SUKER
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Цитата:
Ой блин полный мрак 
Теперь точно разобрался как все работает от фильтра зон до экспертных программных фильтров
Самое главное правило(относится к зон рулезам):
Цитата: The default configuration for High security blocks all inbound and outbound traffic through ports not being used by programs you have given access or server permission except:
DHCP broadcast/multicast
Outgoing DHCP (port 67) - on Windows 9x systems
Outgoing DNS (port 53) - If the computer is configured as an ICS gateway |
Т.е. по умолчанию закрыто все! Далее в программах мы задаем исключения.
Теперь:
Цитата:| Expert rules and Zone rules together are enforced in tandem with Program permissions. That is, if either your program permissions or Zone rules/expert firewall rules determine that traffic should be blocked, it is blocked. |
Эксперт рулезы/зон рулезы выполняются в паре с программными рулезами. Это значит, что если хоть в эксперт/зон рулезах, или в програм рулезах стоит заблокировать, то будет заблокировано.
Тут блин у них маленькое противоречие с первым правилом Я думаю, что в данном случае под блокировкой в зон рулезах имеется ввиду занесение в зону "заблокировано".
Тепрь эксперные программные рулезы работают ТОЛЬКО ПРИ ВКЛЮЧЕННОМ ДОСТУПЕ!!! Т.е. если ты добавил прогу, заблокировал ее на доступ в инет, то когда она лезет в инет з.а. смотрит, что доступ закрыт и торжественно не пускает ее и пишет в лог - все! От сюда парадокс если ты хочешь полностью изолировать прогу и не видеть сообщения в логах, то ты должен дать ей ДОСТУП ко всему и создать эксперт правило "БЛОКИРОВАТЬ ВСЕ" (в поле трэк поставить ноне). Вот такая блин петрушка
Тепрь мона дать алгоритм работы от начала и до конца:
1)Приходит сигнал - блокируется и бежит по всем эксперт фаервол рулезам...
1.а Как только он удовлетворяет как-ть правилу: если это блок правило - заблокировали, записали в лог, закончили обработку данного сигнала. Если это разрешающее правило, то идем в 2).
1.б Не удвлетворяет не одному правилу(может их просто нет). Проверяется в какую зону попал сигнал + смотрится уровень защиты (какие порты закрыты и т.д.) Если сигнал попал в зону "блокед" - заблокировали, записали в лог, закончили обработку данного сигнала. Если нет, то идем в 2).
2)Проверяются програм рулезы.
2.а Находится нужная программа.
2.а.1 доступ для данного сигнала закрыт - заблокировали, записали в лог, закончили обработку данного сигнала.
2.а.2 доступ открыт - смотрим экспертные рулезы для данной проги - все рулезы проверяются последовательно!!!
Цитата:| The way they are enforced is that all Program Expert Rules all equally apply to the packet. So an incoming (or outgoing) packet will go to each rule, and if it applies then the rule will be performed, and then move to the next rule. So if you have 10 Program Expert rules, the packet will compared to all ten rules. This is the reason that you have to place a blocking rule at the end of each set of program rules, that way if the packet doesn't apply to the rules above then it will be blocked. Adding rules after a blocking rule will have no affect as the packet has already been blocked from doing anything. |
2.а.2.а все выполненные рулезы разрешающие - они выполняются, закончили обработку данного сигнала. Вот тут мне интересно, что если мы сюда попали из пункта 1.а и в том правиле стояла запись в лог, и в программ. правиле тоже стоит запись в лог - две записи будет? Если нет рулезов, то если мы попали сюда из 1.а - то правило выполняется, закончили обработку данного сигнала. Если из 1.б - получили доступ, закончили обработку данного сигнала.
2.а.2.б выполнилось запрещающее правило - заблокировали, закончили обработку данного сигнала.
2.б Нужная программа не нашлась. Если попали сюда из 1.б - заблокировали, записали в лог, закончили обработку данного сигнала. Если мы попали сюда из 1.а - то правило выполняется, закончили обработку данного сигнала.
Ну вот и все Тепрь по поводу свхоста и днс:
самый простой и распространненый совет это добавить адреса днс в трастед и дать свхосту прова на вход и выход в трастед зону. Но это не красиво, да и в лог писаться будет... Нарыл инф:
Цитата:| Generic Host Processes for Win32 - Win2000 and WinXP users will see this. This program will try to access DNS servers, localhost and the local subnet. It is recommended that this program be given access rights, but not server rights. Using expert rules to further restrict access to only DNS servers, localhost and subnet addresses is also recommended, but not needed. This program also requires access for Windows update. |
http://us.geocities.com/zonealarmprov4/prexamp.htm
На оф. воруме есть такое решение:
Цитата: Expert rule #1
Rank: 1;
State: Enabled;
Action: allow;
Name: alDNSloc;
Comments: Allows access only to certain things, such as localhost, DNS servers, mycomputer & trusted zone;
Track: none;
Source: mycomputer, 127.0.0.1, [your DNS server IP address(es)], trusted zone;
Destination: mycomputer, 127.0.0.1, [your DNS server IP address(es)], trusted zone;
Protocol: any;
Time: any;
Expert rule #2
Rank: 2;
State: Enabled;
Action: block
Name: blockall;
Comments: Standard blockall rule.;
Track: none;
Source: any;
Destination: any;
Protocol: any;
Time: any;
Once you have applied the program expert rules to the program, you may give it both access and server rights safely. |
Нужно еще сервера виндоус апдейта добавить, чтоб он работал. Но мне оно кажется "слегка" избыточным да и кто-то там говорил, что глючит слегка, ему посоветовали разделить...
Я сделал так(у меня нет трастед зоны):
Цитата: Expert rule #1
Rank: 1;
State: Enabled;
Action: allow;
Name: WinUPdate and localhost;
Comments:
Track: none;
Source: mycomputer;
Destination: 127.0.0.1, [windowsupdate.microsoft.com, v5.windowsupdate.microsoft.com, download.windowsupdate.com, download.microsoft.com, v5stats.windowsupdate.microsoft.com];
Protocol: any;
Time: any;
Expert rule #2
Rank: 2;
State: Enabled;
Action: allow;
Name: MyDNSTo;
Comments:
Track: none;
Source: mycomputer;
Destination: [your DNS server IP address(es)];
Protocol: TCP_UDP Dest. port - DNS;
Time: any;
Expert rule #3
Rank: 3;
State: Enabled;
Action: allow;
Name: MyDNSFrom;
Comments:
Track: none;
Source: [your DNS server IP address(es)];
Destination: mycomputer;
Protocol: TCP_UDP Source. port - DNS;
Time: any;
Expert rule #4
Rank: 4;
State: Enabled;
Action: block
Name: blockall;
Comments: Standard blockall rule.;
Track: none;
Source: any;
Destination: any;
Protocol: any;
Time: any; |
Все работает
В ходе экспериментов заметил баг: свхост был заблокирован на прием в програм рулезах. НО в эксперт програм рулезах было правило позволять сигнал от днс. Так вот сигналы типа "инкоминг лисен" он блокировал, а "инкоминг акцепт" - РАЗРЕШАЛ гад!!!
ALL
Кто мне объяснит разницу между "incoming (listen)" и "incoming (accept)"?
Уффф вроде все
Добавлено
Только что эта скатина фаерволом(попало в лог фаервол) заблокировала, исходящий коннект к днс Т.е. глючит лн гад переодически 9 раз нормально работает, а 10 - пакостит Думаю, для верности надо скопировать в эксперт фаервол рулез правило 2 и 3...
Добавлено
Блин, правда в таком случае он будет пропускать и такое вот:
Цитата: Description Packet sent from мой айп (UDP Port 2187) to днс айп(DNS) was allowed
Rating Low
Date / Time 2004/11/22 18:56:08+3:00 GMT
Type Firewall
Protocol UDP
Program
Source IP мой айп:2187
Destination IP днс айп
Direction Outgoing
Action Taken Allowed
Count 1
Source DNS GREENDAY
Destination DNS днс |
т.е. как-то нелепый сигнал для днс, непонятно кого 
Интересно, что лучше? Иногда подглючивать и не пропускать нужный сигнал для днс от свхоста, или пропускать все сигналы для днс, кроме заблокированных прог (в том числе и непонятно чьи)?
|
. Перезапускать файерволл каждый двое суток - немыслимо, мне кажется.