caspara
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разберем по косточкам твой случай
Цитата:| сетка у нас - одно название, несколько компов подключены к хабу и никакого администратора, в общем, сеть по типу "воткнули и работает" |
Хорошо, сеть существует без доменов и твои машины могут быть в 1 группе, назовем ее Home (условно), с приблизительно такими IP: 192.168.1.1-192.168.1.255, с маской подсети 255.255.255.0 (эти АйПи адреса не имеют права прямого выхода в интернет, так как забанены изначально, подробнее найти в нете инфу по сетям класса С можно элементарно), то есть через сетевое окружение ты входишь на шары других пользователей без проблем.
0. Твоя сетка в реальный интернет имеет право выходить или нет, кроме тебя одного, ессно?
На этом обзор твоей сети можно закончить.
Возмемся за конфигурацию твоей 1С
1. У тебя сервер 1С (для работы по сети с клиентами) установлен на "сервер"-РС (это может быть любая машина из твоей рабочей группы)?
2. Клиенты 1С работают с 1С-сервером или рабоатют автономно? (спрашиваю в контексте
Цитата:| да и базы у нас разбросаны по всем компам |
)
3. На какую машину ты пытаешься посадить файервол и настроить правила? (исходя из ответа на вопрос 2) и нужен ли тебе он (файервол в смысле) вовсе, если у тебя клиенты 1С работают без 1С-сервера и тем более, если у них интернета и вовсе нет?
Добавлено:
Цитата:| помимо естественного правила с удалённым портом, перед таковым досаждает правило "dns(53)-UDP" |
тебе никто не запрещает установить правило типа
разрешить вход-исход на твой ДНС-сервер на удаленный порт 53 с твоего АйПИ и лок.порта 53 траффик по ТСР-УДП протоколам, иногда помогает правило для theBat по протоколу 53 на твой почтовый сервер, кроме своих нативных 25 и 110, иногда нужно писать это правило и для прокси сервера (ССпрокси или ей подобным прогам)
Цитата:| абсолютно "достали" правила типа "svchost.exe" , "services.exe" , "alg.exe" и т.п. о которых я даже не догадывался. |
если эти сервисы запускаются из систем32 каталога, разрешай все, что нужно, а если не из систем32 - тогда мочи своих вирусов, косящих под "правильное" приложение,
единственно, лично я режу попытки приложения "систем" принимать и отправлять пакеты из-в интернет по ТСР-УДП протоколам с портов 137-139.
Цитата:| Прога OODefrag Pro v10.0.1634 вообще напрочь заблокировалась, даже при абсолютно всех разрешений на все её службы и процессы (правил всплывало пару десятков точно. При этом Comodo обвинил этот дефрагментатор в шпионаже путём использования др. программ для выхода в сеть). |
Мочишь все правила для дефрагментатора, создаешь правило, которое необходимо для ее функционирования по сети (порт реально указан в реадми от софтины),
а также создаешь правило, такого содержания:
Запретить исходящие соединения по протоколам ТСР-УДП приложению Интерент Эксплорер, Мозилл, Опера-другое, если родитель ООдефраг а далее по умолчанию - это одно из багов Комода 2.4 версии и называется ОЛЕ-автоматизация
ЗЫ Эту автоматизацию надо писать и на приложения мелкосфт офиса и на неру и на другую кучу программ, реально не связанных с интернет-браузерством напрямую.
Цитата:| Также во всех смертных грехах был обвинён BitDefender Free v10. За день общения с этим стражем порядка чуть "крыша не съехала"... |
Что за именно правила выскакивали? Подробнее, мы не телепаты и не лечим компы на расстоянию
Цитата:| Пробовал добавлять правила из шапки для "Сетевого монитора" - меньше проблем не стало. |
+1
Цитата:| После McAfee (с его единым окном) тяжело понять, например, куда размещать правило для svchost.exe : в "Сетевой монитор" или в "Монитор приложений" ? |
Принцип сети такой: читаем азбуку http://www.informika.ru/text/inftech/internet/inttcp/ и приходим к выводу, котрый вы должны здесь озвучить: что первичное "Монитор приложений" или "Сетевой монитор" ?
Если вывод правильный будет озвучен, то правила для svchost.exe и не только будут писаться в правильную табличку
Цитата:| Ну всё, ребята, я вас "загрузил" (как "загрузил" меня этот файер. Но мечтается добиться конечной цели : спокойно работать без назойливых оповещений (коих тьма-тьмущая). Ведь до этого я работал лет пять на McAfee без проблем. Но захотелось лучшего - врага хорошего... |
+1 Если хорошо настроишь правила, то забудешь, когда ты в последний раз смотрел в файервол, а так ходи на pcflank.com и тестируй свою машину на правильность правил каждый раз, пока совесть твоя админская не скажет: "все ОК, пойдем пить виво!" |
