» Comodo Firewall Pro / Comodo Internet Security (4)

ну, на сколько я понял, то нужно отключить КОМОДО ИНТЕРНЕТ СЕКЬЮРИТИ и установить какой-то полноценный антивирус? К примеру касперский?

darkman969
Отключать, при желании, надо КОМОДО АНТИВИРУС в составе пакета CIS. А какой антивирус установить - зависит от личных предпочтений.

oklim

Цитата:

По мне, так и не сыроват и не слабоват. Если поставить CIS 4.0

Ну, здесь, как говорится: "На вкус и цвет - фломастеры разные"...

Я его (антивирус) "включил", обновил... Подправил чуток локализацию, погонял чуток, опять подправил локализацию. Покопался в "настройках", опять погонял... в конце-концов понял, что это не мое... отключил...

Подробности, думаю, излишни...

Здравствуйте.
Я недавно пользуюсь CIS, так что пока много вопросов, курим факи и мануал. Но, возникла такая ситуация, может кто-то сталкивался, а если нет - то тем более нужно разобрать.
Дело в том, что я пользуюсь QIPifium, в нем можно запускать сразу несколько протоколов, я пользуюсь icq и jubber.
Применил правила, которые нашел тут же для icq в firewall'e (Собственно правило), аська работает как работала, жабер я до этого не активировал, а тут вышел онлайн и решил поискать конференцию Comodo (если таковая есть). Но, тут такие тормоза начались! Когда я открываю Сервисы - далее просто даже мышку навожу - всплывает контекстное меню, или прото вожу мышкой в пределах окна, процесс cmdagent.exe - начинает жутко жрать цпу до 50 и выше, и квип виснет на глухо, то-есть ничего открыть я не смог.
Но, у меня уже были в закладках конференции, и они открываются нормально за исключением того что пока происходит соединение, процесс снова подскакивает до 50-60, но потом быстро падает как только соединение установлено. (Проверил - перегруз начинается именно в момент подключения к сети и далее пока не подключится жабер, потом тишина, ну и далее совсем повисает все при ситуации описанной выше.)

Сегодня еще попробовал, отключил полностью правила для аськи, и зашел только в джабер зависания происходят именно на момент подключения. То есть когда вот открываю конференции и там первоначально лампочки, и при подключении они становятся значком "группа людей", вот пока те, что в поле зрения не станут группами, cmdagent.exe есть под 50 цпу. Пробовал и с отключенным CIS но процесс cmdagent.exe все равно остается и все также жрет и при тех же действиях.

Вот у меня и возникли вопросы, в чем же дело? Может для квипа не подходит правило, так как там у меня и жабер и аська. Кто сталкивался или подозревает причину, помогите разобраться пожалуйста.
Win 7 CIS последний.

Off-Topic! И еще, правда не по теме выше. Можно ли оставить защитника виндовс? А то я брантмауэр отключил а про него забыл, но вроде работают оба нормально.

Hohotito, упомянутыми программами не пользуюсь, но возникло предположение - "тормоза" могут быть связаны с включенным "логированием" для правил, относящихся к данным программам.

Hohotito, джаббер по другим портам работает (5222, 5223). Нужно разрешить исходящие TCP на эти порты с портов 1025-65535.
У меня для QIP Infium сейчас вообще одно правило прописано:

Код: Разрешить TCP, Исходящие из IP любого в IP любой, где порт отправителя: 1025-65535, порт получателя:[ICQ/Jabber]

forser
WIGF Спасибо!
Вот это оперативно, а то на форуме второй день жду все только посмотреть в тему заходят. Я то добавил правило еще одно для порта 5222, но там громоздко все так. Поставил как у вас, проверил, cmdagent все так же подъедает, но теперь все же быстрее отходит, и когда уже значки групп не лампочки а показывают что соединение есть, не виснет больше. Видимо, что-то не совместимо все же. Так что теперь терпимо, жить можно.

Теперь интересует, а если все же захочу отправить что то по аське, какое правило добавить?

И еще, есть программка, котурую не желательно отпускать в интернет, что бы запретить достаточно правила Blocked Application и добавить её в доверенные в антивирусе, либо же какое-то особенно правило лучше создать, что бы полноценно работала? Программка словарик Babylon Pro.

И может добавить в шапку правилос с ICQ/Jabber думаю еще пригодится кому нибудь.

Hohotito, по поводу тормозов надо вам по совету forser'а посмотреть и ументшить количество правил, в которых включено протоколирование. И не только для QIP, но и для остальных приложений и в глобальных правилах. Кстати, проверьте журнал и по нему может сделаете какие-нить правила наподобие тех, что я в шапке рекомендую для WOS.
Тормоза также могут быть и из-за кривых правил для QIP в проактивке. Попробуйте там все правила для QIP удалить, перевести проактивку в режим обучения и заново запустить QIP.
У меня QIP Infium без проблем в семёрке работает (версия Home Basic x64 лицензионная). Так что проблема у вас не в несовместимости с семёркой, а в чём-то ином.

По отправке по факту надо смотреть. Мы как-то давно с XenoZ'ом игрались и правила какие-то бредовые получались. Поставьте фаер в режим обучения, глубину правил самую высокую сделайте (на другой вкладке в настройках) и поотправляйте/попринимайте файлы, а потом уже подправите полученные правила.


Цитата:

есть программка, котурую не желательно отпускать в интернет, что бы запретить достаточно правила Blocked Application

Вот этого достаточно. Антивирус COMODO тут не при чём.

Правила по ICQ в шапку добавим. Я хотел переписать все правила по тройке, которые у нас и в pdf собраны с учётом изменения по DNS, да и вообще проверить/обновить (в частности для торрент-клиента у меня несколько иные правила, точнее более широкие). В ближайшее время займёмся...

Hohotito
Для Миранды у меня, к примеру, стоят такие:


Правда, это максимально жесткие правила.
PS 1-е правило для TOR, 3-е правило, если не изменяет память, для плагина Гисметео.

forser, по 80-му порту ведь и обновления могут идти. Или Миранда иначе обновляется?

WIGF, я ее вообще-то очень редко обновляю. Да и не через интернет, а вручную - путем замены файлов. Дело в том, что использую некоторые нужные плагины, которые в последнее время разработчиками не поддерживаются, а под новые версии Миранды они могут и "не пойти".

Цитата:

Так что проблема у вас не в несовместимости с семёркой, а в чём-то ином.

Так да, я и говорю, что все работало нормально, с семеркой все нормально, где-то в комодо что-то шалит. Проактив вообще отключал, все тоже, любые действия в окне конференций, загружают под 50, даже если просто мышкой водить. Щас сделал как написали, логирования особо никакого нет, только то что по умолчанию, но оно к квипу никак не относится. Добавлял во все доверенные зоны и просто отключал проактив, в фаере то что посоветовали выше, одной строкой, записал. В общем не знаю что еще сделать. Где-то глюкб даже при отключенном CIS процесс cmdagent.exe остается и опять же грузит цпу при тех же условиях. Заметил так же что и сам квип, во время манипуляций начинает подъедать цпу, но там по мелкому. Вот, где-то что-то не срастается.


Цитата:

Вот этого достаточно. Антивирус COMODO тут не при чём.

Ну и отлично тогда, буду знать.

Здрасьте всем.
Подскажите веСЧЬ одну, если не затруднит (если конечно кто то с этим знаком).
На тройке камода, у меня нрмально работало приложение WinLicense, ну правда из варезника дистриб онного.
А вот когда устанавливаю четвертую версию этого продукта (камода фаера) то не пашет система лицензирования продукта (WinLicense).
То есть WinLicense не зареганая получается.
И повторюсь...
В Тройке всё пучком.
Если кто то знает проблему, подскажите где морось, от меня или от КАМОДА.

Matousec закончил тестирование CIS, справился на 100%.

WIGF, а как там дело с правкой перевода ? Нельзя ли его насильно с заменой применить, как это успешно до сих пор делается в тройке ? Или надо ждать нового билда ?

Kirilenko

Цитата:

Matousec закончил тестирование CIS, справился на 100%.

Спасибо за информацию

Hohotito, а что до этого стояло из защитного софта? Или может что-то до сих пор стоит?
Возможно в системе висят какие-то остатки от предыдущих программ.
Либо криво встал CIS.
Либо CIS конфликтует с UAC (мало ли, может правила создались какие-то криво). Тут можно попробовать заново понастраивать всё, предварительно сохранив в файл свою текущую конфигурацию, а потом выберя предустановленную конфигурацию Proactive Security.
Также можно попробовать переустановить QIP (удалить, перезагрузиться, удалить остатки, поставить заново).
И ещё в CIS на вкладке "Разное" есть диагностика. Можно её провести.

---

---

Цитата:

Нельзя ли его насильно с заменой применить, как это успешно до сих пор делается в тройке ?

vitsat, можно. Сам так менял, перезагружал GUI CIS и всё работает.

forser, инструкцию по применению русика стОит в шапке поправить. Точнее можно оставить ссылку на твою подробную инструкцию для тех, у кого проблемы с заменой, а по стандарту использовать инструкцию по замене русика для тройки. Ну и про то, что если нажать после этого на проверку обновлений, то CIS захочет вернуть родной русик.

WIGF, обновил "инструкции" (имхо, - разжевал "до нельзя"), а также обновил и сам архив - заметил несколько искажений в окне настроек (вкладка "Соединения").

+ Немного откорректировал/выровнял расположение иконок и текстов в главном окне...

Удалил настройку правила для комоды в приложениях. Как правильно эти две строки прописать на разрешение всех исходящих запросов и запрет входящих не запрашиваемых? Дайте эти две строки.

Добавлено:
Вот это


+

В настройках правил 1. Allow Access To Loopback Zone для почтового клиента и браузеров Destination Port Is In [Local Ports], но у меня каждый раз и почта и браузер стучится на лупбеке с локального на 30606, ну и блочит соответственно. Не пойму почему не на локальные. Пока поставил Non-privileged Ports - 1024-65535. Разъясните.

svchost - тоже самое, на 30606. Для него брал настройку из ссылки в шапке.

loopback состоит из двух ip. 0,0,0,0 ? и 127,0,0,1

Вот только нашел:

Цитата:

Дело в том, что NOD32 фильтрует весь сетевой трафик на предмет наличия вредоносного кода. При этом он весь трафик перенаправляет через себя, т.е. действует как прокси.
Выглядит это следующим образом: вместо непосредственного образдения к адресу в инете, программа обращается к локальному адрессу 127.0.0.1 на порт 30606 -- это запрос к NOD на выход в инет, далее NOD перенаправляет этот запрос в инет и получает информацию, проверяя ее сразу на вирусы, полученную информацию после проверки возвращает запрашивающему приложению. Так что для NOD введены по умолчанию стандартные правила:
Eset NOD32 Service connection (входящее TCP на локальный порт 30606)

те как с поправкой на нод прописать правила для loopback & svchost?

fixist, ты можешь нормальным человеческим языком объяснить что тебя интересует? Все экстрасенсы, как видишь, в отпусках...

Цитата:

...но у меня каждый раз и почта и браузер стучится на лупбеке с локального на 30606

Это прокси (ака монитор веб/мэйл) НОД'овский через себя трафик пропускает.

Цитата:

loopback состоит из двух ip. 0,0,0,0 ? и 127,0,0,1

Нет... В принципе, можно использовать только 127.0.0.1, но лучше указать сразу зону 127.0.0.1/255.0.0.0

1. мне нужно правило для комоды
2сам исправил
3. я понимаю, что лучше прописать 127.0.0.1/255.0.0.0, но у меня, как видишь, с 0,0,0,0 на 271,0,0,1 идет. что, как, где исправить?
4. правило для свчоста с нодом (если нужно)

fixist, более понятным языком выражайтесь, если хотите, чтобы вам быстрее отвечали.
Ссылка на телепатов, которые сразу всё понимают, в шапке данной темы в самом низу.

Отвечу так, как понял:
Цитата:

Удалил настройку правила для комоды в приложениях.

Для CIS используется предустановленная политика "Outgoing Only".

Цитата:

Пока поставил Non-privileged Ports - 1024-65535. Разъясните.

Так и оставьте, либо создайте отдельное правило по loopback, но с портом получателя 30606.

Цитата:

2сам исправил

Проконсультировался с телепатами. Они пока не поняли суть данного изречения...

Цитата:

3. я понимаю, что лучше прописать 127.0.0.1/255.0.0.0, но у меня, как видишь, с 0,0,0,0 на 271,0,0,1 идет. что, как, где исправить?

Что исправить? Где исправить?
Есть источник - 0.0.0.0 (любой). Есть получатель - 127.0.0.1/255.0.0.0 (loopback).
В чём вопрос-то?

Цитата:

4. правило для свчоста с нодом (если нужно)

Как видите: нужно в вашем случае, потому что NOD32 контролирует http-трафик (а через svchost.exe идут обновления виндоса).
Поэтому пропишите правило в таком виде: Разрешить TCP, исходящие из IP любого в IP 127.0.0.1/255.0.0.0, где порт источника: 1024-65535, порт получателя: 30606.

1. Дайте мне две строки из настроек правил для приложений

пример, как написать:Разрешить от туда, исходящие из туда-то любого и т.д.
и вторую строку: Блочить то-то, исходящие из откуда-то любого и т.д.

2. Нечего тут у телепатов спрашивать, не надо их беспокоить такими простыми вещами. Вторым по счету в первом посте идет абзац про Loopback Zone. Видишь - отредактировано? Значит было написано, что нужны настройки для лупбэка, а потом сам настроил и отредактировал строку - написав, что сам исправил.

3. В шапке ссылка на Предустановленные политики Фаерволла. Там прописаны строки для лупбэка From 127.0.0.1 To 127.0.0.1. Так исправьте тогда шапку, если там не верно. Написано с 127.0.0.1 , а на самом деле с любого.

4.
Цитата:

Разрешить TCP, исходящие из IP любого в IP 127.0.0.1/255.0.0.0, где порт источника: 1024-65535, порт получателя: 30606.

Диапазон адресов серверов обновлений не известны?

fixist
1. Написал выше: используйте предустановленную политику "Outgoing only". Сами правила внутри этих политик можно посмотреть так: Фаервол->Расширенные->Предустановленные политики.
Если и её вдруг стёрли (в ваших постах об этом не сказано ничего), тогда правила там такие:
Код: Разрешить IP, исходящие из IP любого в IP любой, где протокол IP любой.
Запретить (и записать в лог) IP исходящие и входящие из IP любого в IP любой, где протокол IP любой.

День добрый, господа специалисты. Пользуюсь "комодом" пару лет, все здорово, однако присутствует неприятный экспириенс видимо связанный с проактивной защитой (?).
Суть проблемы: при разработке приложений и использовании отладчика GDB постоянно вылетает segfault ( http://en.wikipedia.org/wiki/Segmentation_fault ), погуглив немного выяснилось, что я не один такой несчастный ( http://forums.comodo.com/bug-reports/guard32dll-and-gdb-problems-cfp-3025378-t25287.0.html например).
Вторая проблема - суть продолжение первой: не работает утилита Process Monitor (от Sysinternals и Руссиновича) которая также крайне мне необходима при разработке и отладке приложений. Не может выделить блок памяти при старте и падает в отладчик (drwtsn32). При удалении комода (когда обновлял на 4-ку) все чудесно работало. Также как оказалось я не один ( http://forum.sysinternals.com/topic21409&OB=DESC.html )
По моему также была проблема с выделением solid блока памяти при распаковке довольно увесистого архива с помощью архиватора FreeArc, пришлось извлекать на виртуальной машине. Не суть важно, просто в порядке информации.
Проактивная защита во всех случаях была отключена.
Вопрос один как побороть сие недоразумение и заставит комод корректно работать с данными приложениями.

Цитата:

(в ваших постах об этом не сказано ничего)

Цитата:

Удалил настройку правила для комоды в приложениях. Как правильно эти две строки прописать на разрешение всех исходящих запросов и запрет входящих не запрашиваемых? Дайте эти две строки.

Код: Разрешить IP, исходящие из IP любого в IP любой, где протокол IP любой.
Запретить (и записать в лог) IP исходящие и входящие из IP любого в IP любой, где протокол IP любой.

fixist

Цитата:

Я не подумал, что люди могут подумать, что человек спрашивает про правила, которые у него есть.

И не такое бывает, поэтому телепатию не использую.
Цитата:

Значит так и оставлять под запретом, но свчост ведь долбится на 30606? Это правило для нода записать?

Не запретить, а разрешить: svchost.exe будет отправлять все свои http-запросы по этому разрешению (на адрес 127.0.0.1 порт 30606), а дальше уже NOD32 будет связываться с сайтом мелкомягких и получать обновы.

Добавлено:
private_joker, попробуйте удалить все правила для данных проблемных приложений в проактивке CIS. Плюс посмотрите на возможные запреты на различные действия с этими приложениями у системных приложений (explorer и пр.). После этого перевести проактивку в режим обучения и попробовать поработать.
Если не поможет, тогда попробовать добавить файлы проблемных приложений в список безопасных (проактивка->общие задачи) и попробовать так поработать. Там же стоит проверить отсутствие этих файлов в заблокированных и ожидающих.
Плюс попробовать использовать для данных приложений политику "Trusted Application".
Хотя скорее всего вы это делали уже, раз и ссылки есть на оф.форум...

P.S. То, что вы совсем отключаете проактивку, может не означать, что она, действительно совсем отключается. Полное отключение - это и выгрузка всех процессов и драйверов CIS.

Дальше:

Из ссылки в шапке на свчот:
Цитата:

Allow UDP Out From IP Any To In [DNS Servers] Where Source Port Is In [1025-65535] And Destination Port Is 53

. Может не эни, а со своего? И порты начинаются с 1025, а не 1024 - один порт значение имеет?


Цитата:

Разрешить TCP, исходящие из IP любого в IP 127.0.0.1/255.0.0.0, где порт источника: 1024-65535, порт получателя: 30606.

У остальных правил по лупбэку порты ограничены до 4999 (локальные), а тут до 65535. Правильно? По ссылке из шапки в настройках про лупбэк строки нету. Эта строка в настройке свчоста не обязателена?

По поводу нода+торрента+комоды:
Пришлось в нод добавить правило (когда торрент-клиент выключен - задвигаю это правило обратно за блокировку):

+ другие настройки для торрента, чем в шапке.
Иногда нод блокирует исходящий тсп запрос, хотя они соответствуют правилу, но по логу это не существенно для скачивания и отдачи файла.

Еще по ноду в шапке: там порт дистинации для Allow Outgoing HTTP Requests прописан только 80 для браузеров, но нету почтовых 110,995 на получение почты, 5190 для аськи. еще не смотрел нужен ли в ноде 443 или его оставлять в правилах для браузеров и аськи.

И вот эту ссылкуСсылка зря из шапки убрали. Оставили бы вместо Принцип фильтрации пакетов в COMODO... [?] и Остальные правила... [?]