grbdv
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Aliado
1. Я не говорил "неправильно". Я лишь выразил сомнение в его (TCP) необходимости. А сомнение в том, что я за свою практику ни разу не сталкивался с необходимостью loopback по TCP - только по UDP. Спецом правила свои пересмотрел. Бзв, весело ты заглушку "зоной" обозвал :)
Я, между прочим, задал вопрос - чем может быть опасна локальная заглушка по UDP для конкретного приложения? Бэз ответа...
Попутно, так же, я продемонстрировал, что даже убрав это (ненужное, имо) правило и включив оповещения в последнем, запрещающем все, - мы не пропустим блокированную активность, в которой браузер может быть и будет нуждаться. А если не пропустим - значит сможем добавить правило, расширив функционал без ковыряния логов и поиска причин.
2. "Еще раз повторяю " Да не надо мне повторять! Я, в отличие отебя, читаю внимательно, что мне пишут и отвечаю на вопросы, а не опускаю их. Я же написал - ОК.
3. Конечно. Лишние разрешения ни к чему.
4. "Почитай здесь... "
Галантно... Надо было с самого начала подальше тебя послать - в гугл, или в указанную тобой тему.
Цитата:| У меня в правилах для svhost есть исходящие UDP на 53 порт поэтому я сомневаюсь что их надо дублировать для приложений. |
Гы-ы :) Конгениально. Сомневайся дальше. Только с точностью до наоборот - отталкивайся в своих сомнениях от того, что нужно блокировать DNS-активность svchost и разрешать ее приложениям поименно. Бзв, у меня svchost вообще в сеть не смотрит :)
Цитата:| да и Svchost.exe – системный процесс ... ( в том числе и DNS клиент). |
Ты про svchost своих однокласников просвещай, ОК? И передай им, что svchost с его гиперрасширенным сетевым функционалом представляет собой серьезную угрозу. Это касается, в частности, его DNS-клиента, который настоятельно рекомендуется отключать в пользу или standalone альтернатив, или в пользу встроенного в ОП. Слава Господу, мы диалектику учили не по Гегелю, а по "Руководству по безопасной конфигурации" глубокоуважаемого Paranoid2000. Вот его погугли. Для школоты уже и на русском есть.
5.
Цитата:| Если идти по такому пути как предлагаешь ты, разрешать всё кто что захочет, то это будет не файер а решето. Да и в этом случае я бы поставил аутпост в режим автосоздания правил. Но это не наш метод. |
Ты рано встал. Не выспался. По этому пункту я лишь предложил добавить в запрещающие правила уведомления. Ты же встал в третью позицию - типа, нафига он мне, "ненужное"? Я объяснил - зачем, и смотивировал на примере п.п. 1 и 2. В ответ же получил глубокомысленный высер (цитата выше)...
Вот же, млин, нарвался... how much the fish again'n'again...
Слушай, ты не попутал часом - кто к кому с вопросом обратился? Ты попросил взглянуть на правила - я взглянул. Скажи спасибо, что по картинке стал с тобой разговаривать, додумывая и предполагая возможное содержание правил - тебе же влом ф-цией копировать воспользоваться или ручками написать, если на 4-ке сидишь...
Ни на один мой вопрос не ответил, терминология убойная - "доступ к loopback зоне", Svchost - как только не назвал. Накурился манов, создал первое правило и решил во флейме на заданную тему поупражняться? Так бы и написал - ищу оппонента :) А манеры - "Почитай здесь... ", "Еще раз повторяю... ", про svchost бросился лекцию читать :)
Продолжай в том же духе. Удачи. |
