Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall

Модерирует : gyra, Maz

Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

   

lapi



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Jetico Personal Firewall
http://www.jetico.com/jpfirewall.htm
В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера.
Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...
 
Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.
 
Upd2: Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная.
Тема в варезнике посвящённая второй верии
 
Upd3: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.
 
Последняя версия 1.x: 1.0.1.61 (19 июля 2005)
http://www.jetico.com/jpfwall.exe
 
Текущая версия 2.x: 2.0.2.9 (23 марта 2009)
http://www.jetico.com/jpf2setup.exe
 
Русификация версии 1.0.1.61 с установщиком (19 июля 2005):
http://artlonger.narod.ru/jetico.zip (35 кб)
Если что, качать браузером. При обновлении версий ссылка не изменяется.
 
PS: В русской версии прикручено выравнивание столбцов по F12.
 
Базовые настройки брандмауэров.
Правила JPF v1
Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1

Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP...
JPF v2 Правила для сервиса svchost.exe

Всего записей: 166 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ivan_Chelovekov

Цитата:
в контроле процессами:
я их объединил в одну группу, разрешил им пользоваться процессами.
но все равно время от времени они спрашивают меня об опциях, которые я им уже разрешил.  
Могли изменится пути к исполняемым файлам в результате переустановки или обновления. Не путаешь ли с запросами из других таблиц (Контрольные суммы, Косвенный доступ в сеть)?
Цитата:
...или нельзя перечислять все опции в одном правиле? в чем ошибка?
 еще вопрос - если в правиле перечислить все опции, или просто установить allow без указания любой - это равносильные правила?
Можно. Да равносильно если выставить allow и указать только путь (пути) к исполняемому файлу, со снятым флагом "Событие". Единственное, в версии 2.0.2.8 в таблице: Контрольные суммы, если снять все флаги в правиле "Спросить", в запросе не будет указываться событие.
 
guBiegreS

Цитата:
...особенно не пойму как работает "косвенный доступ к сети"
Вот из первоисточника (то есть прямо из "Справки" к программе):
indirect access to network и предупреждение тоже не лишним будет.
Цитата:
...например что значит?
Давай коротко рассмотрим на примере плагина IEView: Запущен процесс miranda32.exe, ты открываешь окно чата, Миранда загружает в память исполняемый файл (DLL) плагина ieview.dll, который в свою очередь обращается к части "движка" IE (который так же имеет сетевые функции). Джетика (справедливо) видит в этом, возможную попытку Миранды передать/получить что то в сеть/из сети через IE, с помощью ieview.dll.

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 00:52 10-02-2009
guBiegreS

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Давай коротко рассмотрим на примере плагина IEView: Запущен процесс miranda32.exe, ты открываешь окно чата, Миранда загружает в память исполняемый файл (DLL) плагина ieview.dll, который в свою очередь обращается к части "движка" IE (который так же имеет сетевые функции). Джетика (справедливо) видит в этом, возможную попытку Миранды передать/получить что то в сеть/из сети через IE, с помощью ieview.dll.

то есть если Миранда попытается (вернее плагин) использовать IE для соединения то лог будит таким  
 
внедрение DLL - ..\miranda32.exe - косвенный доступ к сети - PID:x  (PID:x ..\IEXPLORE.EXE)
 
Dimitr1s
А какие из событий ты назвал бы самым "опасными"
 
Внедрение DLL
Внедрение кода в процесс
Запись в чужую память
Вызов функции из другого процесса
Запуск дочерних процессов
 
Мне кажеться последние 2 самые безобидные (относительно другим)
Например если троян запустит дочерний процесс "opera", он всё равно не сможет открыть соединение так как для этого ещё понадобиться внедрить DLL или изменить код Оперы, я прав?

Всего записей: 4 | Зарегистр. 09-02-2009 | Отправлено: 01:01 11-02-2009 | Исправлено: guBiegreS, 01:58 11-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
guBiegreS

Цитата:
А какие из событий ты назвал бы самым "опасными"  
События сами по себе, не могут быть опасными или наоборот. Это всего лишь функции и процедуры с помощью которых приложения общаются с "системой" и между собой, а Джетика лишь информирует и позволяет блокировать или разрешать. А вот с какой целью, эти события инициируются, разрешать или запрещать, в каждом, конкретном случае, решать тебе.
Цитата:
Мне кажеться последние 2 самые безобидные (относительно другим)
Из всех событий в "Контроле процессов" самое "необычное" это - внедрение кода в процесс, встретится может если только сам что то "отлаживаешь". В остальных случаях, хорошего ничего это событие не предвещает.
Цитата:
Например если троян запустит дочерний процесс "opera", он всё равно не сможет открыть соединение так как для этого ещё понадобиться внедрить DLL или изменить код Оперы, я прав?
Смотря какой троян, как написан и какие функции будет использовать. Если сможет себя скрыть (любая, самая навороченная проактивка, всё равно всё не перехватывает), то ничего не надо внедрять и изменять, теоретически всё пройдёт тихо и гладко (но ИМХО конкретно под оперу, такое писать ни кто не будет, с её долей на рынке в районе 1%, тут пока можно спать спокойно). Тут совет один, старый как мир - лучше, ничего сомнительное, на "живой" машине не запускать.

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 04:12 11-02-2009
guBiegreS

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dimitr1s вот у меня проблема, мой модем подключён к роутеру, роутер делит инет на 2 компа, на одном windows XP SP2 (я на нем работаю) на другом windows Vista, недавно 2-ой был в ремонте, там ему поменяли жёсткий диск и переустановили систему, до ремонта я не ставил на него Jetico так как времени не было времени, но после ремонта решил поставить, как выяснилось сетевая активность в Vista сильно отличается от XP. Например в Xp  svchost.exe запрещёна любая активность и всё нормально работает, а в Висте DNS отправляются только через  svchost.exe, поэтому приходиться давать ему доступ к DNS.  
 Но беда не в svchost.exe, в Висте процесс csrss.exe постоянно лезет в сеть (исходящее соединение), запретить ему доступ к сети я не могу так как тогда не работает "общий доступ к файлам", конечно я запретил ему создавать подключение, но мне нужно знать это нормально?
 PS: а если нет, то откуда может взяться троян в чистой системе?

Всего записей: 4 | Зарегистр. 09-02-2009 | Отправлено: 21:03 11-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
guBiegreS
По Джетике то в чём вопрос?
Цитата:
Например в Xp  svchost.exe запрещёна любая активность и всё нормально работает
Доступ к ресурсам машины по локальной сети, без активности svchost.exe (NetBIOS, RPC/DCOM) нормальным быть не может.
Цитата:
...а в Висте DNS отправляются только через  svchost.exe, поэтому приходиться давать ему доступ к DNS
А если остановить службу DNS-клиент?
Цитата:
в Висте процесс csrss.exe постоянно лезет в сеть (исходящее соединение), запретить ему доступ к сети я не могу так как тогда не работает "общий доступ к файлам", конечно я запретил ему создавать подключение, но мне нужно знать это нормально?  
Что такое Csrss.exe. Куда лезет, на какие IP? В каком каталоге находится (должен в \WINDOWS\system32). Вообще не зная, как у тебя всё организовано и что установлено тяжело сказать. Если есть сомнения то лучше сюда.
Цитата:
откуда может взяться троян в чистой системе?
Откуда угодно, начиная от происхождения самой системы, кончая способом установки (полный формат, только системный диск, был ли отключён сетевой кабель в момент установки и т.п.).

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 01:26 12-02-2009
guBiegreS

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чёрт лог затёрся, надо было сохранить IP, а теперь вроде тихо никакой активности не наблюдаю.
 Dimitr1s спасибо за подсказки))

Всего записей: 4 | Зарегистр. 09-02-2009 | Отправлено: 00:31 13-02-2009
kadvlad

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
uTorrent просится на получение пакетов (UDP) с удалённого 192.168.1.1 (мой роутер) и с какого-то левого американского 10.50.9.18 на локальный порт 0.
 
что это такое, скажите пожалуйста?

Всего записей: 62 | Зарегистр. 14-01-2007 | Отправлено: 13:14 14-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kadvlad

Цитата:
(провайдер УкрТелеКом)

Цитата:
и с какого-то левого американского 10.50.9.18
 
Проверить для начала, не является ли этот ужасный "левый американский" IP, одним из промежуточных шлюзов самого УкрТелеКом. Сделав tracert, к примеру до www.ru, или позвонив в офис.
 

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 13:39 14-02-2009 | Исправлено: Dimitr1s, 13:40 14-02-2009
kadvlad

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dimitr1s
 
Если он промежуточный, то почему в торрент просится и на порт 0?
Разве правила в вышестоящей таблице IP не должны фильтровать служебные запросы?
 
У меня для торрента разрешено только:
 
косвенный доступ к сети
доступ к сети
исходящее соединение на локал. 1025-5000    
входящее соединение, получение пакетов (UDP) на локал. 31248, 50000

Всего записей: 62 | Зарегистр. 14-01-2007 | Отправлено: 14:14 14-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kadvlad

Цитата:
Если он промежуточный, то почему в торрент просится и на порт 0?
Шлюз ни куда просится не может, а почему uTorrent запрашивает с него пакеты UDP, тебе видней, как построена сеть и как ты настраивал торрент и роутер, так и работает. Локальный порт 0, означает в данном случае, любой локальный порт (0-65535).
Цитата:
Разве правила в вышестоящей таблице IP не должны фильтровать служебные запросы?
 Если создал такие правила в таблице IP, то они и будут срабатывать, если пакет под них не попадает, то срабатывает Stateful Inspection т.к. пакет ожидаемый (в таблице для приложений, созданной для uTorrent) и если тут есть правило "Спросить", соответственно получаешь запрос.
Цитата:
У меня для торрента разрешено только:
Тут это обсуждалось уже, посмотри.

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 15:13 14-02-2009
Ivan Chelovekov

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dimitr1s
 
спасибо за помощь.
 
я много страниц форума перечитал... где то в начале встретил и не могу вспомнить.
 
я просматриваю правила в виде  "Flat view" так понятнее.
1.если приходит пакет из сети - тут понятно он идет сверху вниз по таблицам. запретил на верхних(напр. IP) -> дальше он не пойдет.
а если я запускаю программу - она тоже движется сверху вниз по таблицам??в смысле правила ее "просматривают".
 
2. стоит ли удалить какие-то стандартные таблицы: браузеры, майлы...и т.п.  
при запуске скайпа например. он сразу будет тыкаться в "skype" таблицу?...
 
 
 

Всего записей: 4 | Зарегистр. 09-02-2009 | Отправлено: 18:09 14-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ivan Chelovekov

Цитата:
а если я запускаю программу - она тоже движется сверху вниз по таблицам??в смысле правила ее "просматривают".  
Сначала проходятся, таблицы проактивки: Контрольные суммы -> Контроль процессов, потом таблица Приложение (Application):  Доступ в сеть -> Косвенный доступ в сеть -> Сетевая активность, потом Таблица IP (IP Table) и Сеть (Network). Каждая таблица проходится сверху вниз.
Цитата:
стоит ли удалить какие-то стандартные таблицы: браузеры, майлы...и т.п.  
при запуске скайпа например. он сразу будет тыкаться в "skype" таблицу?...  
Стоит удалить всё чем не пользуетесь и особенно правила без указанных путей к исполняемым файлам. Поясню на примере: создано в таблице запрещающее правило для IE на удалённый порт 80, если при проходе таблицы Application, сверху вниз, выше окажется разрешающее правило на удалённый:80, без пути до исполняемого файла, то IE по нему выйдет в сеть. Тоже и со Skype и с любым другим приложением, они последовательно, сверху вниз, "проходят" таблицу в поисках соответствующего их запросу правила, если запрещающие/разрешающие правила не найдены, то выдаётся запрос по правилу "Спросить", или в таблице Сетевая активность, или, если указан путь, в соответствующей таблице. Названия таблиц и правил здесь никакого значения не имеют, значение имеет содержание правила и его расположение, ну и естественно если указан путь к исполняемому файлу, воспользоваться им сможет только указанное приложение, если путь не указан - то все.

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 19:52 14-02-2009
Ivan Chelovekov

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
еще вопросы).
 
-для примера.
я запускаю торрент, чтото делаю и ЗАКРЫВАЮ его.
в этот момент начинает total commander лезть с правилом о косвенном доступе через торрент. они же никак не связаны!
 
аналогичные ситуации когда например удаляешь программу и uninstall после удаления всей программы! начинает write to application's memory например того же totala.
 
идея мне не ясна. таблицы начинают забиваться этими правилами(.
 
в чем логика?...
 
2. я совсем не понимаю насчет TCP/UDP statefull. получается, что в принципе пакеты к тому же torrent/или браузеру проходят через это правило.  
в случае "непринадлежности" пакета ни к одному из приложений он откинется?
 
дзенькую.

Всего записей: 4 | Зарегистр. 09-02-2009 | Отправлено: 22:10 14-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ivan Chelovekov
По первому и второму: Даже после выгрузки программы, она какое то время может оставаться в памяти, или куски её кода. Если происходит попытка чтения/записи в эти сегменты, Джетика справедливо об этом информирует.
Цитата:
таблицы начинают забиваться этими правилами(.
А вот это, совсем напрасно. При выборе действия в запросе, есть замечательная кнопочка: Разрешить на этот раз, если ей пользоваться ни одного лишнего правила не будет.  
Про Stateful Inspection по-русски, если интересно. В Джетике немногим отличается (не работает с FTP, к примеру ), но принцип тот же.
Цитата:
в случае "непринадлежности" пакета ни к одному из приложений он откинется?
Да.

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 02:13 15-02-2009
Ivan_Chelovekov

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет разрешить на один раз - это же довольно часто придется кликать(...
 
Еще вопрос:
многие приложения, Bat, Skype почему то запрашивают доступ к локальному 127.0.0.1.
вроде того "входящее соединение:локальный порт 3322,адрес назначения 127.0.0.1:3323".

Всего записей: 4 | Зарегистр. 09-02-2009 | Отправлено: 18:09 15-02-2009 | Исправлено: Ivan_Chelovekov, 18:21 15-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ivan_Chelovekov

Цитата:
Насчет разрешить на один раз - это же довольно часто придется кликать(...
Ну, по крайней мере, когда надоест сотнями плодить в таблицах ненужные, одноразовые правила, а потом их искать и удалять вручную - решение известно.
Цитата:
многие приложения, Bat, Skype почему то запрашивают доступ к локальному 127.0.0.1.
Потому, что многие программы, как и сама Windows, хотят почувствовать себя немного серверными. Localhost нужно разрешать, по запросу (может быть и по UDP и по TCP), иначе программа, если и будет работать, то с большими задержками.
 
В Outpost'е есть отличный шаблон для localhost:loopback, где условие: локальный порт, совпадает с удалённым, а это практически большинство подобных соединений, жаль в Джетике подобное нельзя задать.

Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 23:46 15-02-2009
Gob

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обнаружен баг: jetico не дружит с drweb 5.0 !
Если установлен jetico и ставится дрвеб, то при запуске быстрой проверки во время установки  система уходит в БСОД.
 
Если же дрвеб уже установлен, то джетика ставится нормально, но при попытке запустить сканер Доктора система, опять таки, в БСОД-е.
Третий вариант. Установлен jetico, ДрВеб не установлен. Запускаю CureIt - система в БСОД-е. Вот так. Для себя решил, что буду пользоваться только консольным сканером.

Всего записей: 78 | Зарегистр. 15-01-2002 | Отправлено: 19:01 19-02-2009
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gob
сколько памяти на машине? были опыты с drweb 4.44 и winPE на виртуалке, памяти там было ~128(сейчас точно не помню). winPE работала нормально, но стоило запустить drweb рушушило виртуалку.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 21:00 22-02-2009
forser

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги!
 
Возможно, здесь уже неоднократно задавался подобный вопрос, но осмелюсь еще раз спросить: есть ли смысл переходить с первой стабильной версии (1.0.1.61) на вторую версию? В первую очередь хотелось бы узнать мнение тех, кто использовал первую и перешел на вторую.

----------
Если делаешь, то не бойся. Если боишься, то не делай... Чингисхан
Людей мучают не вещи, а представления о них... Эпиктет

Всего записей: 1608 | Зарегистр. 03-11-2006 | Отправлено: 16:28 23-02-2009
Gob

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
Проверял на двух машинах. На 1-й 512, на 2-й 256 Мб.
4.44 стоял на обоих и все было хорошо.
С winpe и виртуалкой не эксперементировал.

Всего записей: 78 | Зарегистр. 15-01-2002 | Отправлено: 20:40 23-02-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall
Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru