Блиин как я два дня мучаюсь с этим Outpost. Когда стоял на моей тачке все ок. Поставил выделенный сервер под Инет и все блин. Настроил Usergate 3 наработу с почтой и аськой, а этот гаденыш не пропускает. Причем в заблокированых ничо не показывает. Без него все ок, а с ним труба полная. Перерыл все возможные форумы везде ситуация одинаковая. Нужно врубить транзитныепакеты только как никто сказать не может. Пришлось стандартный виндовый Брандмауэр врубить.
И еще, может кто знает как сделать поддержку Сетевых Игр. Каким прокси-NATом пользоваться и какие настройки врубить?
- А в шапках тем по аутпосту на всех форумах не замечал указания, что пост есть персональный файер и для серверных целей совсем не кукареку? Для работы с транзитными пакетами юзай серверный файер. Всякие керио, вингейты или как там их по матушке хаять..
- А в шапках тем по аутпосту на всех форумах не замечал указания, что пост есть персональный файер и для серверных целей совсем не кукареку? Для работы с транзитными пакетами юзай серверный файер. Всякие керио, вингейты или как там их по матушке хаять..
Дело в том что русскому человеку сложно сказать, что делать надо так то и так то, он все наровит сделать по своему. Мне например нравится Аутпост и ничего с этим сделать не могу. Буду мозги компстировать но в итоге засталю гада работать.
- Как на мерине выиграть Ф1? - Болид покупай!- А мне мерин нравится! Буду мозги компостировать, но заставлю гада..
Короче, удачи.
Спасибо но удача мне и так светит на полную. Уже заставил! Правило1: "Где направление исходящее и тип пакета Локальный, Транзитный, Нат разрешить эти данные " Правило2: "Где направление входящее разрешить эти данные"
Конечно теперь это дыра, а не файрволл, но вопрос решен. Теперь вопрос стоит как закрыть доступ, чтоб эти правила все не пропускали!
- C таким же успехом мог бы и выключить стенку. О чем и говорилось.
Я вроде бы сказал четко что:
Цитата
Теперь вопрос стоит как закрыть доступ, чтоб эти правила все не пропускали!
И я путем долгих стараний достиг результата.
Правило1: "Где направление исходящее и тип пакета транзитный и где удаленный порт 25(SMTP), 110(POP3), 2510-2550(CS), 6112(Battle.net) разрешить эти данные"
Правило2: "Где направление входящее и удаленный адрес <<Диапазон внутренней сети>> разрешить эти данные"
Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
Цитата
разработчики отказались от открытого выпуска промежуточных бета-версий из-за большого количества сообщений об ошибках, устранить которые требовалось в первую очередь. Нам обещали "вновь увидеться" только при выпуске версий Build 176 и и, что удивительно, новая версии уже выпущена!
Цитата
Интересно, что разработчики проговорились о том, что рассматривают Outpost Firewall Pro как лидера по функциональности на рынке персональных сетевых экранов, "равняются" на него и изучают его функции с целью введения аналогов в собственных продуктах. Также из сказанного можно было сделать однозначный вывод, что сами же разработчики вообще не считают собственный брандмауэр Kaspersky Anti-Hacker конкурентоспособным продуктом в текущей его версии 1.7.
Антивирус Касперского 2006
____________________
Ничто так не сближает людей, как снайперский прицел
Нактнулся на проблему с транзитными пакетами. Поиском по теме прошёлся, но ни одно решение не помогло. Версия Outpost'а последняя, 2.7.493.5421 (416). Трюк с параметром ShowNATColumn=yes не прокатывает: колонка ICS просто не появляется. Создание правила, явно разрешающего транзитные пакеты тоже не срабатывает, как будто его и нету вообще, правила этого.
Сами транзитные пакеты берутся из MS Virtual PC, когда я с виртуальной машины (Fedora Linux) пытаюсь залезть в нашу локальную сеть (проект лежит в CVS). В журнале пишет
(192.168.10.20 - адрес виртуальной машины, номер порта каждый раз меняется). Также нашёл в теме, что такая проблема возникает, если служба ICS запущена после установки Outpost'а - у менякак раз такая ситуация. Удалил Outpost, выключил всякую дребедень типа счётчика трафика, проверил, что ICS включена, установил Outpost - пофиг. Никаких изменений...
Есть ли ещё какое-то решение? А то, может, пропустил чего... Очень надоедает каждый раз при обновлении из CVS включать режим разрешения, а потом обратно режим обучения...
-----------------
Цитата
Цитата:Нактнулся на проблему с транзитными пакетами.
Всем, кто юзает ICS и имеет такую траблу, читаем: "У меня не получаетсянастроитьобщийдоступ к подключениюИнтернета по сети в OutpostFirewall." - вопрос 39 - http://forum.five.mhost.ru/kb2/index.php
Цитата:Сами транзитные пакеты берутся из MS Virtual PC, когда я с виртуальной машины (Fedora Linux) пытаюсь залезть в нашу локальную сеть (проект лежит в CVS).
Спаасибо за помощь! Правда, сам по себе ни один совет не помог, но из них удалось в конце концов методом проб и ошибок составить необходимую комбинацию правил для разрешения трафика. Итого у меня теперь добавлены два новых правила:
Правило 1 (Разрешить Исходящее TCP в LAN): Протокол: TCP Направление: Исходящее, Тип пакета: Локальный Удалённый адрес: диапазон локальной сети Разрешить эти данные
Правило 2 (Разрешить Входящее TCP с VM): Протокол: TCP Направление: Входящее Удалённый адрес: адрес виртуальной машины Разрешить эти данные
Правило 1 (Разрешить Исходящее TCP в LAN):Протокол: TCPНаправление: Исходящее, Тип пакета: ЛокальныйУдалённый адрес: диапазон локальной сетиРазрешить эти данные
Слегка непонятно. Раз транзитные не пускает то их и врубать надо. А он только локальные врубил.
Еще бы ко всему повышенный приоритет врубил, тогда бы вообще, файрволл был для виду. Разрешив все исходящие в сеть мы пускаем туда всех троянов. А также подвергаемся атаке експлоитов из сети.
Правило1: "Где направление исходящее и тип пакета транзитный и где удаленный порт 25(SMTP), 110(POP3), 2510-2550(CS), 6112(Battle.net) разрешить эти данные"
Правило2: "Где направление входящее и удаленный адрес <<Диапазон внутренней сети>> разрешить эти данные"
Я конечно не настраивал outpost так серьезно, но по-моему у тебя этим правилом вместе с форвардом разрешаются и все входящие пакеты из локальной сети непосредственно на роутер, что не есть гуд для роутеров на win32.
P.S. Посмотрел я про этот outpost, за последние месяцы его и флудили (видел такое в своей локальной сети), и баги у него были с некоторыми протоколами (например ftp, см. форум поддержки outpost). Учитвая это по-моему проще всего остановиться на встроенном в винду фаерволе.
Правило2: "Где направление входящее и удаленный адрес <<Диапазон внутренней сети>> разрешить эти данные"
Чесно говоря это оказалось бредом. Это правило не нужно.
Цитата
P.S. Посмотрел я про этот outpost, за последние месяцы его и флудили (видел такое в своей локальной сети), и баги у него были с некоторыми протоколами (например ftp, см. форум поддержки outpost). Учитвая это по-моему проще всего остановиться на встроенном в винду фаерволе.
Не знаю за полгода что я его использую никаких багов не заметил.
А у встроенного есть множество недостатков.
Для начала во всех тестах защиты компьютеров встроенный стоит в самом конце рядом с касперским антихакером а Аутпост как правило впререди. Во вторых, у него нет мониторинга как у Аутпоста. В третьих, он не отражает атаки. В четвертых не так гибко настраивается. И в пятых он не такой удобный.
- без понятия сам - юзаю другой. (а этот слишком давно, чтоб помнить все тонкости) Просто отзеркалил решение, чтоб не утонуло (там тема не на одну сотню страниц).
Цитата
Учитвая это по-моему проще всего остановиться на встроенном в винду фаерволе.
- Согласен с мнением, что это весьма дырявая и малонастраиваемая штука. Для работы в локалке лучше нормальный пакетный файер, который будет иметь достаточно возможностей для блокировки пакетов всех мастей, а не только ТСР/ИР.
Согласен с мнением, что это весьма дырявая и малонастраиваемая штука.
У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
Цитата
Для работы в локалке лучше нормальный пакетный файер, который будет иметь достаточно возможностей для блокировки пакетов всех мастей, а не только ТСР/ИР.
А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?
Сам пользуюсь для защиты домашнего компьютера и выхода в интернет iptables на линукс-роутере.
У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
Нуну. Видел я этих тестеров. Для половины из них троян эта такая системная функция у виндоуз.
Цитата
А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?
По идее? он имел ввиду не только TCP/UDP, но и GRE ICMP.
Просветите что это за "новеловском стеке протоколов"?
которые под виндой на новеловском стеке протоколов работают?
- А при чем тут новелл? Али желаете сказать, что кроме уровня приложений ни на каком уровне уязвимостей нету? Ни ICMP приколов, ни АРП снифа/флуда/доса? Ни прочих прелестей, хоть от того же УДП? Али это только желание умными словами покидаться?
Цитата
более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
- И для закрытия каждой новопоявившейся дырки ежедневно бегать на винапдейт - искать свежие фиксы? А на мне это надо? Я который год сижу на 98 + стенка 2-летней давности. И никакая тварь не пролазит. Хотя изначально убивали в течение пары часов после подключения кабеля. Сможешь ты так спокойно сидеть используя только стенку выни (а не рутер на линуксе со спецсофтом в качестве посредника)? Сомневаюсь. Да и ты тоже. Иначе не использовал бы линь.