» Agnitum Outpost Firewall Pro (фаервол)

Bazzill, ну не на серваке а в инсталляции программы. И думаю не всех известных, а тех, которые они посчитали безопасными и стоящими доверия.

Цитата:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afw\Configuration]
"NdisFilterOffloadRecv"=dword:00000001
"NdisFilterOffloadRecvNblMax"=dword:00000001

Что конкретно делают эти ключи? Кто в курсе?

pytex

Цитата:

ну не на серваке а в инсталляции программы. И думаю не всех известных, а тех, которые они посчитали безопасными и стоящими доверия.

Ну то есть я правильно понял, что они цифровые подписи сравнивают, обновляют их по инету (они ведь истечь могут) для известного софта типа Thebat, Opera имеющих цифровые подписи ?

Вообще-то, эта настройка находится в категории ImproveNet, а значит по инету эти сигнатуры должны обновляться.

Bazzill, судя по чейнджлогу последней версии 7.0.2
Цитата:

Из списка доверенных вендоров Outpost исключен скомпрометированный сертификат на ПО компании Realtek Semiconductor Corp.

то обновления происходят переустановкой дистрибутива, а не по инету.


Добавлено:
в онлайне похоже обновляются только предустановленные правила под этих вендоров

Bazzill

Цитата:

Мне непонятна настройка "Автоматически создавать правила для приложений, подписанных доверенными разработчиками"

В этой этой жизни нужно же кому-то доверять, тем более, что подделывать цифровую подпись очень тяжело ))

Цитата:

У аутпостовцев что, базы цифровых подписей известных программ на серваке храняться и используются для ImproveNet ?

И вообще это привилегия оси, а не прикладных программ, "аутпостц" ходит под осью, не на оборот, имхо.

Добрый день!
Попробуем поговорить с вами
Проблема такая, грешу на Аутпост. Есть машина с winXP sp3 на борту. Там же Outpos Firewall Pro 6.0.2293.253.0490, Usergate4, Drweb 5, CMS (mail server). Три сетевушки - 2 на провайдера, одна в локалку. Там же, поставили сервер Ил-2, порт udp21001, и консоль udp20000. Стали подключаться с интернета, заметили такую особенность - подключаемся в игре, летаем, через 40-45 минут всем таймаут, и соединение закрывается. Если кто-то раньше зашел, то время считается от него. Пинг отсутствует 10-15 минут, после чего можно зайти на ИЛсервер снова. В антивирусе папки аутпоста поставил в игнор. Причем, если лазить в инете с той машины, где установлен ИЛсервер, сидеть в аське, ну и грузить по полной, включая торренты - все нормально, без сбоев.

Timur1976

Цитата:

подключаемся в игре, летаем, через 40-45 минут всем таймаут, и соединение закрывается. Если кто-то раньше зашел, то время считается от него. Пинг отсутствует 10-15 минут, после чего можно зайти на ИЛсервер

А что в логе системных событий пишется на время блокировки?

Версия 7.0.2
Не могу решить 2 проблемы:
1. Переход из Режима блокировки в Режим обучения после полноэкранных приложений
2. У меня в качестве оболочки устанвлен Aston 1.9.6. Не реагирует иконка Outpost в системном трее на клики мыши. На предыдущей версии 6.7.3 такое было, но aston.exe добавлен в исключения Аутпоста и всё решилось. Здесь проблема осталась

Pazan
1. Это баг. Можно в настройках "Правилах для приложений" (для нужного приложения) - "Редактор правил" - вкладка "Параметры" установить значение "Не переходить в игровой режим".
2. Если есть возможность - проверить на другой системе. Если - нет, то надо обратиться в техподдержку.

Цитата:

А что в логе системных событий пишется на время блокировки?

Вот, выдержки с нашего форума:
> с 21.11 до 21.20 и выкинуло как с илки так и тс <

Смотрим системные события:

21:14:00    Процесс DRWEBUPW.EXE запущен svchost.exe
21:14:00    Командная строка: "C:\Program Files\DrWeb\drwebupw.exe" /go /st /qu /reg- /rp+drwebupw.log
21:17:12    Процесс DRWREG.EXE запущен drwebupw.exe
21:17:12    Командная строка: "C:\Program Files\DrWeb\drwreg.exe" -check

В 22-40 тоже пожаловались, строки те же.

Причем днем проверял лично, налет был 1 час 35 минут, без сбоев.

P.S. Галочку в сетевом интерфейсе убрал с Agnitum Firewall Driver.

сервер ил-2, консоль к нему, и консоль самого сервера (та, которая показывает ответы сервера на команды) проброшены в доверенные приложения.

Timur1976
С чего ты взял, что проблема в Outpost'e?
Альсо, читай шапку
Цитата:

Краткий FAQ:
Agnitum Outpost Firewall Pro -это персональный фаер, а не серверный, там он противопоказан и бессмысленен;

Цитата:

Смотрим системные события:

21:14:00 Процесс DRWEBUPW.EXE запущен svchost.exe
21:14:00 Командная строка: "C:\Program Files\DrWeb\drwebupw.exe" /go /st /qu /reg- /rp+drwebupw.log
21:17:12 Процесс DRWREG.EXE запущен drwebupw.exe
21:17:12 Командная строка: "C:\Program Files\DrWeb\drwreg.exe" -check

А что пишет Web в своем логе в это же время? У вас пятерка?

Цитата:

Kein - С чего ты взял, что проблема в Outpost'e?

Логическим путем. До этого, путь до игросервера лежал через usergate, тот делал еще хуже, через 10 минут резал сессию UDP на корню. Убрал, сервер подтянул непосредственно на сетевушку, чтобы подключались напрямую к игросерверу, исключая прокс. Плюс, когда нас блокирует извне, внутри интернет остается работать. Кто еще может так блокировать?


Цитата:

Альсо, читай шапку

Читал. Однако, тут тонкий вопрос. Допустим, у меня нет локалки, а стоит обычный комп с винХП,
с установленным аутпостом и ЮГом, и антивирусом и интернетом от РТ. Что в этом случае, тоже комп считать сервером? А если я прокс отключу, чем он будет отличаться от машины обычного рядового пользователя?


Цитата:

helix - А что пишет Web в своем логе в это же время? У вас пятерка?

Да что пишет, тоже что и всегда. Шапка, подключаемся, скачиваем, отключаемся. версия 5.0.3.02014

Timur1976, наверное когда Drweb обновляется система замирает на мгновение и Аутпост теряет связь между компонентами. В этом случае драйвер Аутпоста для безопасности блочит все и всех.

Цитата:

Timur1976, наверное когда Drweb обновляется система замирает на мгновение и Аутпост теряет связь между компонентами. В этом случае драйвер Аутпоста для безопасности блочит все и всех.

Ага, т.е. попробовать поставить для начала обновление антивируса только в рабочие часы? Хорошо, сегодня вечером и попробую. Кстати, я прошерстил инет, но так и не понял, зачем нужен Agnitum Firewall Driver на сетевушке...

Timur1976

Цитата:

Логическим путем.

Проверь практическим - убери Outpost.


Цитата:

Читал. Однако, тут тонкий вопрос.

Зато толстая демагогия с твоей стороны. Сервером является все, что выполняет его функции, будь там хоть ноут на Целероне с Win98.

Добавлено:

Цитата:

Кстати, я прошерстил инет, но так и не понял, зачем нужен Agnitum Firewall Driver на сетевушке...

А фильтрацию низкоуровневую он, по твоему, святым духом выполняет?

По просьбе cdrom2 провел 2 эксперимента на детектирования AOFP обонвления EXE.

EXE: Miranda.exe (0.8.26) - тестируем заменой на 0.8.27
Настройки Anti-Leak:


Эксперимент1 и Эксперимент2 - детект сработал при попытке выйти в сеть:

Порекомендуйте, пожалуйста, какие сетевые правила можно добавить к тем, что уже есть по умолчанию (глобальные и низкоуровневые) для повышения общей сетевой безопасности.

Конфигурация самая простая: доступ в инет через шлюз, в качестве которого выступает wifi router, который создает PPPoE соединение с провайдером; без локалки.

Outpost 7.02 под WinXP тормозит запуск (и завершение работы) CuteFTP Pro v8.3.2

Перед запуском секунд на 5-8 и после завершнеия все висит секунд 5-8.

Причем CuteFTP не появляется в списке "Защита приложений".

Меня эти тормоза бесят конкретно.

Сам Outpost как подвешивал систему (WinXP SP3) на секунд 5 после закрытия своего окна, так и подвешивает до сих пор.

Им фиолетово совершенно на эти тормоза.

Поставил Виста Хоум Базик отсюда знакомым с их лицензионным ключом.На сайте Майкросовт активировал и обновился(накачал порядка 300 Мб).Поставил Аваст Хоум5 и Аутпост Файервол Фри 2009.Все работает замечательно,за исключением "пустячка":При создании правил для процесса RUNDLL32.EXE--блокировать выход в инет,полностью обрубается сеть и нет возможности выхода в инет.Я ставил и настраивал файервол с большим количеством компов с ОС отХР до Вин7 разных бит.Так вот с таким поведением столкнулся впервые.Инет есть только если поставить Использовать правила для процесса RUNDLL32.EXE.
Это нормально?

Имхо - нет, не нормально. Ладно бы SVCHOST.EXE, тут все ясно, но RUNDLL32.EXE...
My expert opinion: something is f*cked up!

Kein

Цитата:

My expert opinion: something is f*cked up!

LOL
marti63
А при
Цитата:

Использовать правила для процесса RUNDLL32.EXE.

он куда-нибудь просится? У меня для RUNDLL32.EXE заблочен выход в и-нет, и всё работает.

Мб у него какие-то дрова для сетевого интерфейса/карты/модема хитрые такие, без RUNDLL32.EXE не могут?
А мб и вирь...

Он и не просился в инет явно,но при блокировки RUNDLL32.EXE выход в инет невозможен.При установке файервола правила создал по памяти,потом часа 2 выяснял причину блокировки инета методом "инженерного тыка".Виста на тот момент была "голая"(активировал и скачал обновы): только файервол и Аваст.Сторонним ПО на зловреды ОСь не проверял,не было времени,надо было отдавать комп.Подумал,может у Висты фишка такая.А щас мозг точит червь сомнений.
PS:комп DEPO.Vista ставил с см. ссылку выше(контрольные суммы совпадают с образом,который предлагает этот форум),дрова ставил с рековери-диска,который шел с компом(на том же диске был Акронис с Вистой Хоум Ьазик СП1).С Вистой не имел дела как года два,поэтому нужна Ваша помощь,знатоки.

У меня Vista SP2, но RUNDLL.EXE в интернеты не просится.

Кстати, сделай вот что: разреши ему любую активность и посмотри в логах куда ломится. Запости сюда.

Спасибо,попробую.Сейчас для RUNDLL32.EXE стоит "Использовать правила".Автоматом не создано никаких правил.В окне Правила для приложений "дырка" для этого процесса.

marti63
Про Аваст не знаю, не могу сказать. Но вот аналогичная картина возникает, если использовать, например, НОД32 с Аутпостом, при этом у первого включена проверка интернет трафика на вирусы. Т.е. НОД перехватывает все попытки вылезть в инет программ, и уже проверяя трафик на вирусы лезет в инет сам. Факрволл при этом видит, что интернетом пользуется только сервис-процесс нода.

Я что подумал, может Аваст как раз через rundll32 свой монитор и запускает? Попробуй отключить у аваста web-монитор!

Меня Outpost задолбал одной шнягой, при запуске любой новой проги он выдает что процесс пытается изменить память процесса CTFMON.EXE

На старом Outpost такого не было.

Это что, вирье заражает эти файлы при запуске и тот уже пытается CTFMON.EXE контролировать?

Цитата:

Меня Outpost задолбал одной шнягой, при запуске любой новой проги он выдает что процесс пытается изменить память процесса CTFMON.EXE

У меня с новым Аутпостом все норм )

Цитата:

У меня с новым Аутпостом все норм )

Люди, что за хрень у меня завелась с этим CTFMON.EXE ?