIGF,

Цитата:

"Internet Zone" - это диапазон адресов, которые выделяются провайдером для нашего выхода в интернет. Например, у меня провайдер выделяет для нашего выхода в интернет 3 диапазона (93.80.0.0/16, 78.106.0.0/16, 89.178.0.0/16). И если я хочу, чтобы какая-то программа осуществляла свои сетевые соединения только с внешнего IP (того, который выдаётся для сёрфинга в интернете), то я и прописываю в нужных правилах эти диапазоны.

Не совсем понятно. Например, если в домашней сети адреса 192.168.0.ххх, то я могу легко создать зону, используя маску сети. У провайдера локальная сеть 10.41.85.ххх, но не только, так как к ней подключены и другие подсети, например, 10.40.ххх.ххх, 10.59.ххх.ххх и т.д. Как же мне отделить все эти сети от Интернета, например, 88.123.ххх.ххх, ведь я не знаю, какие конкретно подсети в локальной сети провайдера, а в Интернете подсетей вообще не счесть? Единственное, что мне известно, это шлюз по умолчанию, который соединяет мою подсеть 10.41.85.ххх с другими и с Интернетом, и если я определю как сеть провайдера 10.41.85.ххх, то будут отрезаны другие подсети (10.40.ххх.ххх и др.).

И ещё вопрос: когда со второго компьютера домашней сети идёт выход в сеть через общий доступ к интернету (ICS), который обеспечивает первый компьютер, то файервол на первом компьютере не отображает в Active Connections никакой активности, хотя сетевые значки в трее оба мигают. Как такое может быть? Насколько я понимаю, ретрансляцию пакетов обеспечивает svchost.exe (служба Брандмауэр Windows/ICS), но его в списке активных процессов нет.

WIGF

Цитата:

Imperator, сам не переносил (т.к. ещё не ставил CIS), но и на этом форуме, и на родном писали, что всё нормально переносится.
Главное не забыть их сохранить в файл, т.к. CIS надо устанавливать не поверх CFP, а вместо, т.е. сначала удалить CFP, потом перегрузиться, а потом ставить CIS в нужной конфигурации.

У меня не перенеслись... =( пришлось заново правила писать... правда это на предпоследней версии CIS. Последнюю даж боюсь ставить именно по этой причине..

Цитата:

Не совсем понятно. Например, если в домашней сети адреса 192.168.0.ххх, то я могу легко создать зону, используя маску сети. У провайдера локальная сеть 10.41.85.ххх, но не только, так как к ней подключены и другие подсети, например, 10.40.ххх.ххх, 10.59.ххх.ххх и т.д. Как же мне отделить все эти сети от Интернета, например, 88.123.ххх.ххх, ведь я не знаю, какие конкретно подсети в локальной сети провайдера, а в Интернете подсетей вообще не счесть? Единственное, что мне известно, это шлюз по умолчанию, который соединяет мою подсеть 10.41.85.ххх с другими и с Интернетом, и если я определю как сеть провайдера 10.41.85.ххх, то будут отрезаны другие подсети (10.40.ххх.ххх и др.).

brRamires, давай заново: для чего тебе нужно определить Internet Zone ? Какую цель преследуешь ?
В шапке эта зона указана с той целью, чтобы отсечь определённые соединения в интернете (NetBIOS в двойке), а в остальных правилах это в принципе писать не нужно. На самом деле от того, что в правилах по FTP вместо [Internet Zone] будет ANY ничего не изменится. Сама зона оставлена, по большому счёту, для понимания того, что данные соединения будут идти не с локального IP, а с внешнего, который выдаёт провайдер, ну и для защиты от того, чтобы соединения от твоего компа велись не с "левого" адреса.
У меня эта зона не используется, т.к. нет необходимости ограничивать соединения с учётом этой зоны.
Может стоит и в правилах в шапке нам об этом указать... Подумаем...

Если говорить об адресах, то есть 3 группы адресов, которые закреплены для использования в локальных сетях и при запросе на них выхода в интернет не происходит, чтобы у тебя не было записано в файерволе (т.е. это прописано в системе).
Это следующие группы адресов: 10.0.0.0—10.255.255.255; 172.16.0.0—172.31.255.255; 192.168.0.0—192.168.255.255. - http://ru.wikipedia.org/wiki/Локальная_сеть

Цитата:

И ещё вопрос: когда со второго компьютера домашней сети идёт выход в сеть через общий доступ к интернету (ICS), который обеспечивает первый компьютер, то файервол на первом компьютере не отображает в Active Connections никакой активности, хотя сетевые значки в трее оба мигают. Как такое может быть? Насколько я понимаю, ретрансляцию пакетов обеспечивает svchost.exe (служба Брандмауэр Windows/ICS), но его в списке активных процессов нет.

А вот об этой вещи уже не раз писали и никак не пофиксят. Действительно, трафик в данном случае идёт сам по себе и фаер его не замечает. Такое же игнорирование трафика было со стороны COMODO в отношении прокси (не у меня, в этой теме форумчане упоминали об этом).

---

---

Цитата:

У меня не перенеслись... =( пришлось заново правила писать... правда это на предпоследней версии CIS. Последнюю даж боюсь ставить именно по этой причине..

AndreyAgrh, вот ссылка на то, что всё переносится - http://forums.comodo.com/10551086108810911089108910821080_russian/comodo_firewall_35_beta-t27072.0.html

Всё отлично переносится

WIGF

Цитата:

попробуй поставить CIS последнюю

Она уже не последняя - появился RC1. Во всяком случае так она себя гордо стала называть после обновления.

WIGF, с cis ситуация не изменилась. Web cтраницы безбожно режутся в любом режиме работы, а так же пропадает доступ на шары в локальной сети через какое-то время с сообщением о нехватке ресурсов.

версия 2.4 более стабильна, но проблемы с сетью так же имеются.
xp pro corp sp3+официальные обновления.

gjf, ну тогда подожду теперь до выхода нормальной версии...

---

---

akbashev, возникла мысль по поводу достижения лимита полуоткрытых соединений - http://ru.wikibooks.org/wiki/Event_4226 - 10 стандартных мало даже для системы без P2P-программ. Я у себя до 100 увеличил.
В интернете есть разные виды программ, которые исправляют эту недоработку - список (для XP и для Висты патчи разные).
Я у себя делал с помощью XP-Antispy (там ещё и другие интересные фукции есть и возможность в любой момент поменять на нужную цифру и вернуть старое) - http://www.xp-antispy.org/ - программа бесплатная и на русском языке.
При этом не забывай, что после обновлений винды эту операцию возможно прийдётся проделывать заново.

И вирусов точно нет на компе ? А то ведь может сидит какой-нить бот уже и забивает у тебя весь канал...

WIGF
А она и так нормальная, как по мне. Хотя антивирь не пользую, потому как являюсь поклонником Авиры.

akbashev
Что-то такого я никогда не наблюдал...

Скажите какие лучше правила сделать для даунлодеров типа флэшгета или орбита? Спасибо.

AlaRic
1 Разрешить исходящие TCP на http и ftp порты из зоны интернет на любые IP
2 Разрешить DNS запросы

Цитата:

Она уже не последняя - появился RC1. Во всяком случае так она себя гордо стала называть после обновления.

http://forums.comodo.com/empty-t27963.0.html;msg204864

Цитата:

32-Bit установки
=========
URL:
http://download.comodo.com/cis/download/setups/CIS_Setup_3.5.52764.414_XP_Vista_x32_RC1.exe
Размер: 24,2 Мб (25,409,280 байт)
MD5: 7eeb4784c993b61ac9d0b768d00c9af1
SHA1: 3ba517da37687cf2d0ba2049ed7c69228b165e5d

64-Bit установки
=========
URL:
http://download.comodo.com/cis/download/setups/CIS_Setup_3.5.52764.414_XP_Vista_x64_RC1.exe
Размер: 38.9 MB (40,873,216 байт)
MD5: 7f7e2706021967277e56879a72f5b237
SHA1: a7d9e398bc515a3b1fdf46d09d27f2db6767a572

кто пробовал, расскажите впечатления?стоит обновляться?
спс...

Цитата:

кто пробовал, расскажите впечатления?стоит обновляться?
спс...

Стоит подождать, в течение 2-х недель обещана final-версия