|
Цитата:
Цитата:
ВАЖНО!!! Правило нужно создавать полностью/изначально вручную, т.е. не использовать уже созданные автоматически правила. Если между Вашим FTP Serv-U и клиентами есть сторонний фаервол, то тогда цитата из помощи Serv-U: Цитата:
|
У меня Outpost Firewall Pro ver. 3.0.543.5722 (431). Операционная система:Microsoft Windows XP Professional версия 2002 Service Pack 2.
Проблема заключается в том, что когда я запускаю Far Cry и хочу, подключится к Ubi.com, Outpoct выдаёт, сначало – (Сетевой доступ для Far Cry.ЕХЕ Блокирован, так как его область памяти была изменена другим процессом. Процесс /Е5.0001 произвел запись в область памяти.) после того как я подключился выдаёт- ( Сканирование сети. Узел подменяет свои IP-адреса МАС атакующего: А2-ВВ-20-00-01-00 Или 8С-95-20-00-01-00 IP-атакующего. 255.255.255 Нормального соединение с сервером не происходит постоянно зависает и невидет все сервера. Пробовал обучать, не помогло, разрешил как Доверенному приложению, сервера видит, но не подключается. Могу иногда только сам сделать свой сервер, вот только так и работает. Либо приходится отключать Outpost Firewall и. брандмауэр.Тогда всё идёт как надо. Отключаю, вирусы получаю. К примеру, такого плана - (С/…Black Box.class заражен вирусом Exploit.Java Byte Verify) Помогите, кто, чем может, хотя бы немного, разрулить с этой проблемкой. Да и ещё один вопрос, когда Осёл работает. Что означает: Обнаружен неверный DNS запрос с IP адреса:84.183.103.157 порт4672 на IP адрес: 202.98.116.66 порт53. Что это за не верный адрес такой? Да и ещё один вопрос, когда Осёл работает. Что означает: Обнаружен неверный DNS запрос с IP адреса:84.183.103.157 порт4672 на IP адрес: 202.98.116.66 порт53. Что это за не верный адрес такой? Да и ещё один вопрос, когда Осёл работает. Что означает: Обнаружен неверный DNS запрос с IP адреса:84.183.103.157 порт4672 на IP адрес: 202.98.116.66 порт53. Что это за не верный адрес такой? Я конечно дико извеняюсь но это не моя вина. Выдало ошибку. я послал ещё раз. Так , простите извените!!! :молись: |
Попробуй разрешить когда памят процеса изменена от другой процес вьiходит в Веб (на английски): options/application/Process memory control.
Если заработает нормально, тогда сново забрани все и позволи только то что нужно. Что касает неверньi DNS запрос - нужно будеть очень внимательньi потому что трояньi иногда маскирует свой трафик как DNS запросьi. Сделай все проверки для гадьi которьiе знаеш. Но потому что троян которьi маскируется так возможно будеть очень зльi (например с руткит маскировка) не плохо если ничто не найдеш все таки преинсталирать операционная система. Если ето только когда осел работает не так страшно, но все таки. |
Попробуй разрешить когда памят процеса изменена от другой процес вьiходит в Веб (на английски): options/application/Process memory control.
Можиш повторить свою мысль ещё раз. Немного по подробнее, я не всё понял. |
http://img484.***************img484/7622/clipboardimage7cw.jpg
Удали ето: http://img514.***************img514/4702/clipboardimage10fb.jpg |
Зделал, всё как ты сказал. Теперь по новому.Атакующий заблокирован Обнаружена Short fragments c.62.202.14.199 ПРоверил не идёт.
|
Останови только attack datection plugin:
http://img409.***************img409/6721/at7et.jpg И скажи так работает ли нормально? |
Ещё не сделал, так как пришлось переустанавливать. Не могу его запустить – (используется другим приложением, У вас не достаточно прав.) Вот проги обучу и дуду опять пробовать.
|
Цитата:
ты подсказал не пляшет. Но в журнале нашел новую запись. (farcry.exe исход. Блок. TCP crl Microsoft.com HTTP Заблок. Контролем Компонентов) И вся строка серая и перечёркнута. Я его переместил в Доверенные. Не помогает. И ещё одно пишет ( farcry.exe исх. Блок. TCP gsconnect.ubisoft.com Заблок. Контролем Компонентов) Ума не прилажу где он его блокирует и почему!? Да, вот ещё, нарыл в журнале ещё одну (svchost.exe исх. TDP 217.237.149.225 DNS Использован кэш DNS) если это поможет. |
перешел на оютпост 3. шо за feedback дополнительно висит? Для чего это?
|
Цитата:
C:\Program Files\Agnitum\Outpost Firewall\feedback.exe А вообще, вот ответ на твой вопрос: http://outpostfirewall.com/forum/sho...08&postcount=2 The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs. Перевод (не литературный): feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка. |
Цитата:
|
Gruner, faterider
Я пытался понять о чем Вы говорите, но прикола не понимаю. Могу сказать одно - видать трояны в системе, поэтому и глюки. Но это отдельная история. Детально разбираться нужно. Теперь другое. Можно попробовать прописать ручками для Far Cry.ЕХЕ дополнительную фичу - игнорировать контроль компонентов. Это известный баг в ОР, тянущийся еще с v2.6. - с такими играми, например CS и другими. Теперь по поводу смены mac. Уверен на 90% - подключение VPN. Если да, то часто помогает Детектор атак - вкладка Ethernet. Но это всё в общих чертах. Не забудьте провериться на вирусы последними базами. И никогда не отключать Детектор атак полностью - это самоубийство. |
orvman - Я считаю что с постьi #1430, #1432, #1434 очень ясно показал что отключение ети компонентов нужно сделать, только для тест что конкретно блокирует игру. И после вернуть ети настройки назад и добавить только то что нужно как довереньie елементьi.
Очевидно что если он оставить attack detection, component control и process memory managemet удалени, то ето равносильно удалить цельi Аутпост. Что касается трояна - мне ето тоже усамнило, но я никогда не играл такие игрьi и сам не уверен как держатся. Правда я сделал google для проблема и не нашел ничто подобно в цельi нет и ето наводить на мьiсл что троян возможен. Но ето Gruner должен проверить преди спросить об Аутпосте. |
Цитата:
Цитата:
|
Gruner - а что тут проще? Для всех правил для игры в ОР (если их несколько) для farcry.exe ставишь - Игнорировать контроль компонентов. Видать игра активно юзает UDP-порты. А вообще, много инфы есть в логах ОР.
|
Привет. Всё получилось намного проще, чем я думал. Парамитры / память процессов/(добавил)FARCRY.EXE./И (разрешил) - Блокировать сетевой доступ, если память приложения была изменена другим процессом. Всё лабает как надо.
|
Проблема возникла. Outpost Firewall Pro ver. 3.0.543.5722 (431) - Страшно глючит Opera (c правилами для броузера). Постоянно некоторые страницы недоступны. При политике "Блокировка" и "Обучение" это и происходит. Причем при "Обучении" ничего не спрашивает. В блокированных Оперы нет. А доступа тоже нет. Когда переключаешь на политику "Разрешать" - тогда работает, но с каждого сайта Аутпост обнаруживает кучу атак и сканирования портов ( 217.16.18.83 TCP (2604, 2600, 2598, 2597, 2596, 2581, 2580, 2579, 2574, 2570, 2569, 2568)(Например). Аналогичное поедение у Миранды (при попытке соединяться с Jabber). Почему так? Почему не работает "Обучение"?
|
Цитата:
|
После перехода на Outpost Firewall Pro ver. 3.0.543.5722 (431) стало невозможно ввести пассворд для соединения с роутером (Linksys BEFW11s4). Когда выгружаю Outpost, пассворд проходит нормально. Может надо какое правило отменить? подскажите, кто знает...
|
vikmor
А какие пакеты, содержащие пасс, идут? Т.е. протокол, порт? Что во время попытки соединения пишет Аутпост? |
Может разбирался уже вопрос, но я не нашел :(
Я выгрузил журнал в отдельный файл. В журнале записи разрешенных соединений с объемом принятых и переданных данных. Нет ли проги, которая сможет из этого журнала мне показать, какой процесс за определенное время сколько данных прокачал (просуммировать записи журнала). |
Объясните пожалуйста, программа Shareaza в Аутпосте прописана как Доверительная, т. е. может соединяться с любым адресом, по любому порту, это я так понимаю. В журнале событий очень много записей Заблокирован Исх-Вх по адресам не вызывающих подозрений и через стандартные порты для Shareaza, по TCP и UDP. А в Причина стоит- Запретить любую активность. Чем это объяснить и как с этим бороться ?
Если бы всё и всегда для Sharеaza блокировалось, было бы понятнее, а так... |
значит есть какое-то правило, запрещающее соединения по этим портам, с приоритетом выше ( о приоритетах -- смотри в шапке )
попробуй для начала назначить правила "разрешить все по TCP" и "разрешить все по UDP" и поставь Ignore Component Control |
Цитата:
В журнале, в разрешенных за последние 10 минут, Shareaza у тебя фигурирует? Если да, то тоже скопируй оттуда 2-3 строчки для неё. |
Обновил версию программы до Outpost Firewall Pro ver. 3.0.543.5722 (431) и тут началось :(
Три атаки постоянно фиксируются : Nestea attack Changinh Ip address by changing MAC address Short fragments Говорил с провайдером и подал официальную жалобу (зачем им был нужен паспорт)? Процесс этот длительный. Атак в день до 3000, самое главное, что когда пытаются подменить IPадресс интернет блокируется на 5 минут и далее отваливается (у меня ADSL). Всё это под Win 2000 SP4 - все обновления стоят, все проверено как Антивирусом, так Spyware встроенным в стену. Пробовал чистить кэшы и куки - не помогает. Что же делать без мороза деда? Краткий вырез из журнала : 13:45:05 Short fragments 83.152.28.251 11:29:37 Short fragments 81.34.173.163 11:01:18 Сканирование портов 195.2.83.166 TCP (3545, 3429, 3489, 3488, 3487, 3279) 5:54:46 Nestea атака 84.94.55.92 5:22:46 Short fragments 83.46.159.149 05.02.2006 22:12:13 Short fragments 83.34.233.122 05.02.2006 20:40:34 Short fragments 209.112.185.70 05.02.2006 17:00:03 Short fragments 81.34.173.163 05.02.2006 16:36:53 Short fragments 83.152.30.205 05.02.2006 13:37:39 Short fragments 83.36.197.118 05.02.2006 13:37:37 Short fragments 81.34.173.163 05.02.2006 13:36:48 Nestea атака 84.94.55.92 05.02.2006 13:36:22 Short fragments 195.186.231.64 05.02.2006 13:36:22 Short fragments 84.136.144.233 05.02.2006 11:57:39 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00 05.02.2006 11:45:10 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00 05.02.2006 11:27:18 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00 05.02.2006 11:19:01 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00 05.02.2006 11:08:12 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00 05.02.2006 10:51:55 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0F-00 05.02.2006 10:43:16 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0E-00 05.02.2006 10:37:17 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0E-00 05.02.2006 10:30:07 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0D-00 05.02.2006 10:17:47 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0D-00 05.02.2006 9:39:32 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0B-00 05.02.2006 9:25:33 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0A-00 05.02.2006 9:23:55 Short fragments 84.5.59.185 05.02.2006 9:23:47 Short fragments 195.186.231.64 05.02.2006 9:23:04 Short fragments 83.156.199.42 05.02.2006 9:23:04 Nestea атака 84.94.55.92 05.02.2006 9:22:34 Short fragments 84.220.124.250 04.02.2006 22:29:01 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 22:19:47 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 22:07:43 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 21:51:42 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 21:33:21 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-06-00 04.02.2006 21:19:31 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-06-00 04.02.2006 20:59:05 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-05-00 |
Spacoom
Ты ICS в Windows используешь? Это когда инет расшариваешь через свой комп на второй комп дома? А Peer-to-Peer программами пользуешься? А в какой момент у тебя появляются эти атаки? (это важно) Все атаки типа: 05.02.2006 11:57:39 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00 Можно на них забить. Это что-то вроде глюков сети. Если у тебя VPN подключение или зашифрованное, то точно можно забить. 05.02.2006 17:00:03 Short fragments 81.34.173.163 Это очень похоже на пакеты из сетей Peer-to-Peer. Опять же. Нужно знать, когда эти пакеты начинаются сыпаться. Т.е. после каких твоих манипуляций. 05.02.2006 9:23:04 Nestea атака 84.94.55.92 Это надо у них на сайте или в документации почитать. 11:01:18 Сканирование портов 195.2.83.166 TCP (3545, 3429, 3489, 3488, 3487, 3279) Это очень часто встречается. Просто нужно правильно настроить Детектор атак. Скажем, чтобы в Обычном режиме тревого через 6 сканов он блокировал IP на 1 час. Этого будет достаточно. |
Цитата:
Что такое ICS? Нет, я не расшариваю :( Пользуюсь Ослом версии 0.46с, атаки появляют постоянно - при включении и далее. Иногда даже когда интернета нет - только ADSL модем воткнут :( Цитата:
Цитата:
Что такое ICS? Нет, я не расшариваю :( Пользуюсь Ослом версии 0.46с, атаки появляют постоянно - при включении и далее. Иногда даже когда интернета нет - только ADSL модем воткнут :( Цитата:
|
Цитата:
Ищи по словам Internet Connection Sharing Цитата:
У тебя emule находится в группе доверенных программ или ты прописывал правила вручную? IP адрес у тебя динамический или постоянный? Насчёт подмены IP адреса, попробуй обратиться к провайдеру. Это очень странное явление на ADSL. Такого там по идее быть не должно. На днях, кстати, вышла новая версия, поставь её попробуй. |
Цитата:
Цитата:
Цитата:
Цитата:
|
Spacoom
Попробуй тогда дождаться их ответа... Господа, для всех, кто поставил версию 3.5 Дико рекомендуется ознакомиться с вот этой веткой: Outpost 3.5 - What to expect Вот лишь небольшая выдержка оттуда: Note: If you have followed the setup instructions in A Guide to Producing a Secure Configuration for Outpost for Application DNS, then this will not be practical under 3.5 since it has removed support for user-created or modified preset rules. While existing configurations will work, users with this setup should consider remaining with their current version of Outpost and contacting Agnitum to request this feature be reinstated. Note 2: Beta-testers have reported issues which have yet to be fixed in the released version and some do not consider this as being ready for release. Please check the Known Issues list at the end and only install 3.5 if the extra features are likely to outweigh the reported problems. Note 3: The rules auto-creation feature has been found to have potentially serious security implications, sometimes creating non-removable rules if the Allow Once option of a Rules Wizard popup is selected. This means that rules could be created unintentionally so it is strongly recommended that this feature be disabled (Options/Policy/Do not create rules automatically). Known Issues: 1. The preset.lst has been replaced by a preset.conf which has presets in encrypted form. This means that users can no longer modify or create new presets (which in turn makes implementing the Application-specific DNS option from the Secure Configuration Guide impractical). Those using this option should contact Agnitum (Agnitum Online Support Form) to request reinstatement of this feature. 2. Long hosts lists in rules cannot be edited (the port number, if present, appears superimposed over the list). 3. The "Do not log" option does not seem to work completely with some entries still being logged. 4. Third-party plugins do not currently work with 3.5. Please check the appropriate forums (e.g. the Blockpost Forum) for updates. Plugin authors will have to wait for Agnitum to release an updated Software Development Kit in order to make their plugins compatible with 3.5. 5. Rules created automatically cannot be deleted (they will be re-created when Outpost is restarted if this is tried) but only disabled. Unfortunately, if the "Allow Once" option of the Rules Wizard prompt is chosen, a rule may be created if auto-creation is enabled. This means that a rule could be created unintentionally which then cannot be removed without starting a new configuration (or loading a backup copy). Так же существует серьёзная проблема версии 3.5 и WinRAR! Компьютер вылетает в BSOD (синий экран)!!! Читать тут: http://www.outpostfirewall.com/forum...ad.php?t=16500 |
Народ, пару вопросов :
1) Как настроить правило для streaming aka просмотр телевидиния онлайн, роликов и.т.п. 2) Постоянно приходят входящие UDP запросы на подключение на Generic Host Process с адресов : Цитата:
Цитата:
|
Цитата:
Цитата:
Если после этого инет будет работать, то просто работай в инете :) |
Можно как нибудь настроить журнал чтобы исключать записи по конкретному процессу, протоколу? (мне надо netbios убрать, а то забивает весь журнал, не успеваю читать). Подозреваю что нет, но вдруг я где то проглядел...
(версия 3.5.639.6210) |
Цитата:
Что качается твоего вопроса, по ссылке, что я давал, написано... What's New: 1. Ability to disable logging for individual rules (check the "Do not log" option in the Action section). Для глобальных правил наверное этого нет. Если нет, то наверное никак нельзя сделать :( |
Что ж, придется создать правило специально для этого, спасибо.
А что касается winrar, то у меня все нормально, никаких BSoD'ов, тьфу-тьфу! Версия winrar 3.20 |
Цитата:
|
А можно как нибудь закрыть порты чтобы их даже в списке открытых не было, а не только коннект к ним был запрещен? :цонфусед:
|
добрый день.
подскажите как теперь ( в 3.5 ) заблокировать ( а точнее вообще убрать из правил ) alg.exe? раньше это делалось правкой preset.lst. |
Цитата:
Там написано: 5.5 Фильтрация системы Откройте окно Параметры и выберите вкладку Системные: ... Режим работы — включение/выключение Режима невидимости. Обычно, когда Ваш компьютер получает запрос на соединение от другого компьютера, он посылает ответный сигнал, что порт недоступен. В Режиме невидимости, Ваш компьютер не будет реагировать на запрос, как будто он выключен или не подсоединен к Интернет. Рекомендуется сохранять этот режим включенным, если у Вас нет причин отказаться от него. Цитата:
http://www.imho.ws/showpost.php?p=11...postcount=1458 Note: If you have followed the setup instructions in A Guide to Producing a Secure Configuration for Outpost for Application DNS, then this will not be practical under 3.5 since it has removed support for user-created or modified preset rules. While existing configurations will work, users with this setup should consider remaining with their current version of Outpost and contacting Agnitum to request this feature be reinstated. + Known Issues: 1. The preset.lst has been replaced by a preset.conf which has presets in encrypted form. This means that users can no longer modify or create new presets (which in turn makes implementing the Application-specific DNS option from the Secure Configuration Guide impractical). Those using this option should contact Agnitum (Agnitum Online Support Form) to request reinstatement of this feature. Из этого следует, что возможность редактирование preset.lst теперь отсутствует. Если почитать ещё одну заметку: 5. Rules created automatically cannot be deleted (they will be re-created when Outpost is restarted if this is tried) but only disabled. Unfortunately, if the "Allow Once" option of the Rules Wizard prompt is chosen, a rule may be created if auto-creation is enabled. This means that a rule could be created unintentionally which then cannot be removed without starting a new configuration (or loading a backup copy). Получается, мне так кажется, что если каким-то образом правило для alg.exe было создано автоматически, то удалить его уже никак нельзя, так как после перезагрузки оно будет появлятся снова. Рекомендация, которая там дана, - это просто отлючить данное правило... Надеюсь я смог помочь :) |
| Часовой пояс GMT +4, время: 10:06. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.