valmont al
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, мы начинаем уже грызню 
Давайте забудем разногласия и взвесим всё здраво.
Цитата:| Насколько я знаю - перебирать только до тех пор, пока он не подпадет под какое-либо, запрещающее или разрешающее. |
Видимо так и есть, в противном случае бы не работал нет.
Цитата:| а вы случаем в глобальные не забыли поместить разрешающие для основных сервисов? там, обычные 80й, 20-21й, 53, 443, порты, т.д.? |
Это можно (а на мой взгляд и нужно) указывать в правилах приложений. Есть system, есть svchost.exe. А открывать всем - ИМХО неправильно.
Лично у меня в глобальных правилах прописан только запрет на входящие ICMP echo-request. Все остальные, несоответствующие правилам запросы, блокируются (политика файрволла такая).
А теперь к нашим баранам. Спор возник по причине правила
Block And Log IP In From IP Any To IP Any Where Protocol Is Any
Как я уже отмечал, и не только я - casparа тоже согласен, при этом правиле не может быть никакой сетевой активности.
Единственная причина, по которой у Vidente работает инет - это первое правило, которое просто разрешает ВЕСЬ исходящий тсп/юдп траффик. Получается, что первое разрешает, а последнее блокирует. Напоминает 2 стакана: один полный - если захочется пить, второй пустой - если не захочется пить.
Цитата: Поэтому, уважаемый Valmont Al, никакого противоречия нет. Я разрешил всё, что
мне надо |
Вы разрешили не всё, что вам надо, а просто ВСЁ (исходящее).
Всё, что вам надо - это бы были правила приложений, где вы бы указали действительно только то, что вам надо. Ваше первое правило на мой вгляд более чем асбурдно. Не вижу в нём необходимости, поскольку вы каждый раз дублируете его, разрешая той же опере/мозилле к примеру исходящий траффик.
Цитата:| Согласно разработчикам Comodo, engine файервола устроен таким образом, что, разрешив исходящее соединение по TCP/UDP, Вы тем самым разрешаете входящее по тому же протоколу для того же приложения. |
Вы меня конечно простите, но это полная чушь. Вы вероятно что-то не так поняли.
Цитата:| А у меня счетчик "inbound connection" всегда показывает " 0 " |
Вы определённо не используете p2p клиенты.
Ещё раз по поводу правил. Vidente, ничего не поменяется, если Вы удалите первое правило, а в последнем запретите только входящие запросы.
Приложение не получит сетевой доступ, если оно не прописано в Правилах приложений, даже если в глобальных разрешить ВЕСЬ траффик. Поэтому первое правило выглядит как "неудачная попытка настройки".
Вот знаете, для меня этот спор вообще аналогичен вот такому примеру: ".. катаетесь вы на велосипеде, тут к вам подходит кто-то и говорит, что педали надо крутить назад, чтоб ехать быстрее и прикладывать меньше усилий. Вы отвечаете, что это глупость, а он продолжает упорно настаивать на своём. В какой-то момент вы уже готовы сорваться и сделать что-то с этим советчиком, потому что уверены в своей правоте на 101%.."
Вот так и я - уверен сейчас в своей правоте на 101% и считаю правила Vidente нелогичными.
Поймите наконец, что файрволл и так будет блокировать все запросы, которые не соответствуют критериям. Нет никакой необходимости тыкать его мордой ещё раз в то, что он и так сделает. Ровно как и нет необходимости разрешать ещё раз то, что уже разрешено.
Добавлено:
А вообще я устал спорить. Если считаете такой способ самым правильным, ну пускай будет так. В конце-концов это ваше личное дело. Я ещё раз скажу, что просто пытаюсь дать совет, а слушать или нет - это сугубо личное дело каждого.
Давайте лучше о багах поговорим. Саппорт комода до сих пор молчит и ничего не отвечает. Активно работают или активно забили ? |
Всего записей: 129 | Зарегистр. 28-07-2007 | Отправлено: 12:02 09-12-2007 | Исправлено: valmont al, 13:09 09-12-2007 |
|
