» Agnitum Outpost Firewall

Ilich Ramiras .

Цитата:

нет, не правильно, не может обслуживать сетку... еще раз повторяю. читайте маны, они рулез, ссылки в шапке, или просто перечитай этот топик, тут все разжеванно о возможностях оутпоста на серваках... о никаких возможностях оутпоста на серваках... )

Уважаемый , с последней (290) версии сабж начал обслуживать сервер. Сообщили о данном факте мне на русском форуме сабжа http://forum.five.mhost.ru/
Я попробовал - информация подтвердилась
Не веришь, сам протестируй именно эту версию.
Смеется тот, кто смеется последним... )

Ilich Ramiras
Имей больше уважения не только к тому, кому отвечаешь, но и к тем кто это будет еще читать! Самодовольство и умничание - это не привелегия мудрых. Очень неприятно натыкаться на такой тип ведения диалога... (сорри за оффтоп)

ZUMR

Цитата:

использование его хотя бы в качастве "Банерорезки"?

использвание файрволла в качестве банерорезки... хм-м, это моветон. Даю наколку - юзай The Proxomitron.

Цитата:

То, что под обсуживанием ЛВС прогой Outpost Pro понимается установка её на Проксик

то-же самое, проксик может стоять в любом месте сети а задача файрволла стоять на гейтвее и чекрыжить пакеты.

klemma

Цитата:

сабж начал обслуживать сервер

Есть много понятий термина "сервер". Outpost не лучший выбор для защиты сети.

Можете воспринимать это как IMHO.

Но, а про меня-то забыли... Скачал я эту версию-Outpost Personal Firewall Pro 2.0.238.3121 [290] я же указал, что скачал dll ... Ну так что, кто по-плагинам объяснит?

Цитата:

Ну так что, кто по-плагинам объяснит?

эдесь почитай

Цитата:

http://www.kpnemo.ru/index.php?pageID=234

klemma
приведи плз полный урл на этот топ... что 290 работает на сервере... что-то не нашел... хочется вместе c тобой над собой посмеяться:))
andrex
еще немного нравоучений. и глядишь. мембером станешь. да?:))
Donatello
длл - это уже в варезник, здесь за это наказание строгое, расстреливают сразу, а по плюгинам несколько ссылок давали на последних страницах:))

Цитата:

Есть много понятий термина "сервер".

Ну чтож, попробую сузить рамки...
У меня есть несколько сеток, настройку подключения к интернету которых я производил при помощи "мастера домашней сети" с установочного диска Windows XP. Машины, на которых происходит раздача интернета в сетку, я называю серверами. Насколько хорош такой метод подключения, я здесь обсуждать не буду, достаточно того, что он полностью удовлетворяет мои потребности...

Итак, как сообщалось, c 290-й версии сабж начал корректно работать с ICS.
Тем самым решилась существовавшая доныне проблема, заключавшаяся в моем случае в том , что с клентских машин доступ к интернету был возможен только том случае, когда на серверной машине AOF переводился в "режим бездействия"

nishairdna

Цитата:

в качестве банерорезки... хм-м, это моветон

Цитата:

а задача файрволла стоять на гейтвее

Если ты заметил, то у нас с Ilich Ramiras возник спор по ЛВС. Поэтому в качестве одного из примеров я и привел этот. Я согласен, что существует много программ по урезанию рекламмы и они даже могут быть лучше. Каждый пользуется тем, что ему или организации подходит. Например меня Outpost Pro в качестве убирателя рекламмы устраивает. Поставил на один комп - и увсех вместо рекламмы [AD] (повторюсь - не всей конечно).

andrex
klemma
Спасибо за поддержку.

Donatello

Цитата:

Но, а про меня-то забыли

Конечно нет. На твои вопросы кто может, тот и отвечает. Я же ответил 09:44 20-08-2003 на то, что знал. Учти, что не всем и не всегда удается следить за новыми сообщениями.

klemma

Цитата:

c 290-й версии сабж начал корректно работать с ICS.

Он и раньше работал! Совершенно корректно. Позволю немного самоцитирования из этой ветки :

Цитата:

To klemma
У меня на раб. месте примерно также инет расшарен. Но я еще на комп с ХР (который к инету подключен) установил WinProxy - так удобней. Компы из локалки есно в доверенной зоне. Причем аутпост используется версии 1.0.1817 и все нормально работает.

Сейчас на месте 1.0.1817 трудится 290. Также без проблем.


Цитата:

Есть много понятий термина "сервер".

Пожалуй в этом всё дело . В моем случае единственная "серверная" функция, которую выполняет машина с Аутпостом — расшаривание инета посредством установленного WinProxy. Но глюков нет, это я могу подтвердить.

Ilich Ramiras

Цитата:

еще немного нравоучений. и глядишь. мембером станешь. да?

Ты опять за свое (см. andrex от 21:11 20-08-2003).

У AITL и у меня насколько я понял одинаковые функции. (см. его третью цитату).
Я тоже подтверждаю, что в этом сучае все о'key.

klemma
о, это уже интереснее, итак, по пунктам:))
c 290 версии оутпост стал ставится на 2003 и работать на нем в качестве персонального фаервола.
корректная работа c ICS появилась раньше, под корректной работой следует понимать только то, что оутпост перестал блокировать работу ICS и бсодить...
далее, раз уж зашла речь о разных серверах, то продолжим нашу высокоинтелектуальную дискуссию о...
итак...
рассмотрим ситуацию сервером, обеспечивающим выход в инет локальной сети. да действительно, можно организовать простейший гейт встроеными виндусовыми средствами, и тогда правила, прописанные на машине гейте будут действовать и на всех пользователей этой сети... если же захочется создать разные правила для разных пользователей такой сети то создать эти правила не удасться. оутпост не позволяет писать правила для транзитных пакетов... так что обломинг... можно действительно поднять проксю, но и в этом случае рулежка юзерами будет произволиться за счет встроенных средств управления прокси, насколько она это позволит...
отсюда вывод простой, но убийственный, поставить оутпост на шлюз можно, но толку от него, как от фаервола, будет ноль...
не стоит забывать, что иллюзия защиты гораздо хуже осохнания необходимости защиты:))

Добавлено
ZUMR
меня удивляет особенность некоторых особей в ПМ писать одно, а на народ вываливать совсем другое...
за свое я или не за свое - не обращайся ко мне более, ни тут, ни в ПМ, ок?

Ilich Ramiras
Спор у нас с тобой возник из-за ЛВС. Да посмотри ты, наконец, на мою ситуацию и пойми для каких целей мы вместе с AITL используем Outpost. Вот и все.

AITL

Цитата:

Он и раньше работал!

IMHO он работал, потому что у тебя ДОПОЛНИТЕЛЬНО был установлен Winproxy и (или) были прописаны нетривиальные правила. Для моего случая (без Winproxy) эти правила никто не подсказал ( у самого на это не хватает квалификации). Рекомендации в этой теме (да и в других форумах) в основном сводились к предложению сменить файрвалл

AITL
Цитата:

Он и раньше работал! Совершенно корректно.

причем ICS единственное средство расшаривания инета, которое реально работает c оутпостом на одной машине без глюков и поддерживается разработчиком, все остальные на удачу, повезет не повезет, и траблы c другими "расшаривателями", как правило, даже не рассматриваются...

Ilich Ramiras

Цитата:

отсюда вывод простой, но убийственный, поставить оутпост на шлюз можно, но толку от него, как от фаервола, будет ноль...

Сорри, можно уточнение? Я, надо признаться, не являюсь большим специалистом в сетевой безопастности (да и малым тоже ), так что заранее прошу простить за ламерство.
Вот на машине, которая служит шлюзом, стоит Аутпост, прикрывая ее "снаружи" (онлайновые файрволл-тесты рапортуют, мол всё глухо как в танке). Разве тем самым, я не защищаю "клиентские" машины, которые выход в инет имеют только через шлюз?

Понятно, что "изнутри", с "клиентских" машин, что-то может вылезти через прокси наружу, и Аутпост это не просечет. Но я такой задачи и не ставлю. С троянами и "шпиёнами" пусть Касперский с Ад-аваре разбирается.

Добавлено
klemma

Цитата:

Для моего случая (без Winproxy) эти правила никто не подсказал ( у самого на это не хватает квалификации).

Правила очевидны. Адресам из локалки соизволяешь подключаться к портам WinProxy, удаленные посылаешь подальше.

AITL
скажем так, подавляющее большинство атак и утечек происходит либо изнутри, либо c внутренней машины, управляемой снаружи, в твоем же случае у тебя сервак открыт для внутренних машин полностью. дело конечно твое, если ты этим людям полностью доверяешь или еще что, я же не знаю всех соображений, по которым ты делал такую топологию, но скажу одно, я не раз проводил демонстрацию, как легко и просто можно перехватить управление таким сервером, особливо если и нетбуй на нем открыт:))

AITL

Цитата:

Понятно, что "изнутри", с "клиентских" машин, что-то может вылезти через прокси наружу, и Аутпост это не просечет. Но я такой задачи и не ставлю.

Вот и у меня тот же случай. Спасибо за поддержку и помощь в объяснении.

Ilich Ramiras

Цитата:

если ты этим людям полностью доверяешь или еще что

Я им доверяю.

Цитата:

я же не знаю всех соображений, по которым ты делал такую топологию

Вот почему мы с тобой и не понимали друг друга.

P.S. Извини, если нарушил твою просьбу:
Цитата:

не обращайся ко мне более

Цитата:

корректная работа c ICS появилась раньше

Не-знаю, не-знаю, во всяком случае предпоследняя 2.0.226 aka (281) c ICS не работала
Может укажете на версию, которая была между нею и обсуждаемой (290)?

Цитата:

отсюда вывод простой, но убийственный, поставить оутпост на шлюз можно, но толку от него, как от фаервола, будет ноль...

Сорри, но абсолютно не верное утверждение. Уж если подходить к вопросу строго, оутпост мы ставим не на шлюз, а устанавливаем как составляющую программного обеспечения конкретного ПК. И толк от него в первую очередь в том, что он работает как файрвалл на данном ПК. Дополнительный "толк" от последней версии в том, что оутпост стало возможно использовать на компах, реализующих ICS.
Если уж нас так беспокоит защита клиентских компов, то в конце концов ничто не мешает на них поставить тот-же оутпост.

klemma

Цитата:

Если уж нас так беспокоит защита клиентских компов, то в конце концов ничто не мешает на них поставить тот-же оутпост

Вот-вот... возвращаемся к началу спора. Т.е. как заметили Ilich Ramiras и AITL надо конкретно знать - для чего Outpost будет использоваться в данном случае. Тогда и останется выбор за Софтом.

klemma
Код: Known issues (Updated)
26 фeв 2003, 16:37
...
14. Не гарантируется корректная работа с NAT серверами, кроме Microsoft ICS.
...

День всем добрый,
не мог бы кто-нибудь ответить на вопрос -
имеется winxp pro eng, outpost 2.0.225.2919 и drweb 4.30. Для автообновления drweb стоит доверенный режим, и тем не менее outpost его блокирует. Всё остальное работает нормально. Что бы это могло быть?

PS
сейчас попробовал режимы разрешение и бездействия - ничего не изменилось

Есть три вопроса по Outpost

1) У меня в "Сетевой Активности" в "Причине разрешения" иногда пишется "Services Rule №2"

Но! Services Rule №2 - это блокировка по порту BOOTPS! Как блокирующее правило может быть причной разрешения ?!

И чем отличается Блокировка от Отклонение данных ? (сори, если уже задавался такой вопрос)

2) Захожу в журнал. Что у заблокированных, что у разрешенных пытаюсь создать новый фильтр. Поле "Удаленный порт" и "Локальный порт" недоступны! Почему нельзя создать фильтр по порту?! (хотел посмотреть запрещения по порту DCOM)

3) Как можно бороться с извращенной рекламой?

Например, сайт www.nudearchive.ru - все равно рекламу показывает, несмотря на то, что в Рекламном модуле сайты с которых он показывает рекламу заблокированы! Он их как-то хитро через скрипты показывает и Outpost не блокирует. Можно лечить?

Krakokot
Путь к DrWeb случаем симлинки не содержит?

У меня совсем коротенький вопросик - Outpost будет нормально работать с WinRout?

vworld

Цитата:

Outpost будет нормально работать с WinRout?

У меня стоит WR 4.2.5 с PI 2.7C и Outpost Pro. Для тех целей, которые я для себя ставил меня эта связка устраивает и все работает.

ZUMR

Цитата:

У меня стоит WR 4.2.5 с PI 2.7C и Outpost Pro

А вот Outpost какой версии и на какой оси все веотится, и какие примерно задачи выполняет эта связка? Уф....если не трудно - ответь, а то не могу решиться, что замутить на сервак, который будет смотреть в инет

vworld

Цитата:

Outpost какой версии

Outpost Personal Firewall Pro 2.0.238.3121 [290]

Цитата:

какие примерно задачи выполняет эта связка

WR - это прокси сервер, что и понятно, PI - анализатор логов к нему.
Что касается OP, то здесь кто какие задачи ставит. Меня вполне устраивает то , что сказал AITL (Отправлено: 10:24 21-08-2003)

Цитата:

Вот на машине, которая служит шлюзом

и т.д.
А в принципе здесь все расписано от и до на всех страницах.
Хотя бы можешь посмотреть наш спор на 50 стр. по одной из функций.

ZUMR
А не пробовал ли ты решение на ISA?
И вместо PI использовать Internet Access Monitor For WinRout?

vworld

Цитата:

А не пробовал ли ты решение на ISA

Нет. Я сразу встал на эту кофигурацию. Приобретал все через SoftKey.

ZUMR
Ясно...просто много дебатов идет на форуме по поводу связок прокси+фаирвол, я увидел множествао разных вариантов и никак не приду к однозначному мнению.....за совет и разъяснение спасибо!