» Comodo Firewall Pro / Comodo Internet Security (3)

вопрос снят

Шапка:

Цитата:

Последняя версия: Multilingual (в т.ч. RU) 3.10.102363.531

Цитата:

Как правильно перенести свои настройки из "Comodo Firewall Pro 3.0" в "Comodo Internet Security 3.5"

Не понял, 3.10 -3.5 ...

Sergo67, с версии 3.5 COMODO превратилось из просто фаера в CIS. Если кто-то до сих пор пользовался CFP и решил перейти на полный CIS, ему можно перенести свои настройки таким образом.
Циферки сейчас подправлю. Будет переход на 3.5-3.10.

Снова привет. Недавно подключил интернет через VPN PPTP. Поставил финальный сабж с нуля.
Правила сделал - как в шапке, но не заработало, пришлось самообучаться, и вот итог:

GR
1. Разрешить ip вх. из ip сервера в ip любой, где протокол 47
2. Разрешить UDP вх. из ip любой в ip любой с 68 на 67 порт

AR
svchost:
1. Разрешить исх. на DNS
2. Разрешить UDP исх. из ip любой в ip любой с 68 на 67 порт
3. 2-е из GR

system:
1. Разрешить TCP исх. из ip любой в ip любой с непривилег. на 1723

WOS
1. 1-е из GR

Везде в конце запреты всего остального. Уважаемый WIGF, все ли верно ?

И еще вопрос: uTorrent просится на множество разных начальных портов, там и 20 и 21, 22, 33, 44, 62, 113 ну вобщем очень много. И если сделать по правилам, то не хочет качать. К чему-бы это ?

Dorovsky
Что касается VPN(PPTP/L2TP):



т.е. при такой схеме в правиле для GRE(47) необходимости нет, как нет и необходимости дублировать некоторые правила в GR.
То, что в данном случае проходят пакеты GRE при отсутствии правил, - возможно и баг, а может и фича, сказать сложно.

Dorovsky, у меня никаких входящих не требовалось. Без них всё работало.
В GR не было разрешения входящих DHCP со времён двойки (там без этого правило, кажется, не работало, хотя могу и ошибаться за давностью времён).
Входящего GRE вообще никогда не было: (правила мои в шапке прикреплены, да и XenoZ выше своими правилами подтверждает это, ну а в WOS все входящие запрещены (все, т.е. в т.ч. и GRE).
У вас действительно без всех этих правил не работает ? Или может вы по логу их делали, а в логе ведь могут отображаться не только соединения с вашим IP.

Поведение utorrent очень странное у вас. Либо у других людей на этих портах раздача (что навряд ли), либо... Это исходящие соединения или входящие ? У меня всегда всё по правилам из шапки работало.

Поставил для utorrent-а правила из шапки, действительно, ломится на 22 и 23 порты. IP из сервисов corbin-ы (не мой провайдер). Понаблюдаю ещё.

Добавлено:
Также присутствуют обращения на порты 555 и 666. Анализ IP позволяет сделать предположение, что это просто нестандартные порты, настроенные пользователями utorrent-а.

XenoZ, WIGF
Удаляю вот это -

Цитата:

GR
1. Разрешить ip вх. из ip сервера в ip любой, где протокол 47
2. Разрешить UDP вх. из ip любой в ip любой с 68 на 67 порт

при подкл. к интернету пишет "проверка имени и пароля" и все, а в логах набегает:

"WOS - заблокирован GRE из сервера на мой ip"

Восстановил "1. Разрешить ip вх. из ip сервера в ip любой, где протокол 47 " - заработало.

А, вот еще, - опять снес все из GR, прописал правло про 1701 порт от XenoZа, и вроде все работает.
Спасибо. И, ребята, какие сетевые зоны появляются при данном виде интернета ?
У меня, кроме Loopbak появилась "Локальная сеть №1 - IP [169.254.101.243/255.255.0.0]"
Подозреваю, что должна быть еще одна. IP - динамический.

У меня с такими правилами для uTorrent нет проблем :



Правила кочуют со старых англоязычных версий CIS, поэтому добавил русскоязычную транскрипцию для новичков. Правила для приложений делались по "кальке" предопределённых политик для броузера. Поэтому очень подозреваю, что первое и четвёртое правила для приложений лишние (но на ход машины не влияют).

Dorovsky
Буду говорить применительно к VPN Корбины. Как у других провайдеров - не знаю.
У Корбины есть 2 типа VPN-соединений:
1. VPN(PPTP)
для этого соединения необходимо открыть доступ на удаленный TCP порт 1723 и разрешить протокол GRE, сервер - vpn.corbina.net.
2. VPN(L2TP)
для этого соединения необходимо открыть доступ на удаленный UDP порт 1701, протокол GRE не нужен, сервер - tp.corbina.net. Плюс, в реализации Корбины, VPN(L2TP) просто так работать не будет. Необходимо еще добавить 1 строчку в реестр для решения проблемы с безопасностью.

---

Цитата:

У меня, кроме Loopbak появилась "Локальная сеть №1 - IP [169.254.101.243/255.255.0.0]"

То, что IP динамический, указано в маске (2 последних сегмента).

Добавлено:
Тут WIGF в аське бухтит, что я ошибся. Зачеркнул, передаю слово ему.

Dorovsky, не очень я понял как у вас связаны GRE и порт 1701: первый - это соединение VPN PPTP, второй - VPN L2TP. Это вам надо рекомендуемые настройки сетевых подключений на сайте провайдера посмотреть, а то получается, что оба типа соединения у вас в одном сидят. Или так и рекомендует провайдер ?
По зонам: в принципе, без разницы какие там зоны появляются. Я у себя автоопределение зон сразу отключал за ненадобностью этой функции для стационарного ПК. Важно то, какие у вас правила, а не какие зоны определились. Ведь эти зоны ещё и в правилах надо использовать, а без правил они не более чем просто запись в апплете "Сетевые зоны".

Добавлено:
Долго я писал... или отвлёкся

Добавлено:

Цитата:

Зачеркнул, передаю слово ему.

Адрес типа 169.254.х.х выдаётся тогда, когда комп не может получить сетевые настройки от DHCP-сервера и при этом на компе не прописана альтернативная конфигурация в настройках сетевого подключения. Виндос сам от балды выдаёт IP из этого диапазона, чтобы какой-то адрес был у компа.

Вобщем, сам немного запутался.
Сейчас все правила удалил, перезагрузился, и начал все заново.
Подключаюсь к нету - "проверка имени и пароля" - далее ошибка 691.
Журнал:
WOS Заблокированно 172.16.255.10(мой сервер) 10.8.39.185(мой ip)    GRE

Разрешаю соотв. входящие в GR и AR, начинает работать, журнал чист.

Интернет от Голден Телеком, г.Казань по VPN PPTP - проверил через "cmd /k ipconfig /all"
(да, правило с 1701 п. нипричем)

Dorovsky
Если последним правилом в GR у тебя "блокировать входящие по ВСЕМ протоколам", то все правильно. Уже разбиралось, что КИСа, при отсутствии явных запрещений, свободно пропускает в обе стороны как минимум 2 протокола: GRE и IGMP (не путать с ICMP), даже если нет разрешающих правил.
В твоем случае исходящие GRE проходили свободно, а входящие резались последним запрещающим правилом, пока ты не добавил отдельно: "разрешить входящие GRE". И в AR аналогичное правило добавлять ни к чему.

XenoZ, ну тут у вас вроде противоречие:
Цитата:

при отсутствии явных запрещений, свободно пропускает в обе стороны

Цитата:

входящие резались последним запрещающим правилом

да, и нашел это обсуждение на 54 стр.
Кстати, у вас столько запрещающих правил - это чтобы китайцы не хакнули ?

Цитата:

В твоем случае

странно, что ни у кого больше такого нет. Но все равно, в GR придется оставить правило для вх. GRE.
(вот, для дополнения, что насоздавал другой фаер: [more=картинки]


[/more])

Dorovsky

Цитата:

XenoZ, ну тут у вас вроде противоречие:

Никакого противоречия там нет. Последнее правило - это явное запрещение.
Прошу прощения, что влез в дискуссию.

Dorovsky

Цитата:

Кстати, у вас столько запрещающих правил - это чтобы китайцы не хакнули ?

Там больше половины дефолтных. IGMP, NetBIOS не пользуюсь - прибиты. Блокировка критических портов - это классика. А по поводу китайцев... Шутки-шутками, но в преддверии последней Олимпиады на домашнем компе был замечен повышенный "китайский" стук, в основном из Beijing. Всё какое-то сообщение через Alerter пытались впарить...

Цитата:

вот, для дополнения, что насоздавал другой фаер

[more=OFFTOP...]Online Armor, судя по картинкам?[/more]

Ujinnee
Цитата:

Никакого противоречия там нет. Последнее правило - это явное запрещение.

Копирование правил рекомендуемых на форуме в некоторых случаях не обеспечивало работоспособность соединений. В этих случаях включал протоколирование и методом исключения добивался работоспособности. Теперь подозреваю, что есть лишние правила или дублирующие друг друга. Комп проходит все тесты. Стоит ли заниматься оптимизацией правил? На что это может повлиять?
Спасибо.

Chis1, если тесты проходите и никаких тормозов не испытываете, тогда только от вашего желания зависит то, оптимизировать правила или нет. Мы ведь их не видим, поэтому и нельзя говорить ДА или НЕТ.
Наличие дублирующихся правил ни на что не повлияет, ведь срабатывать будет первое встречающееся и удовлетворяющее требованиям, а остальные не будут проверяться. И у вас ведь там не 100 правил, чтобы они могли хоть как-то влиять на производительность ?
А вот лишние (неправильные разрешения) лучше убрать. Но опять же их надо видеть, чтобы что-то конкретное говорить.

Ujinnee, XenoZ
В конце GR прописано стандартное правило:

" Запретить IP входящий из IP любой в IP любой, где протокол любой."

Вот, как я понимаю, должен выглядеть явный запрет:

" Запретить IP входящий (и исходящий) из IP любой в IP любой, где протокол GRE."

Этого правила нет. XenoZ пишет, что если такого правила нет, протокол свободно пропускает в обе стороны, а фактически он у меня блокируется. Вот сдесь я и узрел противоречие. (может все дело в терминологии)

В любом случае, спорить не собираюсь, за разъяснения Спасибо. Правило в GR для входящих GRE придется оставить, ибо без него интернет не функционирует. Так же, как понимаю, для пущей безопасности, нужно создать правило для IGMP, как на картинке у XenoZа.

Dorovsky
" Запретить IP входящий (и исходящий) из IP любой в IP любой, где протокол GRE." является частным случаем " Запретить IP входящий из IP любой в IP любой, где протокол любой."
Т.е. тут никакого противоречия нет. В 1м случае запрет явный и конкретный, во 2м - явный общего плана.

XenoZ
Можно у Вас спросить, в моём Комоде - имеется только одна сетевая зона(Loopback-зона), это нормально? В справке программы не нашёл описания что это такое, но из под неё всё работает. Надо ли создавать ещё одну зону(провайдера) или без неё можно обойтись?
Чем отличается работа файерволла из под 127.0.0.1 от работы из под сети провайдера?
Заранее спасибо.

OlegSev почитайте тут.
Вообще, очень удивительно, что у Вас работает интернет.

Зоны нужны, если они используются в правилах. А так их наличие/отсутствие - непринципиально.

Цитата:

Вообще, очень удивительно, что у Вас работает интернет.

Никакой связи. У меня vpn-интерфейса, к примеру, тоже в зонах нет.

Видимо, я неправильно понял вопрос.

Ujinnee

Цитата:

OlegSev почитайте тут.
Вообще, очень удивительно, что у Вас работает интернет.

Спасибо!
Не знаю почему, но сеть работает. А можно ещё один вопрос? Если добавить новую сеть по МАС адресу(сетевухи), а не IP провайдера, сеть работать будет?

XenoZ, Спасибо!
Цитата:

Зоны нужны, если они используются в правилах. А так их наличие/отсутствие - непринципиально.

То бишь, в местную сеть можно ходить из под Loopback, и это нормально. Сеть с адресом провайдера не требуется. Я правильно понял?
В vpn я тоже хожу без создания сети, хотя он обнаруживает частную сеть(предлагает создать - когда включена галочка обнаружения), если vpn другого провайдера.

OlegSev
Loopback и местная сеть никак не связаны. Loopback используется для связи программ внутри компа.

Цитата:

Зоны нужны, если они используются в правилах. А так их наличие/отсутствие - непринципиально.

Т.е., зоны сами по себе ничего не значат. Имеет значение их использование в правилах.

XenoZ
Да, Спасибо, вроде разобрался. У меня сеть работала только по причине того, что был ещё включен ESS4, а после того как я его выключил(там есть опция полного его выключения), то сеть сразу "встала колом".
Прав был Ujinnee, сеть заработала только после того, как создал зону, прописал адрес, добавил правило.
Кстати работает и по МАС-адресу(номер сетевой карты), и по IP провайдера(попробовал и так, и так - разницы не ощутил).

Ребята, Спасибо огромное за Вашу помощь! Обучился в ускоренном темпе!

OlegSev
Цитата:

У меня сеть работала только по причине того, что был ещё включен ESS4

Мдя... Удивительно, что у тебя вообще что-то работало, при таком раскладе.

Цитата:

сеть заработала только после того, как создал зону, прописал адрес, добавил правило

В последний раз: зона здесь ни при чем. Пропиши адрес в правиле напрямую - эффект будет тот же.

XenoZ
Цитата:

В последний раз: зона здесь ни при чем. Пропиши адрес в правиле напрямую - эффект будет тот же.

Ага, понятно теперь что всё дело в конкретном адресе, спасибо. Непривычна и удивительна гибкость настроек Комода.

Добавлено:
Ребята, это баг текущей версии(установлена 3.10), или только у меня так?

Как экспортировать конфигурацию с правами администратора, есть какие-нибудь соображения?
Спасибо.

OlegSev попробуйте в трее по правому клику выбрать выход,затем зайти в папку COMODO найти там файл cfp.exe и запустить его от имени администратора...