» Sygate Personal Firewall

Ребят, подскажите как прописать правило или что-то еще. есть 2 компа. 47 и 46 ip. на 47 сегейт. в правилах разрешена любая активность с 46-го ip. пытаюсь забрать с 46 с шары файлы, срабатыват сегейт, блочит соединение. в логе записывается атака с 46-го ip:
Denial of Service "Jolt2 Attack" attack detected.
Description:
Jolt2 attacker floods illegally fragmented ICMP or UDP packets into your computer and causes your CPU utilization to be 100%
и потом сразу же
Traffic from IP address ......46 is blocked from 05/08/2008 08:45:47 to 05/08/2008 08:55:47.
как победить? полностью вырубать детектор атак не желательно...

lmzk, это ОН точно? Или очередной монстроподобный проект от Symantec, где все преимущества ядра потеряются после того, как по нему прошлись "специалисты" дедушки Нортона.

sewell
Я тоже в Endpoint'е даже подобия с Sygate'ом не обнаружил совсем другой продукт.
Блин, альтернативы Sygate'у так и не увидел в других файерах, жаль конечно, но будем сидеть до последнего на нем ...

Dervish

Цитата:

срабатыват сегейт, блочит соединение

Смотри в логе трафика последнюю графу, какое правило срабатывает.
В идеале ещё проверь птицу "allow others to share files" для используемого сетевого интерфейса на вкладке "Network Neighbourhood" в настройках.

sewell
Smc.exe обозвали (Symantec CMC Smc) еще от себя добавили (Smc Gui,ProtectionUtilSurrogate,ccEvtMgr) итого висит постоянно 4 процесса - потяжелел,причем первые два в Vistax64 работают без эмуляции в 64 битном режиме.
Polo
Штатно подсунул сохраненные свои правила двухлетней давности-скушал.
Минус: старый Sygate спрятан за отвратной оболочкой,но Vx64 победила

CocKain Ты знаешь, похоже дело не в правилах. детектор атак срабатывает. ведь в правилах для этого ip прописано что разрешена любая активность по любым портам по любым протоколам. и чекбоксы для внутреннего сетевого интерфейса оба отмечены в опшинс-ах, про которые ты написал...

Dervish
Хорошо, уточняю: смотри в логе трафика последнюю графу, какое действие Sygate его блокирует. Кроме прописываемых пользователем правил есть ещё масса встроенных.

CocKain
Нет там ни одного блокирования с 46 ip, только allow согласно созданному разрешительному правилу. специально проверил аж 2 раза. а заблочило моментально, оба раза в секьюрити логе одно и то же. причем заметил - блочит только если 46 ip соединен со мной по вай-фай. если втыкаю витуху - блокировка не происходит. выходит, вай-фай с 46 что ли валит сегейт на 47? мож действительно при вай-фае обмен пакетами отличается до такой степени, что сегейт эти пакеты принимает за атаку?

Dervish

Цитата:

Нет там ни одного блокирования с 46 ip, только allow

Действительно, перепутал, извини. Там и не может быть этого блокирования, так как оно осуществляется не правилами, а настройкой "Automatically block attackers IP address for ... second(s)".

Цитата:

блочит только если 46 ip соединен со мной по вай-фай. если втыкаю витуху - блокировка не происходит

IP адрес подключаемой машины точно не изменяется? Попробуй в правилах указать настройку для конкретного интерфейса или прописать машину по MAC, а не по IP.

Да, можешь ещё привести твоё Rule summary?

не, 46 адрес получает по DHCP динамически, но для данного мак-адреса вай-фай сетевухи dhcp-сервер всегда выдает 46, это в самом dhcp-сервере настроено. если подключить по витой паре, то на езернетовскую сетевуху ip ...48 отдается. для 48 вообще никаких доп. правил не прописывал, и все нормально... один и тот же ноутбук... похоже все же дело именно в вай-фае.
Rule Summary:
This rule will allow both incoming and outgoing traffic from/to IP address(es) 192.168.78.46 on all ports and protocols. This rule will be applied to all network interface cards
Куда уж больше привелегий...
Я так понимаю, многие фаеры не любят фрагментированные ICMP? вон в джетико в программах как раз счас этот вопрос подняли... похоже, с одной жпопы ноги растут...

SyGate Personal Firewall 4.5 не видел ни вход ни исход unicast/multicast траффик, а как с этим в последних версиях 5.5, 5.6? Проверял VideoLAN www.videolan.org
У кого стоит не могли бы затестить?

Использую версию 5.5 (build 2710) Pro. При запрете доступа к сети какому нибудь приложению всплывает окошко, что мол, такое-то приложение было блокировано. Ставлю галку на "не показывать это сообщение", но оно все равно отображается. При просмотре фильмов очень раздражает, доходило до отключения сети и файрвола! Кто сталкивался с этим? Имеет смысл перейти на другую версию без этого бага?

danilasarov у меня такое было на каком-то старом билде. на последнем точно все нормально, поробуй обновиться.

Dervish
Ага, нашел билд 3408, там все нормально

Доброго всем времени суток!
Помогите разобраться с проблемой: настроил правила в адвансед рулес, самым последним сделал общее блокирующее правило и вот с ним-то все проблемы и получились: если оно активно, то в и-нет выйти не получается, если с последнего правила галку снимаю, то все нормально. Подскажите, как с этим разобраться. (В и-нет хожу через ADSL-модем и сетевуху)
Спасибо

Можно ли заставить Sygate пропускать UPnP траффик? (Необходимо для функционирования беспроводной сети). Похоже, в нем зашиты встроенные правила, которые невозможно просмотреть/отредактировать и они имеют повышенный приоритет. Сталкивался с ними уже несколько раз.
Например, не удается добиться разрешения для альтернативных обновлялок баз DrWeb.

Похоже, сегодня у Sygate плохое настроение: ни в какую не хочет пускать в сеть QIP.
Отключил правило "ICQ", убрал QIP из списка приложений в нижнем запрещающем правиле, в Applications для QIP поставил Allow и все безрезультатно...
Фактически я разрешил QIP делать все что вздумается, а Sygate тупо его блокирует.
Видимо, пора искать ему замену.

С проблемой выхода в и-нет разобрался сам. Просто последнее правило по общей блокировке было написано для ВСЕХ протоколов. Когда расписал отдельно TCP, UDP и ICMP, то все сразу заработало!

народ, помогите с настройкой этого хлама...
из-за одной специфичной программы пришлось поднимать сервер на винде... стоял вопрос о выборе фаера, остановился на этом!
в общем суть вопроса:
есть сервер, подключен к локалке, выход в инет через локалку по впн, имеет реал-айпи
задача:
разрешать входящие подключения с внешки только на 2 порта в режиме keep-state, остальное все блокировать... и так чтобы никаких окошек всплывающих не было.
и если можно, объясните как он с advanced rules работает, а то я привык как в unix ipfw => что нужно - открыл, остальное deny all, а тут что-то не проканывает!
заранее спасибо за помощь!

agroovemax

Цитата:

как он с advanced rules работает

Цитата:

что нужно - открыл, остальное deny all

Именно так и работает. Приоритет сверху вниз. Твой вопрос проще именно так и решить: последнее правило «всё запретить», первыми – то, что тебе нужно разрешить.

Проблема с FTP.
Все настройки сделаны так что для FTP в фаирвале Sygate Personal Firewall открыто и разрешено. но все равно не работает , в чем проблема?

nkbark

Цитата:

Все настройки сделаны так что для FTP в фаирвале Sygate Personal Firewall открыто и разрешено

Разве такое возможно? Как это у тебя получилось так, расскажи!

Тот человек который устанавливал видема изначально неправильно установил , сам он появляется редко. Говорит что все для фтп открыто и разрешено . Показывал порты 21 808, 1080,13713, 31652, 21318 и т. д открыты Если подскажитекак это сделать подробно

nkbark

Цитата:

порты 21 808, 1080,13713, 31652, 21318 и т. д

В соответствии с общей рекомендацией по настройке указанных портов маловато.

Цитата:

подскажитекак это сделать

Обычно это делается через "Advanced rules" — правая кнопка на значке Sygate в трее. Как же в твоём случае сделал «Тот человек который устанавливал» — неизвестно, к чему и была просьба рассказать. Ищи в Advanced rules и в настройках приложений (в той же правой кнопке).

А под висту кто нибудь пробовал ставить? Если Да - как стабильность?

VikLabel Никак. не работает.

Dervish
А в каком месте облом: инсталлятор не ставит или ставит, но сама программа не запускается или где?

VikLabel
Проблема только в одном - Драйвер не совместим (точнее драйвера).

подскажите кто знает - sygate режет мне инет в 5 раз: при включенном режиме allow all, то бишь без защиты - 5390kbps (как и должно быть по тарифу), а в normal - 1736kbps. что может быть проблемой? я понимаю уменьшение скорости процентов там на 30, но не в 5 же раз!

win2ksp4
sygate fw pro 5.6.3408

удаление всех правил не помогло. переустановка не помогла.

Я думал что он не поддерживается уже никем, но пробовал с какой из стенок будет нормально работать McAfee Virus Scan Enterprise 8.5i +McAfee AntiSpyware. так как McAfee Desktop Firewall мне не приглянулся дошел до этого , вроде взаимодействуют без глюков и тормозов Приятно удивило что в логах Sygate нашел -17.01.2009 21:38:57    Information    1207020C    IDS Library 5.5.4073 has been installed. The Signature Library has been updated to 1.1.2067 and the Trojan Library to 1.0.1025. Ето понимаю что Symantec еще поддерживает стенку, может кто знает как долго. Приятно пользоваться оригиналом пока они не сговняли ее как ATGuard.