» Comodo Firewall Pro / Comodo Internet Security (3)

Цитата:

Windows Operating System = System в Windows 7 ?

nedved, это разные вещи, и они д.б. разными и в W7.

По антивирусам в шапке есть типичные правила (исходящие TCP на порт 80 и UDP на порт 53).

По вопросам:
1. Да.
2. Ограничение вроде есть, но не в таком виде и не во всех версиях - http://half-open.com/questions_ru.htm
Лучше меньший диапазон портов сделать, хотя я не знаю, есть ли ограничение по использованию портов в W7. В шапке этой темы внизу указан путь в реестре для ключа, который отвечает за диапазон портов, но это писалось не на основе W7...
3. В GR в тройке удобнее сделать только общие правила (в шапке есть мой пример, несколькими страницами ранее пример правил XenoZ'а), создать предустановленные политики с использованием групп портов и сетевых зон и эти политики использовать в AR. Это в двойке было удобнее делать точные правила именно в GR, т.к. в AR очерёдность правил нельзя было зафиксировать и они там сами прыгали.
К тому же сложно заранее прописать все возможные соединения по ftp и торренту, т.к. получателем пакетов может быть любой порт (у вас там сейчас ftp в GR не проглядывается).

---

---

nikstomin, всё-таки надо отключить встроенный брандмауэр, если используется CIS. Заодно и в ЦОБ будет верная информация об используемом фаере.

---

---

Chis1, немного запоздалый ответ по вашим картинкам:
1. В GR непонятно зачем у вас разрешены все входящие от диапазона вашего провайдера (кстати, что там скрывается за этим диапазоном ?). Или это для DC ?
2. Для SYSTEM у вас непонятны правила 2-4, а потом опять все разрешения для NBN.
3. Опять какие-то непонятные разрешения входящих для svchost.exe.
Вы точно уверены, что всё это вам нужно ?

WIGF
Не уверен, поэтому и спрашиваю.

Цитата:

1. В GR непонятно зачем у вас разрешены все входящие от диапазона вашего провайдера (кстати, что там скрывается за этим диапазоном ?). Или это для DC ?

Диапазон провайдера 10.4.95.119/255.255.255.0.
Домашнюю и сетевую зону автоматически определил CIS при установке, соответственно правила эти он сам создал после вопроса о доверенности этих зон. Честно говоря, по настройке GP полная непонятка. Добавил к тому что было по умолчанию несколько правил
явно необходимых по советам форумян.
Далее возникли проблемы:
1. С подключением к сети.
2. С подключением к сети других компов домашней сети.
3. С общими принтерами и сетевыми дисками.
4. С шарой для DC++.
Решал все последовательно анализируя логи и оставляя правила, которые явно влияют на соединения.

Цитата:

2. Для SYSTEM у вас непонятны правила 2-4, а потом опять все разрешения для NBN.

2-4 правила добавил в процессе настройки. Какую из 4-х проблем они решают не помню, NBN- по умолчанию. Тоже самое для svchost- оставлял те которые влияют на соединения.

WIGF
По-твоему Windows Operating System и System - это разное. Почему я ни разу не видел в логах заблокированного WOS, часто бывают System и System Idle Process?
(WinXP Pro, Comodo v.3.013.268 настройки по умолчанию)

Sssvan

В Комоде 3.0 - System Idle Process, а в КИСе 3.10 (и в 3.5 тоже, насколько помню) - Windows Operating System.
Т.е. "System Idle Process" = "Windows Operating System".

Добавлено:
По сути, в терминологии Комода, "System Idle Process" (новое название - "Windows Operating System") - это т.н. "бесхозные" пакеты. System же, и в 3.0, и в 3.5, и в 3.10 - это ядро системы.

XenoZ

Цитата:

Грешно смеяться над простыми юзерами. Ну, и называли бы в этой теме SIP, а то WOS, WOS. Как в анекдоте: "Моя бабушка ругается "Чёрт, чёрт", а моя "Господи, господи"".
---------------------------------

Сейчас наблюдаю необычное поведение Комода по отношению к броузеру Iron Portable (самый быстрый на сегодняшний день), работающего сейчас с флэшки.
Портабельным Опере и Ффоксу хватало незапоминаемых просто разрешений при их запуске и в дальнейшем никаких окон не выскакивало. Iron пришлось сделать Броузером и Трастид приложением с запоминанием. Иначе Комод запрашивал разрешения на каждую новую вкладку (окно) и каждый(?) IP-адрес, генерируемый Айроном.
На другом компе (с Аутпост файером) все время требовалось создавать правила для выхода IP-адресов через разные порты, пока также не сделал Айрон для Аутпоста доверенным приложением. Портабельным Опере и Ффоксу хватало обзываться в Аутпосте "Броузерами" и никаких больше запросов не выскакивало.
Что бы это могло значить?

Sssvan
Цитата:

Ну, и называли бы в этой теме SIP, а то WOS, WOS.

Все претензии - к разработчикам.

Цитата:

Сейчас наблюдаю необычное поведение Комода по отношению к броузеру Iron Portable
<...>
На другом компе (с Аутпост файером) все время требовалось создавать правила

Логично предположить, что проблема не в Комоде, а в браузере.

Sssvan, а чем Вас не устраивает политика "Веб-браузер"? Всё работает корректно.

Как щас с поддержкой семерки,в старых версиях были баги

Ребята, может кто гоняет в NFS Underground 2 по сети, правилами поделитесь ?

Chis1, правила для доверенных зон нужны только тогда, когда они действительно доверенные. А то, что CIS предлагает для новых зон сделать их доверенными - это может ввести в заблуждение пользователей и они наразрешают полно всего. Вообще эту функцию по определению новых зон лучше отключить, чтобы не мешала (толку от неё особого нет). И лучше убрать все эти правила с зонами, но у вас ведь и DC используется, и шары, поэтому можно и оставить, а можно и уточнить их (по портам и IP), чтобы лишнего не было разрешено. А то в данной ситуации у вас разрешены все подряд соединения с компов в вашей локалке, а это потенциально опасно, т.к. именно по локалке обычно вся вирусня и гуляет (в т.ч. всем известный Kido).

---

---

Sssvan, а зачем называть SIP ? В последних версиях это называется WOS, поэтому так и пишем. Смысл использовать название, которое не используется сейчас в CIS, а использовалось в старых версиях ?
А вот в шапку инфу об этом добавлю, чтобы снять подобные вопросы в будущем. Так что спасибо за невольное предложение по корректировке шапки.

---

---

Dorovsky, можно перевести фаер в режим самого точного создания правил (глубина правил по запросу), потом стереть все имеющиеся правила для игры, перевести фаер в режим обучения и поиграть. Потом выключить игру и сгруппировать правила. Порты ведь разные могут использоваться на разных игровых серверах, да и количество используемых портов может отличаться на разных серверах (теоретически).
Чтобы уж точно все соединения проходили, нужно также до включения игры у брать завершающее блокирующее правило в GR, если оно там есть.

WIGF
Удалил все доверенные зоны.
Пересоздал правила строго по рекомендациям в шапке.
Для домашней сети разрешил NetBios. Вижу соседние компы, общие папки и принтеры.
Но транзита через меня нет. Что еще разрешить?
И еще проблеме DC+: вроде подключается к сети, видит мою шару, я вижу чаты,
но поиск файлов не работает. Правила для него остались прежние. В чем дело, где искать
собаку- в GR или еще где?
Спасибо.

Chis1, я бы сделал по аналогии, как выше посоветовал сделать правила Dorovsky, т.е. глубину срабатывания правил перевести в самый верхний уровень, отключить блокирующие правила в GR и дальше смотреть самому по запросам приложений, либо перевести фаер в режим обучения, а потом уже подправить правила (сгруппировать их).

у меня вопрос по комоду.
запускаю игру Варкрафт 3, сразу пытается подсоединиться к моему прокси-серверу. запрещаю. создает правило - запрещать ТСР из любого IP в любой IP, из любого Port в любой Port, т.е. запрещает любую сетевую активность. ладно... отредактировал правило, на конкретный айпи адрес и порт.
подключаюсь к батлнету, такая же штука. вылазиет алерт, говорит что приложение пытается установить связь с таким-то айпишником и таким-то портом. жму разрешить - создается правило аналогичное как описано выше, т.е. разрешает приложению конкретно все. а мне этого не надо. в алерте вполне конкретный адрес и порт, его то мне и надо разрешить, а остальное нет.

может где что поправить нужно чтобы корректно создавались правила?

XenoZ

Цитата:

Логично предположить, что проблема не в Комоде, а в браузере.

Проблемы пока никакой нет. Я и имел в виду, что Iron ведет себя не так, как Опера или ФФокс. Мне показалось это странным. Не признак ли это зловредности. Правда, подозрительного я ничего не заметил, лишней активности тоже нет (ФФокс постоянно что-то делает в сети сам по себе), трафик идет через вебэкран антивируса. Может, его "странное" поведение и позволяет ему быть в 10 раз быстрее Осла и раза в 2 ФФокса.

вопрос отпал. нашел описание - Глубина создания правил по запросу

Цитата:

сразу пытается подсоединиться к моему прокси-серверу. запрещаю. создает правило - запрещать ТСР из любого IP в любой IP, из любого Port в любой Port, т.е. запрещает любую сетевую активность. ладно... отредактировал правило, на конкретный айпи адрес и порт.
подключаюсь к батлнету, такая же штука. вылазиет алерт, говорит что приложение пытается установить связь с таким-то айпишником и таким-то портом. жму разрешить - создается правило аналогичное как описано выше, т.е. разрешает приложению конкретно все. а мне этого не надо. в алерте вполне конкретный адрес и порт, его то мне и надо разрешить, а остальное нет.

Примерно, то же самое. Как уже ни "бился", не блокирует последняя версия CIS,
V 3.10.102363.531, определенный IP адрес!

В "английской" версии V 3.08.64739.471 этой проблемы, не существовало.
Мои заблокированные сетевые зоны, вписываешь IP адрес, и он, заблокирован! Все!

В новых версиях, этот "метод", вообще ничего не дает.
Если вписываешь правило для блокировки определенного IP в "Расширенные / Сетевые политики безопасности",
или блокирует полностью программу, или не блокирует ничего!

Может, установить стороннюю программу, именно для блокировки определенных IP адресов?
Посоветуете?
Спасибо заранее.

Levabati, всё работает!
По вашим собственным словам:
Цитата:

Мои заблокированные сетевые зоны, вписываешь IP адрес, и он, заблокирован! Все!

Единственное предостережение - лучше не вписывать имя хоста (иногда CIS некорректно его обрабатывает), а именно IP или диапазон.

Ujinnee

Почитайте внимательнее, пожалуйста.
Это было в "английской" версии V 3.08.64739.471



Цитата:

В "английской" версии V 3.08.64739.471 этой проблемы, не существовало.
Мои заблокированные сетевые зоны, вписываешь IP адрес, и он, заблокирован! Все!

В новой - V 3.10.102363.531, не работает!

Возвращаться из - за этой проблемы к предыдущей версии не очень хочется.
Лучше установить "стороннюю" программу.

Протоколирование отключено, а в журнале продолжают появляться
записи блокировок WOS. В чем дело?


Добавлено:
Очередные глюки: удалил промежуточные конфигурации и комп стал тормозить, то ошибки при получении почты, то страницы долго открываются. При деактивации фаера- все нормально.

Добавлено:
В журнале ошибок запись
Сервер не смог установить привязку к транспорту \Device\NetBT_Tcpip_{A8076859-94B8-4706-9A84-D5D6AE7CF576}. Это как понимать?

Levabati, дополнительно можно использовать wipfw. А можно в GR заблочить эти адреса самым первым правилом: создать какую-нить зону и в неё вписывать "плохие" адреса, а в GR заблокировать все соединения с этой зоной.

Chis1, если появляются записи в журнале, то это не обязательно протоколирование срабатываний GR. Это также может быть протоколирование срабатываний для WOS в AR.
Цитата:

Сервер не смог установить привязку к транспорту \Device\NetBT_Tcpip_{A8076859-94B8-4706-9A84-D5D6AE7CF576}. Это как понимать?

Скорее всего это заблочены какие-то соединения общего доступа.

WIGF

Цитата:

Это также может быть протоколирование срабатываний для WOS в AR.

Вот я и говорю, что протоколирование для WOS и System отключено а их записи в журнале
появляются.
И еще: опустил настройки оповещения- все равно запрашивает разрешение на конкретное
соединение. Похоже пора переустанавливать в очередной раз.....
Сабж у меня не переносит объемных манипуляций. Первый раз после одновременного применения многочисленных изменений в правилах, второй- после удаления промежуточных конфигураций.

Chis1, не то что он не переносит, возможно, что все манипуляции до кона правильно заработают только после перезагрузки компа (то же протоколирование отключается не сразу, сам замечал такое).

WIGF

Цитата:

(то же протоколирование отключается не сразу, сам замечал такое).

Это так- тоже замечал.... Но был еще случай. Занимался настройкой. Отвлекся чтобы отправить важное письмо. Может правило воткнул не в то приложение.
И вдруг, бац, черный экран. Восстановился только из защищенного режима.
Паранойя ?

WIGF
На счет игры - да, пробовал самообучаться, просто думал, может кто из местных тоже гоняет. Дело в том, что игра требует входящие ICMP-детали-Любой. Вот подскажите, не опасно ли такое правило в GR ?

Chis1, возможно глюк, возможно конфликт с другим ПО, возможно проблемы с железом (у меня бывали в виндосе BSOD'ы из-за того, что на одной из планок памяти есть сбойный участок).

---

---

Dorovsky, а в AR для кого разрешаете все ICMP ? Для WOS или для самой игры ? По идее для WOS, хотя на практике не пробовал.
И там ведь наверняка не все ICMP нужны, а нужен небось только входящих пинг (ICMP код 8 - Echo Request/Эхо-запрос).
Конечно, это не очень хорошо (разрешать все входящие ICMP), т.к. вас могут DDOS'ить, но ведь игра не будет работать. Поэтому либо временно включайте это разрешение (на период игры), либо... например, если можете, то ограничьте диапазон тех, от кого такие сообщения разрешены (если вас пингует сервер, тогда разрешите входящие только с IP игровых серверов, а если все игроки, тогда не знаю как сделать).

WIGF
Цитата:

возможно глюк, возможно конфликт с другим ПО, возможно проблемы с железом (у меня бывали в виндосе BSOD'ы из-за того, что на одной из планок памяти есть сбойный участок).

Похоже на то... Сбойный участок у меня находил Центр диагностики Office встроенный в Outlook. Пробовал другие тесты- проходят нормально. Может собака в Outlooke.
А переустановка помогла.



Добавлено:
WIGF

Вот мой вариант правил для svhost. Без последних двух разрешающих правил все, вроде, работает, но журнал событий Windows заполнен разными ошибками и предупреждениями.
С ними- все чисто и сеть быстрей работает (или мне показалось?).
Подходит под этот случай теоретическая база?
Объясните плз.
Спасибо.


Добавлено:
Поторопился с последним сообщением. Ошибки то есть, то нет. Комп живет своей жизнью.
Что делать с последними правилами?

XenoZ
вопрос немного не по теме, но как мне быть?
На днях поставил себе Джетику 2.0.2.9, оч понравилась, создал кучу правил, потестил.
Вот теперь думаю - вернуться на родной комод, или остаться сидеть джетике? Я конечно понимаю, что это я должен решать; но хочу услышать мнение гуру: какая из этих 2-х стенок лучше всё-таки?
2 ALL
Кто-нибудь может дать ссылки на статьи по организации безопасности самой системы? Или можно в личку, хотя я думаю лучше сюда и в шапку, ведь сначала нужно настроить саму систему на максимальную безопасность, и лишь потом прикрывать фаерволом.
З.Ы. ОС - ВИНда ХРеновая, SamPostavil_3

HarDDroN


Цитата:

Кто-нибудь может дать ссылки на статьи по организации безопасности самой системы?

http://security-advisory.ru

ps: нашол на просторах инета

Chis1, зачем правило 4? Вы раздаёте интернет на другие компы? Если нет, то не нужно оно.
Второе правило по DHCP (портам 68 и 67) не нужно. Вы все нужные исходящие DHCP выше разрешили уже.
Предпоследнее правило нужно для NetBIOS. Если не используете доступ к сетевым папкам через сетевое окружение, тогда это правило не нужно.
А что за срабатывания в журнале виндоса? Может как раз по NetBIOS? Если он не нужен, тогда его можно полностью выключить - инструкция в картинках.

WIGF

Цитата:

зачем правило 4? Вы раздаёте интернет на другие компы?

Да, я шлюз. (надеюсь мы говорим об одном и том же)

Цитата:

А что за срабатывания в журнале виндоса?

Компьютеру не удалось обновить адрес, полученный от DHCP-cервера, для сетевого адаптера с сетевым адресом 00179ABF84EB. Произошла следующая ошибка:
%%121. Компьютер продолжит попытки получить свой собственный адрес от DHCP-cервера.

Компьютер автоматически настроил IP-адрес для сетевого адаптера с адресом 00179ABF84EB. Используется IP-адрес 169.254.94.115.

Невозможно привязать сервер к транспорту \Device\NetBT_Tcpip_{0AA32C6F-FDBD-4B41-8F1B-258FE9340CF4}, так как другой компьютер в сети имеет совпадающее имя. Запуск сервера невозможен.

Ошибки прекратились через некоторое время (может у провайдера неполадки).


Цитата:

Предпоследнее правило нужно для NetBIOS.

Удалил его- ничего не изменилось. Отключал службу Модуль поддержки NetBIOS через TCP/IP- тоже не повлияло ни на что. Попрежнему вижу принтеры и папки в Домашней сети, DC++ работает.
Запутался я с этим NetBIOS(в смысле- какие нужны порты и службы)не хочу лишнего открывать. ???.
Единственая проблема: один из компов домашней сети не открывает папки у соседей, при этом с принтерами все нормально. Системы ставились с одного дистрибутива, сеть создавалась автоматически с одной дискеты. ???.


Добавлено:
Если я не ошибаюсь NetBIOS это порты 137,138,139, 445 какие из них важны для моей конфигурации?