Ugu. Prosto firewallow mnogo, a ya odin ;-))).

helldomain
Да ладно рассказывать, сидишь небось за буржуйским Ipchains'ом...
:)))))

Я НАШЕЛ !!!!!!!!!!!

Наступил на детские грабли и парил голову себе и другим...

НЕЛЬЗЯ запускать одновременно 2 фаера!!!
Я писал , что у меня установлен ZoneAlarm , ну и боясь остаться с
голой Ж в инете не отключал его во время эксперементов
Отдельно каждый работает , а вместе :fuckoff:
У меня есть только одно оправдание- на каком то англоязычном
форуме прочел , что один чудак сидит сразу за 2мя этими фаерволлами
(ZA & VN) - не верь глазам своим !!

Спасибо helldomain и Bosmr что заставили меня продолжить разбираться
с проблемой и решить ее.

Теперь если можно, такой вопрос - где почитать о правильной
кофигурации т.е. протоколы , порты , входящие и выходящие ,
необходимые для разных прог.
А может кто то статью напишет, а :yees:

БОЛЬШОЕ спасибо

Вот это меня как раз и смутило.
Естественно так нельзя.
А почитать... хм, чтобы все в одном, такого не видел.
Сначала, сразу же что нужно - это сделать filter all traffic on this adapter для интернетовского интерфейса, сделать block всех packets, которые no matching rule.
Затем настраивай нужные тебе сервисы, я тебе давал самые необходимые.
Посмотри еще сюда:
%windir%\system32\drivers\etc
файл services.
Основные сервисы и порты ими используемые.
Когда все это проделаешь, смотри периодически в log, и вводи новые правила.
Только не переусердствуй, разрешай только самое необходимое!!!
И не забудь сделать block all traffic когда стена выключена, и filter all traffic когда включена.

Добавлено через 41 минуту:
По поводу протоколов... тебе лучше книжку какую купить...
Или еще, у Vot'а была электронная библиотека по этому поводу, вроде...
Ну и в инете поищи, я на такое наталкивался помню...

Bosmr
helldomain
А как в Этой стене заперетить выход в инет определенным прогам???
Вроде лазил не нашел там такого, может не туда смотрел...

maskman
К сожалению никак. Или резать по портам и IPшникам.
Тут сам принцип немного другой, нежели у Personal firewall'ов.
Как говорит Хелл, прога схожа по действиям с хардверными стенами.

Bosmr
Спасибо, тогда будем следить куда эти с***ки лезут )))
и отрубать ...

Bosmr

Интересный файлик %windir%\system32\drivers\etc файл services.
Нашел там основные протоколы О.К
Сконфигурировал основные сервисы - Даже НТТР сервер заработал
позволяя зайти ко мне , EMule - получил High ID !!

Прошел проверку на " вшивость " на указанных в шапке сайтах
по безопасности, а также еще на 3х

http://scan.sygatetech.com/prequickscan.html
http://www.pcflank.com/fw_rules_db.htm
http://www.it-sec.de/vulchke.html

НЕВИДИМ !!! все полностью закрыто!
Хотя на ZoneAlarm'е было также хорошо.
Кстати , возможно это будет кому-то
интересно могу коротко рассказать о причинах ухода с ZoneAlarm,
за которым сидел 2 года:

1. Периодические падения ZoneAlarm сервиса TrueVector
( на разном железе и операционках) . Он перезапускается автоматом,
но неизвестно, что в это время с безопасностью компа .
Особенно стало актуально в наш век самоползающих
вирусов типа лавсана.
2. "Распухание" в памяти ZoneAlarm после нескольких дней
непрерывной работы компьютера с Р2Р программой EMule
создающей большое количество одновременных соединений.
ZoneAlarm занимал до 70-80 Мега !! и 40-50% от процессора,
хотя , возможно, что это проблема мула
3. Очень неудобный интерфейс (ИМХО)


Ну чтож , теперь проверим боем (инетом) расхваленный visnetic !

Еще раз всем спасибо.

Alechko
Ты только не забудь, что любой открытый тобой порт - это потенциальная дыра.
Что HTTP, что SMTP, все что угодно.
Так что думаю здесь самое главное - не переборщить...
Всмысле, окрывать только то чем пользуешься, а не все что попало.

All
У меня кстати тоже пару вопросов есть...

Вот такая штука:
Можно открывать какой либо сервисный порт для клиентский портов как:
a) 1024-5000
б) 1024-65536

И не очень понятно, кто когда что использует, вот например, окрываю 80-й порт для 1024-5000 и сайт снановится недоступен для некоторых людей...

Может это какие-нибудь хитрые приблуды с подменой адресов, типа прокси какого-нибудь???
Хотелось бы понять когда кто что использует?

И вот еще вопрос, например, открываю сервисный порт, к примеру тот же 80й.
Может ли кто-нибудь поразить меня трояном, который будет использовать этот порт? Или же, если порт занят уже ХТТП сервисом( как впрочем и со всеми остальными портами), то никто уже кроме него локально не сможет его использовать?
Все трояны которые я видел используют клиентские порты, что на самом деле для меня не очень понятно, почему именно клиентские???

Вот еще пример, открыт у меня для всех по UDP 123й порт.
Его например в какой-то момент времени не использует Net time сервис.
Почему бы трояну не использовать этот порт для передачи данных?
возможно ли такое?

Уясните, гуры, пожалуйста!!!

Bosmr


Вот что я нашел по твоему 2му вопросу

Port/Protocol:
80/TCP
Service:
WWW-HTTP
Description:
Port 80 is used by web-servers in order to open connection with a user. Port 80 is the standard port for websites. This port is used by web-browsers by default.
Trojans using this port:
Executor, Seven-Eleevn, WANRemote, Web Serve CT


Взято с серьезного сайта по безопасности

http://www.pcflank.com/ports_services.htm

Подставь там номер порта в Search и увидиш, какая дрянь
может его использовать .

Так что " Ты только не забудь, что любой открытый тобой порт - это потенциальная дыра." :)

Ehh, wse nemnogo ne tak.

Port - eto wsego lish nomer kommunikacionnogo kanala. Porazit tebya troyanom mogut, no dlya etogo ego nado k tebe na mashinu prosunut i zapustit. I tolko togda troyan zaimet kakoi-libo port i budet jdat na nem soedinenij. Odin port na odnom interfeise mojet bit zanyat tolko odnoi programmoi w odin i tot-je moment wremeni, t.e. ti ne mojesh na odnom i tom-je interfeise odnowremenno zapustit 2 servera wisyaschih, na primer, na portu 80.

Хех, ну я так и думал. спасибо!
А что скажете по поводу диапазонов:
1024-5000 и 1024-65536 ?

A chto dumat? Porti ot 0 do 1023 obichno ne ispolzujutsya dlya lokalnogo mappinga ishodyaschih soedinenij, a wse chto swishe - wpolne.

Привет всем!!!
Я вернулся ... с новыми проблемами help пожалуйста.

Месяц за сабжем показал, что прога очень хороша но,
раз в 3-4 дня VISNETIC полностью закрывает инет.
Комп включен 24 часа в сутки.
Нет сообщений об ошибках или проблемах,
в логе видны запрещенные UDP подключения и никаких
TCP Ни разрешенных ни запрещенных

Я сходил на форум VISNETIC"а и не нашел подобных
жалоб
Возможно это проблема окружения т.е. прог бегущих параллельно?
Напомню, что у меня WinXP
Спасибо.

ставь KaH'a и используй обе стенки каспером хорошо правила создавать just rulez

U nas na servere ono rabotaet i bez problem. Server pod 2k3.

Alechko
Да я вот тоже на стенку пожаловаться не могу... все как часы...
Поэтому сперва:
Порверь настройки.

Погляди также, все ли то что блокируется/разрешается, у тебя в лог суется...
Это настраивается в свойствах каждого правила, а то, что не попадает под правила, то что "no matching rule", - в Configuration(для каждого интерфейса) -> advanced -> ну и там у каждого протокола увидишь.

Вооот... что еще... возможно у тебя проблема с самой виндой.
Посмотри в event viewer на наличие ошибок, там могут быть проблемы, когда установлены более одного интерфейса. (SceCli, ID 1001)

Кстати, инет пропадает повсеместно?

Ну или еще вариант - сделай allow на локалку, загрузи любой комп в ней, и проверь, будет ли инет. Возможно, ты неправильно настроил правила для сети...
Ну вот, и неплохо было бы, если бы ты запостил то, что у тебя в логе блокируется по UDP.

ЗЫ: Хотя кстати, бывает у меня тоже сбоит иногда... но это с самой виндой...
Там что происходит - ICS который у меня настроен, почему-то иногда(но очень очень редко) не переводит внутрисетевой IP во внешний, и во внешнюю сеть начинают вылезать 192.168.0.*.... естественно стенка их рубит... и инет стало быть не пашет...
Кстати, возможно, у тебя что-то подобное...

helldomain
Спасибо. Отличный firewall посоветовал

На днях первый раз поставил Visnetic. Версия 2.1.2. Впечателения самые положителные. Просто песня. Единственный минус - не может отдельно с программами работать(какую куда пускать). К ресурсам нетребователен - не грузит систему с 64МГб и слабым камнем.
И дома также поставлю - комбайн-аутпост порядком надоел своей прожорливостью, снесу без сожаления.

Bosmr

Настройки все проверены т.к. каждое правило вылизывал
для минимального доступа к компу ну и для понимания
всей этой кухни
В логи скидываю почти со всех правил
В event viewer системы и в апликаций все давно
вычищено
У меня внутренняя сеть из 3 компов и, когда это
случается, то запирается вся сеть
На этой машине у меня бежит главная дыра в
безопасности EMule - Вот как раз его попытки
подключения по UDP и отражаются в логе
Внутренние адреса в инет не лезли (кажется?)
Проверю это при следующем падении

И еще вопрос по теме , но не по месту
Ключи от 207 квартиры подходят к 212 ?

Спасибо

Alechko
Вот то место, где узнаешь ответ ;)
http://www.imho.ws/showthread.php?s=...threadid=20657

W tom meste gde otwet uznawat polojenno master-kliuchnik uehal, no soslujiwci ostawili zapasku.

VisNetic Firewall 2.1.3 Beta

Changes since v2.1.2 include:

Minor Improvements:

1) Support is added for the Ports display in Remote Administration.

Bug Fixes:

1) Using the remote admin to add entries to the Ban List corrupted previous entries.

2) Fixed bug in HTTP filtering that affected IIS 6.0 on Windows 2003 Server, caused IIS to stop responding until it was stopped and restarted.

3) When a rule banned an IP address but the rule did not generate a log entry, the 'Reason' put in the Ban List entry showed the device number incorrectly. It was always one less than it should have been.

4) The Log2PCAP program could not open the log file while the firewall was running.

Переустанавливая систему, решил поставить вместо Нортона другую стенку. Остановился на Visnetic. Поставил, задал ему сконфигурировать всё автоматом. Так вот, за 6 часов работы, Visnetic намониторил лог 10 МВ, это при том что и-нет практически не использовался. Типичный фрагмент лога я приаттачил. Что значит "Blocked incoming packet (unknown protocol)"?
P.S. подключение к и-нету: локалка 10 Mb, реальный IP
OS Windows XP

Nu tak radowatsya nado, chto firewall eto tormozit. Wozmi horoshij proto analyzer i prosmotri paketi pod nim.

Если можно, то чуть чуть по подробнее о "proto analyzer" - ах.
А то кто то всё время ломится, а я даже не знаю чего от меня хотят!?!?!
Полезной штукой оказался help, без него было бы совсем туго. Так бы и жил без ftp сервера и ftp клиента.

Est specialnie progi pozwolyajishie snimat paketi s setewih interfeisow i analizirowat ih. Oni goworyat chto eto za protokol, w setyah ethernet mogut dat infu s kakogo MAC ono prishlo i.t.d. Proekt etherial odin iz luchih analyzerow.

Спасиб, буду пробовать. Голос накинул :)
Ещё вопрос, Ethereal будет показывать пакеты прошедшие через Firewall, или все???

Bore
U mena podobnoye bilo, odin iz mestnih routerov progluchilo i on nachel mena vsakoy zakidivat, tipa IGP (Interior Gateway Protocol), BGP (Border Gateway Protool) (Oba v vide IP paketov a ne TCP ili UDP encapsulacii kak obichno ispolzuyetsa) i yescho kakimto bezimannim protocolom s nomerom >200 (kakoy tochno ne pomnu).
Ya s etogo dolgo figel, moy ZoneAlarm toje :) Cherez paru dney router otgluchilo i on eto delo brosil :)

Best Regards, BlackDew

Ne doljen on ih pokaziwat. Hotya... wopros tolko w tom, kto ranshe podcepitsya ;-).

Bosmr
скинь на @ кейген, а то в обменник немогу попасть уже какой день

VisNetic Firewall v2.2
Подробности здесь

Нда... столкнулся тут с одной проблемой... ИК-порт при установленном Visnetic'е не работает напрочь...
В логе естественно все чисто...
Никто не сталкивался?

при первой работе с ним, проги которым положено делать вылазку в инет, никак не контралируються, мне так показалось, где хвалёные окошки, разрешить или запретить, аль тут такого нет, до этого использовал Kerio, каким образом вообще правило создавать:confused:

Bosmr
Rollers
Ответы на ваш вопрос частично содержаться в этом моем посте.
Bosmr
У тебя ИК USB-ый или COM-овский?

Propinai nastroiki interfeisow.

Seva
Ик-порт - COM-овский... Tekram IR-210...
Пока решения не нашел...

Bosmr
У меня решение нашлось само собой, не знаю точно что помогло, но факт. Сначала был у меня ик-порт USB-ый Tekram-410U, и Visnetic его блокировал, снесь Visnetic, поставил Kerio - все заработало. Но тк USB ик-порт не работает с ДУ, пришлось поменять его на COM-овский Tekram IR-210, с Kerio тож нормально подружился. После выхода новой версии Visnetic-а, решил попробовать его, поставил - ИК-порт работает! Так что я опять сижу на Visnetic-е.
Попробуй установи новую версию фарволла, может поможет.

при работе фаервола мигает экран кажд. 5-10 сек. (и в 3д играх и просто при работе )
при выходе из него мигание прекращается Кто знает как убрать это мигание?

DISABLE
Ага, как-то было такое.
Мне помогало отключение ведения лога.
Потом после переустановки, глюк исчез.

Кажется перестал :) надеюсь переустановка винды не понадобится :)