» Jetico Personal Firewall

Jetico Personal Firewall
http://www.jetico.com/firewall-jetico-personal-firewall/
В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера.
Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...

Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.

Upd2:Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная.
Тема в варезнике посвящённая второй версии

Upd3: С 13.04.2016 года JPF2 вновь стал бесплатным, встроенная в инсталлятор лицензия гарантирует поддержку до 7 апреля 2021 года.

Upd4: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.

Текущая версия 2.x: 2.1.0.14 (25 февраля 2015)
http://www.jetico.com/jpf2setup.exe

Последняя версия 1.x: 1.0.1.61 (19 июля 2005) - http://rghost.net/3381044
Судя по сообщению на оф. форуме, ссылки на загрузку с оф. сайта не будет.

Русификация версии 1.0.1.61 с установщиком (19 июля 2005):
http://artlonger.narod.ru/jetico.zip (35 кб)
Если что, качать браузером. При обновлении версий ссылка не изменяется.

P.S.: В русской версии прикручено выравнивание столбцов по F12.

Базовые настройки брандмауэров.
Правила JPF v1
Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1

---

[more=Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP...]Network
Action Description Protocol Event Source address Destination address

Gob


Цитата:

Обнаружен баг: jetico не дружит с drweb 5.0 !

конфликт пофиксили:
http://forum.drweb.com/index.php?showtopic=278150&st=0&p=292006&#entry292006

Имеется установленный JPF 2.0.1.4.2206 с кучей созданных правил. Есть желание обновиться на более свежую версию. Как правильно это сделать, чтобы не пропали настройки/правила? File > Save as... будет достаточно или нет?

Dead_Moroz

Да, сохрани правила а потом перезапиши новые резервной копией. Не станет помехой и резервная копия всей папки с программой - драйвера обычно редко меняются. И если что можно откатится.

Dead_Moroz

Цитата:

File > Save as... будет достаточно или нет?

Вполне.

Victor_VG

Цитата:

Не станет помехой и резервная копия всей папки с программой - драйвера обычно редко меняются. И если что можно откатится.

Драйвера меняются с каждой версией (ЦП, как минимум), не говоря про различие v.2.0.1.* и v.2.0.2.*, а если "откатится" заменой исполняемых файлов (папки с программой), как лучшее - не запустится.

А объясните, на что влияет отметка сетевого интерфейса в конфигураторе как trusted? Работаю в локалке, интернет-подключение через линуксовый сервер авторизации, через VPN. Соответсвенно, в системе есть 2 сетевых интерфейса - "Подключение по локальной сети" (реальная сетевая плата) и Miniport WAN (L2TP). Только что сделал два набора правил - в одном отметил как trusted "Подключение по локальной сети", а минипорт не отметил - а во втором наборе снял галку с обоих интерфейсов. Разницы никакой не заметил...

Dead_Moroz

Цитата:

Только что сделал два набора правил - в одном отметил как trusted "Подключение по локальной сети", а минипорт не отметил - а во втором наборе снял галку с обоих интерфейсов. Разницы никакой не заметил...

Если не считать, что в первом случае в таблицах: IP Table и Application создаются правила по названию интерфейса и пометкой "создано помощником", разрешающие все входящие/исходящие и соответственно при включении оного (интерфейса) правила эти начинают работать.

версия 2029 (русская), xp sp3

кто курсе как настроить Virtual PC от майкрософт в файерволе?

ip присваивается, но траффик не идет (((( даешь полное разрешение - все нормально.. но нельзя ж сидеть с дырой.. зачен он тогда (файер) нужен (((

mleo

Цитата:

ip присваивается, но траффик не идет ((((

Создать в IP Table (Таблица IP) правила на интерфейс, расположить выше правил "Stateful Inspection" (Анализ соединений).

Цитата:

...зачем он тогда (файер) нужен (((

Кроме прочего, в нём, ещё логи можно смотреть...

Dimitr1s



Цитата:

Кроме прочего, в нём, ещё логи можно смотреть...

можно конечно))) если включено ведение..

Конфигурация - IP Table - Создать..а там Правило для протоколов или Правило для IP пакетов..
я так понимаю нужно последнее, событие - это понятно, а вот с приложением сложно.. как выбрать отправителя? еще сложнее получателя (((

mleo

Цитата:

можно конечно))) если включено ведение..

Ну а почему бы не включить, на запрещающие правила в Таблице IP и Сеть, вопросов не возникло бы.
Цитата:

Правило для протоколов или Правило для IP пакетов..

Благо Джетика позволяет, можно разрулить как угодно, самый простой вариант: Создать два разрешающих правила для IP пакетов, Событие: входящий (1)/исходящий (2) пакет, в качестве Адреса получателя (1)/отправителя (2) указать через Добавить группу интерфейс Virtual PC (предварительно его включив), или указать присвоенный IP (интерфейса). Если на виртуальной системе будет свой фаерволл (или если не надо, мало ли...), то и всё. При желании (если надо) подобным образом можно отфильтровать "виртуалку" до портов и определённых IP. Правила располагать выше правил "Stateful Inspection" (Анализ соединений).

Dimitr1s



Цитата:

Добавить группу интерфейс Virtual PC (предварительно его включив),

у VPC нет постоянного IP (роутер присваивает) или ты имеешь ввиду MAC?
я не вижу возможности добавиить VPC..
создал в Applic правило для Приложения.. чего-то все-равно не пашет

Добавлено:
вот еще..

в Группы- Applic- добавил Приложение VPC .. опять тишина может машину перегружать надо?? правила перегружаю после изменения. правильно???

Цитата:

"Stateful Inspection" (Анализ соединений).

вот этого у меня нет... воот.
но есть
TCP Stateful и UDP Stateful

Добавлено:
да от еще.. странно но ведь разрешенные IP в сети, т.е. диапазон роутера.. а VPC имеет IP как раз из этого диапазона + вирт машина общается с осн системой через TCP/IP

mleo
У тебя какой вообще тип соединения выбран на Virtual PC, не NAT? Если выбрать "Shared Networking (NAT)", то доступа из вне и не будет.

Цитата:

у VPC нет постоянного IP (роутер присваивает) или ты имеешь ввиду MAC?

Если структуру сети Virtual PC не меняешь и MAC один и тот же, можно и MAC указать.
Цитата:

указать через Добавить группу интерфейс Virtual PC

Когда включаешь на Virtual PC сеть, посмотри не появляется ли в "Группах" новый интерфейс, вида: "...Based PCI Fast Ethernet adapter".
Цитата:

создал в Applic правило для Приложения.. чего-то все-равно не пашет

Это к чему, какое приложение? В Application ни чего создавать не надо. Если ни чего из перечисленного не получится, попробуй выбрать в Virtual PC тип соединения «Virtual Networking» (выбрать не виртуальный, а свой физический адаптер).
Цитата:

вот этого у меня нет... воот. но есть TCP Stateful и UDP Stateful

Это оно.
Цитата:

да от еще.. странно но ведь разрешенные IP в сети, т.е. диапазон роутера.. а VPC имеет IP как раз из этого диапазона

А из какого еще, из гос_думовского что ли? Если поднимешь на виртуалке NAT и DHCP-сервер, тогда он будет виртуальным адаптерам свои, в определённом диапазоне, IP присваивать.

нет не NAT, установлен физический адаптер

в VPC нет возможности менять mac (в отличии от VWWARE)// но не суть.


Цитата:

Когда включаешь на Virtual PC сеть, посмотри не появляется ли в "Группах" новый интерфейс, вида: "...Based PCI Fast Ethernet adapter".

вот это посмотрю

Добавлено:
ну а как там в Группах может само появляться? не понятно..

Добавлено:

mleo

Цитата:

нет не NAT, установлен физический адаптер

Если указан физический адаптер, попробуй создать виртуальный и попробовать варианты выше. Хотя, если память не изменяет, в Virtual PC с виртуальным адаптером выбор категорий не фонтан. Тогда остаётся, на время работы сети в Virtual PC, снимать флаги в обоих правилах Stateful и TCP и UDP, при этом, если без дополнительных усилий, имея проблемы на хостовой машине (в плане безопасности). Или крутится, анализируя логи, искать возможные варианты.
ИМХО Динамический IP в этой ситуации не подарок.

Цитата:

ну а как там в Группах может само появляться? не понятно..

Легко, как пример:
До включения сети:

Сеть включается:

Dimitr1s

вот беда в том что не сохранилоись правила от предыдущей версии ((( раньше как то работало не помню как решался вопрос..
а возникла эта ситуация после перехода на последнюю версию..

ps сидеть нужно было на старой и не дергаться

Добавлено:
не появляется в Группах ничего..

mleo
И со снятыми флагами "Анализ соединений" в обоих правилах Stateful, не работает?

Цитата:

...раньше как то работало не помню как решался вопрос..

Ну так тем более, давай вернёмся в начало диалога: выстави логи на все запрещающие правила, во всех таблицах и логи в момент когда "трафик не идет" в студию. Версия ни причём, что бы Джетика резала не отображая в логах, не припомню такого.

После установки джетики в логах заметил, что она блокирует различные пакеты, не могли бы объяснить кто, куда и зачем ломится.


Сеть:
модем ZTE 831II 192.168.1.1
1 машина 192.168.1.2
2 машина 192.168.1.5

inf3rn0
Да ни кто ни куда не ломится: IGMP, если смотришь IP TV к примеру или пользуешься какими либо широковещательными рассылками и т.п., машина отвечать пытается, Джетика лишнее обрезает. У меня IGMP всегда запрещён т.к. ни чем подобным не пользуюсь. Фрагментированые пакеты: за редким исключением (некоторые онлайн игры например), правильно режет, плюс отсеивается часть атак. В новых версиях по умолчанию нет этого правила, но если не мешает советую оставить. По ARP: работает Stateful Inspection в таблице "Сеть", опять же, если проблем не возникает - не трогать.

Dimitr1s, спасибо.
не могли бы вы помочь разобраться с ad-hoc соединением ноутбук+кпк.
Т.е. я создаю ad-hoc сединение на ноуте, в свойствах локалки расшариваю итернет.
Подключаю телефон, а джетика что-то блокирует, но не отображает( кроме вышеописанных заблокированных пакетах).
ноут 192.168.1.2 LAN
192.168.0.1 WLAN
кпк 192.168.0.2
в джетике ставлю "Allow All" работает, включаю защиту - нет
В группе IP адресов все прописано

В IpTable тоже


Добавлено:
Впрочем получилось, но достаточно грязное решение по моему

Как я понял, это блокировало правило блокировки всех пакетов вне процессов.
Как еще можно, разрешить эти соединения

inf3rn0
Написали бы сразу, а то "что то куда то ломится". Я так понимаю, Вы хотите что бы КПК ходил через ноутбук, настроено через WiFi (ad hoc), который в свою очередь, выходит в сеть через модем? WiFi (802.1x) в таблице "Сеть" разрешено? На скринах не видно причины блокировки (одни левые IP, типа MCAST.NET).
Цитата:

Впрочем получилось, но достаточно грязное решение по моему

Как бы то не было, если после разрешения входящих/исходяших по TCP всё работает, отключайте по одному эти правила, когда соединение пропадёт, смотрите логи. Скорее всего получится что то вроде: 192.168.0.2 <-> 192.168.1.2.

Dimitr1s


Цитата:

И со снятыми флагами "Анализ соединений" в обоих правилах Stateful, не работает?

конечно работает))) все не так плохо))


Цитата:

выстави логи на все запрещающие правила

сейчас попробую..

Цитата:

Написали бы сразу, а то "что то куда то ломится".

Меня сначала интерисовали эти пакеты, далее решил уже с КПК разбиратся


Цитата:

Я так понимаю, Вы хотите что бы КПК ходил через ноутбук, настроено через WiFi (ad hoc), который в свою очередь, выходит в сеть через модем? WiFi (802.1x) в таблице "Сеть" разрешено?

Да


Цитата:

отключайте по одному эти правила, когда соединение пропадёт, смотрите логи. Скорее всего получится что то вроде: 192.168.0.2 <-> 192.168.1.2.

Вот что получается

Хотелось бы, чтобы все работало без создания лишних правил типа

mleo
inf3rn0

Цитата:

конечно работает))) все не так плохо))

Цитата:

Хотелось бы, чтобы все работало без создания лишних правил типа

Jetico персональный фаерволл, а не серверный, поэтому без создания лишних правил, для транзитного трафика, ни как не обойтись, как правило все транзитные пакеты режутся двумя правилами Stateful Inspection в IP Table. Если есть желание обойтись наименьшими усилиями, без создания лишних правил, то для начала снять в обоих правилах (TCP и UDP) флаги (сами правила не отключать!), всё лучше режима Allow All, т.к. работают и сетевой контроль приложений и проактивная защита. Как правило транзит резаться перестаёт и всё работает. Включив логи на эти правила, можно увидеть, что на самом деле куда идёт и спокойно и вдумчиво создать набор правил и тогда вернуть Анализ активности на место.
inf3rn0
А если оставить только для 192.168.0.2?

Цитата:

А если оставить только для 192.168.0.2?

Все равно после пропуска пакетов 192.168.0.2 идет запрос на 192.168.1.2
Так и быть, оставлю эти правила, через Stateful Inspection отслеживать все пакеты долго и муторно.
Dimitr1s, спасибо за консультацию.

Скажите пожалуйста, как в Jetico один раз разрешить доступ к сайтам, у которых одно название, но IP все время разный. (Например ya.ru). А также, сайты у которых домен третьего уровня все время разный ( odnoklassniki.ru , там то wg1.odnoklassniki.ru , то g32.odnoklassnki.ru и тому подобное).

inf3rn0

Цитата:

Все равно после пропуска пакетов 192.168.0.2 идет запрос на 192.168.1.2

Сначала попробовать модем "покопать" можно было, но это другая тема.

mic537
Есть куча "whois" сервисов и служб, включая в самой Windows. Узнать и прописать присвоенные диапазоны IP адресов. Пример: для ya.ru 213.0.0.0 - 213.255.255.255 или как пример так можно: для ya.ru 213.0.0.0/8. Другой вопрос, как часто будут менять. С "Однокласниками" скорее ни как не получится, если попробовать прописать диапазоны всех ихних сервисов и с учётом частой смены, то выйдет проще разрешить всё.

Спасибо за ответ Dimitr1s, я опять тут попался на заблуждении, что Jetico обязан отслеживать сайты, это можно сделать с помощью AddBlock. Но вот тут вопрос именно по Jetice: сделал так
в таблице ASK USER, относящейся к FireFox сделал так-
Web Browser    info    any    access to network    C:\Program Files\Mozilla Firefox\firefox.exe    
, а в таблице WebBrowser
accept    Allow http     info    TCP/IP    outbound connection    any    any    80:83    
accept    Allow http     info    TCP/IP    inbound connection    any    any    80:83    
accept    Allow http     disabled    TCP/IP    inbound connection    any    any    3080    
accept    Allow http     disabled    TCP/IP    outbound connection    any    any    3080    
accept    Allow https    disabled    TCP/IP    outbound connection    any    any    443    
так написано в инструкции.
Так вот, при попытке захода на сайты FireFox игнорирует эту таблицу и просит разрешить
access to network, если разрешаю, то все работает, если нет, то сайты закрыты.
При этом при заходе на сайт, допустим, ya.ru в логах идет что-то подобное:

15.04.2009 11:39:52.703    go to another table    48    TCP    outgoing packet    192.168.0.17    192.168.0.21    1269    3080    

15.04.2009 11:39:52.703    go to another table    48    TCP    incoming packet    192.168.0.21    192.168.0.17    3080    1269    

15.04.2009 11:39:52.703    go to another table    40    TCP    outgoing packet    192.168.0.17    192.168.0.21    1269    3080    

15.04.2009 11:39:52.703    go to another table    640    TCP    outgoing packet    192.168.0.17    192.168.0.21    1269    3080    

15.04.2009 11:39:52.703    go to another table    40    TCP    incoming packet    192.168.0.21    192.168.0.17    3080    1269    

15.04.2009 11:39:52.750    go to another table    510    TCP    incoming packet    192.168.0.21    192.168.0.17    3080    1269    

15.04.2009 11:39:52.750    go to another table    40    TCP    incoming packet    192.168.0.21    192.168.0.17    3080    1269    

15.04.2009 11:39:52.750    go to another table    40    TCP    outgoing packet    192.168.0.17    192.168.0.21    1269    3080    

15.04.2009 11:39:52.750    go to another table    40    TCP    outgoing packet    192.168.0.17    192.168.0.21    1269    3080    

15.04.2009 11:39:52.750    go to another table    40    TCP    incoming packet    192.168.0.21    192.168.0.17    3080    1269    

Порт 192.168.0.21:3080 это наш прокси (0.17 мой IP). А вот что за порт 1269 ( причем в других запросах это будут 1257 и 1258 и т.д) Как реагировать на эти непонятные порты, если понятный только 3080. Как их можно учесть и разрешить?
И почему игнорируется полностью таблица WebBrowser, хотя она сделана по инструкции??

mic537

Цитата:

в таблице ASK USER, относящейся к FireFox сделал так...

Если есть сомнения, "access to network" лучше разрешить в одноимённой таблице, с указанием пути.

Цитата:

...а в таблице WebBrowser...

При соединении через прокси 192.168.0.21:3080, из всех пяти правил, нужно только одно:
outbound connect 192.168.0.21:3080.

Цитата:

А вот что за порт 1269 ( причем в других запросах это будут 1257 и 1258 и т.д)

Рандомный, локальный порт машины.

Цитата:

Как их можно учесть и разрешить?

Локальный порт: 1024-5000

Цитата:

И почему игнорируется полностью таблица WebBrowser, хотя она сделана по инструкции??

Значит такую инструкцию сжечь и пепел развеять. Это в ней совет "inbound connection any any 80:83", зачем входящее то открывать на Firefox?