» Comodo Firewall Pro / Comodo Internet Security

AlaRic

Цитата:

TCP исх.

Странное соединение... Может в самом торрент-клиенте какая-то функция есть ? Либо кто-то у себя открыл именно этот порт.
Цитата:

PS. А ты ведь еще сидишь на форуме хоумнет.корбина или я ошибаюсь?

Так и есть. И тут, и там я.

---

---

Цитата:

Возможно ли настроить фаер в режим обучения, а-ля outpost?
При выходе любой програмы в сеть, есть ли возможность ВРУЧНУЮ разрешить/запретить её это делать?

Yamamoto, в COMODO есть режим "Custom Mode"(если мы о фаере говорим), в котором будут запросы по всем непрописанным и незапрещённым в General Rules соединениям. По результатам ответа на запрос будут создаваться правила (если галочку поставишь), при этом глубина правил будет зависеть от настройки в Alert Settings.

WIGF, тогда для торента закрою на всякий случай.
А ты не мог бы показать свои настройки(в пм например), а то я чем больше тем и ссылок читаю на тему портов и комода, тем больше запутываюсь - мешанина уже в голове.

Цитата:

А ты не мог бы показать свои настройки(в пм например), а то я чем больше тем и ссылок читаю на тему портов и комода, тем больше запутываюсь - мешанина уже в голове.

AlaRic, настройки индивидуальны и зависят от используемых программ. Я, например, сейчас отказался от последнего блокирующего правила в GR, а раньше оно было.
В принципе, секретов особых нет по правилам. По AR в шапке написаны правила, а в GR у меня сейчас следующее:
1. Разрешение DHCP-запросов:
Allow UDP Out From IP Any To IP Any Where Source Port Is 68 And Destination Port Is 67
2. Запрет всех остальных броадкастовых пакетов (игры, виртуалки и т.д.), чтоб родная Корбина не заблочила за флуд:
Block IP Out From IP Any To IP In [Broadcast] Where Protocol Is Any
3. Разрешение всех исходящих:
Allow IP Out From IP Any To IP Any Where Protocol Is Any
4. Разрешение входящих на порт 5050 (для просмотра IPTV Корбины на компе, только для Москвы):
Allow UDP In From IP In [172.16.0.0/255.255.0.0] To IP In [233.32.0.0/255.255.0.0] Where Source Port Is Any And Destination Port Is 5050
5. Разрешение протокола IGMP (нужен для IPTV, только для Москвы):
Allow IP In/Out From IP Any To IP Any Where Protocol Is IGMP
6, 7, 8. Три разрешающих входящих правила по ICMP:
6. Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
7. Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
8. Allow ICMP In From IP In [Trusted] To IP Any Where ICMP Message Is ECHO REQUEST
9. Блокирующее правило по ICMP:
Block ICMP In/Out From IP Any To IP Any Where ICMP Message Is Any
10, 11, 12, 13. Разные перехватывающие блокирующие правила для разгрузки журнала (чтобы не было однотипных записей о блокировках того, что мне неинтересно):
10. Перехватывающее по броадкасту:
Block TCP OR UDP In From IP Any To IP In [Broadcast] Where Source Port Is Any And Destination Port Is Any
11. Перехватывающее по NetBIOS и пр.:
Block TCP OR UDP In From IP Any To IP Any Where Source Port Is Any And Destination Port Is In [NetBIOS...]
12. Перехватывающее по протоколу 139:
Block IP In/Out From IP Any To IP In Any Where Protocol Is 139
13. Перехватывающее по локалке:
Block TCP OR UDP In From IP In [Local Network] To IP Any Where Source Port Is Any And Destination Port Is Not In [Torrent_Port]
14. Завершающее блокирующее (сейчас его нет, т.к. аська с ним не передаёт и не принимает файлы по-нормальному):
Block And LOG IP In/Out From IP Any To IP Any Where Protocol Is Any

В правилах используются:
а) зоны:
• [Broadcast] - броадкаст, в твоём случае там были бы адреса 255.255.255.255; 10.255.255.255; 10.255.255.255; 10.101.255.255 и 10.101.???.255 (вроде ты не из Москвы, а по другим регионам размеры сегментов не знаю в Корбине/Билайне);
• [Local Network] - вся локалка - 10.0.0.0/255.0.0.0;
• [Trusted] - здесь есть адрес DHCP-сервера и IP форума Корбины (наверное сотру его), раньше были и IP vpn-серверов и dns-серверов Корбины, а сейчас уже нет (вроде не надо уже);
б) группы портов:
• [NetBIOS...] - 135, 137, 138, 139, 445;
• [Torrent_Port] - порт, прописанный на вход в торрент-клиенте.

WIGF
спасибо за ответ.

1.правило действительно последнее. стандартные все удалены.
ну а без него все коннектиться без правил, как например The Bat так и ась какой-нибудь.
Как я понимаю даже поставив галку доверять приложению (что б больше не спрашивало при коннекте) = все-равно коннектиться оно должно по портам которые прописаны в глобальных правилах?

2.действительно перепутал Маска подсети и Основной шлюз

Цитата:

по большому счёту, можно и не использовать "Internet Zone" и "Local Zone"

тоесть в правилах прописывать вместо зон порт Any ?

Цитата:

ну разве что разрешить в таком виде NetBIOS,

возвращаемся к вопросу
что тогда прописывать? модем в режиме роутера - DNS и шлюз 192.168.1.1
Есть еще провайдерский (укртелекомовский) DNS, но с нии не до конца все ясно.

Цитата:

RTD тогда зачем?
Без антивируса надо долго и серьёзно втыкать во все новые сообщения при запуске программ. Имхо, антивирь нужен, потому как никогда не хватит знаний в раздаче прав. А иногда - просто не хватит времени.

Но ставить два ХИПСа - зачем? Они нагрузят систему куда больше.

Дело в том, что в Comodo явно не хватает некоторых фишек, которые есть в RTD, но любой грамотный ХИПС загружает систему меньше, чем любой самый шустрый антивирус - принцыпы работы другие. Опять же ИМХО и личный опыт...

sewell
Любой грамотный ХИПС перехватывает системные вызовы. И по-любому загружает систему. А строить цепочку перехватов - это уже и снижение стабильности.

Мне вообще трудно представить реализацию работы двух "грамотных" ХИПСов, хотя с RTD я не знаком - не знаю. Запустите хотя бы RkU и посмотрите SSDT и Shadow SSDT - кто прописан на перехватах, например, в NTCreateFile, NTWriteVirtualMemory и NTCreateThread. У меня - procguard.sys. А вот как с двумя ХИПСами... не знаю - видимо цепочкой, но это просто лишняя загрузка ресурсов: проверять и перепроверять системные вызовы. Зачем?

Цитата:

Дело в том, что в Comodo явно не хватает некоторых фишек, которые есть в RTD

Каких "фишек"? Ну так поставьте один RTD либо RTD+Comodo без Defense+.
RTD у вас, так понимать, купленный?

WIGF, спасибо буду разбираться.
И еще не мог бы ты подсказать для чего нужны правила 6-8?

А правда ли, что Comodo можно обойти добавив всего лишь одну запись в реестр?

Ко мне вирус проник, и смотрю, он добавил запись о себе в ветвь реестра Comodo, и она мне ничего не сообщала.

Вот так всё просто? Пропиши себя в реестр, и файрвол тебе не страшен?

Ke
Чтобы добавить запись в реестр нужно разрешение со стороны ХИПСа Комода. Если все программы по запросу обрабатывать как Trusted - конечно, тогда толку от файервола не будет. От любого, не только Комода.

nedved

Цитата:

1.правило действительно последнее. стандартные все удалены.
ну а без него все коннектиться без правил, как например The Bat так и ась какой-нибудь.

А разрешающие перед ним точно все необходимые есть ?

Цитата:

Как я понимаю даже поставив галку доверять приложению (что б больше не спрашивало при коннекте) = все-равно коннектиться оно должно по портам которые прописаны в глобальных правилах?

В общем, ДА. Вот тут почитай по логике работы фаера - Network Security Policy.

Цитата:

тоесть в правилах прописывать вместо зон порт Any ?

Да, пиши Any.

Цитата:

возвращаемся к вопросу
что тогда прописывать? модем в режиме роутера - DNS и шлюз 192.168.1.1
Есть еще провайдерский (укртелекомовский) DNS, но с нии не до конца все ясно.

Компы то у тебя всё равно работают с DNS 192.168.1.1, а вот роутер уже работает с DNS провайдера. Так что пиши роутер (во всяком случае так должно быть, у меня, повторюсь, роутера нет).

---

---

Цитата:

И еще не мог бы ты подсказать для чего нужны правила 6-8?

AlaRic, правила 6 и 7 - служебные сообщения, они нужны без вопросов, а правило 8 - это разрешение, которое ты даёшь DHCP-серверу пинговать тебя, т.е. выяснять ему есть ли ты на самом деле. Если его не будет, то IP могут не выдать тебе (у меня были такие блокировки). Адрес DHCP-сервера посмотри через ПУСК-ВЫПОЛНИТЬ-cmd-ipconfig /all.

WIGF, помнишь проблема с 67-68 портами была, после разрешения их она пропала и инет больше не отваливался. А теперь опять стал отваливаться. Посмотрел в журнал:
запрет на исходящий udp 137 источник - я получатель - в моей локалке;
запрет на исходящий udp 138 источник - я получатель - в моей локалке;
запрет свхост исходящий udp к получателю 255.255.255.255:67
Тут как лучше поступить не подскажешь. Абсолютно все соединения лучше же не разрешать?

gjf

Цитата:

Каких "фишек"? Ну так поставьте один RTD либо RTD+Comodo без Defense+.
RTD у вас, так понимать, купленный?

RTD - бесплатный, как и Comodo... В SSDT стоит драйвер, естественно, последнего установленного HIPS, у меня это - RDT. Что не хватает в Comodo - это отсутствие гибких настроек, нет возможности контролировать запуск любого процесса (все настройки Comodo прошерстил - не нашел как настрить), нет возможности "прибить" процесс до его загрузки, install mode работает по времени. а не по окончанию процесса, запустившего установку. нет возможности запустить процесс с определенными правами на определенное время (например 5 минут) и другие. У Comodo есть свои фишки. Поэтому немогу отвыкнуть от хорошего, приходиться совмещать 2 системы защиты. Нет ничего идеального. Увы.

AlaRic, по порядку:
Цитата:

запрет на исходящий udp 137 источник - я получатель - в моей локалке;
запрет на исходящий udp 138 источник - я получатель - в моей локалке;

Это верно блочится, если NetBIOS не нужен. Кстати, если он не нужен, то можно отключить его в настройках сетевых подключений: Сеть -> Протокол TCP/IP -> Свойтсва -> Дополнительно -> WINS -> Отключить NetBIOS (это надо сделать и для локалки, и для vpn).

Цитата:

запрет свхост исходящий udp к получателю 255.255.255.255:67

Сделай для svchost.exe правило, разрешающее исходящие с порта 68 на порт 67, если его там нет.

svchost.exe в AR стоит так - разрешить UDP В/Из получатель - любой, порт IN 67,68.

sewell

Цитата:

RTD - бесплатный, как и Comodo

Ну не надо нас, маленьких, обманывать! All REGISTERED users will get supports and free updates as before.
Добавим ещё то, что проект не обновляется уже очень давно. Вы, как энтузиаст RTD, должны были быть знакомы с этим.
Но вернёмся к теме.
При таких настройках SSDT у вас Comodo просто не работает.
Предлагаю такой вариант: ставьте свой любимый RTD (на вкус и цвет - все фломастеры разные ) и поставьте Comodo только файервол.

У меня лично стоит Comodo, перечисленные вами функции дополняю AnVir Task Manager. Оба продукта регулярно обновляются и отлично поддерживаются. В отличие от RTD

Цитата:

Ну не надо нас, маленьких, обманывать! All REGISTERED users will get supports and free updates as before.
Добавим ещё то, что проект не обновляется уже очень давно. Вы, как энтузиаст RTD, должны были быть знакомы с этим.

Вот здесь никакого обмана. Проект был куплен и распространяется БЕСПЛАТНО. Прада, о с его дальнейшей поддержкой очень туманно.

Цитата:

При таких настройках SSDT у вас Comodo просто не работает.

Глупости... Здесь идет каскадная проверка (драйвер за драйвером), которую ни RKU ни gmer, ни IceWord не покажет. А вот SoftIce выдаст все как на духу.

Цитата:

У меня лично стоит Comodo, перечисленные вами функции дополняю AnVir Task Manager.

Anvir у меня тоже стоит, и никакоим образом он не может заменить фунции HIPS.
P.S. Не подумайте, ради бога, что я здесь рекламирую RDT. Проект, похоже, канул в лету. А его прародитель работает уже в Comodo. А это подвигает на поиск поддерживаемых продуктов, коим и является Comodo. Вот только желание совершенствованию нет предела...

Цитата:

Ну не надо нас, маленьких, обманывать!

вы сам себя наверное обманываешь, маленький вы наш

forums.comodo.com:

Цитата:

Real-time Defender Professional is a freeware, this version is based on ProSecurity v1.43

Цитата:

проект не обновляется уже очень давно

с середины августа, но в сумме проект похоже да - скорее мертв

alt76
Видимо, я отстал безнадёжно, потому как когда-то выбирал ХИПСы. И в голове отложилось, что Pro-версия была платной. Извините за дезу.

Ладно, вернёмся к Комоду, а то попадём под плюсомёт.

Ничего не понимаю. В журнале написано:
Доступ запрещен: svchost.exe:255.255.255.255:bootp(67)
Приложение: C:\Windows\system32\svchost.exe
Родитель: C:\Windows\system32\services.exe
Протокол: UDP Исх
Получатель: 255.255.255.255: bootp(67)

Чего только не делал уже.
В GR и AR разрешал UDP В\Исх на порты 67-68 и на любые адреса - ноль.
Ставил svchost полный доступ - ноль.
В GR давал полное разрешение на адрес 255.255.255.255 - ноль.

Не знаю уже что и придумать. В журнале так и продолжает идти эта блокировка а локалка так без конца продолжает поиск сетевого адреса.
Есть какие-нибудь идеи?


Добавлено:
В соединениях при выключенном фаерволе увидел следующее:
1 svchost.exe UDP В/Из источник - 0.0.0.0:68 получатель - 255.255.255.255:67
2 system IGMP Исх источник - 10.101.104.251 получатель - 224.0.0.22

По поводу первого - в GR и AR ставил правила разрешающие все на 67-68 порты.
По второму пункту - поставил в GR разрешать IP В/Исх все что можно.
Ничего не помогло пока что.

Добавлено:
На минуту в GR разрешил вообще все правила - не помогло. Что это вообще значит?

WIGF
1.вот когда стоит последнее запрещающее правило - постоянно лочит:
опера например:

Код:
Опасность: Средняя
Источник: Сетевой Монитор
Описание: Политика Исходящих Нарушений (Доступ Запрещен, IP = 195.5.46.12, Порт = dns(53))
Протокол: UDP Исходящи
Источник: 192.168.1.4:64806
Получатель: 195.5.46.12:dns(53)
Причина: Сетевое Правило ID =7

Доброго времени суток уважаемые!
Дайте, пожайлуста, новичку в области использования файрволлов, дельный совет...
В системе установлен Доктор 4.44, но в переустановленой винде (планируется) установлю 5.0. Решил также дополнить антивирь файрволлом - остановил выбор на "стенке" от Comodo, поскольку бесплатен)) и говорят довольно качествен! Вот только ни как не могу определиться, какую же версию ставить?.. Хотел было 2-ю русскую, но вычитал где-то в инете, мол она морально устаревшая, и бла-бла-бла, и проку от неё не много, только ресурсы хавает... Похожее читал и о 3-й, плюс она англицкая, а это серьйозная перепона для человека не владеющего онным постигать совсем не простую программу... Мол в таком случае уж лучше сразу устанавливать выборочно только файрволл из пакета CIS 3.5.
Вот собственно первое, где бы я хотел услишать комментарии людей знающих и дельный совет от них, что же таки мне ставить. Спасибо.

И второе - в какой режим мне перевести программу с тем, чтобы не вникать в подробности и примудрости настройки файрволла (говорят это совсем не просто, да еще и без знания инглиша), но в то же время, что бы программа оказывала достаточный уровень безопасности для среднестатистического, не искущенного пользователя и не мешала (в глобальном плане) работать мне с остальными программами и программам с выходом в инет, т.к. uTorrent, QIP, Opera/FireFox, Depositfiles Manager, DM, SopCast, TVUPlayer, EAC, foobar2000, TagRename.
Заранее всех благодарю за комментарии и рекомендации.

nedved
Цитата:

Опасность: Средняя
Источник: Сетевой Монитор
Описание: Политика Исходящих Нарушений (Доступ Запрещен, IP = 195.5.46.12, Порт = dns(53))
Протокол: UDP Исходящи
Источник: 192.168.1.4:64806
Получатель: 195.5.46.12:dns(53)
Причина: Сетевое Правило ID =7

KB951748

XenoZ
KB951748

как я понимаю, в моем случае стоит поправить правило DNS.
и поставить вместо нижнего диапазона (1024-4999) - верхний, на порт источника.

НО при этом в правилах например для браузера и тогоже icq - порт источника стоит в нижнем диапазоне...все пускает.

ps.правило DNS конечно стоит выше.
ps2.как быть в случае если приложение лезет с порта нижнего диапазона?
неужели поставить ЛЮБОЙ порт источника?

gjf

Цитата:

Чтобы добавить запись в реестр нужно разрешение со стороны ХИПСа Комода.

Что такое Хипс?
Чтобы программам добавлять что-то в реестр вроде как никаких разрешений не нужно.

Ke
HIPS = Host Intrusion Prevention System, другое название - проактивная защита.

В Comodo его функции выполняет модуль Defense+.

Вы его не устанавливали?

acm1899
хорошие вопросы
я вот поставил 3.5 без антивиря с дефолтными настройками
смотрю входящих ни каких нет - это при том что в сетке вирус гуляет

потом смотрю и пингов то нет к машине, и в шары не зайти
видимо надо шапку всю проштудировать что бы хоть что то настроить
или хотя бы прочитать простейшую инструкцию http://biblprog.org.ua/ru/comodo_internet_security/installation_comodo_internet_security/
или http://4hit.ru/12/comodo-internet-securiti/

Hrist
acm1899
К сожалению, нет качественных файерволов "для домохозяек". Если хочется хороший функционал - тогда придётся осваивать премудрости.

nedved
Верхний диапазон только для DNS.

Скажите амигосы, комод лучше или хуже оутпоста? Снес оутпост поставил комод тока что

Zkraft
Ну вот попользуешь и нам расскажешь