» Comodo Firewall Pro / Comodo Internet Security (4)

Rkor
согласен, логично, нужно ставить и пробовать, спс.

Вот создаю я правило для какого-нибудь процесса, объясните для чего выбирать адрес отправления, непонятно чтоли, что адрес может быть только один - адрес моего компа в инете? И направление "входящие" и "исходящие" это только для обозначения того, кто инициализирует соединение (входящие, если у меня на порту прога слушает подключения и к ней подключается прога из инета, и исходящие, если моя прога куда-то подключается)? Иначе не понятно, зачем нужны по отдельности эти направления, так как входящего трафа без исходящего и наоборот никогда не бывает (по-крайней мере в TCP вроде).

Цитата:

для чего выбирать адрес отправления, непонятно чтоли, что адрес может быть только один - адрес моего компа в инете?

так айпишник может быть динамическим


Цитата:

входящего трафа без исходящего и наоборот никогда не бывает

все бывает.

loopsloop

Цитата:

от создаю я правило для какого-нибудь процесса, объясните для чего выбирать адрес отправления, непонятно чтоли, что адрес может быть только один - адрес моего компа в инете?

Не обязательно - зависит от типа подключения... к примеру, NAT...

Цитата:

И направление "входящие" и "исходящие" это только для обозначения того, кто инициализирует соединение (входящие, если у меня на порту прога слушает подключения и к ней подключается прога из инета, и исходящие, если моя прога куда-то подключается)?

Да.

бетка 4 глючная. поставил, воткнул безопасный режим + максимальная детализация уведомлений + отключил проверяных поставщиков. запускаю AIMP, он достукивается до своего сервера, и преспокойно сообщает что вышла новая версия. в логах ничего - в правилах тоже пусто( откатился на 3.
[more=офф] поставил джетику - завалила вопросами, пока сбежал с нее, времени нет пока настраивать и разбираться. посоветуйте плз что почитать по настройке финнского)[/more]

uglypod

Цитата:

...воткнул безопасный режим...

А почему не "пользовательский режим"? Он же более эффективен...

forser
да сам факт меня удивил - ни одного вопроса. ну и перевод настолько криво вписывается, что кнопки перекрывает. тройка как то ни разу не подводила. вот что мне в комоде не нравиться - это его сверх тормозной гуй. на кой ляд приличному файру свистоперделки - ума не приложу)

>>так айпишник может быть динамическим

Тогда тем более смысле в адресе отправления нет, иначе вообще в инет не выйдешь. В общем применения адресу отправления особо нет, хотя все же иногда может быть полезно, например когда есть 2 провайдера, на одном тариф анлим, на другом помегабайтник, и чтобы запретить скачку например торрентов на мегабайтнике, запретить в адресе отправления айпишник с провайдера с помегабайтником, как-то так, но все равно применения мало.

Добавлено:
Раньше, когда у меня KIS стоят, он иногда показывал оповещения об атаках каких-то идиотах из локальной сети, а комод вообще ни разу не показывал никаких оповещений, он вообще может их показывать, и что он делает при атаках?

uglypod

Цитата:

да сам факт меня удивил - ни одного вопроса.

Но ведь "пользовательский" и "безопасный" - это же разные режимы работы. Дабы делать какие-то выводы о "глючности", необходимо проверить работу в "пользовательском" режиме, имхо...

Цитата:

вот что мне в комоде не нравиться - это его сверх тормозной гуй.

Да, есть такое дело. Но, опять же - имхо, - это напрямую зависит от того используется ли локализация интерфейса. Если локализация не используется (интерфейс английский), интерфейс работает гораздо шустрее. Если же используется локализация, интерфейс (текстовые значения) "перерисовывается" значениями из соответствующего файла локализации. Особенно это заметно при просмотре логов и списков политик безопасности (если они достаточно объемные).

Цитата:

сверх тормозной гуй.

Если фаер полностью настроен, его можно вообще выключить.

Цитата:

Раньше, когда у меня KIS стоят, он иногда показывал оповещения об атаках каких-то идиотах из локальной сети, а комод вообще ни разу не показывал никаких оповещений, он вообще может их показывать, и что он делает при атаках?

loopsloop, COMODO работает по настройкам: разрешены какие-то соединения - он их разрешает, запрещены - запрещает. Какая вам разница, что там было за заблокированное соединение и как бы оно называлось у Каспера, если оно заблокировано? Каспер атаками называет и единичные попытки подключений к вашему компу, вот у вас и было куча сообщений. Здесь же тоже есть анализ входящих соединений, но не на параноидальном уровне как в Каспере.

Цитата:

loopsloop, COMODO работает по настройкам: разрешены какие-то соединения - он их разрешает, запрещены - запрещает. Какая вам разница, что там было за заблокированное соединение и как бы оно называлось у Каспера, если оно заблокировано? Каспер атаками называет и единичные попытки подключений к вашему компу, вот у вас и было куча сообщений. Здесь же тоже есть анализ входящих соединений, но не на параноидальном уровне как в Каспере.

Каспер хотя бы показывает айпи, откуда атака идет. И вообще, какие это могут быть атаки? Если у меня sql сервак стоит, при попытке к нему подрубиться из локалки это будет атака если порт открыт? А если закрыт? И будут вылазить какие-то оповещения если оповещения включены? И еще кстати предыдущий комод 2.*** показывал оповещения что какая-то прога пытается подключиться к инету, а какая-то пытается действовать как сервер (то есть я так понимаю слушает порт на прием подключений?), а этот не показывает что какая-то прога пытается действовать как сервер.

Добавлено:
И еще я тут поставил сервак sql на порту условно 3000, во время установки было написано, что нужно открыть порт 3000, а если его открыть, то может же какой-нибудь троянчег через него выходить, а как сделать, чтобы порт был разрешен только для подключений к sql серверу, а то так как комод не показывает оповещений "какая-то прога пытается действовать как сервер", то я не могу добавить правило отдельно для сервера. А кк в процессах точно найти сервак я точно не знаю.

Новая бетка - 4.0.129536.679 BETA

Цитата:

What is new in version 4.0.129536.679?

This release addressed total 127 bugs that are either reported publicly or found during private testing. Here are some of the fixes:

FIXED! USB devices are not recognized while CIS is installed
FIXED! AV Scanner crashes while scanning some files
FIXED! CIS BSODs with Xlisoft Video Converter
FIXED! CIS keeps logging when logging is disabled
FIXED! CIS does not remember answers to some COM alerts
FIXED! CIS icon stays permanently in Windows 7 task bar
FIXED! Many incompatibility problems: Googlle Sidebar Consumes 100% CPU when sandboxed, Opera can not open default browser settings etc.
FIXED! AV full scanning status is not reflected properly in the summary screen

We are aware of some issues that cause incompatibility problems and we are still working on them. We also would like to let you know that every issue reported is being handled by the CIS team. Thank you for your cooperation.

х86    
х64

З.Ы. И журнальчик событий интерецным стал

И еще, почему старый комод 2.*** пускал в инет браузер с заблокированными svchost и system и даже вроде с заблокированой webguard, а этот не пускает? В каком из них дыра?

loopsloop

Цитата:

И еще, почему старый комод 2.*** пускал в инет браузер с заблокированными svchost и system и даже вроде с заблокированой webguard, а этот не пускает? В каком из них дыра?

Для svchost требуется правило UDP исходящее на 53 порт. Это днс запрос. Без него ессно никуда

про Kis - ну надо же показать, что деньги не зря уплочены. Да и вообще - мысль что тебя атакуют СТРАШНЫЕ хакеры, а кашперский отбивается хорошо способствуют продвижению в МАССЫ

PODs, спасибо за инфу. Посмотрим.
Шапку поправил.

Цитата:

Для svchost требуется правило UDP исходящее на 53 порт. Это днс запрос. Без него ессно никуда

Старый комод только в путь.

Цитата:

про Kis - ну надо же показать, что деньги не зря уплочены

Это мне чтоль? Я за каспера никогда не платил и не пользуюсь им уже больше года.

loopsloop

Цитата:

Раньше, когда у меня KIS стоят, он иногда показывал оповещения об атаках каких-то идиотах из локальной сети, а комод вообще ни разу не показывал никаких оповещений, он вообще может их показывать, и что он делает при атаках?

В дополнение к написанному WIGF'ом.
Следует учитывать то, что CIS - персональный файрвол (а не т. с. "сетевой файрвол") и он "не отвлекается" на транзитный трафик (что вполне логично для персонального файрвола). Если имеется желание контролировать транзитный трафик, в дополнение к глобальным правилам создавай в правилах для приложений группу правил для процесса, к примеру, "Windows Operating System" и в них "рули".

forser

Цитата:

Следует учитывать то, что CIS - персональный файрвол (а не т. с. "сетевой файрвол") и он "не отвлекается" на транзитный трафик

Хм, а если снять галочку с опции "этот компьютер является интернет шлюзом" то он должен отвлекаться на транзитный траффик, как сказано в мануале к CIS. Настолько это правда - не проверял, т.к. на работе стоит отдельный сервак для раздачи инета

А у меня эта галочка и не стоит, так как у меня единственный комп и он не должен быть шлюзом. На счет того, что ответил forser, я как-то не понял, как ответ ссоотносится с моим вопросом. И еще, я запустил сервер sql ? но никаких оповещений что сервер пытается слушать какой-то порт не было, то есть он его выпускает в инет, или сервер слушает но его не выпускают? И как ввообще эправлять серваками если оповещений нет? И еще насчет порта для sql , надо его открывать полностью или нет, через него трояны могут подключаться?

PODs, если снять галочку со шлюза, то он все пакеты проверяет и можно для всех пакетов прописывать правила. Если не ошибаюсь, то транзитные пакеты в таком случае идут от лица "WOS" и "svchost.exe". А может и "System" тоже...

Добавлено:
loopsloop, прослушивание - это прослушивание, а не соединение. Если нет передачи пакетов, то её нет, поэтому и фаер ничего не пишет.
Если вашему серверу нужны входящие, то необходимо их разрешить на требуемый порт по требуемым протоколам.
Если никто иной этот порт на компе не прослушивает, то вредонос никак не пройдёт на комп, только если в самом сервере дырок нет.

WIGF

Цитата:

если снять галочку со шлюза, то он все пакеты проверяет и можно для всех пакетов прописывать правила. Если не ошибаюсь, то транзитные пакеты в таком случае идут от лица "WOS" и "svchost.exe". А может и "System" тоже...

Да, я это и имел ввиду. И что самое интересное - я до CIS юзал аутпост и где то пару годков назад, когда первый раз пытался перейти на комод, то отказался от него именно из-за того, что он не хотел корректно ловить транзитный траффик - он его почти полностью не видел. Мне тогда это нужно было, а сейчас нет. Теперь я на CIS и как то в этот вопрос особо не углублялся за ненадобностью
З.Ы. В аутпосте он, кажется, идет от имени System. svchost в пролете однозначно

Цитата:

прослушивание - это прослушивание, а не соединение. Если нет передачи пакетов, то её нет, поэтому и фаер ничего не пишет.

Тогда почему в старом комоде вылазили опоещения "прога пытается действовать как сервер" и что они значили?

Цитата:

Если вашему серверу нужны входящие, то необходимо их разрешить на требуемый порт по требуемым протоколам.

Я для сервера ничего не разрешал , просто полностью открыл порт, в общем, лучше обратно закрыть этот порт и открыть его отдельно в правилах для сервера? И еще, открытие порта позволяет любой тип трафа проводить через него?


Цитата:

Если никто иной этот порт на компе не прослушивает, то вредонос никак не пройдёт на комп, только если в самом сервере дырок нет.

А если троян будет на моем компе и он будет искать открытые порты, найдет порт сервера и подключится к нему, то к этому трояну же смогут подключаться удаленно? И могут одновременно несколько прог слушать один порт?

Добавлено:
В общем, я тут с сайта проверил подключение к порту, и вылезло оповещение что сервер пытается подключиться к инету. На самом же деле не сервер подключается, а удаленный комп к моему серверу? ( когда коннектишься к серверу локально, то никаких оповещений не вылазит). Я сделал для сервера правило запретить все, но с локальных подклбючений все равно можно зайти на сервер.

Добавлено:
Походу как комод в оповещениях вообще не различает входящий трафф от исходящего, так как при одних и тех же оповещениях он создает разные правила для входящего и исходящего трафа.

loopsloop

Цитата:

А если троян будет на моем компе и он будет искать открытые порты, найдет порт сервера и подключится к нему, то к этому трояну же смогут подключаться удаленно?

Для "урегулирования" подобных (и не только) ситуаций существует проактивка.

Подскажите насколько у comodo хорош именно антивирус, фаервол действительно на высоте!

HayastanRLZ
Не раз это обсуждалось. Антивирус у COMODO - лажа.

HarDDroN
Совсем даже не лажа.
Пример на моем сайте завелся вирус. Об этом об этом я прочитал в поисковике Yandex, который использует антивирус Sophos. На работе использую ESET 4. Переписал сайт на свой комп. проверил ничего не нашел, проверил . CareIt ничего. Принес сайт домой запустил проверку и в двух файликах нашлись таки троянские ссылки. Проверил на VirusTotal 75% указали на троян.
Удалил ссылки и через пару дней Yandex перестал выдавать информацию о заражении сайта.

Так что не лажа.

Антивирус COMODO последние полгода на высоте! Если учесть что это еще и бесплатный продукт, то нужно задуматься, стоит ли платить. Вот тесты антивирусов.
Я уже долго слежу за ним. На паре машин стоит CIS 3.

http://www.anti-malware.ru/antivirus_test_zero-day_protection
http://www.matousec.com/projects/proactive-security-challenge/results.php

Нормальный у comodo антивирус. Не навязчивый только
Поясню. "Автораны" и "троянцев" с флешек отлавливает. Окно "смс-или порнобанеры"- установить не помешал, проактивка только возмущалась и сами банеры не подкачивались из-за блокировки фаерволом, по логам которого зараза была вычислена и уничтожена руками.