Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall

Модерирует : gyra, Maz

Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

   

lapi



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Jetico Personal Firewall
http://www.jetico.com/jpfirewall.htm
В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера.
Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...
 
Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.
 
Upd2: Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная.
Тема в варезнике посвящённая второй верии
 
Upd3: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.
 
Последняя версия 1.x: 1.0.1.61 (19 июля 2005)
http://www.jetico.com/jpfwall.exe
 
Текущая версия 2.x: 2.0.2.9 (23 марта 2009)
http://www.jetico.com/jpf2setup.exe
 
Русификация версии 1.0.1.61 с установщиком (19 июля 2005):
http://artlonger.narod.ru/jetico.zip (35 кб)
Если что, качать браузером. При обновлении версий ссылка не изменяется.
 
PS: В русской версии прикручено выравнивание столбцов по F12.
 
Базовые настройки брандмауэров.
Правила JPF v1
Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1

Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP...
JPF v2 Правила для сервиса svchost.exe

Всего записей: 163 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009
Yarylo



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Klirik
Уже все нормально, после очередного вопроса нажал "Пометить событие как..." - "Web Browser".А старое правило я создал так: "Настроить" - "Правило" - "Вердикт" - "Web Browser" В результе получилось два идентичных правила для Firefox, но нормально работает только если пукаю через "Пометить событие как..."
А в чем разница между "Пометить событие как..." и "Настроить" - "Правило" если в вердикте я указываю на ту-же таблицу?

Всего записей: 2344 | Зарегистр. 05-12-2004 | Отправлено: 00:21 16-03-2006
kesic



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov
Да там по умолчанию вполне приличные настройки, остальные сугубо под конкретные нужды пользователя.
Yarylo

Цитата:
нормально работает только если пукаю через

Я понимаю, все могут допускать ошибки, но зачем же так... [простите, ну не смог удержаться]

Всего записей: 1045 | Зарегистр. 19-02-2006 | Отправлено: 05:03 16-03-2006
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov

Цитата:
Люди, пожалуйста объясните точно...  
Как всё и полностью надёжно заблокировать, чтобы быть точно уверенным?  
Потом я сам разрешу что надо.  

1. так как ты пытаешься пристроить персональный Firewall на маршрутизатор, то ты явно не сможешь обеспечить хорошую защиту на сетевом уровне. хотябы по тому, что JPF не разделяет разные интерфейсы. у него нету возможности сказать, что это входящий пакет вот для этого интерфейса, а этот исходящий для другого. в итоге, по большому счёту, ты вынужден открыть весь сетевой уровень.
2. соответственно у тебя остаётся только защита на уровне приложений. если тебя не устраивают настройки по умолчанию, то можно поступить очень просто: удали все правила из таблицы приложений и создай одно правило с вердиктом "ask" ("спросить", незнаю как в русском варианте. у меня английский). в итоге на уровне приложений всё окажется заблокированным, и при каждой попытке, что либо сделать будет задаваться вопрос. вопросов будет много.....
 

Цитата:
И простите за глупый вопрос в тему...  
Допустим, что интернет идёт из локальной сети (точнее через неё).  
Ведь в этом случае он, находится в Trusted Zone (в файле settings.xml)?  
И не доходя даже до System Internet Zone он полностью принимается в System Trusted Zone. А это ведь неограниченный доступ?  
Как же решить ситуацию? Я запутался...  
У меня между прочим второй сетевой интерфейс (который идёт на модем) Jetico всё время хочет в Trusted Zone добавить... А если бы Интернет шёл у меня через общую локальную сеть?  

весь интернет в понятии IP адресов это - 0.0.0.0/0. этот адрес у тебя находится в Trusted Zone ?
 

Цитата:
И объясните толком наконец, что будет если я удалю из Trusted Zone (в файле settings.xml) вот это - 127.0.0.0/8  

это адреса для общения машины с собой же(loopback). многие приложения общаются друг с другом на одной и той же машине через этот интерфейс. если удалишь, то ничего страшного не произойдет, просто увеличится количество вопросов.
 
Yarylo

Цитата:
Уже все нормально, после очередного вопроса нажал "Пометить событие как..." - "Web Browser".А старое правило я создал так: "Настроить" - "Правило" - "Вердикт" - "Web Browser" В результе получилось два идентичных правила для Firefox, но нормально работает только если пукаю через "Пометить событие как..."  
А в чем разница между "Пометить событие как..." и "Настроить" - "Правило" если в вердикте я указываю на ту-же таблицу?

повидимому когда ты создавал (настраивал) правило, то забыл выключить проверку удалённого адреса и/или порта. а когда ты говоришь "Пометить событие как...", то в проверке для перехода учавствуют только имя приложения и его хеш.

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 08:01 16-03-2006
Yarylo



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kesic действительно, очень прикольная вишла ошибка...

Всего записей: 2344 | Зарегистр. 05-12-2004 | Отправлено: 12:51 16-03-2006
Den_Klimov



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77
 
Во первых искренне благодраю за ясный и развёрнутый ответ.
 
Я уже знаю, что на уровне интерфейса тут ничего сделать нельзя.
Но на уровне приложений можно резать абсолютно всё? Или всё-таки не всё?
Насколько это сказывается на безопасности?
Знаю что глупый вопрос, но всё-таки...
 
Ведь это обычная для многих ситуация. Когда выход в интернет только через локальную сеть, или через несколько различных интерфейсов.
 

Цитата:
весь интернет в понятии IP адресов это - 0.0.0.0/0. этот адрес у тебя находится в Trusted Zone ?

 
Понял, лажанулся, но не совсем понял почему.
Тоесть Интернет, даже раздаваемый через локальную сеть через "общее соединение", идёт всегда как 0.0.0.0/0 (и его в Trusted Zone конечно нет).
Другими словами, как бы я его не получал... Через USB-модем или через локальную сеть (которая находится в Trusted Zone), он всё равно будет обрабатываться в таблице "System Internet Zone"? Правильно?
 
Кстати, в Trusted Zone я оставил только "192.168.1.0/24" и "127.0.0.0/8".
И тут-то у меня есть вопросы.
 
Я например знаю, что пока у меня "192.168.1.0/24" находится в Trusted Zone (settings.xml) с любой машины в нашей сети 192.168.1.0/24 можно использовать мой установленный на машине прокси (192.168.1.7:3128) и Jetico даже не спросит, если конечно не создать специальное правило для 192.168.1.7:3128.
 
Точно так же и "127.0.0.0/8". Я знаю что это "адреса для общения машины с собой же", то есть "Loopback" или "Localhost". Интересно что это целый диапазон адресов, хотя локальные прокси используют только 127.0.0.1.
Пока он "127.0.0.0/8" находится в Trusted Zone (settings.xml), любая программа на моей машине можеи выходить в интернет через прокси. Если я конечно не создам специальное правило для 127.0.0.1:номер порта прокси.
 
Благодарю что вы объяснили что его можно удалить из Trusted Zone (settings.xml).
Теперь я создал таблицу для приложений - "Localhost" с несколькими правилами:
Принять    отключено    все    доступ к сети    
Принять    отключено    TCP/IP    получение датаграмм    все    127.0.0.1    
Принять    отключено    TCP/IP    отправка датаграмм    все    127.0.0.1    
Принять    отключено    TCP/IP    входящее соединение    все    127.0.0.1    
Принять    отключено    TCP/IP    исходящее соединение    все    127.0.0.1    
 
Так правильно? Вроде всё работает.
Возможно мне лучше было создать две отдельных таблицы? Отдельно для исходящих с клиента на прокси и для входящих с прокси на клиент? Как они должны были бы выглядить в отдельности? А то тут всё вместе.
 
Но вы уверены что побочных эффектов не будет от запрещения 127.0.0.0/8 ?
Кстати, я правильно называю "127.0.0.0/8" - Localhost?
 
Теперь такой вопрос. Если возможно настроить можно настроить доступ с/на 127.0.0.0/8, то может можно настроить доступ и с/на 192.168.1.0/24, убрав его из Trusted Zone (settings.xml)?
Что будет если убрать его из Trusted Zone? Тоже ничего смертельного не произойдёт, или могут возникнуть проблемы?
Да и не совсем понятно что там надо будет разрешать/запрещать...
 
Добавлено:
ArtLonger
Нашёл описание вашей структуры таблицы.
Если не секрет. Почему у вас так?
 

Цитата:
Приложения  
1. Сетевые  
2. Пользовательские  
Localhost  
Антивирус  
Браузер  
Почтовый клиент  
FTP-клиент  
ICQ-клиент  
MS Office  
3. Блокировать  
4. Спросить меня  

Хотя по умолчанию порядок таблиц в "Приложения" такой:
1. Блокировать
2. Спросить меня
3. Сетевые
4. Пользовательские
 
В этом есть смысл? Стоит изменить порядок таблиц?

Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 16:33 16-03-2006 | Исправлено: Den_Klimov, 17:47 16-03-2006
ArtLonger



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov

Цитата:
я создал таблицу для приложений - "Localhost" с несколькими правилами

Можно ещё добавить диапазон портов 1024:5000 (ну или до 65535) - как правило localhost работает именно с ним.
Этим ты, кстати, можешь обойти проблему повального доступа локальных программ к локальному же прокси - при разрешённом диапазоне портов 1024:5000 прокси на 127.0.0.1:8080 будет обрабатываться очень даже отдельно.
 

Цитата:
Почему у вас так?  

Потому что так мне удобнее  
 
Сначала идут application-ориентированные сетевые правила - прослушка портов, DNS, DHCP, NetBIOS, SMB и т.п.
Потом собственно приложения, которым можно - привязанные к типовым таблицам.
Затем приложения, которым нельзя - и даже спрашивать нефиг.
Про оставшееся пусть спрашивает - это я желаю знать.
По приложениям всё.
 
Далее в IP-протоколах идёт nonapplication-ориентированные сетевые правила - пакеты DNS, DHCP, ICMP, broadcast, контекстная фильтрация, кое-какие фильтры (NULL scan, Xmas scan, повреждённые пакеты).
 
Потом идут прочие протоколы и процесс-атаки.
 
И подпёрто это моим любимым правилом "всем остальным - хрен" .
 

Цитата:
Стоит изменить порядок таблиц?
А смысл? Если работает, то и пусть себе...

Всего записей: 1844 | Зарегистр. 06-10-2001 | Отправлено: 20:16 16-03-2006 | Исправлено: ArtLonger, 20:17 16-03-2006
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov
мой тебе совет: для раздачи интернета поставь аппаратный маршрутизатор за $30-40 или линукс на какой нибудь старенькой машинке типа P166 и не парься.....
 

Цитата:
Но на уровне приложений можно резать абсолютно всё? Или всё-таки не всё?  
Насколько это сказывается на безопасности?  

всё что "выше" ядра операционной системы. т.е. все приложения.
 
 

Цитата:
Тоесть Интернет, даже раздаваемый через локальную сеть через "общее соединение", идёт всегда как 0.0.0.0/0 (и его в Trusted Zone конечно нет).  
Другими словами, как бы я его не получал... Через USB-модем или через локальную сеть (которая находится в Trusted Zone), он всё равно будет обрабатываться в таблице "System Internet Zone"?  

под описание 0.0.0.0/0 подходит вообще любой адрес. 0.0.0.0/0 - это не адрес интернета!!!
 
почитай чтонибудь про IP сети. для начала можно это прочитать: http://gazette.linux.ru.net/rus/articles/povest_ob_ip.html
или это: http://www.opennet.ru/docs/RUS/ip_network/contents.html

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 12:11 17-03-2006 | Исправлено: crypt77, 12:21 17-03-2006
Den_Klimov



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ArtLonger

Цитата:
Можно ещё добавить диапазон портов 1024:5000 (ну или до 65535) - как правило localhost работает именно с ним.  
Этим ты, кстати, можешь обойти проблему повального доступа локальных программ к локальному же прокси - при разрешённом диапазоне портов 1024:5000 прокси на 127.0.0.1:8080 будет обрабатываться очень даже отдельно.

 
Но если добавить ко всем созданным в таблице Localhost правилам диапазон портов 1024:5000, то тогда то ради чего это всё создавлось не будет работать.
Ведь у меня пока проявились только две программы которые используют таблицу "Localhost". Это WinRout4 при общении со своим "админ-клиентом" (управление и настройка) на порту сорок с чем-то тысяч, и конечно HandyCache на 8080. Хотя если использовать 1024:65535, тогда конечно всё будет работать. Благодарю за совет.
А на 127.0.0.1 больше никто пока не просился и других программ использующих Localhost я пока не знаю.
Но ты пишешь так что я понял будто и другие программы (не прокси и их клиенты) могут проситься и использовать 127.0.0.1.
Какие именно? Имеет смысл создать две отдельные таблицы? Одну для них, а одну для прокси?
 
И ещё такой вопрос. Я ведь убрал из Trusted Zone (в файле settings.xml) целый диапазон адресов - 127.0.0.0/8. А разрешил в таблице "Localhost" только 127.0.0.1 (на другие у меня просто никто не просился). Мне просто интересно какие ещё программы могут использовать другие адреса, да и тот же 127.0.0.1.
------------
 
crypt77

Цитата:
мой тебе совет: для раздачи интернета поставь аппаратный маршрутизатор за $30-40 или линукс на какой нибудь старенькой машинке типа P166 и не парься.....

 
Спасибо конечно за совет, и ещё большее спасибо за ссылки. Ведь меня интересует не столько практика, как в первую очередь понять теоретически.
 
Добавлено:
Установил Jetico на совершенно другую машину.
Подключение к сети через обычный внутренний диал-ап модем.
Имеется пара сетевых интерфейсов, но они вообще не используются и отключены.
 
Зато установлен VMware Workstation 5.5.1.19175, который по умолчанию создал два виртуальных сетевых интерфейса - VMnet1 и VMnet8.
VMnet1 отключен за ненадобностью, а VMnet8 - описывается как NAT 192.168.228.0.
Сразу мастер Jetico предложил 192.168.228.0/24 поместить в Trusted Zone (в файле settings.xml). Так что в Trusted Zone у меня находится только 192.168.228.0/24.
 
Одну виртуальную машину запустил. Вышел в Интернет.
 
Кстати Localhost (127.0.0.1) в Trusted Zone у меня нет. Сделал в виде таблицы (смотрите выше).
Интересно. На этой машине сразу запросили 127.0.0.1 несколько системных приложений:
svchost.exe на локальный порт 1900 - получение датаграмм
System на удалённый 445 - исходящее соединение
а потом снова svchost.exe на удалённые 1274, 1275, 1276 - отправка датаграмм.
А в потом и сам VMware - vmnat.exe на локальный порт 0 - получение датаграмм
 
Непонятно - "зачем, и что мне с этим делать"?
 
Но не это даже главный вопрос.
Проблема в том, что сразу после установки JPF и выхода в Интернет, возникли вопросы про 82.207.
входящие соединения на System, локальный порт 445 с диапазона адресов
82.207.0.0/16.
а также...
входящие соединения на svchost.exe, локальный порт 135 с того же диапазона адресов(82.207.0.0/16).
На запущенной виртуальной машине которая имеет тот же выход в сеть, те же самые запросы на входящие соединения...
Интернет от запрещения этих входящих не блокируется, но хотелось бы понять что именно я запрещаю. Statefull Inspection на эти пакеты естественно никак не влияет.
С чем это может быть связано? Идут и идут...
 
Только что попробовал использовать другое соединение (другого провайдера). Входящие пакеты с адресов 82.207... пропали. Они только от одного провайдера шли, удругих всё чисто. Непонятно...

Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 14:41 17-03-2006 | Исправлено: Den_Klimov, 19:00 17-03-2006
ArtLonger



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov
Вот блин... Опять сравниваешь ежа с задницей!
Ты понимаешь, что локальный прокси это дыра изнутри наружу, через которую можно сделать что угодно??? Программ, использующих localhost для своих нужд исключительно локально - море! У тебя вот их одна (WinRoute), а у меня с десяток наберётся - браузеры, офис, антивирус... И не надо им мешать, если не знаешь каковы будут последствия.
А HandyCache к localhost имеет косвенное отношение - не удивлюсь, если для его собственных нужд localhost вовсе не нужен. И подгонять локальный прокси под другие правила нельзя.
 

Цитата:
Входящие пакеты с адресов 82.207... пропали. Они только от одного провайдера шли, удругих всё чисто. Непонятно...
Чего же тут непонятного? Порты 135, 445 - это что?

Всего записей: 1844 | Зарегистр. 06-10-2001 | Отправлено: 20:35 17-03-2006
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov

Цитата:
Проблема в том, что сразу после установки JPF и выхода в Интернет, возникли вопросы про 82.207.  
входящие соединения на System, локальный порт 445 с диапазона адресов  
82.207.0.0/16.  
а также...  
входящие соединения на svchost.exe, локальный порт 135 с того же диапазона адресов(82.207.0.0/16).  
На запущенной виртуальной машине которая имеет тот же выход в сеть, те же самые запросы на входящие соединения...  

это просто кто то сканирует на предмет открытых ресурсов или уязвимостей, а JPF честно у тебя спрашивает.  
 
вот информация о провайдере с которого тебя сканируют:
Ukrtelecom IP access network in  Odessa
JSC Ukrtelecom
 
ответственное лицо:
person:       Alexander Remiga
address:      JSC UKRTELECOM
address:      18, Shevchenko blvd.
address:      01030, Kiev, Ukraine
phone:        +380 (44) 246-4416
fax-no:       +380 (44) 226-2586
e-mail:       aremiga@ukrtel.net
 
можешь с ним связаться и пожаловаться.

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 05:56 18-03-2006
kesic



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77
Может и мне подскажешь?
Независимо от провайдера (пробовал 2ух) постоянно имею отправляющих UDP пакеты на порты 1025 - 1028, причём IP IANA, DoD были и от Department of Social Security of UK, Defense Research Establishment, Japan Network Information Center.  
Это при том, что никаких действий заслуживающих внимания, я не делал (да и IP у меня непостоянный, я диалапщик).
Да, вирей и руткитов не имею.
P.S.
19.03.2006 1:31:05.000 имею IP NAVAL AVIATION DEPOT CHERRY POINT (Address:COMMANDING OFFICER) отправленные на мою машину UDP пакеты на порты 1025, 1026.

Всего записей: 1045 | Зарегистр. 19-02-2006 | Отправлено: 02:25 19-03-2006 | Исправлено: kesic, 03:00 19-03-2006
Den_Klimov



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ArtLonger
Не стоит так эмоционально реагировать, я тормоз местами, до меня туго доходит и я во всём сомневаюсь.
Попробую перефразируя объяснить насколько я усвоил ваш урок.
Вы предлагаете мне оставить 127.0.0.1 в Trusted Zone (в файле settings.xml), (надеюсь 127.0.0.0/8 стоит оттуда убрать?) создав исключения-вопросы только для конкретных портов наиболее часто используемых прокси и их клиентами.
Или же вместо Trusted Zone разрешить 127.0.0.1 в виде таблицы localhost, как у меня, с диапазоном 1024:65535 (1024:65535 - порты до 1024 советуют для всего закрыть, оставив дырочку DHCP, это понятно; а если только до 5000, то недостаточно, потому 65535), и заблокировать в этой таблице конкретные порты часто используемые локальными прокси и их клиентами через localhost (тот же 8080).
Для прокси, как я и предположил, нужно создать отдельную таблицу 127.0.0.1 с перечислением наиболее часто используемых локальными прокси портами.
Ничего лучше тут не сделаешь? И это не вопрос, а предположение.
 
crypt77
Я тоже так подумал... хоть и странно.
Но как вы узнали что это Ukrtelecom?
Действительно, то соединение которое имелось в виду - это диал-ап от Укртелекома (в Киеве). И постоянные входящие на соответствующие порты никуда не исчезли до сих пор. Довольно странно, ведь это государственый провайдер.
Указанное вами лицо действительно может решить эту проблему?
 
Пока я временно создал таблицу с двумя правилами:
Отклонить    информация    TCP/IP    входящее соединение    все    82.207.0.0/16    135    
Отклонить    информация    TCP/IP    входящее соединение    все    82.207.0.0/16    445    
 
Может стоит отклонять для System и svchost.exe всё что им неразрешено, поместив соответствующие правила отклонения в конце таблицы системных приложений? Или может только входящие соединения для них?
 
И тут не совсем понятно почему это спрашивает.
Это должно блокироваться Block All not Processed IP Packets.
И блокируется.
Зачем же спрашивать System и svchost.exe?
 
Сейчас в логах отклоняется сразу Block All not Processed IP Packets:
 
19.03.2006 23:44:14.812    отклонить    Block All not Processed IP Packets    48    TCP    входящий пакет    82.207.64.158    82.207.64.174    4012    445    TTL: 127; TOS:  0; ID: D0F4; Don't fragment; TCP flags: SYN ; TCP Seq: F42CFF35    
а потом ещё и в соответствии с моей таблицей отклоняет:
 
19.03.2006 23:44:28.046    отклонить    TCP/IP    разрыв соединения удалённым сервером    System    82.207.64.174    82.207.62.31    445    4438    PID: 4; Connection: FFFFFFFF; Hash: 00000000 00000000 00000000 00000000 00000000    

Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 01:07 20-03-2006 | Исправлено: Den_Klimov, 01:47 20-03-2006
kesic



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov

Цитата:
Но как вы узнали что это Ukrtelecom?

IP его же. Кстати, как я погляжу Ukrtelecom любит посканировать 135, 445 порты, так что тут жалоба может не пройти...

Всего записей: 1045 | Зарегистр. 19-02-2006 | Отправлено: 02:08 20-03-2006
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kesic

Цитата:
Может и мне подскажешь?  
Независимо от провайдера (пробовал 2ух) постоянно имею отправляющих UDP пакеты на порты 1025 - 1028, причём IP IANA, DoD были и от Department of Social Security of UK, Defense Research Establishment, Japan Network Information Center.  
Это при том, что никаких действий заслуживающих внимания, я не делал (да и IP у меня непостоянный, я диалапщик).  
Да, вирей и руткитов не имею.  
P.S.  
19.03.2006 1:31:05.000 имею IP NAVAL AVIATION DEPOT CHERRY POINT (Address:COMMANDING OFFICER) отправленные на мою машину UDP пакеты на порты 1025, 1026.

вот некоторая статистика:

Цитата:
 
Двадцатка портов, наиболее часто использовавшихся в интернет-атаках
Рейтинг % от общего числа Порт  
1  26,14  445  
2  18,75  80  
3  15,65  135  
4  12,71  1026 (UDP)  
5  5,13  1433  
6  4,23  1434 (UDP)  
7  4,19  1027 (UDP)  
8  2,68  4899  
9  2,57  15118  
10  1,03  5554  
11  0,98  22  
12  0,87  1025 (UDP)  
13  0,71  4444  
14  0,61  3128  
15  0,59  2745  
16  0,53  6129  
17  0,33  42  
18  0,31  21  
19  0,17  139  
20  0,12  3127  
 

надеюсь всё понятно?
Den_Klimov

Цитата:
Довольно странно, ведь это государственый провайдер.  
Указанное вами лицо действительно может решить эту проблему?  

а что гос. провайдер предоставляет доступ только гос. органам?
этот человек официально ответственный за данную сеть, и должен отреагировать на обоснованную жалобу. По Российским законам поведение их клиентов может расцениваться как уголовно наказуемое.
 

Цитата:
Пока я временно создал таблицу с двумя правилами:  
Отклонить    информация    TCP/IP    входящее соединение    все    82.207.0.0/16    135      
Отклонить    информация    TCP/IP    входящее соединение    все    82.207.0.0/16    445      

всё правильно. но я бы посоветовал создать правило запрещающие входящие соединения ещё на сетевом уровне, чтобы до уровня приложений и дело не доходило.
да и вообше бы закрыл любые входящие как минимум на порты 135, 139 и 445.
 

Цитата:
 Может стоит отклонять для System и svchost.exe всё что им неразрешено, поместив соответствующие правила отклонения в конце таблицы системных приложений?

можно, если ты в уверен, что им больше никуда ходить ненадо.
 

Цитата:
 И тут не совсем понятно почему это спрашивает.  
Это должно блокироваться Block All not Processed IP Packets.  
И блокируется.  
Зачем же спрашивать System и svchost.exe?  
 
Сейчас в логах отклоняется сразу Block All not Processed IP Packets:  
 
19.03.2006 23:44:14.812    отклонить    Block All not Processed IP Packets    48    TCP    входящий пакет    82.207.64.158    82.207.64.174    4012    445    TTL: 127; TOS:  0; ID: D0F4; Don't fragment; TCP flags: SYN ; TCP Seq: F42CFF35  

так как на сетевом уровне эти пакеты не запрещены, то запрос посылается на уровень приложений. получив отказ с уровня приложений эти пакеты не разрешаются (по TCP Statefull) и на сетевом уровне.

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 07:41 20-03-2006
ArtLonger



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov

Цитата:
Не стоит так эмоционально реагировать
Прошу прощения, обстановка на работе нервная, вот и сорвался...
 
 
Trusted и Blocked Zone я не пользуюсь, т.к. их конфиг-файл абсолютно не зашифрован. Поэтому по зонам не подскажу.
 
Для localhost (127.0.0.1:1024-65535) у меня создана отдельная таблица и я включаю её в типовые таблицы приложений. Если какой программе нужен только localhost, создаю для неё отдельное правило с переходом на таблицу "Localhost".
 
Если Вам нужен локальный прокси, то лучше удалить его порт (к примеру, 8080) из таблицы localhost, т.е. создать два диапазона портов: 1024-8079 и 8081-65535. Затем создать правило отдельно для локального прокси (127.0.0.1:8080) и раздавать тем программам, которым разрешён доступ в Интернет.
Выстригание порта ничем не грозит, т.к. во-первых порт сразу забирает работающий локальный прокси, а во-вторых основной диапазон портов localhost 1024-5000. Не так уж и много программ, которым нужны более высокие порты для localhost.

Всего записей: 1844 | Зарегистр. 06-10-2001 | Отправлено: 09:50 20-03-2006 | Исправлено: ArtLonger, 09:53 20-03-2006
Den_Klimov



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77

Цитата:
этот человек официально ответственный  

Благодарю, так и поступлю.
Тем более что этот же провайдер предоставляет мне и ADSL-доступ на другой машине. И там также идут входящие на 135 и 445. Смотрите мои первые посты.
 

Цитата:
всё правильно. но я бы посоветовал создать правило запрещающие входящие соединения ещё на сетевом уровне, чтобы до уровня приложений и дело не доходило.  
да и вообше бы закрыл любые входящие как минимум на порты 135, 139 и 445.

 
Нельзя ли поподробней пожалуйста, многим будет интересно.
Какие ещё дополнительные правила, кроме уже существующих заводских, стоит разместить на сетевом уровне? Перед какими или после каких именно правил их стоит разместить?
 
ArtLonger

Цитата:
Прошу прощения, обстановка на работе нервная, вот и сорвался...

Да я не обижаюсь, привык...
 

Цитата:
Trusted и Blocked Zone я не пользуюсь, т.к. их конфиг-файл абсолютно не зашифрован. Поэтому по зонам не подскажу.

Я тоже не хотел бы ими пользоваться, потому и пытаюсь настроить всё без них. Начал как раз с localhost.
 
Ты подтвердил мои предположения. И настройка localhost у меня сейчас практически идентична твоей, что подтверждает её правильность.
Вот только я не использую для исключений портов прокси диапозоны. Так как исключаю из таблицы localhost целый ряд различных прокси-портов, которые при помощи диапазонов исключать не так удобно.
Вместо этого, я создал в таблице localhost отдельные откланяющие правила для каждого отдельного прокси-порта, и разместил их перед всеми другими правилами. Это удобней.
Единственное, когда требуется разрешить программе использующей таблицу localhost доступ к локальным прокси, приходится следить чтобы сначала шло правило отсылки на таблицу локальных прокси, а только потом на таблицу localhost, иначе прокси-порты блокируются.
 
Теперь подумываю. Ребята, может стоит убрать из таблицы "Прокси" конкретные адреса (у меня там 127.0.0.1)?
Это сделает таблицу прокси универсальной и её можно будет использовать для любого прокси и их клиентов, где бы они не находились. Правда какие должны быть настройки универсальной таблицы "Прокси", я ещё не совсем разобрался.

Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 12:21 20-03-2006 | Исправлено: Den_Klimov, 12:23 20-03-2006
ArtLonger



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov

Цитата:
при помощи диапазонов исключать не так удобно
Чесно говоря, всё равно . Просто Ваш способ требует размещения правил в определённом порядке, но позволяет при этом быстро менять порты для блокировки. Диапазонный менее универсален в этом плане, но не налагает жёстких требований на порядок правил. В случае одного локального прокси правил надо одинаково.
Вот за это мне и нравится Джетико - делайте, как удобно
 

Цитата:
какие должны быть настройки универсальной таблицы "Прокси"
Речь о локальных или удалённых прокси?
 

Всего записей: 1844 | Зарегистр. 06-10-2001 | Отправлено: 12:51 20-03-2006
Den_Klimov



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ArtLonger

Цитата:
Речь о локальных или удалённых прокси?

Честно говоря, о всех.
Но из этого вопроса понял, что желательно создать две отдельных таблицы. Для локальных прокси свою, для удалённых свою?
Какой же всё-таки должен быть набор правил?
Я предпологаю, но боюсь ошибиться...

Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 13:14 20-03-2006 | Исправлено: Den_Klimov, 13:29 20-03-2006
crypt77



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Den_Klimov

Цитата:
Нельзя ли поподробней пожалуйста, многим будет интересно.  
Какие ещё дополнительные правила, кроме уже существующих заводских, стоит разместить на сетевом уровне? Перед какими или после каких именно правил их стоит разместить?  

вот моя таблица "System IP Table"

Цитата:
System Blocked Zone    disabled    any    incoming packet    Blocked Zone    any
System Blocked Zone    disabled    any    outgoing packet    any    Blocked Zone
System Trusted Zone    disabled    any    incoming packet    Trusted Zone    any
System Trusted Zone    disabled    any    outgoing packet    any    Trusted Zone
accept    Allow antivirus update    disabled    TCP    incoming packet    local network    local address    8081    
accept    Allow sharing for localnetwork    disabled    TCP    incoming packet    local network    local address    139    
accept    Allow sharing for localnetwork    disabled    TCP    incoming packet    local network    local address    445    
reject    reject incoming connections    warning    TCP    incoming packet    any    any    TCP flags: SYN !ACK     
System Internet Zone    All Other Traffic    disabled    any    incoming packet    any    any    
System Internet Zone    All Other Traffic    disabled    any    outgoing packet    any    any    
accept    Allow DHCP request    disabled    UDP    outgoing packet    any    255.255.255.255    68    67    
accept    Allow DHCP reply    disabled    UDP    incoming packet    any    255.255.255.255    67    68    
reject    Block All not Processed IP Packets    debug    any    any    any    any    
 

здесь я разрешаю пользователям из локальной сети ходить ко мне за обновлениями антивируса и обращатся к моим открытым дискам. а все оттальные входящие соединения рублю на корню, за исключением конечно Trusted Zone.

Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 13:47 20-03-2006
Den_Klimov



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypt77

Цитата:
здесь я разрешаю пользователям из локальной сети ходить ко мне за обновлениями антивируса и обращатся к моим открытым дискам. а все оттальные входящие соединения рублю на корню, за исключением конечно Trusted Zone.

Огромная тебе благодарность от всех за эту таблицу. Никто не выкладывает свои настройки. Так что ты первый, кто выложил, пускай пока лишь одной из четырёх основных таблиц.
Благодарю!

Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 14:17 20-03-2006 | Исправлено: Den_Klimov, 14:19 20-03-2006
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall
Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru