orvman
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята, ну что Вы тут устроили-то? Если хотите поливать друг друга грязью, то можете это сделать спокойно в приватных сообщениях, но не здесь, да и не об этом сейчас речь.
Давненько не был на этом форуме, но обнаружил кое-что интересное.
Проскакивала тут инфа насчет system или n/a. Для тех, кто интересуется в более подробной форме цитирую:
Цитата: В окне Сетевая активность я иногда вижу "n/a" в столбце имен процессов. Что это за процесс?
Не всякую сетевую активность можно связать с конкретным приложением, установленным на компьютере. Чтобы отразить полную картину сетевой активности компьютера, в Outpost Firewall версии 2.5 и более ранних использовались два псевдопроцесса: SYSTEM и NETBIOS. Эти процессы использовались для отображения активности, которую нельзя связать ни с одним приложением, разделенной по принципу использования портов.
В Outpost Firewall 2.5 и более ранних версиях сетевая активность SYSTEM охватывала следующие процессы:
- все соединения на порты, открытые каким-либо системным драйвером на NDIS уровне, кроме соединений по протоколу NetBIOS.
- все транзитные соединения.
- любая активность на незанятые порты.
- любая активность по протоколам, где не возможна привязка к приложению (например ICMP, IGMP и др.).
Следующая сетевая активность отображалась как NETBIOS процесс:
- все соединения на порты протокола NetBIOS (порты 139 и 445 протокола TCP и порты 137-138 протокола UDP), открытые каким-либо системным драйвером на NDIS уровне
В версии 2.6 был добавлен еще один псевдопроцесс ("n/a") для того, чтобы отделить активность системы от другой сетевой активности. Таким образом, начиная с версии 2.6 сетевая активность, которую нельзя ассоциировать с конкретным приложением, делится на три псевдопроцесса следующим образом:
В Outpost Firewall 2.6 и более новых сетевая активность SYSTEM охватывает следующие процессы:
- любая активность по протоколам, где не возможна привязка к приложению (например ICMP, IGMP и др.)
- все соединения на порты, открытые каким-либо системным драйвером на NDIS уровне, кроме соединений по протоколу NetBIOS
Следующая сетевая активность отображается как "n/a" процесс:
- все транзитные соединения
- любая активность на незанятые порты
Следующая сетевая активность отображается как NETBIOS процесс:
- все соединения на порты протокола NetBIOS (порты 139 и 445 протокола TCP и порты 137-138 протокола UDP), открытые каким-либо системным драйвером на NDIS уровне
ВАЖНО: Пакеты уровня NDIS, не отнесенные ни к одному приложению, обрабатываются в соответствии с настройками LAN (Параметры > Системные > Настройки сети > Параметры) и ICMP (Параметры > Системные > ICMP > Параметры), наличием на компьютере настроенного ICS и глобальными правилами (Параметры > Системные > Общие правила > Параметры). Если указанные настройки не определяют действие разрешения или запрещения для пакета, то дальнейшая его судьба определяется текущей политикой брандмауэра.
Вы можете выключить отображение "n/a", указав в в файле outpost.ini, в секции [Interface] параметр ShowNAProcess=0. Вместо "n/a" будет отображаться SYSTEM.
Начиная с билда 452/403 на данный момент выявлены следующие недочеты, связанные с отображением процесса "n/a":
В Журнале истории соединений показывается SYSTEM вместо "n/a".
При группировке соединений по имени процесса присутствует только группа "n/a", соединения для "n/a" и SYSTEM находятся в этой группе.
Для активности "n/a" иногда показывается неверная причина (имя правила). Мы интенсивно работаем над исправлением выявленных недостатков. |
Насчет 2003 сервера и ОР скажу так. Да, действительно ОР v2.5. + с ранними вариантами 1 сервис-пака не работал в этой оперционке и это реально доказанный факт.
Хотя, вроде ОР v2.7. + 2003SP1 работает стабильно, но сам не сталкивался, ставить ОР на серверную машину полный бред. ОР - он персональный, но не серверный, долго объяснять подробности. Процитирую, то что писал на неоф.русском форуме ОР:
Цитата: Можно ли устанавливать Agnitum Outpost Firewall на сервер?
Можно, но это не рекомендуется. Agnitum Outpost Firewall предназначен и изначально разрабатывался для функционирования именно на рабочих станциях пользователя, присоединенных к локальной сети или сети Интернет. В Agnitum Outpost Firewall нет некоторых особенностей, необходимых для сетевого брандмауэра. Все настройки по умолчанию созданы для рабочей станции, в то время как для серверного брандмауэра необходимы абсолютно другие настройки фильтрации приложений и системы. Если вы установите Agnitum Outpost Firewall на сервер, используя настройки по умолчанию, большая часть нужного входящего и исходящего трафика будет по умолчанию блокироваться либо игнорироваться. Также настоятельно рекомендуем отключить Контроль Компонентов, так как пользователю необходимо каждый раз, когда компоненты приложения изменяются, отвечать на диалоговое окно. Также на сервере не могут работать некоторые подключаемые модули. Необходимо помнить, что при установке Agnitum Outpost Firewall на сервер пользователь может столкнуться с другими проблемами, не характерными для рабочих станций. На данный момент это характерно для серверов на базе операционной системы Microsoft Windows 2003 Server и Microsoft Windows 2000 Server. При возникновении неизвестных ошибок предлагаем обратиться в службу поддержки Agnitum Outpost Firewall. |
Теперь насчет двух одновременно работающих брандмауэров. Это полный бред. Не будут два разных брандмауэра работать вместе и все тут. Хотя XPSP1+ОР2.5. работал у меня включенным и гадостей никаких не было. Сейчас XPSP2+ОР2.6. эта версия ОР при инсталле сама все распознала и вырубила встроенный фаер, хотя служба сама запущена. (это необходимо для ICS и т.д. - долго объяснять - куча нюансов с ключами svchost.exe). Опять цитирую:
Цитата: Почему рекомендуется удалять брандмауэры сторонних фирм перед установкой Agnitum Outpost?
После установки Agnitum Outpost на операционную систему, с уже установленным брандмауэром сторонней фирмой-производителем возникают следующие проблемы:
1. Падения системы в синий экран (BSOD), внезапное зависание системы и перезагрузки, неустойчивая работа операционной системы в целом.
2. Запросы на соединения, работа приложений, а также сетевая активность по любым сетевым интерфейсам будет разрешаться либо блокироваться вне зависимости от имеющихся в настройках Agnitum Outpost правил.
3. Полный отказ работы операционной системы, вплоть до его переустановки.
4. Другие непредсказуемые ошибки в работе.
Данная ситуация, описанная выше, характерна для любых брандмауэров, не только для Agnitum Outpost. Дело в том, что все брандмауэры работают в реальном режиме времени, отслеживая доступ и любую сетевую активность. Для своей корректной и функциональной работы в системе, брандмауэры прописывают свои собственные драйвера, а также могут изменять критичные значения системного реестра операционной системы. Поэтому, мы настоятельно рекомендуем удалить все установленные брандмауэры при совместной работе с Agnitum Outpost. |
Как говорится - без комментариев.
Инструкции по расширенной деинсталляции и переустановке Outpost Firewall можно почитать здесь: _http://forum.five.mhost.ru/announcement.php?f=38&announcementid=6
А вот теперь самое интересное насчет Нетбиоса.
Заметил, что в шапке Вашего форума описывалось как закрывать порты. Я просто поражен. Хе, а порты-то те самые - Нетбиосы. М-да. Во дела-то. Теперь опрос.
Господа, а кто-нибудь из Вас пробовал вот так вот закрыть порты при установленной галочке NetBios в настройках ОР? Для тех кто имеет локаль может легко проверить это дела на своих машинах. Не знаю как в ОР v.2.7, но в ранних версиях это нельзя сделать именно так. Вот инфа проскакивала. Один участник Вашего форума тут сокрушался, как же так? Типа все делаю как написано в шапке, а ничего не блокируется? Хе, я после этого тоже улыбнулся.
Понятное дело, что в своих логах ОР будет писать, что типа "Разрешить соединения NetBios" и все тут. Отписался одному из Ваших модераторов, что ну нельзя этого делать, на что получил ответ, что типа шапка - дело коллективное и т.д.
Просьба модераторам и всем остальным - ну поменяйте же порты в шапке. Нетбиосы так не заблокируются, во всяком случае в 2.5. Либо укажите для какой версии ОР это применительно.
Сначала нужно понять и знать порядок рассмотрения правил ОР, то есть те самые приоритеты. Выкладываю в кратком виде:
Цитата: 1. Плагины Agnitum Outpost Firewall
Плагины самые первые получают данные по любому из сетевых интерфейсов, то есть до того как пакеты будут инициализированы и будет применена обработка правил в Agnitum Outpost Firewall. Плагины (например «Детектор атак» или «Dmut Blockpost») имеют самый большой приоритет в Agnitum Outpost Firewall.
В большинстве случаев весь сетевой трафик использует TCP либо UDP протоколы.
Для этих протоколов решение о блокировке/разрешения пакетов будет принято брандмауэром Agnitum Outpost Firewall в соответствии со следующими настройками и правилами:
2. Доверенные Зоны,NetBIOS
То есть, если пользователь установил для сети/подсети (либо отдельно взятого узла) статус «Доверенная Зона», то любой (исходящий или входящий) трафик в этих пределах будет разрешен в любом случае. Далее идет «NetBIOS Зона», то есть будет разрешен любой трафик только в пределах этих адресов и именно по портам NetBIOS (например - порты 137-139 и 445 TCP и 137-138 UDP).
Тут необходимо отметить и помнить, что даже блокированные приложения взаимодействуют с сетями/узлами при этом уровне настроек.
3. Запрещенные/Доверенные Приложения:
То есть, исходящий или входящий трафик отдельно взятого приложения, помещенного в группу «Доверенные» будет разрешен. Соответственно, наоборот - трафик для приложения, помещенного в группу «Запрещенные» будет запрещен.
4. Пользовательский уровень приложений:
Когда любое приложение находится в этой группе и имеет исходящее или входящее соединение, решение о запрете/разрешении будет основываться на самих правилах, созданных как самим пользователем вручную, так и на основе стандартных, заложенных в Agnitum Outpost Firewall правил.
5. Общие или Системные Правила:
Эти правила применяются для всего остального трафика, которые не соответствуют никаким другим критериям, то есть те потоки данных, которые не принадлежат ничему из рассмотренного выше. |
Тут есть еще нюансы типа лупбэков и "пометить как правило с высоким приоритетом" и т.д., но это отдельная и довольно обширная тема, тем более, что разработчики меняют в ядре ОР эти нюансы от версии к версии, и вообще неизвестно что еще будет в ОР 3 или 4.
Так вот. Ниже цитирую все свои высказывания с неоф. русского форума (это будет полезно и это нужно знать!) Обращаю Ваше пристальное внимание, что нижесказанное не всегда обязано работать с разными версиями ОР, например, то что касаемо v.2.1 не обязано работать в версии 2.5. А, начиная с версии ОР 2.6. все вообще кардинально изменилось, даже если сравнивать принцип работы v2.5. и v2.6. вообще ситуация постоянно меняется, что-то добавляется, что-то, наоборот, убирается и при инсталле чистого ОР (отдельным файлом) настройки вообще будут другие и в тонкости работы ядра ОР есть отличия (достаточно вспомнить эту ерунду с первым релизом v.2.6. с дефолтными настройками ICMP и другими пакостями, когда при инсталле ОР сбрасывал настройки и правила и т.д., можно даже упомянуть про тот банальный и многим надоевший глюк с my_address_attack, неожиданно вроде бы прекратившийся в v.2.7).
Цитата: Как правильно закрывать открытые порты в Agnitum Outpost?
1. В панели Agnitum Outpost выберите Параметры -> Системные -> Общие правила -> Параметры.
2. Выберите Добавить для создания нового системного/общего правила.
3. Далее откроется следующее окошко с опциями (вариантами) настройки общих/системных правил.
4. Выберите событие для правила обозначьте Где протокол, Где направление и Где локальный порт.
5. В поле Описание правила кликните на Не определено в строке Где протокол и выберите необходимый протокол.
6. В поле Описание правила кликните на Не определено в строке Где направление и выберите Входящее соединение.
7. В поле Описание правила кликните на Не определено в строке Где локальный порт и обозначьте номер порта, который вы хотите закрыть.
8. В поле Выберите действия для правила отметьте Блокировать эти данные и
(далее для версий Agnitum Outpost 2.5, 2.6.) пометить правило как Правило с высоким приоритетом и Игнорировать Контроль компонентов.
9. В поле Имя правила введите название правила и нажмите ОК для его сохранения. Название правила должно появиться в списке Параметры.
Приведем пример.
Нужно заблокировать порт TCP 4444. Тогда системное/общее правило будет иметь следующий вид:
Где протокол TCP
и Где направление Входящее
и Где локальный порт 4444
Блокировать эти данные
и Пометить правило как Правило с высоким приоритетом
и Игнорировать Контроль компонентов |
Цитата: Как правильно заблокировать все соединения NetBios в Agnitum Outpost?
В Agnitum Outpost можно закрыть взаимодействие по протоколу NetBios (137-139 и 445 TCP и 137-138 UDP) для конкретно взятого домена/IP/диапазонов.
Для этого:
1. Выберите Параметры
2. Выберите Системные
3. Нажмите Параметры в поле Настройки сети
4. Появится окно Настройки локальной сети
5. Выделите сетевой адрес
Снимите флажок левой кнопкой мыши в ячейке под заголовками NetBIOS и Доверенные выделенного ряда. В этом случае будет установлен Ограниченный доступ к локальной сети.
NetBIOS соединения будут блокированы, а прочие соединения с данным сетевым адресом будут контролироваться правилами для приложений и системы. |
А вот нижесказанная цитата применительна для v.2.7. - в 2.5. не работает:
(тут также стоит отметить нюансы разных билдов и тонкостей настройки самой Вашей сетки в операционке, метод инсталла самого ОР, ну и другие специфичные факторы):
Цитата: Как можно заблокировать доступ других компьютеров в локальной сети к моему компьютеру, но при этом сохранить возможность доступа на другие машины сети?
Вы можете использовать настройки приоритета глобальных правил (Пометить правило как Правило с высоким приоритетом и Игнорировать Контроль компонентов) для того, чтобы создавать правила с большим приоритетом, чем разрешение протокола NetBIOS во всей сети, задаваемое в настройках сети. Для того, чтобы заблокировать доступ других компьютеров к Вашим общим файлам создайте следующие правила, блокирующие входящий NetBIOS-трафик:
1. Откройте главное окно Agnitum Outpost. Выберите Параметры -> Системные -> Общие правила -> Параметры.
2. Выберите Добавить для создания нового правила.
3. В поле Выберите событие для правила выберите Где протокол.
4. В поле Описание правила кликните на слова Не определено в строке Где протокол.
5. В окне Выбор протокола выберите протокол TCP и нажмите OK.
6. В поле Выберите событие для правила выберите Где направление.
7. В поле Описание правила кликните на слова Не определено в строке Где направление и установите Входящее соединение. Нажмите OK.
8. В поле Выберите событие для правила выберите Где локальный порт. В поле Описание правила кликните на слова Не определено в строке Где локальный порт.
9. В окне Выбор локального порта укажите порты 139, 445 и нажмите OK.
10. В поле Выберите действия для правила отметьте Блокировать эти данные, Пометить правило как Правило с высоким приоритетом и Игнорировать Контроль компонентов (по желанию Дать отчет).
11. В поле Имя правила введите название правила и нажмите ОК для его сохранения. |
А вот это самое интересное:
Цитата: Я заблокировал соединения NetBios в настройках сети в Agnitum Outpost, но в «панели представлений» я вижу эти порты как открытые. Что делать? Как закрыть?
В данном случае брандмауэр просто запрещает все соединения и потоки протокола NetBios согласно установленным Вами сетевым настройкам, но эти порты так и будут отображаться в Панели представлений на вкладке Открытые порты.
В случае необходимости закрытия этих портов необходимо:
1. В свойствах отдельно взятого соединения необходимо удалить (если имеется несколько сетевых подключений – повторить нижеследующее для остальных соединений) :
- Клиент для сетей Microsoft
- Служба доступа к файлам и принтерам сетей Microsoft
- NWLink IPX/SPX/NetBIOS – совместимый транспортный протокол
- Протокол Интернета (TCP/IP) – Дополнительно – WINS – отключить NetBios через TCP/IP
2. Остановка служб операционной системы.
- Остановить службу Обозреватель компьютеров
- Остановить службу Модуль поддержки NetBios через TCP/IP
- Остановить службу TCP/IP NetBIOS Helper |
Цитата: Я закрыл открытые порты в Agnitum Outpost, но они по-прежнему отображаются в сетевой активности Agnitum Outpost, что я сделал неправильно?
Обращаем внимание, что, распространенное понятие закрыть порт отображает лишь общую терминологию, но не реальный смысл этого выражения. Дело в том, что сам персональный брандмауэр Agnitum Outpost Pro не оказывает прямое влияние на операционную систему, ее запущенные службы и сервисы. И это логично, так как порты изнутри могут открывать установленные программы и внутренние службы. А брандмауэр Agnitum Outpost Pro является лишь связующим звеном - Разрешая или запрещая сетевые потоки, в соответствии с установленными в брандмауэре правилами и настройками по определенному сетевому интерфейсу, а также самой Политикой брандмауэра и Приоритетом Рассмотрения этих Правил. При простом закрытии портов в программе Agnitum Outpost они по-прежнему будут открыты, ведь их может на данный момент времени использовать другая программа или служба операционной системы. Если говорить о как таковом полном закрытии портов, то это делается отключением именно системных служб и сервисов.
Приведем пример.
Служба времени Windows.
По умолчанию эта служба использует порт UDP-123. Обратим внимание, что этот порт отображается в Панели представлений на вкладке Открытые порты. Создаем следующее простое правило:
Параметры -> Системные -> Общие правила -> Параметры -> Добавить
Где протокол UDP
и Где локальный порт 123
Блокировать эти данные
После создания этого правила – это порт будет считаться открытым, т.к. открыла его внутренняя служба операционной системы, но в данном случае будет закрыто именно полное взаимодействие и именно с данным рассматриваемым портом. Но при условии, что этот порт не используется ни одним из приложений.
Соответственно, и отображаться этот порт будет на вкладке Открытые порты до тех пор, пока мы не остановим данную службу. Что и делаем :
Службы - Служба времени Windows - Остановить
Только теперь если взглянуть на вкладку Agnitum Outpost в Панель представлений -> Открытые порты можно увидеть, что порт исчез, то есть, другими словами, стал действительно закрытым.
Вывод.
Полное закрытие портов осуществляется через закрытие сервисов и служб операционной системы, то есть сначала нужно закрывать интересующие порты именно так, а уже потом, прикрывать их, то есть закрывать взаимодействие по этим портам уже в самом персональном брандмауэре Agnitum Outpost Pro, создавая конкретные правила и необходимые настройки. |
Если есть недочеты в моих высказываниях, готов к сотрудничеству - все-таки это будет полезно всем.
 за нарушение пункта 1.6.1 Правил |
Всего записей: 139 | Зарегистр. 28-12-2004 | Отправлено: 06:57 20-06-2005 | Исправлено: Widok, 13:12 20-06-2005 |
|
не поспорить !! 
После выгрузки Outpost'a и перезагрузки страницы в браузере - все пучком, вставка происходит. И такая ерунда только с РуБордом, на iXbt выполнение тамошней javascript:p1('.....') нормально срабатывает при загруженном фаерволле. Может кто чего присоветует? 
