#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Firewall Pro / Comodo Internet Security (3)

Модерирует : gyra, Maz

Widok (29-12-2009 19:30): Лимит страниц. Продолжаем здесь.  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

   

batva



crazy administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части >>> 1 >>> 2 >>> Все части

Архив: Comodo Firewall Pro 2.4 | Comodo Firewall Pro 3.0


Comodo Internet Security 3.13
 
 
Firewall Protection | AntiVirus Software | Proactive Security

 

Системные требования: Windows XP SP2/Vista/Seven (7) – 32/64 bit, 64 MB RAM, 150/175 MB свободного места на диске.
Как правильно перенести свои настройки из "Comodo Firewall Pro 3" в "Comodo Internet Security" (3.5-3.13)...
Принцип фильтрации пакетов в COMODO...
Особенности совместной работы COMODO со сторонними антивирусами: объяснение 1 и 2; пример 1 и 2.

Примеры правил:
Comodo 3 vs µTorrent | Comodo 3 vs VPN | Global Rules (Глобальные правила) | Windows Operating System (System Idle Process) | svchost.exe | использование звёздочки (*) в правилах | Остальные правила... (pdf)

"Вредные советы" по доработке КИСы:
1. Исправленный перевод интерфейса CIS на русский язык и что делать, если он слетает после обновления CIS...
2. Как полностью отключить оповещения через родительский контроль + способ для естествоиспытателей.
3. Как отключить автообновление антивируса.
4. Локальное обновление (для WinXP x32)... и Результаты эксперимента по локальному обновлению...

Сборник багов...

Рекомендуется при описании проблемы указывать версию операционной системы и тип подключения к интернету.
Иначе помочь будет трудно, т.к. телепаты опять в отпуске или в клубе телепатов.

Всего записей: 12593 | Зарегистр. 07-01-2001 | Отправлено: 08:33 02-04-2009 | Исправлено: WIGF, 10:42 26-11-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Dorovsky
Буду говорить применительно к VPN Корбины. Как у других провайдеров - не знаю.
У Корбины есть 2 типа VPN-соединений:
1. VPN(PPTP)
для этого соединения необходимо открыть доступ на удаленный TCP порт 1723 и разрешить протокол GRE, сервер - vpn.corbina.net.
2. VPN(L2TP)
для этого соединения необходимо открыть доступ на удаленный UDP порт 1701, протокол GRE не нужен, сервер - tp.corbina.net. Плюс, в реализации Корбины, VPN(L2TP) просто так работать не будет. Необходимо еще добавить 1 строчку в реестр для решения проблемы с безопасностью.


Цитата:
У меня, кроме Loopbak появилась   "Локальная сеть №1 -  IP  [169.254.101.243/255.255.0.0]"

То, что IP динамический, указано в маске (2 последних сегмента).

 
Добавлено:
Тут WIGF в аське бухтит, что я ошибся. Зачеркнул, передаю слово ему.

----------
А оно мне надо?..

Всего записей: 5114 | Зарегистр. 29-03-2006 | Отправлено: 15:33 07-08-2009 | Исправлено: XenoZ, 15:49 07-08-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dorovsky, не очень я понял как у вас связаны GRE и порт 1701: первый - это соединение VPN PPTP, второй - VPN L2TP. Это вам надо рекомендуемые настройки сетевых подключений на сайте провайдера посмотреть, а то получается, что оба типа соединения у вас в одном сидят. Или так и рекомендует провайдер ?
По зонам: в принципе, без разницы какие там зоны появляются. Я у себя автоопределение зон сразу отключал за ненадобностью этой функции для стационарного ПК. Важно то, какие у вас правила, а не какие зоны определились. Ведь эти зоны ещё и в правилах надо использовать, а без правил они не более чем просто запись в апплете "Сетевые зоны".
 
Добавлено:
Долго я писал... или отвлёкся
 
Добавлено:

Цитата:
Зачеркнул, передаю слово ему.
Адрес типа 169.254.х.х выдаётся тогда, когда комп не может получить сетевые настройки от DHCP-сервера и при этом на компе не прописана альтернативная конфигурация в настройках сетевого подключения. Виндос сам от балды выдаёт IP из этого диапазона, чтобы какой-то адрес был у компа.

Всего записей: 1218 | Зарегистр. 19-09-2007 | Отправлено: 15:37 07-08-2009
Dorovsky



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вобщем, сам немного запутался.
Сейчас все правила удалил, перезагрузился, и начал все заново.
Подключаюсь к нету - "проверка имени и пароля" - далее ошибка 691.
Журнал:
 WOS Заблокированно 172.16.255.10(мой сервер) 10.8.39.185(мой ip)    GRE
 
Разрешаю соотв. входящие в GR и AR, начинает работать, журнал чист.
 
Интернет от Голден Телеком,  г.Казань  по VPN PPTP - проверил через  "cmd /k ipconfig /all"
(да, правило с 1701 п. нипричем)

Всего записей: 409 | Зарегистр. 26-07-2007 | Отправлено: 16:13 07-08-2009 | Исправлено: Dorovsky, 16:18 07-08-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Dorovsky
 Если последним правилом в GR у тебя "блокировать входящие по ВСЕМ протоколам", то все правильно. Уже разбиралось, что КИСа, при отсутствии явных запрещений, свободно пропускает в обе стороны как минимум 2 протокола: GRE и IGMP (не путать с ICMP), даже если нет разрешающих правил.
 В твоем случае исходящие GRE проходили свободно, а входящие резались последним запрещающим правилом, пока ты не добавил отдельно: "разрешить входящие GRE". И в AR аналогичное правило добавлять ни к чему.

----------
А оно мне надо?..

Всего записей: 5114 | Зарегистр. 29-03-2006 | Отправлено: 19:56 07-08-2009
Dorovsky



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
XenoZ, ну тут у вас вроде противоречие:
Цитата:
при отсутствии явных запрещений, свободно пропускает в обе стороны

Цитата:
входящие резались последним запрещающим правилом
да, и нашел это обсуждение на 54 стр.
 Кстати, у вас столько запрещающих правил - это чтобы китайцы не хакнули ?

Цитата:
В твоем случае
странно, что ни у кого больше такого нет. Но все равно, в GR придется оставить правило для вх. GRE.
(вот, для дополнения, что насоздавал другой фаер: картинки)

Всего записей: 409 | Зарегистр. 26-07-2007 | Отправлено: 08:19 08-08-2009 | Исправлено: Dorovsky, 08:32 08-08-2009
Ujinnee



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dorovsky

Цитата:
XenoZ, ну тут у вас вроде противоречие:

Никакого противоречия там нет. Последнее правило - это явное запрещение.
Прошу прощения, что влез в дискуссию.

Всего записей: 183 | Зарегистр. 04-07-2009 | Отправлено: 08:44 08-08-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Dorovsky

Цитата:
Кстати, у вас столько запрещающих правил - это чтобы китайцы не хакнули ?

Там больше половины дефолтных. IGMP, NetBIOS не пользуюсь - прибиты. Блокировка критических портов - это классика. А по поводу китайцев... Шутки-шутками, но в преддверии последней Олимпиады на домашнем компе был замечен повышенный "китайский" стук, в основном из Beijing. Всё какое-то сообщение через Alerter пытались впарить...

Цитата:
вот, для дополнения, что насоздавал другой фаер
OFFTOP...
 
Ujinnee
Цитата:
Никакого противоречия там нет. Последнее правило - это явное запрещение.



----------
А оно мне надо?..

Всего записей: 5114 | Зарегистр. 29-03-2006 | Отправлено: 10:17 08-08-2009
Chis1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Копирование правил рекомендуемых на форуме в некоторых случаях не обеспечивало работоспособность соединений. В этих случаях включал протоколирование и методом исключения добивался работоспособности. Теперь подозреваю, что есть лишние правила или дублирующие друг друга. Комп проходит все тесты. Стоит ли заниматься оптимизацией правил? На что это может повлиять?  
Спасибо.

Всего записей: 1046 | Зарегистр. 25-03-2007 | Отправлено: 13:08 08-08-2009
WIGF



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chis1, если тесты проходите и никаких тормозов не испытываете, тогда только от вашего желания зависит то, оптимизировать правила или нет. Мы ведь их не видим, поэтому и нельзя говорить ДА или НЕТ.
Наличие дублирующихся правил ни на что не повлияет, ведь срабатывать будет первое встречающееся и удовлетворяющее требованиям, а остальные не будут проверяться. И у вас ведь там не 100 правил, чтобы они могли хоть как-то влиять на производительность ?
А вот лишние (неправильные разрешения) лучше убрать. Но опять же их надо видеть, чтобы что-то конкретное говорить.

Всего записей: 1218 | Зарегистр. 19-09-2007 | Отправлено: 15:11 08-08-2009
Dorovsky



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ujinnee, XenoZ
В конце GR прописано стандартное правило:
 
" Запретить IP входящий из IP любой в IP любой, где протокол любой."
 
Вот, как я понимаю, должен выглядеть явный запрет:
 
" Запретить IP входящий (и исходящий) из IP любой в IP любой, где протокол GRE."
 
Этого правила нет. XenoZ пишет, что если такого правила нет, протокол свободно пропускает в обе стороны, а фактически он у меня блокируется. Вот сдесь я и узрел противоречие. (может все дело в терминологии)
 
 В любом случае, спорить не собираюсь, за разъяснения Спасибо. Правило в GR для входящих GRE придется оставить, ибо без него интернет не функционирует. Так же, как понимаю, для пущей безопасности, нужно создать правило для IGMP, как на картинке у XenoZа.

Всего записей: 409 | Зарегистр. 26-07-2007 | Отправлено: 16:51 08-08-2009 | Исправлено: Dorovsky, 20:46 08-08-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Dorovsky
" Запретить IP входящий (и исходящий) из IP любой в IP любой, где протокол GRE." является частным случаем " Запретить IP входящий из IP любой в IP любой, где протокол любой."
Т.е. тут никакого противоречия нет. В 1м случае запрет явный и конкретный, во 2м - явный общего плана.

----------
А оно мне надо?..

Всего записей: 5114 | Зарегистр. 29-03-2006 | Отправлено: 22:22 08-08-2009
OlegSev



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Можно у Вас спросить, в моём Комоде - имеется только одна сетевая зона(Loopback-зона), это нормально? В справке программы не нашёл описания что это такое, но из под неё всё работает. Надо ли создавать ещё одну зону(провайдера) или без неё можно обойтись?
Чем отличается работа файерволла из под 127.0.0.1 от работы из под сети провайдера?
Заранее спасибо.

Всего записей: 408 | Зарегистр. 07-12-2008 | Отправлено: 20:51 09-08-2009
Ujinnee



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
OlegSev почитайте тут.
Вообще, очень удивительно, что у Вас работает интернет.

Всего записей: 183 | Зарегистр. 04-07-2009 | Отправлено: 22:31 09-08-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Зоны нужны, если они используются в правилах. А так их наличие/отсутствие - непринципиально.

Цитата:
Вообще, очень удивительно, что у Вас работает интернет.

Никакой связи. У меня vpn-интерфейса, к примеру, тоже в зонах нет.

----------
А оно мне надо?..

Всего записей: 5114 | Зарегистр. 29-03-2006 | Отправлено: 23:14 09-08-2009
Ujinnee



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Видимо, я неправильно понял вопрос.

Всего записей: 183 | Зарегистр. 04-07-2009 | Отправлено: 23:39 09-08-2009
OlegSev



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ujinnee

Цитата:
OlegSev почитайте тут.  
Вообще, очень удивительно, что у Вас работает интернет.
Спасибо!
Не знаю почему, но сеть работает. А можно ещё один вопрос? Если добавить новую сеть по МАС адресу(сетевухи), а не IP провайдера, сеть работать будет?
 
XenoZ, Спасибо!
Цитата:
Зоны нужны, если они используются в правилах. А так их наличие/отсутствие - непринципиально.
То бишь, в местную сеть можно ходить из под Loopback, и это нормально. Сеть с адресом провайдера не требуется. Я правильно понял?
В vpn я тоже хожу без создания сети, хотя он обнаруживает частную сеть(предлагает создать - когда включена галочка обнаружения), если vpn другого провайдера.

Всего записей: 408 | Зарегистр. 07-12-2008 | Отправлено: 00:11 10-08-2009 | Исправлено: OlegSev, 00:15 10-08-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
OlegSev
Loopback и местная сеть никак не связаны. Loopback используется для связи программ внутри компа.

Цитата:
Зоны нужны, если они используются в правилах. А так их наличие/отсутствие - непринципиально.

Т.е., зоны сами по себе ничего не значат. Имеет значение их использование в правилах.

----------
А оно мне надо?..

Всего записей: 5114 | Зарегистр. 29-03-2006 | Отправлено: 00:29 10-08-2009
OlegSev



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Да, Спасибо, вроде разобрался. У меня сеть работала только по причине того, что был ещё включен ESS4, а после того как я его выключил(там есть опция полного его выключения), то сеть сразу "встала колом".
Прав был Ujinnee, сеть заработала только после того, как создал зону, прописал адрес, добавил правило.
Кстати работает и по МАС-адресу(номер сетевой карты), и по IP провайдера(попробовал и так, и так - разницы не ощутил).
 
Ребята, Спасибо огромное за Вашу помощь! Обучился в ускоренном темпе!

Всего записей: 408 | Зарегистр. 07-12-2008 | Отправлено: 01:50 10-08-2009 | Исправлено: OlegSev, 01:53 10-08-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
OlegSev
Цитата:
У меня сеть работала только по причине того, что был ещё включен ESS4
Мдя... Удивительно, что у тебя вообще что-то работало, при таком раскладе.

Цитата:
сеть заработала только после того, как создал зону, прописал адрес, добавил правило
В последний раз: зона здесь ни при чем. Пропиши адрес в правиле напрямую - эффект будет тот же.

----------
А оно мне надо?..

Всего записей: 5114 | Зарегистр. 29-03-2006 | Отправлено: 09:48 10-08-2009
OlegSev



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ
Цитата:
В последний раз: зона здесь ни при чем. Пропиши адрес в правиле напрямую - эффект будет тот же.

Ага, понятно теперь что всё дело в конкретном адресе, спасибо. Непривычна и удивительна гибкость настроек Комода.
 
Добавлено:
Ребята, это баг текущей версии(установлена 3.10), или только у меня так?

Как экспортировать конфигурацию с правами администратора, есть какие-нибудь соображения?
Спасибо.

Всего записей: 408 | Зарегистр. 07-12-2008 | Отправлено: 10:18 10-08-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

Компьютерный форум Ru.Board » Компьютеры » Программы » Comodo Firewall Pro / Comodo Internet Security (3)
Widok (29-12-2009 19:30): Лимит страниц. Продолжаем здесь.


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru