1. Как быть с broadcast и multicast? Понятно, что входящие запрещены и для первых и для вторых, что называется по умолчанию, а вот как быть с исходящими? Ну, Broadcast, я вроде запретил так, как WIGF советовал:
255.255.255.555
10.255.255.255
10.X.255.255
10.X.Y.255
а вот как бысть мультикастом? Ну, допустим LLMNR я у себя отрубил, но при поднятии сети у меня комп ломится на 224.0.0.1 и 224.0.0.2 получать данные о системах и маршрутизаторах сети, (хотя я при запрете данных исходящих не заметил каких-то проблем работы сети), так имеет ли смысл отрубить все исходящие на адреса 224.0.0.0-239.255.255.255, не приведет ли это к возникновению (потенциально) каких нить траблов могущих повлиять на стабильность работы сети, навроде того что пакеты пойдут в киев через владивосток или еще чего похуже? Как профит, я вижу разгрузку своего соединения от ненужного трафика, но подозреваю что выигрыш мизерный.
2. Как лучше разрулить правила для svchost.exe, может ему просто все исходящие просто разрешить, или с него категорически достаточно http, dns и dhcp запросов? Что касается процесса system - с ним как быть? Какие то наборы правил создавать или тоже на все исходящие дать добро? И насчет правила для wos (в AR) не нашел примеров нигде - его поставить в конце, с разрешенными ICMP и с запрещенными всеми вх\вых IP, или какие то другие варианты? И надо ли для всех процессов, исполняемых файлов и проч. в AR добавлять в наборе последним правилом запрет всего и вся или будет достаточно замыкающего список WOS с подобным запретом?
3. Не совсем понятно с DHCP.
Билайн. Сначала подключаю сетвую к локалке, потом поднимаю VPN.
В GR CIS первым правилом идет исходящие UDP с 68 на 67 и входящие UDP с 67 на 68. При включении сетевухи в логе вижу, что первым делом пошел запрос с 0.0.0.0 на 255.255.255.255, типа "сами мы не местные поможите кто чем сможет" IP адресом. Далее идет входящее UDP C 67 на 68 порт с адреса 10.9.X.Y на 255.255.255.255, хотя если посмотреть "сведения" о состоянии сетеовго адаптера уже после подключения, то там указан DHCP сервер не 10.9.X.Y. а что-то типа 78.107.W.Z. Это нормально? И какой входящий разрешенный адрес лучше указывать для 10.9.X.Y.? Широковещательный 255.255.255.255 или какой-то другой, например диапазон адресов своего сегмента сети, или вообще тут проще отделаться правилом разрешающим входящие UDP с 67 на 68 порт с любых на любые адреса?
4. Относительно безопасности компьютера при выходе из CIS тоже не очень понятно. ЦОБ включен и мониторит антивирус и файрвол, выхожу из CIS жду пару минут, от ЦОБ никаких сообщений о появившейся опасности не появилось.
Глобальные правила при выходе из CIS не работают. Получается, что например, оставил комп включенным, качает он та чей-та из сети, случилась какая-то беда с CIS - завис или, скажем, жена не туда мышкой ткнула...и все.. заходи кто хочешь? Может есть какая то возможность сделать так чтобы при выходе из CIS вообще все блокировалось или что-то в этом роде?
5. Нашел пару глюков. Ну, один точно - иногда, когда редактируешь правило то не сохраняет изменения. Насчет второго глюка не уверен на все 100%, но как-то логирует он подозрительно,такое ощущение что не всегда логирует все события по правилам с соответствующими галочками, может из за того что слишком много правил отмечено для логирования а может я сам глючу или чего-то не понимаю, но вобщем мне логирование показалось подозрительным.
Например, использую L2TP, по идее это - 1701 UDP, за три дня (десятки переподключений) в логах ни одного раза он встречается, хотя все разрешающие GR и AR отмечены как логируемые. Непонятно.