Вопросы по Agnitum Outpost Firewall /Outpost Security Suite - Безопасность - Страница 76

alvic · 05.08.2002, 15:19

N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!

========================

Уважаемые пользователи! Если Вы задаете вопрос по проблемам БЕТА-версий данного программного обеспечения, то будьте готовы к тому, что Вам не смогут помочь!

========================

Уважаемые пользователи!!!
Огромная просьба к Вам!!!

1-ых,
Если Вы просите решить какую-либо проблему с программой Outpost Firewall
указывайте, пожалуйста, версию программы!!!
+
Вашу операционную систему, к примеру: Windows XP ENG SP2 + All Windows Updates
P.S. Скопировать версию программы можно из:
Главное окно Outpost -> Справка -> О программе Outpost Firewall Pro
К примеру: Outpost Firewall Pro ver. 2.7.479.5319 (411)
Номер версии можно выделить мышкой и скопировать в буфер!!!

2-ых,
В решении вашей проблемы очень сильно поможет соответствующая запись из Журнала событий Outpost Firewall
Иконка Outpost Firewall в трее -> Правый клик мышки -> Открыть Журнал событий
или
Главное окно Outpost -> Сервис -> Просмотр Журнала (F7)

3-их,
Прочитайте, пожалуйста, хотя бы один раз русскоязычную документацию к программе!!!
Ссылка на строчку ниже...

========================

Ресурсы для ознакомления:

Русскоязычная документация (с картинками).
http://www.agnitum.com/download/User_Guide_(RU).pdf

01. Весь данный топ на одной странице (поиск по Ctrl+F).

02. Довольно много правил под популярные программы.

03. Knowledge Base (англ.) и Часто задаваемые вопросы (рус.) - весьма познавательно для продвинутых юзеров.

04. Форум на английском языке - http://www.outpostfirewall.com/forum/

05. Форум на русском языке - http://www.firewallforum.ru/

06. Официальный сайт (анг.) - http://www.agnitum.com/

07. Официальный сайт (рус.) - http://www.agnitum.ru/

08. База Знаний Agnitum Outpost - Неофициального русского форумa Agnitum Outpost Firewall

09. Outpost 4.0 - What to Expect - http://www.outpostfirewall.com/forum...ad.php?t=18611

10. A Guide to Producing a Secure Configuration for Outpost - http://www.outpostfirewall.com/forum...&threadid=9858

11. Впервые в РУНЕТЕ - Перевод статьи Paranoid2000 -> A Guide to Producing a Secure Configuration for Outpost -> Теперь на русском языке!!!

--->>> Читаем "Руководство по созданию безопасной конфигурации Outpost". Это должно избавить Пользователей ОР от многих проблем...

12. Outpost PRO FAQ (англ.) - http://www.outpostfirewall.com/forum...splay.php?f=64

13. Забыли пароль? Вам сюда! - http://outpostfirewall.com/forum/showthread.php?t=12089

14. Как я могу сохранить диагностическую информацию, чтобы предоставить ее службе технической поддержки Agnitum? / How can I save Outpost log files and send them to Agnitum's technical support team?
www.agnitum.com/support/kb/article.php?id=1000144&lang=ru

========================

Обновление до последней бета версии идёт только при измененном update.ini
1) C:\Program Files\Common Files\Agnitum Shared\Aupdate
2) update.ini
3) Изменить:
Outpost Firewall Pro ver. 2.0.xxx.xxxx (xxx)
ServerDir=/update_beta25 (было ServerDir=/update_pro20)
Outpost Firewall Pro ver. 3.0.xxx.xxxx (xxx)
ServerDir=/update_test (было ServerDir=/update_pro20)
4) Сохранить файл
5) Запустить обновление
Внимание!!! При обновлении блокируются "левые" ключи!!!

========================
Если Ваш компьютер настроен как шлюз Internet Connection Sharing (ICS),
могут наблюдаться проблемы с доступом на FTP-серверы,
если используется активный режим передачи данных протокола FTP.

Проблема:
Outpost 2.5-3.5 + Windows ICS (Internet Connection Sharing) + Не работает 21 порт

Симптом:
Вы используете ICS и ваш FTP менеджер или менеджер закачки не может работать через 21 порт.

Решение:
Для избежания блокировки таких соединений в Outpost Firewall, попробуйте сделать следующее:
1. Убедитесь что у текущего пользователя есть права администратора системы.
2. Нажмите Start (Пуск), затем Run (Выполнить).
3. Введите REGEDIT и нажмите Enter.
4. Найдите ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\
5. Для ключа ISV замените значение Enable на Disable.
6. Закройте программу Registry Editor.

========================
Каков порядок применения правил обработки сетевого трафика в продуктах Outpost?

http://www.agnitum.ru/support/kb/art...000120&lang=ru

Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008

Блокировать узел атакующего
Доверенные зоны
Глобальное правило блокировки/разрешения NetBIOS
Низкоуровневые системные правила, помеченные как "правила с высоким приоритетом"
Глобальные правила, применяемые до правил для приложений
Правила для приложений (Запрещенные/Доверенные/Пользовательский уровень)
Низкоуровневые системные правила
Глобальные правила, применяемые после правил для приложений
Разрешить NAT-пакеты
Правила ICMP
Политика Outpost
Блокировать транзитные пакеты

========================
Как сделать, чтобы "глобальные правила" имели больший приоретет, чем "правила для приложений?!"
User_Guide_(RU).pdf
5.5 Фильтрация системы
...
Вы можете изменять глобальные правила или создавать новые с помощью кнопки Правила. Этот процесс аналогичен созданию правил на основе приложений, описанному в главе 5.4 Создание правил для приложений.
Единственными отличиями являются следующие возможности.
Возможность задания типа пакета для исходящих соединений (т.е. соединений, где Где направление – Исходящее):
• Локальные пакеты, направленные из или в локальную сеть
• Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты)
• NAT пакеты – транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT (Network Address Translation, трансляция сетевых адресов) прокси-сервер)

Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество над правилами для приложений, которым отдается предпочтение по умолчанию.

Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NeBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию.
Более того, если Вы отметили Игнорировать Контроль компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения.

NetBIOS rules (in Options/LAN) have a priority of 243. The "Global NetBIOS Block" rule has a priority of 242. Global rules marked as High Priority have a priority of 192 so they do not override NetBIOS/Trusted settings. However adding Ignore Component Control to a global/application rule (regardless of whether it has High Priority set or not) increases its priority to 251 so this would override NetBIOS/Trusted settings. This is an interesting thing to know about, so thanks for pointing it out - I will update the Rules Processing FAQ accordingly.
========================

version 3 and Port 803?
http://outpostfirewall.com/forum/showthread.php?t=15081
Listening on port 803, its for the smart advisor, when you get a message asking you to allow or deny a program, the smart advisor connects to the agnitum server and queries a database for a recommended action.

========================

Линейка продуктов ESET NOD32 Antivirus 3 и ESET Smart Security фильтрует весь HTTP и POP3 трафик через себя...

Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Подобное поведение можно отключить!
Как? Читай по этой ссылке (кликай тута)!

========================

Что такое feedback.exe
Ответ на вопрос:
http://outpostfirewall.com/forum/sh...708&postcount=2
The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs.
Перевод (не литературный):
feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка.

========================
History of changes
http://www.agnitum.com/products/outpost/history.php
========================
N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!
========================

anakarn · 12.01.2006, 23:54

vikmor
А какие пакеты, содержащие пасс, идут? Т.е. протокол, порт? Что во время попытки соединения пишет Аутпост?

ssypchenko · 13.01.2006, 00:38

Может разбирался уже вопрос, но я не нашел

Я выгрузил журнал в отдельный файл. В журнале записи разрешенных соединений с объемом принятых и переданных данных. Нет ли проги, которая сможет из этого журнала мне показать, какой процесс за определенное время сколько данных прокачал (просуммировать записи журнала).

mat · 20.01.2006, 09:47

Объясните пожалуйста, программа Shareaza в Аутпосте прописана как Доверительная, т. е. может соединяться с любым адресом, по любому порту, это я так понимаю. В журнале событий очень много записей Заблокирован Исх-Вх по адресам не вызывающих подозрений и через стандартные порты для Shareaza, по TCP и UDP. А в Причина стоит- Запретить любую активность. Чем это объяснить и как с этим бороться ?
Если бы всё и всегда для Sharеaza блокировалось, было бы понятнее, а так...

dyr_farot · 20.01.2006, 11:26

значит есть какое-то правило, запрещающее соединения по этим портам, с приоритетом выше ( о приоритетах -- смотри в шапке )
попробуй для начала назначить правила "разрешить все по TCP" и "разрешить все по UDP" и поставь Ignore Component Control

Makc666 · 24.01.2006, 17:37

Цитата:

dyr_farot:
Объясните пожалуйста, программа Shareaza в Аутпосте прописана как Доверительная, т. е. может соединяться с любым адресом, по любому порту, это я так понимаю. В журнале событий очень много записей Заблокирован Исх-Вх по адресам не вызывающих подозрений и через стандартные порты для Shareaza, по TCP и UDP. А в Причина стоит- Запретить любую активность. Чем это объяснить и как с этим бороться ?
Если бы всё и всегда для Sharеaza блокировалось, было бы понятнее, а так...

Скопируй, пожалуйста, лог из журнала. Хотя бы 2-3 строчки. Там где пишет, что заблокировано. Никакие IP адреса вырезать не нужно.
В журнале, в разрешенных за последние 10 минут, Shareaza у тебя фигурирует? Если да, то тоже скопируй оттуда 2-3 строчки для неё.

Spacoom · 06.02.2006, 17:21

Обновил версию программы до Outpost Firewall Pro ver. 3.0.543.5722 (431) и тут началось

Три атаки постоянно фиксируются :
Nestea attack
Changinh Ip address by changing MAC address
Short fragments

Говорил с провайдером и подал официальную жалобу (зачем им был нужен паспорт)? Процесс этот длительный.

Атак в день до 3000, самое главное, что когда пытаются подменить IPадресс интернет блокируется на 5 минут и далее отваливается (у меня ADSL).

Всё это под Win 2000 SP4 - все обновления стоят, все проверено как Антивирусом, так Spyware встроенным в стену.
Пробовал чистить кэшы и куки - не помогает.

Что же делать без мороза деда?

Краткий вырез из журнала :
13:45:05 Short fragments 83.152.28.251
11:29:37 Short fragments 81.34.173.163
11:01:18 Сканирование портов 195.2.83.166 TCP (3545, 3429, 3489, 3488, 3487, 3279)
5:54:46 Nestea атака 84.94.55.92
5:22:46 Short fragments 83.46.159.149
05.02.2006 22:12:13 Short fragments 83.34.233.122
05.02.2006 20:40:34 Short fragments 209.112.185.70
05.02.2006 17:00:03 Short fragments 81.34.173.163
05.02.2006 16:36:53 Short fragments 83.152.30.205
05.02.2006 13:37:39 Short fragments 83.36.197.118
05.02.2006 13:37:37 Short fragments 81.34.173.163
05.02.2006 13:36:48 Nestea атака 84.94.55.92
05.02.2006 13:36:22 Short fragments 195.186.231.64
05.02.2006 13:36:22 Short fragments 84.136.144.233
05.02.2006 11:57:39 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00
05.02.2006 11:45:10 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00
05.02.2006 11:27:18 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00
05.02.2006 11:19:01 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00
05.02.2006 11:08:12 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00
05.02.2006 10:51:55 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0F-00
05.02.2006 10:43:16 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0E-00
05.02.2006 10:37:17 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0E-00
05.02.2006 10:30:07 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0D-00
05.02.2006 10:17:47 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0D-00
05.02.2006 9:39:32 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0B-00
05.02.2006 9:25:33 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0A-00
05.02.2006 9:23:55 Short fragments 84.5.59.185
05.02.2006 9:23:47 Short fragments 195.186.231.64
05.02.2006 9:23:04 Short fragments 83.156.199.42
05.02.2006 9:23:04 Nestea атака 84.94.55.92
05.02.2006 9:22:34 Short fragments 84.220.124.250
04.02.2006 22:29:01 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00
04.02.2006 22:19:47 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00
04.02.2006 22:07:43 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00
04.02.2006 21:51:42 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00
04.02.2006 21:33:21 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-06-00
04.02.2006 21:19:31 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-06-00
04.02.2006 20:59:05 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-05-00

Makc666 · 09.02.2006, 03:11

Spacoom
Ты ICS в Windows используешь? Это когда инет расшариваешь через свой комп на второй комп дома?

А Peer-to-Peer программами пользуешься?

А в какой момент у тебя появляются эти атаки? (это важно)

Все атаки типа:
05.02.2006 11:57:39 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00
Можно на них забить.
Это что-то вроде глюков сети.
Если у тебя VPN подключение или зашифрованное, то точно можно забить.

05.02.2006 17:00:03 Short fragments 81.34.173.163
Это очень похоже на пакеты из сетей Peer-to-Peer.
Опять же. Нужно знать, когда эти пакеты начинаются сыпаться.
Т.е. после каких твоих манипуляций.

05.02.2006 9:23:04 Nestea атака 84.94.55.92
Это надо у них на сайте или в документации почитать.

11:01:18 Сканирование портов 195.2.83.166 TCP (3545, 3429, 3489, 3488, 3487, 3279)
Это очень часто встречается.
Просто нужно правильно настроить Детектор атак.
Скажем, чтобы в Обычном режиме тревого через 6 сканов он блокировал IP на 1 час. Этого будет достаточно.

Spacoom · 09.02.2006, 11:50

Цитата:

Makc666:
Ты ICS в Windows используешь? Это когда инет расшариваешь через свой комп на второй комп дома?
А Peer-to-Peer программами пользуешься?
А в какой момент у тебя появляются эти атаки? (это важно)

[QUOTE]Makc666:
Что такое ICS? Нет, я не расшариваю

Пользуюсь Ослом версии 0.46с, атаки появляют постоянно - при включении и далее. Иногда даже когда интернета нет - только ADSL модем воткнут

Цитата:

Makc666:
Скажем, чтобы в Обычном режиме тревого через 6 сканов он блокировал IP на 1 час. Этого будет достаточно.

Этот вообще пришлось откючить, так как когда он это делает - он блокирует доступ в интернет (после подмены адреса) и тот отваливается

Цитата:

Makc666:
Ты ICS в Windows используешь? Это когда инет расшариваешь через свой комп на второй комп дома?
А Peer-to-Peer программами пользуешься?
А в какой момент у тебя появляются эти атаки? (это важно)

[QUOTE]Makc666:
Что такое ICS? Нет, я не расшариваю

Пользуюсь Ослом версии 0.46с, атаки появляют постоянно - при включении и далее. Иногда даже когда интернета нет - только ADSL модем воткнут

Цитата:

Makc666:
Скажем, чтобы в Обычном режиме тревого через 6 сканов он блокировал IP на 1 час. Этого будет достаточно.

Этот вообще пришлось откючить, так как когда он это делает - он блокирует доступ в интернет (после подмены адреса) и тот отваливается

Makc666 · 10.02.2006, 21:00

Цитата:

Spacoom:
Что такое ICS? Нет, я не расшариваю

Раз не знаешь, значит не юзаешь

Поищи ответ в инете - там есть.
Ищи по словам Internet Connection Sharing

Цитата:

Spacoom:
Пользуюсь Ослом версии 0.46с, атаки появляют постоянно - при включении и далее. Иногда даже когда интернета нет - только ADSL модем воткнут

Это ответ на твой вопрос. Вернее причина атак.

У тебя emule находится в группе доверенных программ или ты прописывал правила вручную?

IP адрес у тебя динамический или постоянный?

Насчёт подмены IP адреса, попробуй обратиться к провайдеру. Это очень странное явление на ADSL. Такого там по идее быть не должно.

На днях, кстати, вышла новая версия, поставь её попробуй.

Spacoom · 11.02.2006, 12:50

Цитата:

Makc666:
У тебя emule находится в группе доверенных программ или ты прописывал правила вручную?

Идёт доверенной, в том-то всё и дело.

Цитата:

Makc666:
Насчёт подмены IP адреса, попробуй обратиться к провайдеру. Это очень странное явление на ADSL. Такого там по идее быть не должно.

Я уже давно сходил написал заявление (с паспортом!!), обещали разобраться. Они, как мнепоказалось, к этому делу серьезно отнеслись.

Цитата:

Makc666:
IP адрес у тебя динамический или постоянный?

Динамический.

Цитата:

Makc666:
На днях, кстати, вышла новая версия, поставь её попробуй.

Поставил, пока та же история.

Makc666 · 11.02.2006, 23:54

Spacoom
Попробуй тогда дождаться их ответа...

Господа, для всех, кто поставил версию 3.5
Дико рекомендуется ознакомиться с вот этой веткой:
Outpost 3.5 - What to expect

Вот лишь небольшая выдержка оттуда:

Note: If you have followed the setup instructions in A Guide to Producing a Secure Configuration for Outpost for Application DNS, then this will not be practical under 3.5 since it has removed support for user-created or modified preset rules. While existing configurations will work, users with this setup should consider remaining with their current version of Outpost and contacting Agnitum to request this feature be reinstated.

Note 2: Beta-testers have reported issues which have yet to be fixed in the released version and some do not consider this as being ready for release. Please check the Known Issues list at the end and only install 3.5 if the extra features are likely to outweigh the reported problems.

Note 3: The rules auto-creation feature has been found to have potentially serious security implications, sometimes creating non-removable rules if the Allow Once option of a Rules Wizard popup is selected. This means that rules could be created unintentionally so it is strongly recommended that this feature be disabled (Options/Policy/Do not create rules automatically).

Known Issues:
1. The preset.lst has been replaced by a preset.conf which has presets in encrypted form. This means that users can no longer modify or create new presets (which in turn makes implementing the Application-specific DNS option from the Secure Configuration Guide impractical). Those using this option should contact Agnitum (Agnitum Online Support Form) to request reinstatement of this feature.
2. Long hosts lists in rules cannot be edited (the port number, if present, appears superimposed over the list).
3. The "Do not log" option does not seem to work completely with some entries still being logged.
4. Third-party plugins do not currently work with 3.5. Please check the appropriate forums (e.g. the Blockpost Forum) for updates. Plugin authors will have to wait for Agnitum to release an updated Software Development Kit in order to make their plugins compatible with 3.5.
5. Rules created automatically cannot be deleted (they will be re-created when Outpost is restarted if this is tried) but only disabled. Unfortunately, if the "Allow Once" option of the Rules Wizard prompt is chosen, a rule may be created if auto-creation is enabled. This means that a rule could be created unintentionally which then cannot be removed without starting a new configuration (or loading a backup copy).

Так же существует серьёзная проблема версии 3.5 и WinRAR!
Компьютер вылетает в BSOD (синий экран)!!!
Читать тут:
http://www.outpostfirewall.com/forum...ad.php?t=16500

HEOH · 12.02.2006, 03:47

Народ, пару вопросов :

1) Как настроить правило для streaming aka просмотр телевидиния онлайн, роликов и.т.п.
2) Постоянно приходят входящие UDP запросы на подключение на Generic Host Process с адресов :

Цитата:

84.95.14.250
212.116.161.38

NsLookup выдает следущее :

Цитата:

38.161.116.212.in-addr.arpa name = cachemed1.012.net.il.
Authoritative answers can be found from:
161.116.212.in-addr.arpa nameserver = sdns.goldenlines.net.il.
161.116.212.in-addr.arpa nameserver = pdns.goldenlines.net.il.

250.14.95.84.in-addr.arpa name = nscachept.012.net.il.
Authoritative answers can be found from:
14.95.84.in-addr.arpa nameserver = sdns.goldenlines.net.il.
14.95.84.in-addr.arpa nameserver = pdns.goldenlines.net.il.

Я так понял что это запросы с DNS сервера провайдера и можно эти входящие подключения прописать в разрешенные правила?

Makc666 · 12.02.2006, 04:04

Цитата:

HEOH:
1) Как настроить правило для streaming aka просмотр телевидиния онлайн, роликов и.т.п.

Где настроить? Для чего? Если отдельная какая-то программа, разреши ты ей полный доступ на те сайты, откуда смотришь и не мучайся

Цитата:

HEOH:
2) Постоянно приходят входящие UDP запросы на подключение на Generic Host Process с адресов

Заблокируй просто все входящие с UDP для него и всё

Если после этого инет будет работать, то просто работай в инете

Тэш · 12.02.2006, 06:45

Можно как нибудь настроить журнал чтобы исключать записи по конкретному процессу, протоколу? (мне надо netbios убрать, а то забивает весь журнал, не успеваю читать). Подозреваю что нет, но вдруг я где то проглядел...
(версия 3.5.639.6210)

Makc666 · 12.02.2006, 13:32

Цитата:

Тэш:
Можно как нибудь настроить журнал чтобы исключать записи по конкретному процессу, протоколу? (мне надо netbios убрать, а то забивает весь журнал, не успеваю читать). Подозреваю что нет, но вдруг я где то проглядел...
(версия 3.5.639.6210)

Я, лично, от 3.5 отказался, ибо это бред, а не прога. Любая попытка заархивировать из проводника с помощью WinRAR и комп улетает в BSOD.

Что качается твоего вопроса, по ссылке, что я давал, написано...
What's New:
1. Ability to disable logging for individual rules (check the "Do not log" option in the Action section).

Для глобальных правил наверное этого нет. Если нет, то наверное никак нельзя сделать

Тэш · 12.02.2006, 16:55

Что ж, придется создать правило специально для этого, спасибо.
А что касается winrar, то у меня все нормально, никаких BSoD'ов, тьфу-тьфу! Версия winrar 3.20

Vladimir Ivanov · 12.02.2006, 22:04

Цитата:

Makc666
Я, лично, от 3.5 отказался, ибо это бред, а не прога. Любая попытка заархивировать из проводника с помощью WinRAR и комп улетает в BSOD.

Прочитав, я уж тоже было хотел последовать этому [отказаться от Outpost Firewall Pro ver. 3.5.639.6210 (457)], проверил, с WinRAR всё в порядке, работает (!), пока воздержусь....

Тэш · 13.02.2006, 06:07

А можно как нибудь закрыть порты чтобы их даже в списке открытых не было, а не только коннект к ним был запрещен? :цонфусед:

dyr_farot · 13.02.2006, 18:56

добрый день.
подскажите как теперь ( в 3.5 ) заблокировать ( а точнее вообще убрать из правил ) alg.exe?
раньше это делалось правкой preset.lst.

Makc666 · 13.02.2006, 22:41

Цитата:

Тэш:
А можно как нибудь закрыть порты чтобы их даже в списке открытых не было, а не только коннект к ним был запрещен? :цонфусед:

Почитай инструкцию к программе!!!
Там написано:
5.5 Фильтрация системы
Откройте окно Параметры и выберите вкладку Системные:
...
Режим работы — включение/выключение Режима невидимости. Обычно, когда Ваш компьютер получает запрос на соединение от другого компьютера, он посылает ответный сигнал, что порт недоступен. В Режиме невидимости, Ваш компьютер не будет реагировать на запрос, как будто он выключен или не подсоединен к Интернет. Рекомендуется сохранять этот режим включенным, если у Вас нет причин отказаться от него.

Цитата:

dyr_farot:
подскажите как теперь ( в 3.5 ) заблокировать ( а точнее вообще убрать из правил ) alg.exe?
раньше это делалось правкой preset.lst.

Выше в теме в моём посте на предыдущей старанице написано красным:
http://www.imho.ws/showpost.php?p=11...postcount=1458
Note: If you have followed the setup instructions in A Guide to Producing a Secure Configuration for Outpost for Application DNS, then this will not be practical under 3.5 since it has removed support for user-created or modified preset rules. While existing configurations will work, users with this setup should consider remaining with their current version of Outpost and contacting Agnitum to request this feature be reinstated.
+
Known Issues:
1. The preset.lst has been replaced by a preset.conf which has presets in encrypted form. This means that users can no longer modify or create new presets (which in turn makes implementing the Application-specific DNS option from the Secure Configuration Guide impractical). Those using this option should contact Agnitum (Agnitum Online Support Form) to request reinstatement of this feature.

Из этого следует, что возможность редактирование preset.lst теперь отсутствует.

Если почитать ещё одну заметку:
5. Rules created automatically cannot be deleted (they will be re-created when Outpost is restarted if this is tried) but only disabled. Unfortunately, if the "Allow Once" option of the Rules Wizard prompt is chosen, a rule may be created if auto-creation is enabled. This means that a rule could be created unintentionally which then cannot be removed without starting a new configuration (or loading a backup copy).

Получается, мне так кажется, что если каким-то образом правило для alg.exe было создано автоматически, то удалить его уже никак нельзя, так как после перезагрузки оно будет появлятся снова. Рекомендация, которая там дана, - это просто отлючить данное правило...

Надеюсь я смог помочь

05.08.2002, 15:19	# 1
alvic Full Member Регистрация: 14.06.2002 Адрес: Гатчина Пол: Male Сообщения: 731	Вопросы по Agnitum Outpost Firewall /Outpost Security Suite N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения! ======================== Уважаемые пользователи! Если Вы задаете вопрос по проблемам БЕТА-версий данного программного обеспечения, то будьте готовы к тому, что Вам не смогут помочь! ======================== Уважаемые пользователи!!! Огромная просьба к Вам!!! 1-ых, Если Вы просите решить какую-либо проблему с программой Outpost Firewall указывайте, пожалуйста, версию программы!!! + Вашу операционную систему, к примеру: Windows XP ENG SP2 + All Windows Updates P.S. Скопировать версию программы можно из: Главное окно Outpost -> Справка -> О программе Outpost Firewall Pro К примеру: Outpost Firewall Pro ver. 2.7.479.5319 (411) Номер версии можно выделить мышкой и скопировать в буфер!!! 2-ых, В решении вашей проблемы очень сильно поможет соответствующая запись из Журнала событий Outpost Firewall Иконка Outpost Firewall в трее -> Правый клик мышки -> Открыть Журнал событий или Главное окно Outpost -> Сервис -> Просмотр Журнала (F7) 3-их, Прочитайте, пожалуйста, хотя бы один раз русскоязычную документацию к программе!!! Ссылка на строчку ниже... ======================== Ресурсы для ознакомления: Русскоязычная документация (с картинками). http://www.agnitum.com/download/User_Guide_(RU).pdf 01. Весь данный топ на одной странице (поиск по Ctrl+F). 02. Довольно много правил под популярные программы. 03. Knowledge Base (англ.) и Часто задаваемые вопросы (рус.) - весьма познавательно для продвинутых юзеров. 04. Форум на английском языке - http://www.outpostfirewall.com/forum/ 05. Форум на русском языке - http://www.firewallforum.ru/ 06. Официальный сайт (анг.) - http://www.agnitum.com/ 07. Официальный сайт (рус.) - http://www.agnitum.ru/ 08. База Знаний Agnitum Outpost - Неофициального русского форумa Agnitum Outpost Firewall 09. Outpost 4.0 - What to Expect - http://www.outpostfirewall.com/forum...ad.php?t=18611 10. A Guide to Producing a Secure Configuration for Outpost - http://www.outpostfirewall.com/forum...&threadid=9858 11. Впервые в РУНЕТЕ - Перевод статьи Paranoid2000 -> A Guide to Producing a Secure Configuration for Outpost -> Теперь на русском языке!!! --->>> Читаем "Руководство по созданию безопасной конфигурации Outpost". Это должно избавить Пользователей ОР от многих проблем... 12. Outpost PRO FAQ (англ.) - http://www.outpostfirewall.com/forum...splay.php?f=64 13. Забыли пароль? Вам сюда! - http://outpostfirewall.com/forum/showthread.php?t=12089 14. Как я могу сохранить диагностическую информацию, чтобы предоставить ее службе технической поддержки Agnitum? / How can I save Outpost log files and send them to Agnitum's technical support team? www.agnitum.com/support/kb/article.php?id=1000144&lang=ru ======================== Обновление до последней бета версии идёт только при измененном update.ini 1) C:\Program Files\Common Files\Agnitum Shared\Aupdate 2) update.ini 3) Изменить: Outpost Firewall Pro ver. 2.0.xxx.xxxx (xxx) ServerDir=/update_beta25 (было ServerDir=/update_pro20) Outpost Firewall Pro ver. 3.0.xxx.xxxx (xxx) ServerDir=/update_test (было ServerDir=/update_pro20) 4) Сохранить файл 5) Запустить обновление Внимание!!! При обновлении блокируются "левые" ключи!!! ======================== Если Ваш компьютер настроен как шлюз Internet Connection Sharing (ICS), могут наблюдаться проблемы с доступом на FTP-серверы, если используется активный режим передачи данных протокола FTP. Проблема: Outpost 2.5-3.5 + Windows ICS (Internet Connection Sharing) + Не работает 21 порт Симптом: Вы используете ICS и ваш FTP менеджер или менеджер закачки не может работать через 21 порт. Решение: Для избежания блокировки таких соединений в Outpost Firewall, попробуйте сделать следующее: 1. Убедитесь что у текущего пользователя есть права администратора системы. 2. Нажмите Start (Пуск), затем Run (Выполнить). 3. Введите REGEDIT и нажмите Enter. 4. Найдите ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\ 5. Для ключа ISV замените значение Enable на Disable. 6. Закройте программу Registry Editor. ======================== Каков порядок применения правил обработки сетевого трафика в продуктах Outpost? http://www.agnitum.ru/support/kb/art...000120&lang=ru Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008 Блокировать узел атакующего Доверенные зоны Глобальное правило блокировки/разрешения NetBIOS Низкоуровневые системные правила, помеченные как "правила с высоким приоритетом" Глобальные правила, применяемые до правил для приложений Правила для приложений (Запрещенные/Доверенные/Пользовательский уровень) Низкоуровневые системные правила Глобальные правила, применяемые после правил для приложений Разрешить NAT-пакеты Правила ICMP Политика Outpost Блокировать транзитные пакеты ======================== Как сделать, чтобы "глобальные правила" имели больший приоретет, чем "правила для приложений?!" User_Guide_(RU).pdf 5.5 Фильтрация системы ... Вы можете изменять глобальные правила или создавать новые с помощью кнопки Правила. Этот процесс аналогичен созданию правил на основе приложений, описанному в главе 5.4 Создание правил для приложений. Единственными отличиями являются следующие возможности. Возможность задания типа пакета для исходящих соединений (т.е. соединений, где Где направление – Исходящее): • Локальные пакеты, направленные из или в локальную сеть • Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты) • NAT пакеты – транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT (Network Address Translation, трансляция сетевых адресов) прокси-сервер) Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество над правилами для приложений, которым отдается предпочтение по умолчанию. Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NeBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию. Более того, если Вы отметили Игнорировать Контроль компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения. NetBIOS rules (in Options/LAN) have a priority of 243. The "Global NetBIOS Block" rule has a priority of 242. Global rules marked as High Priority have a priority of 192 so they do not override NetBIOS/Trusted settings. However adding Ignore Component Control to a global/application rule (regardless of whether it has High Priority set or not) increases its priority to 251 so this would override NetBIOS/Trusted settings. This is an interesting thing to know about, so thanks for pointing it out - I will update the Rules Processing FAQ accordingly. ======================== version 3 and Port 803? http://outpostfirewall.com/forum/showthread.php?t=15081 Listening on port 803, its for the smart advisor, when you get a message asking you to allow or deny a program, the smart advisor connects to the agnitum server and queries a database for a recommended action. ======================== Линейка продуктов ESET NOD32 Antivirus 3 и ESET Smart Security фильтрует весь HTTP и POP3 трафик через себя... Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию) Порты используемые протоколом POP3: 110 (по умолчанию) *Линейка продуктов ESET 3. и Agnitum Outpost Security Suity / Firewall 2008 В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер! Подобное поведение можно отключить!** Как? Читай по этой ссылке (кликай тута)! ======================== Что такое feedback.exe Ответ на вопрос: http://outpostfirewall.com/forum/sh...708&postcount=2 The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs. Перевод (не литературный): feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка. ======================== History of changes http://www.agnitum.com/products/outpost/history.php ======================== N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения! ======================== Последний раз редактировалось Makc666; 10.11.2009 в 12:12. Причина: Ссылка на firewallforum.ru и ссылки обновлены

13.01.2006, 00:38	# 1502
ssypchenko Junior Member Регистрация: 11.08.2003 Сообщения: 63	Может разбирался уже вопрос, но я не нашел Я выгрузил журнал в отдельный файл. В журнале записи разрешенных соединений с объемом принятых и переданных данных. Нет ли проги, которая сможет из этого журнала мне показать, какой процесс за определенное время сколько данных прокачал (просуммировать записи журнала). __________________ С.

20.01.2006, 09:47	# 1503
mat Member Регистрация: 10.08.2002 Сообщения: 386	Объясните пожалуйста, программа Shareaza в Аутпосте прописана как Доверительная, т. е. может соединяться с любым адресом, по любому порту, это я так понимаю. В журнале событий очень много записей Заблокирован Исх-Вх по адресам не вызывающих подозрений и через стандартные порты для Shareaza, по TCP и UDP. А в Причина стоит- Запретить любую активность. Чем это объяснить и как с этим бороться ? Если бы всё и всегда для Sharеaza блокировалось, было бы понятнее, а так... __________________ Удачи ! Последний раз редактировалось mat; 20.01.2006 в 09:52.

06.02.2006, 17:21	# 1506
Spacoom (Злопидор) Banned Регистрация: 02.02.2006 Сообщения: 347	Обновил версию программы до Outpost Firewall Pro ver. 3.0.543.5722 (431) и тут началось Три атаки постоянно фиксируются : Nestea attack Changinh Ip address by changing MAC address Short fragments Говорил с провайдером и подал официальную жалобу (зачем им был нужен паспорт)? Процесс этот длительный. Атак в день до 3000, самое главное, что когда пытаются подменить IPадресс интернет блокируется на 5 минут и далее отваливается (у меня ADSL). Всё это под Win 2000 SP4 - все обновления стоят, все проверено как Антивирусом, так Spyware встроенным в стену. Пробовал чистить кэшы и куки - не помогает. Что же делать без мороза деда? Краткий вырез из журнала : 13:45:05 Short fragments 83.152.28.251 11:29:37 Short fragments 81.34.173.163 11:01:18 Сканирование портов 195.2.83.166 TCP (3545, 3429, 3489, 3488, 3487, 3279) 5:54:46 Nestea атака 84.94.55.92 5:22:46 Short fragments 83.46.159.149 05.02.2006 22:12:13 Short fragments 83.34.233.122 05.02.2006 20:40:34 Short fragments 209.112.185.70 05.02.2006 17:00:03 Short fragments 81.34.173.163 05.02.2006 16:36:53 Short fragments 83.152.30.205 05.02.2006 13:37:39 Short fragments 83.36.197.118 05.02.2006 13:37:37 Short fragments 81.34.173.163 05.02.2006 13:36:48 Nestea атака 84.94.55.92 05.02.2006 13:36:22 Short fragments 195.186.231.64 05.02.2006 13:36:22 Short fragments 84.136.144.233 05.02.2006 11:57:39 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00 05.02.2006 11:45:10 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00 05.02.2006 11:27:18 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00 05.02.2006 11:19:01 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00 05.02.2006 11:08:12 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-11-00 05.02.2006 10:51:55 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0F-00 05.02.2006 10:43:16 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0E-00 05.02.2006 10:37:17 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0E-00 05.02.2006 10:30:07 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0D-00 05.02.2006 10:17:47 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0D-00 05.02.2006 9:39:32 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0B-00 05.02.2006 9:25:33 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-0A-00 05.02.2006 9:23:55 Short fragments 84.5.59.185 05.02.2006 9:23:47 Short fragments 195.186.231.64 05.02.2006 9:23:04 Short fragments 83.156.199.42 05.02.2006 9:23:04 Nestea атака 84.94.55.92 05.02.2006 9:22:34 Short fragments 84.220.124.250 04.02.2006 22:29:01 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 22:19:47 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 22:07:43 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 21:51:42 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-08-00 04.02.2006 21:33:21 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-06-00 04.02.2006 21:19:31 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-06-00 04.02.2006 20:59:05 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-05-00 Последний раз редактировалось Spacoom; 06.02.2006 в 17:27. Причина: за чистоту слога

09.02.2006, 03:11	# 1507
Makc666 mod Makc666-2004-3004 Регистрация: 26.11.2001 Адрес: MSK-RU Пол: Male Сообщения: 4 577	Spacoom Ты ICS в Windows используешь? Это когда инет расшариваешь через свой комп на второй комп дома? А Peer-to-Peer программами пользуешься? А в какой момент у тебя появляются эти атаки? (это важно) Все атаки типа: 05.02.2006 11:57:39 Подмена IP-адреса 255.255.255.255 0E-DE-20-00-12-00 Можно на них забить. Это что-то вроде глюков сети. Если у тебя VPN подключение или зашифрованное, то точно можно забить. 05.02.2006 17:00:03 Short fragments 81.34.173.163 Это очень похоже на пакеты из сетей Peer-to-Peer. Опять же. Нужно знать, когда эти пакеты начинаются сыпаться. Т.е. после каких твоих манипуляций. 05.02.2006 9:23:04 Nestea атака 84.94.55.92 Это надо у них на сайте или в документации почитать. 11:01:18 Сканирование портов 195.2.83.166 TCP (3545, 3429, 3489, 3488, 3487, 3279) Это очень часто встречается. Просто нужно правильно настроить Детектор атак. Скажем, чтобы в Обычном режиме тревого через 6 сканов он блокировал IP на 1 час. Этого будет достаточно. __________________ Проблемы с закачкой? Почитай тут! [IMG] код Выкл. "А стукачков мы не любим!"

12.01.2006, 23:54	# 1501
anakarn Banned Регистрация: 06.11.2004 Сообщения: 135	vikmor А какие пакеты, содержащие пасс, идут? Т.е. протокол, порт? Что во время попытки соединения пишет Аутпост?

20.01.2006, 11:26	# 1504
dyr_farot Advanced Member Регистрация: 23.08.2003 Сообщения: 442	значит есть какое-то правило, запрещающее соединения по этим портам, с приоритетом выше ( о приоритетах -- смотри в шапке ) попробуй для начала назначить правила "разрешить все по TCP" и "разрешить все по UDP" и поставь Ignore Component Control

11.02.2006, 23:54	# 1511
Makc666 mod Makc666-2004-3004 Регистрация: 26.11.2001 Адрес: MSK-RU Пол: Male Сообщения: 4 577	Spacoom Попробуй тогда дождаться их ответа... Господа, для всех, кто поставил версию 3.5 Дико рекомендуется ознакомиться с вот этой веткой: Outpost 3.5 - What to expect Вот лишь небольшая выдержка оттуда: Note: If you have followed the setup instructions in A Guide to Producing a Secure Configuration for Outpost for Application DNS, then this will not be practical under 3.5 since it has removed support for user-created or modified preset rules. While existing configurations will work, users with this setup should consider remaining with their current version of Outpost and contacting Agnitum to request this feature be reinstated. Note 2: Beta-testers have reported issues which have yet to be fixed in the released version and some do not consider this as being ready for release. Please check the Known Issues list at the end and only install 3.5 if the extra features are likely to outweigh the reported problems. Note 3: The rules auto-creation feature has been found to have potentially serious security implications, sometimes creating non-removable rules if the Allow Once option of a Rules Wizard popup is selected. This means that rules could be created unintentionally so it is strongly recommended that this feature be disabled (Options/Policy/Do not create rules automatically). Known Issues: 1. The preset.lst has been replaced by a preset.conf which has presets in encrypted form. This means that users can no longer modify or create new presets (which in turn makes implementing the Application-specific DNS option from the Secure Configuration Guide impractical). Those using this option should contact Agnitum (Agnitum Online Support Form) to request reinstatement of this feature. 2. Long hosts lists in rules cannot be edited (the port number, if present, appears superimposed over the list). 3. The "Do not log" option does not seem to work completely with some entries still being logged. 4. Third-party plugins do not currently work with 3.5. Please check the appropriate forums (e.g. the Blockpost Forum) for updates. Plugin authors will have to wait for Agnitum to release an updated Software Development Kit in order to make their plugins compatible with 3.5. 5. Rules created automatically cannot be deleted (they will be re-created when Outpost is restarted if this is tried) but only disabled. Unfortunately, if the "Allow Once" option of the Rules Wizard prompt is chosen, a rule may be created if auto-creation is enabled. This means that a rule could be created unintentionally which then cannot be removed without starting a new configuration (or loading a backup copy). Так же существует серьёзная проблема версии 3.5 и WinRAR! Компьютер вылетает в BSOD (синий экран)!!! Читать тут: http://www.outpostfirewall.com/forum...ad.php?t=16500 __________________ Проблемы с закачкой? Почитай тут! [IMG] код Выкл. "А стукачков мы не любим!" Последний раз редактировалось Makc666; 12.02.2006 в 00:43.

12.02.2006, 06:45	# 1514
Тэш Newbie Регистрация: 14.09.2005 Сообщения: 23	Можно как нибудь настроить журнал чтобы исключать записи по конкретному процессу, протоколу? (мне надо netbios убрать, а то забивает весь журнал, не успеваю читать). Подозреваю что нет, но вдруг я где то проглядел... (версия 3.5.639.6210)

12.02.2006, 16:55	# 1516
Тэш Newbie Регистрация: 14.09.2005 Сообщения: 23	Что ж, придется создать правило специально для этого, спасибо. А что касается winrar, то у меня все нормально, никаких BSoD'ов, тьфу-тьфу! Версия winrar 3.20

13.02.2006, 06:07	# 1518
Тэш Newbie Регистрация: 14.09.2005 Сообщения: 23	А можно как нибудь закрыть порты чтобы их даже в списке открытых не было, а не только коннект к ним был запрещен? :цонфусед:

13.02.2006, 18:56	# 1519
dyr_farot Advanced Member Регистрация: 23.08.2003 Сообщения: 442	добрый день. подскажите как теперь ( в 3.5 ) заблокировать ( а точнее вообще убрать из правил ) alg.exe? раньше это делалось правкой preset.lst.