#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Firewall Pro / Comodo Internet Security

Модерирует : gyra, Maz

batva (02-04-2009 08:34): Продолжение ->Comodo Firewall Pro / Comodo Internet Security (3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

Widok



Moderator-Следопыт
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части  >>> 1
Comodo Firewall Pro 2.4
It's Free. Forever. No Catch. No Kidding


Системные требования: Win 2000/XP/2003 (32 bit ALL), 64 MB RAM, 32 MB свободного места на диске. Внимание: не совместим с Win 9x!
 
Последняя версия на сайте: EN - 2.4.18.184 | RU - 2.4.16.174 | RU_Addon - 2.4.16.174
Инструкция по установке Comodo Firewall Pro 2.4.18.184 RU...

Возможности | Недостатки | Особенности создания правил по запросу | v2.4 - известные проблемы...

Краткое описание и типовые настройки:
Tasks | Application Control | Component Control | Network Control | Advanced Security Configuration

Решения проблем с настройками:
Настройка DC-клиента... | Comodo vs µTorrent... | Comodo vs VPN



Comodo Firewall Pro 3
 
   
 
Последняя версия на сайте: EN 3.0.25.378 | Пояснение к номеру версии... | Ссылки на загрузку...

Системные требования: Windows XP/Vista – 32/64 bit, 64 MB RAM, 55/75 MB свободного места на диске.

Особенности... | Найденные баги...

Краткое описание и типовые настройки: Summary | Firewall (PDF) | Defense+ | Miscellaneous

Comodo 3 vs µTorrent... | Comodo 3 vs VPN...


Comodo Internet Security 3.8
 
 
Firewall Protection | AntiVirus Software | Proactive Security

 
Последняя версия: EN 3.8.65951.477 | Страница загрузки...

Системные требования: Windows XP SP2/Vista – 32/64 bit, 64 MB RAM, 70/105 MB свободного места на диске.
Как правильно перенести свои настройки из "Comodo Firewall Pro 3.0" в "Comodo Internet Security 3.5"
Краткое описание и типовые настройки: Summary | Antivirus | Firewall | Defense+ | Miscellaneous
Рекомендуется при описании проблемы указывать версию операционной системы и тип подключения к интернету.
Иначе - помочь будет трудно - телепаты опять в отпуске.  



Всего записей: 24190 | Зарегистр. 07-04-2002 | Отправлено: 15:46 12-12-2007 | Исправлено: XenoZ, 09:29 04-03-2009
acro



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Комод (как 2.4, так и 3) категорически отказывается работать в следующей конфигурации.
Имеем: 2 сетевых интерфейса:  
LAN  (10.2.104.17-10.255.255.255)
Беспроводное соединение с точкой доступа, которая подключена к ADLS модему (192.168.1.0-192.168.1.2) DNSы в соединении-провайдерские.
Выход в инет осуществляется через PPPoE соединение (модем настроен бриджем).
Маршрутизация в винде задана принудительно по следующей схеме (постоянные маршруты)
10.х.х.х-через LAN
0.0.0.0- через Вай-Фай
чтобы на внтуртенние ресурсы 10.х.х.х- ходил, а в интернет через Wi-Fi
 
 
Комод видит две зоны (ввсе отключено, ни одного запрещающего правила, все зоны внесены в доверенные и т.п.)
ИМЯ LAN интерфейса (10.2.104.17-10.255.255.255)
ИМЯ вай-фай интерфейса (192.168.1.0-192.168.1.2),  
показывает в статусе хождения пакетов на DNS, входящие торренты. и т.п. но внешки нет, пинг не идет никуда, даже на DNS, но при этом адреса из диапазона (10.2.104.17-10.255.255.255) доступны. Туда пускает.  
На PPPoE вобще не реагирует. Есть оно, нет его, все одно. Делаю режим "разрешить все", ничего не меняется. Нету внешки по PPPoE.
 
Где тупняк? всю голову сломал.

Всего записей: 710 | Зарегистр. 24-07-2003 | Отправлено: 21:54 01-08-2008
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
acro, а без COMODO точно всё работает ? (при тех же маршрутах и при всём остальном)

Всего записей: 1218 | Зарегистр. 19-09-2007 | Отправлено: 11:47 02-08-2008 | Исправлено: WIGF, 11:48 02-08-2008
Ozonep3

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Друзья, как я понл в Комодо 3-й версии встроен anti-virus-malware движок. Он может заменить антивирь? Или антивирус все-таки лучше установить?

Всего записей: 1 | Зарегистр. 15-03-2008 | Отправлено: 20:11 02-08-2008
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые пользователи фаера COMODO версии 3.0.
Обнаружена ДЫРИЩА в нём.
Просто слов нет какого она размера.
 
Обнаружил её bastard, ну и я поучаствовал в процессе и подтверждаю эту дырку.
Решения пока не видим.
 
Кратко опищу суть проблемы: все входящие соединения идут от лица процесса WOS, независимо от того, какое приложение эти соединения ждёт. Все входящие соединения контролируются только правилами в Global Rules. Правила в Application Rules не имеют никакого значения. Вы там хоть полный запрет поставьте, а соединения всё рано пройдут, если они разрешены в GR.
Пример 1. приложение X использует в своей работе входящие соединения. Мы открываем порт Y в GR. И таким образом мы открываем этот порт для всех!!!
Хорошо, если там прописано правило вплоть до доверенных IP, а если это приложение X - это торрент-клиент ? В представляете себе последствия ? Ведь эти соединения вообще не контролируются !
Пример 2: (процитирую сообщение bastard)
Цитата:
Скачиваю я из Сети прогу, думаю, что это браузер или мессенджер или все что угодно, в правилах для проги все входящие ЯВНО ЗАПРЕЩАЮ (обрубить все входящие в Global я при всем желании не могу, потому что IPTV к примеру пользуюсь) -- после запуска COMODO спросит у меня: можно эта прога сунет свой нос наружу по протоколу TCP порту HTTP 80, на что я отвечу: да ради бога, я ж ей все входящие ЯВНО ЗАПРЕТИЛ -- и прога сунет, но не по TCP/80, а инициирует десять тысяч входящих, которые в логах COMODO будут значиться как Windows Operation System
(и это еще при условии, если в глобальных отдельным правилом прописаны входящие и установлено писать их в лог; если же в глобал входящие явно не упоминаются, т.е. просто нет на них общего запрета, что по умолчанию и рекомендуется, то вы вообще никогда не узнаете об их существовании)

Читайте подробнее тут.
 
Не срабатывает ссылка у меня. На ту тему можете выйти так: Оф. Форум COMODO, далее тема "Комментарии по теме "Часто задаваемые вопросы", стр.2.
 


Конечно дырки нет, если в GR не разрешены входящие.
У меня, например, там прописаны только IPTV и несколько ftp-серверов (всё вплоть до конкретных адресов). Но и это тоже является дырой...
 
Что вы об этом думаете ? (проверьте, может мы ошиблись в чём-то).
 
Добавлено:



Ozonep3, антивирус он не заменит. Там, так скажем, "типа-антивирус". Всё-таки главное в CFP - это фаерволл и Defense+.

Всего записей: 1218 | Зарегистр. 19-09-2007 | Отправлено: 20:28 02-08-2008 | Исправлено: WIGF, 20:47 02-08-2008
acro



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
acro, а без COMODO точно всё работает ? (при тех же маршрутах и при всём остальном)

Да, точно, проверил. Только полное удаление программы. Нашел кардинальное решение:
1. Format c:/q
2.Полная установка winXP SP3 ZVER.
 
Ну не стал ставить маршруты, модем в режим роутера, включил ему DHCP, все IP пусть раздаст автоматом.  Сейчас один шлюз, все туда ломится.
Все работает Комод работает.

Всего записей: 710 | Зарегистр. 24-07-2003 | Отправлено: 21:51 03-08-2008
rrr777

Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите, все время сидел на NOD - е (2-ке), так как с 3-кой (NOD) все плохо решил попробовать KAV 8.0.0.357 - но он даже инсталится отказ. из-за комода - как там с совместимостью?  

Всего записей: 2809 | Зарегистр. 22-12-2005 | Отправлено: 10:23 04-08-2008
twinl



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kgb и Cia - не сотрудничают....

Всего записей: 2175 | Зарегистр. 01-10-2006 | Отправлено: 11:43 04-08-2008 | Исправлено: twinl, 11:51 04-08-2008
fixist

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу составления порядка правил в Network Control Rules  
 
Есть 4 правила
 
a. 1-е не зависит ни от каких других и влияет на 2-е и 3-е и 4-е
b. 2-е правило может повлиять на правило № 3 и №4 и чучтвует влияние номера 1
c. №3 не дествует на верхние 1 и 2-ые правила (при этом считаясь с их условиями)
d. 4-е - не действует на все три, но включает в себя ихние оговорки Так?

Всего записей: 82 | Зарегистр. 15-06-2008 | Отправлено: 19:21 04-08-2008 | Исправлено: fixist, 22:22 04-08-2008
fixist

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если правильно, то тогда сделал так:
   
LZone-локалка
IZone-интернет
В правиле №9 управляем портами программ которые имеют доступ в интернет (добавляем например ICQ, E-Mule, DC++ и т.д и удаляем соответственно)
Правило №10 нужно только для ведения лога по портам, через которые прошел трафик, по блокированым также ведется лог если что-то на них происходит
Поправте, если что не так, пожаласта.
 
Только вот есть вопросик из лога:

Цитата:
 
Опасность: Низкая
Источник: Сетевой Монитор
Описание: Информация (Доступ Разрешен, IP = 192.168.1.255, Порт = nbname(137))
Протокол: UDP Исходящи
Источник: 192.168.1.33:nbname(137)  
Получатель: 192.168.1.255:nbname(137)
Причина: Сетевое Правило ID =10

 
10 - последнее правило, LocalZone (192.168.1.1-192.168.1.33) Это нормально, что пакет на 1.255 постучался и ему разрешили?
 

Всего записей: 82 | Зарегистр. 15-06-2008 | Отправлено: 03:02 05-08-2008
AlaRic

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста. Я создал глобальное правило:  
ALLOW TCP OUT FROM IP [Any] TO IP [Any] WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS IN [80,81,82,83,443]
После этого все заблокировал:
BLOCK and LOG4 TCP or UDP IN or OUT FROM IP [Any] TO IP [Any] WHERE SOURCE PORT IS [Any] AND DESTINATION PORT IS [Any]  
Теперь запуская оперу, вылезает окошечко мол разрешить или запретить. Ничего страшного не будет, если запомнить и разрешить? Тогда опера будет работать по всем доступным портам и адресам, но при этом будет включен фильтр из глобального правила?
Спасибо.

Всего записей: 39 | Зарегистр. 20-03-2006 | Отправлено: 08:35 05-08-2008
basstard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlaRic
80,81,82,83,443 -- такого набора в GR будет недостаточно: браузеру могут потребоваться еще 8080, 843, 5050.. чтобы юзать встроенный ftp-клиент: 21 и все из диапазона [1024-65535], это не говоря уже про другие приложения
 
в GR исходящие по TCP имеет смысл ограничить только по своим портам:
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is Any
+ ...
+ ...
- Block And Log IP IN/Out From IP Any To IP Any Where Protocol Is Any
 
а в AR для Oper'ы если предполагается использовать ftp, то добавить
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is 21
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is In [1024 - 65535]
 
остальные разрешения формировать постепенно, в зависимости от ее запросов, меняя конкретный IP на Any

Всего записей: 58 | Зарегистр. 05-08-2008 | Отправлено: 10:34 05-08-2008 | Исправлено: basstard, 10:52 05-08-2008
AlaRic

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за ответ, а на последние мои вопросы в посте можете ответить? Правильно ли я там все понял. Правила я привел как пример, портов конечно я открою больше.
 
Добавлено:
То есть вначале запрос проходит через глобальное правило, а уже потом через правило приложений...

Всего записей: 39 | Зарегистр. 20-03-2006 | Отправлено: 12:08 05-08-2008
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 fixist  

Цитата:
По поводу составления порядка правил в Network Control Rules  
 
Есть 4 правила  
 
a. 1-е не зависит ни от каких других и влияет на 2-е и 3-е и 4-е  
b. 2-е правило может повлиять на правило № 3 и №4 и чучтвует влияние номера 1  
c. №3 не дествует на верхние 1 и 2-ые правила (при этом считаясь с их условиями)  
d. 4-е - не действует на все три, но включает в себя ихние оговорки  Так?
Я бы попроще сказал: правила обрабатываются сверху вниз. Если данное соединение разрешено правилом N, то производится проверка правила N+1 и т.д., а если данное соединение запрещено правилом X, проиходит блокировка и дальнейшая проверка не производится.
 
По поводу правил:
• Я бы правила 1 и 2 объединил в одно и поставил бы направление только Вх.
• Правило 3 не понял. Смысл этого типа ICMP - исходящий пинг. Зачем ты его ограничиваешь ? Ведь именно ты инициатор данного типа соединения. Поставь разрешать для всех зон.
Аналогично по правилам 4 и 5. Не стоит их запрещать для интернет зоны, хотя если проблем с соединениями не будет, то можешь оставить.
Хотя нет. Не так ты понял. Надо разрешить только то, что можно, а остальное запретить.
Так вот у тебя запрещены только конкретные ICMP, а всё остальные ICMP разрешены.
Лучше сделай разрешающими для всех правила 3-5 и добавь правило полсе них:
Блокировать ICMP От IP любого к IP любому где тип ICMP любой
• Правилом 7 можно заменить правила 1, 2 и 7, но убрать в нём зону (сделать для всех).
• Правило 8 по DNS будет не всё охватывать. Ведь так ты запрещаещь только запросы не на порт 53 на на DNS-серверы, но ведь запрета по DNS-запросам на любые другие адреса нет.
Лучше сделай 2 правила:
Разрешить UDP Исх. с любого IP на IP [DNS] с любых портов на порт 53
Запретить UDP Исх. с любого IP на любой IP с любых портов на порт 53
Локальные стоят любые в связи с недавним обновлением винды, после которого запросы приложений идут по-старому с портов 1024-4999, а запросы svchost.exe (т.е. системы) идут с портов 49152-65535.
 
В целом принцип построения должен быть иной: сначала разрешить нужное, а остальное запретить. А ты, наоборот, запретил ненужное, а остальное разрешил, но ведь так можешь что-то упустить и будет дырка.


basstard, присоединился к нам Приветствую.


AlaRic, схему обработки правил смотри здесь (для исходящих - верно).

Всего записей: 1218 | Зарегистр. 19-09-2007 | Отправлено: 13:28 05-08-2008 | Исправлено: WIGF, 13:34 05-08-2008
AlaRic

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще парочку вопросов появилось. Что можно разрешить приложению svchost?
Пытался настроить комод по торрент. Вот глобальное правило:
Разрешить TCP В/Из с любого IP на любой IP с любых портов на порт 40000. В опциях торрента порт 40000 для входящих соединений. В правилах приложений затрудняюсь как лучше написать. Разрешить TCP В/Из со всех ip?

Всего записей: 39 | Зарегистр. 20-03-2006 | Отправлено: 17:18 05-08-2008
fixist

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF
Дело в том что если я ставлю по правилу из шапки - у меня нЭт не фурыкеает
Добавил правило под номером 2, а то UDP блокируется по правилу №11
3-е правило я убрал вообще (т.е. разрешено). ОНО БЛООКИРОВАЛО ВСЕ ИСХ. ECHO REQUEST, ЕСЛИ ОНИ НЕ В ЛОКАЛКЕ. Нужно ли переправить это правило на блокировку входящих?

Цитата:
• Правилом 7 можно заменить правила 1, 2 и 7, но убрать в нём зону (сделать для всех).

Правило №2 (теперь №3) переделал -> запрещает все TCP и UDP Вх. и Исх. по всем портам кроме 137-139 ходящих в Локалке. Правильно, до этого оно блокировало TCP и UDP Вх. и Исх. по всем портам, кроме 137-139 только в Локалке Поэтому 7-е убрал. 135 и 445 блокируются по правилу №1, а порты 137-139 по правилу №3

Цитата:
• Правило 8 по DNS будет не всё охватывать. Ведь так ты запрещаещь только запросы не на порт 53 на на DNS-серверы, но ведь запрета по DNS-запросам на любые другие адреса нет.  
Лучше сделай 2 правила:  
Разрешить UDP Исх. с любого IP на IP [DNS] с любых портов на порт 53  
Запретить UDP Исх. с любого IP на любой IP с любых портов на порт 53
Спасибо, переделал. Только оставил первую строку: все не запрещенные UDP блокируются в №11
Добавил также сервер комоды

Цитата:
ALLOW TCP OUT FROM IP ZONE:[Internet Zone] TO IP 195.92.253.141 WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS 21  
ALLOW TCP OUT FROM IP ZONE:[Internet Zone] TO IP 195.92.253.141 WHERE SOURCE PORT IS 1024-4999 AND DESTINATION PORT IS 1024-4999

11-ым правилом добавил блок на вх./исх. UDP, если нужно исключить порт то добавляю его в получателя, с приставкой "НЕ", т.е. "исключая выбранному" для DC++ и т.д.
   
По этим правилам у меня остались для исходящих соединений TCP открытыми порты получателя (DESTINATION) 25, 80, 81, 82, 83, 110, ... для интеренета с любого не запрещенного (№6) мной исходящего порта 1024-4999 (правило № 10).
№ 12 - блокировать все TCP входящие. TCP Исх./Вх. также не проходит - исходящие блокируются

Всего записей: 82 | Зарегистр. 15-06-2008 | Отправлено: 18:58 05-08-2008 | Исправлено: fixist, 20:55 05-08-2008
basstard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WIGF, спасибо ждал твоего комментария по поводу настроек fixist -- а то опасался, что это либо я чего-то сильно недопонимаю, либо специфика двойки -- но теперь понятно, что для версий принципы одни и те же, поэтому:
 
fixist, дружище, пожалей тех, кто пытается тебе помочь -- разобраться как все это безумие будет работать бесконечно сложно, по первым постам однозначно можно сказать только следующее:
 
a. 1-е не зависит ни от каких других и влияет на 2-е и 3-е и 4-е  
b. 2-е правило может повлиять на правило № 3 и №4 и чучтвует влияние номера 1  
c. №3 не дествует на верхние 1 и 2-ые правила (при этом считаясь с их условиями)  
d. 4-е - не действует на все три, но включает в себя ихние оговорки  Так?

Так и есть, но ты как-то очень своеобразно это понял: обычно в связи с этим, последним правилом запрещают все и для всех, а выше чего-нибудь все-таки разрешают, а ты наоборот последним разрешил, а выше начал кое-что блокировать..
 
10-е правило никакого смысла не имеет, т.к. ниже него нет ни одного запрета -- поскольку все, что не запрещено -- разрешено, то разрешения имеют смысл лишь тогда, когда ниже них находятся запрещения по тем же портам/протоколам, иначе они и так разрешены
 
правилами 3,4,5 ты блокируешь как раз те ICMP-запросы, которые нужно разрешить, при этом все остальные ICMP, кот. следовало бы запретить у тебя пройдут, т.к. ни явного на них, ни общего на всех запрета нет -- возможно политикой интернет-зон ты пытался получить обратный результат, но интернет-зоны регулируют не принадлежность твоего компа к той или иной сети, а принадлежность входящего/исходящего IP к той или иной сети, а указанные тобой ICMP приходят как раз на твой внешний IP
 
также у тебя пройдут ВСЕ входящие TCP/UDP на ВСЕ порты, кроме указанных в 7
 
также пройдут ВСЕ исходящие TCP/UDP по портам [0 - 1023], кроме тех, что указаны в 6
 
в целом можно было оставить "разрешить все и для всех" и не париться -- результат был бы тот же
 
по исправленному варианту никаких значимых изменений не заметил
 
вобщем, как сказал WIGF:

Цитата:
В целом принцип построения должен быть иной: сначала разрешить нужное, а остальное запретить. А ты, наоборот, запретил ненужное, а остальное разрешил, но ведь так можешь что-то упустить и будет дырка.

 
Поэтому, имеет смысл реализовать базисную стратегию:
 
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is Any
+ Allow UDP Out From IP Any To IP [DNS-Server-1] Where Source Port Is In [1024 - 65535] And Destination Port Is 53
+ Allow UDP Out From IP Any To IP [DNS-Server-2] Where Source Port Is In [1024 - 65535] And Destination Port Is 53
+ Allow ICMP Out From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
- Block And Log IP In/Out From IP Any To IP Any Where Protocol Is Any
*Правил для DNS столько, сколько DNS-серверов
 
И уже ВЫШЕ всех этих правил добавлять те РАЗРЕШЕНИЯ, которые тебе нужны под конкретные задачи
 
Добавлено:
AlaRic
 
По торренту все очень просто, выше всех правил, например тех что в сообщении выше, нужно добавить еще два:
+ Allow UDP Out From IP Any To IP Any Where Source Port Is [Torrent-Port] And Destination Port Is In [1024 - 65535]
+ Allow TCP or UDP In From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is [Torrent-Port]
 
В AR для p2p-клиента обязательно добавить:
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is In [1024 - 65535]
+ Allow UDP Out From IP Any To IP Any Where Source Port Is [Torrent-Port] And Destination Port Is In [1024 - 65535]
 
Входящие в ТЕКУЩЕЙ ВЕРСИИ фаера можно не добавлять, но ситуация может измениться и тогда придется добавить входящие в AR:
+ Allow TCP or UDP In From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is [Torrent-Port]
 
Кроме того, клиенту нужно общаться не только с пирами, но и с треккером, но это он будет делать по TCP/HTTP-портам, так что сам  спросит и ты ему разрешишь
 
Еще заметил, что мой uTorrent при закачке с torrents.ru ломится по UDP с порта 6771 на такой же на треккере, поэтому и в AR и в GR добавил:
+ Allow UDP Out From IP Any To IP Any Where Source Port Is 6771 And Destination Port Is 6771
но насколько это универсально для различных клиентов/треккеров пока не выяснил

Всего записей: 58 | Зарегистр. 05-08-2008 | Отправлено: 22:06 05-08-2008 | Исправлено: basstard, 22:17 05-08-2008
Imperator



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как в 3 версии прописать в глобальных правилах разрешения для Loopback Zone? Чтобы разрешал все локальные соединения и не выводил сообщения предалагая разрешить такое соединение для каждого приложения.

Всего записей: 2765 | Зарегистр. 08-02-2004 | Отправлено: 23:40 05-08-2008
kipus



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
WIGF
И где дырища? Не надо открывать все входящие порты в глобальных правилах и не будет никакой "дырищи".

Всего записей: 1253 | Зарегистр. 17-09-2002 | Отправлено: 00:07 06-08-2008
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fixist, как сказал basstard, голова идёт кругом
Если не работает интернет, значит что-то конкретное не разрешил.
Если стоит последнее запрещающее правило с включённым протоколированием, то по логам журнала можно это что-то увидеть и прописать.
Т.е. лучше возьми конфу, которую basstard предложил:
Цитата:
+ Allow TCP Out From IP Any To IP Any Where Source Port Is In [1024 - 65535] And Destination Port Is Any  
+ Allow UDP Out From IP Any To IP [DNS-Server-1] Where Source Port Is In [1024 - 65535] And Destination Port Is 53  
+ Allow UDP Out From IP Any To IP [DNS-Server-2] Where Source Port Is In [1024 - 65535] And Destination Port Is 53  
+ Allow ICMP Out From IP Any To IP Any Where ICMP Message Is ECHO REQUEST  
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED  
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED  
- Block And Log IP In/Out From IP Any To IP Any Where Protocol Is Any
а потом уже уточняй правила.
Если по данной конфе не будет работать и накак не выйдет по журналу правила дописать, то выложи выдержки из него и вместе посмотрим.
 
Как возможные варианты, почему не работал интернет:
• DHCP-запросы (правило именно для двойки):
Разрешить UDP В/Из от IP любого к IP любому, где порты источника 67, 68, а порты получателя 67, 68
соединение с vpn-сервером


Цитата:
Как в 3 версии прописать в глобальных правилах разрешения для Loopback Zone? Чтобы разрешал все локальные соединения и не выводил сообщения предалагая разрешить такое соединение для каждого приложения.
Imperator, для исходящих - никак. Всё равно будут запросы. Лучше прописать в политиках эти соединения и на основе политик сделать правила для большинства приложений.
Или же снять галочку с опции "Firewall Behavior Settings" -> "Alert Settings" -> "Enable alerts for loopback request" - в итоге для новых (непрописанных) loopback-соединений не будет запросов (они будут молча блокироваться).
А по входящим - я выше про дырку писал. Так что по входящим можно прописать.


Цитата:
И где дырища? Не надо открывать все входящие порты в глобальных правилах и не будет никакой "дырищи".
kipus, ну а как действовать пользователям торрента ? Ведь им надо разрешить на вход конкретный порт, а ведь при нынешней ситуации этот порт откроется для всех приложений и не будет контролироваться совсем. В этом и дырища.
Если не открывать ничего, то ничего и не будет. Я об этом написал выше:
Цитата:
Конечно дырки нет, если в GR не разрешены входящие.  
У меня, например, там прописаны только IPTV и несколько ftp-серверов (всё вплоть до конкретных адресов). Но и это тоже является дырой...

Всего записей: 1218 | Зарегистр. 19-09-2007 | Отправлено: 10:24 06-08-2008 | Исправлено: WIGF, 10:45 06-08-2008
kipus



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
WIGF
У меня для торрента никаких портов отдельных не открыто. Просто для utorrent'а разрешены входящие соединения. В глобальные правила я ничего не добавлял. Все левые входящие соединения блочатся нормально.
А все ненужные входящие порты блочатся на роутере.

Всего записей: 1253 | Зарегистр. 17-09-2002 | Отправлено: 13:29 06-08-2008 | Исправлено: kipus, 13:57 06-08-2008
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Firewall Pro / Comodo Internet Security
batva (02-04-2009 08:34): Продолжение ->Comodo Firewall Pro / Comodo Internet Security (3)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru