» Agnitum Outpost Firewall

SXP - Спасибо! То, что дохтор прописал!
Ilich Ramiras

Цитата:

если оутпост в режиме "разрешить все" твои файлы прикрепляет

- И в таком тоже перестал. Видать, зря на пост грешил, наверно, еще что-то заглючило. :\

bredonosec

Цитата:

SXP - Спасибо

nezasto

Товарищи форумчане! Есть ли идеи?

Breaker1973

Цитата:

Товарищи форумчане! Есть ли идеи?

О чем?

estimated
хмм, аргументы...
можно начать с того, что прямо сейчас у меня в самом верху правил для MyIE, который соответственно использует движек IE, yстановлены блокирующие+репорт правила на TCP/UDP при обращении к 127.0.0.1. их срабатывания при работе в инете я не заметил, так же как и изменения в скорости работы.

предполагаю, что агнитум включил их для облегчения работы с локальными фильтрующими прокси-серверами, наподобие proxomitron

и кстати на ум пришла неочевидная оптимизация правил для приложений, которые используют много коннектов в секунду, типа проксей\гейтов. нужно localhost(127.0.0.1) добавить в доверенную зону, правила для неё сканируются раньше чем системные(глобальные) правила или правила для приложений. при этом OP, по идее, будет кушать меньше CPU при большой загрузке прокси\гейта.

Сам нашел. В свойствах языка, нужно юыло указать Россию.
Гу да ладно. Тееь другая проблема. После деинсталляции и новой инсталляции прога не запускается. Пробовал все. Реестр чистил, итд. Что посоветуете.?

v4era izu4il outposto i vijasnil 4to on kak bezzashitnaja svinka lubim task managerom ubivaetsa bez sledov tobish protiv trojanov 0

SXP
для троянов свой софт. твой фаер так же убивается элементарно.

Widok

Цитата:

для троянов свой софт

sha moda posla trojani pratat ot AV esli 4ego to 4etko nado to trojan pra4etsa

Цитата:

твой фаер так же убивается элементарно

moy - kakoy? iz 2 firewalov kotorie ja usayu / znayu Sygate vobshe ignoriruet zapros na termiante i sidit tiho ZAP esli ego ubivayut srazu blokiruet internet

Добавлено
ps eto bilo pod win 98.... pod XP ZAP vobshe ne virubaetsa

Я очень извиняюсь. Кто - нибудь подскажет как выбраться из этой ситуации?

Breaker1973
znaesh prosti za naglost no ja duamyu esli na tvoey ta4ke outpot tak glu4it to ludse ot nego otkazatsa a to vo vrema realnot ataki mozet 4enit isportit glan naprimer tot ze sygate ili zap

Breaker1973
На всякий случай - загляни ещё и в Device Manager > View: Show hidden devices > Non-Plug and Play Drivers и там посмотри на предмет драйверов Аутпоста. Он (раньше, по крайней мере) любил их там за собой оставлять и после удаления.
Если найдёшь, удали

Demetrio

Не знаю как тебя благодарить. Нашел, удалил. установил снова. Все окей! Я даже не подозревал о наличии скрытых драйверов!

Попутно еще одна проблема. Не ставится плагин WhoEasy . Пишет , что оутпост установлен некоректно.

У кого-нибудь этот плагин пашет на 2.0.240.3122.290?

Breaker1973

Цитата:

Попутно еще одна проблема. Не ставится плагин WhoEasy

stavitsa vse ok


Цитата:

Пишет , что оутпост установлен некоректно

hmm... mozet udalit v 3 raz tolko po4istit vse 4to mzono temp, regestry, drivers udalit pered etim vse plug ini rebootnutsa postavit outpost i proverit budet li on rabotat correctno! esli da to stavit vse ostalnie plug ini!

ps nashet togo po4emu ti dolzen slezat s OP? da potomu 4to neho4et on u teba normalno rabotat to jazik ne pereklu4aetsa to plugini ne stavatsa

ps ti kakuyu versiyu stavish 240(for reselers) ili 238?

Добавлено

Цитата:

У кого-нибудь этот плагин пашет на 2.0.240.3122.290?

da... u mena pahal poka OS i za logov ne snes i sha na win98 (Virtual PC) paset....

Что за маза-фака такая: Оутпост 2 не пускает ни одно приложение в сеть/интернет при любых настройках/правилах, помогает только выгрузка его службы. Пикч: http://www.sghi.info/tmp/stupid_outpost.png (5кб) -- тут видно, что Оутпост определяет "правила", вот только одна фишка - он их так и определяет бесконечно. Типа внутренний зависон на уровне определения "правил".

О! У меня перед появлением этого глюка комп резко перезагрузился, скачок был...

Как побороть глюк?
----------------------------------------------------------
Сам "решил". Заставил сохранить его конфигурацию, а потом того, удалил нафиг вручную и заново поствил. Оказалось база данных "op_data.ru" разрослась до 20 с лишним мб. Похоже из-за этого так тормозил с поиском правил. Но мы теперь умные. Теперь новенькую, чистую базу, забэкапили на всякий повторный случай.

dmut op

Цитата:

можно начать с того, что прямо сейчас у меня в самом верху правил для MyIE, который соответственно использует движек IE, yстановлены блокирующие+репорт правила на TCP/UDP при обращении к 127.0.0.1. их срабатывания при работе в инете я не заметил, так же как и изменения в скорости работы.

Скорее всего, коннекты на localhost у тебя пропускаются или блокируются другим правилами, имеющими более высокий приоритет. (Скорее всего, в разделе "Системные"). Поэтому до созданного тобой правила просто не доходит очередь.
Попробуй посмотреть в Logviewer'е исходящие коннекты на 127.0.0.1

У меня только при открытии одной страницы IE (MyIE) генерирует от 5 до 20 исходящих соединений UDP на localhost (все это в течение 1-2 сек.).

(О правиле Loopback, включенном в Outpost по умолчанию)

Цитата:

предполагаю, что агнитум включил их для облегчения работы с локальными фильтрующими прокси-серверами, наподобие proxomitron

Чтобы вот так запросто свести на нет контроль исходящих соединений?
Не думаю. К тому же, имея встроенные средства для фильтрации контента, Outpost как раз является хорошим выбором для работы без дополнительной прокси.

SXP

У меня 240. Все пробовал не ставится плагин.

estimated

Цитата:

Скорее всего, коннекты на localhost у тебя пропускаются или блокируются другим правилами, имеющими более высокий приоритет

:D:D
ну неужели ты полагаешь, что я не знаю как нужные правила прописывать? чай не первый год оутпостим...
и, кстати сказать, системные правила имеют ниже приоритет чем правила приложений, учи мат часть..

Цитата:

У меня только при открытии одной страницы IE (MyIE) генерирует от 5 до 20 исходящих соединений UDP на localhost

у меня ничего такого нет, а у тебя вероятно используется какой-то дополнительный сетевой софт, например кэширование DNS, вот и запросы по UDP порождаются, на какой хоть порт ломится твой IE?


Цитата:

Чтобы вот так запросто свести на нет контроль исходящих соединений?

а причем здесь исходящие??? если стоит локальный гейт\прокси, исходящие будут идти от его имени, а все остальные будут лезть на locahost


Добавлено
кто нибудь ещё наблюдает запросы UDP от IE на locahost без использования локальных прокси\гейтов?

dmut op

Цитата:

системные правила имеют ниже приоритет чем правила приложений

Как сказать... В документации этот вопрос вообще не освещается (если я где-то пропустил, то поправь, пожалуйста), а в данном топике мнения разделились.
Ilich Ramiras вообще пришел к выводу, что "на данный момент системные правила и правила для приложений не имеют друг над другом никаких приоритетов кроме одного - времени создания правила" (Отправлено: 31-05-2003)

Кстати, не ясен ответ и на следующий вопрос: если условия для конкретного правила выполнены, то будут ли потом еще проверяться условия других правил, или на первом же правиле обработка пакета закончится?




Цитата:

>5 до 20 исходящих соединений UDP на localhost
у меня ничего такого нет

т.е. логи смотрел тоже?
Дополнительного сетевого софта у меня нет. Outpost (в котором по умолчанию включено кэширование DNS) не установлен. В качестве файрвола используется Kerio PF 2.1.5.
(Для остальных напомню: изначально обсуждается вопрос о принципиальном разрешении или запрещении loopback - т.е. вопрос не специфичный для конкретного файрвола.)
Коннекты у меня идут на порт 1136.

Вот как выглядят логи:

Код:
PermittedOutgoing 11/Nov/2003 10:32:29 LoopbackUDPlocalhost1136 (null) [127.0.0.1] 1136 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

dmut op

Цитата:

кто нибудь ещё наблюдает запросы UDP от IE на locahost без использования локальных прокси\гейтов?

Только что проверил аутпостом (самым последним, ессно) - не идут. Ни в каком виде.
Специально поставил эксперимент: запросил свою домашнюю страничку (чтоб картинки в кэш попали - я, походу, вообще не пользуюсь эксплорером), затем грохнул в аутпосте все правила, касающиеся ИЕ, запросил снова. Вылезло 2 запроса (один - к страничке, второй - к баннеру). Все. Никаких локалхостов!
Тут уважаемый estimated указывал следующее:

Цитата:

Насколько я помню, соединение на localhost использует Internet Explorer для обращения к кэшу.

Не могу не согласиться с этим утверждением. При обращении к кэшу IE производит файловые операции, при этом стек протоколов TCP/IP не задействуется! Откуда при этом берется обратная петля - для меня загадка.

Вот нашел тут информацию что можно и нужно блокировать. А посвежее есть у кого что?

http://genealogic.narod.ru/soft/internet/nis.htm

estimated

Цитата:

В документации этот вопрос вообще не освещается (если я где-то пропустил, то поправь, пожалуйста), а в данном топике мнения разделились.
Ilich Ramiras вообще пришел к выводу, что "на данный момент системные правила и правила для приложений не имеют друг над другом никаких приоритетов кроме одного - времени создания правила" (Отправлено: 31-05-2003)

ниже пассаж с офсайта Агнитум:
Q: Which rules are processed first, System or Application?
A: The System rules are checked after the Application rules.

так что приоритет у Application.

estimated

Цитата:

Ilich Ramiras вообще пришел к выводу, что "на данный момент системные правила и правила для приложений не имеют друг над другом никаких приоритетов кроме одного - времени создания правила" (Отправлено: 31-05-2003)

я вообще удивлен что ильич, как опытный тестер, пишет такие вещи, с приоритеами разобрались ещё в v1, благо Debug plugin всё показывет как есть.
на офф форуме, в факах, есть подробнейшее описание "Rules processing order" над которым достаточно долго бились модеруны, выпытывая каждую непонятную мелочь у агнитума.

Цитата:

будут ли потом еще проверяться условия других правил, или на первом же правиле обработка пакета закончится?

проверка закончится с первым же попаданием в нужное правило, это общий принцип работы пакетных фильтров.

то, что всё таки идут запросы на локалхост - это какието особенности твоей системы, или глюк в отображении у Kerio.


Цитата:

Но как в данном случае файрвол сможет определить, какая программа выходит в инет через прокси? Никак. Вот это я и называю: "свести на нет контроль исходящих соединений".

можно убить глобальное правило, разрешающее доступ с Localhost и регулировать доступ прилоежний, работающих через прокси, именно по доступу к localhost, при этом ограничевать доступ самого прокси к различным сайтам. по другому не получится ни в каком FW.

JJF

Цитата:

Не могу не согласиться с этим утверждением.

- наверное имелось ввиду "Не могу согласиться с этим утверждением."

piter32

Цитата:

так что приоритет у Application.

там всё ещё хитрее, в приоритетах ещё учавствуют правила для доверенной зоны, для NETBIOS и для ICMP. в любом случае последними идут глобальные правила.

dmut op
Цитата:

я вообще удивлен что ильич, как опытный тестер, пишет такие вещи, с приоритеами разобрались ещё в v1, благо Debug plugin всё показывет как есть.

Да здесь я тоже не раз говорил о приоритете апликаций над системой. еще со времен 1 оутпоста, иногда до пены у рта доказывал:)) май - это как раз тот месяц, когда для многих стало откровением, что система ниже приложений в приоритетах, так что это старая информация:))

Народ где отпуст хранит список атак на мой компьютор? и если это опция в 1 или это только во 2?

Kobmat
вес log хранится в op_data.mdb файл.

Цитата:

и если это опция в 1 или это только во 2?

а это не понял.

piter32

Цитата:

а это не понял.

Он спросил есть ли эта опция в Outpost 1.0 или только Outpost 2.0
Только во второй версии...

andrex
спасибо!
Kobmat
в обоих версиях есть эта опция.

поставил себе первую версию, потом он стал глючить, а именно не включается и все.
снес ее, поставил вторую версию, и опять тоже самое, запускается и тут же гаснет... что делать,? почистил реестр, удалил в Device Manager > View: Show hidden devices > Non-Plug and Play Drivers и все равно не запускаеться...

bigBoss
нет никакой инфы для размышлений, ну поставил ты себе первую версию, ну не работает, ну и что дальше? на что ты ее себе ставил то?:))