Рекламный блок.

Outpost очень рулезный фаерволл... препробовал многие, но потом вернулся к
Outpostу.Особенность, очень неплохие плагины на все случаи жизни.

Блиин как я два дня мучаюсь с этим Outpost.
Когда стоял на моей тачке все ок. Поставил выделенный сервер под Инет и все блин. Настроил Usergate 3 наработу с почтой и аськой, а этот гаденыш не пропускает. Причем в заблокированых ничо не показывает. Без него все ок, а с ним труба полная. Перерыл все возможные форумы везде ситуация одинаковая. Нужно врубить транзитные пакеты только как никто сказать не может. Пришлось стандартный виндовый Брандмауэр врубить.

И еще, может кто знает как сделать поддержку Сетевых Игр. Каким прокси-NATом пользоваться и какие настройки врубить?

Поставил выделенный сервер под Инет

Нужно врубить транзитные пакеты

- А в шапках тем по аутпосту на всех форумах не замечал указания, что пост есть персональный файер и для серверных целей совсем не кукареку?
Для работы с транзитными пакетами юзай серверный файер. Всякие керио, вингейты или как там их по матушке хаять..

юзаем линейку продактов от Kerio, даже думаем купить честно

- А в шапках тем по аутпосту на всех форумах не замечал указания, что пост есть персональный файер и для серверных целей совсем не кукареку? Для работы с транзитными пакетами юзай серверный файер. Всякие керио, вингейты или как там их по матушке хаять..

Дело в том что русскому человеку сложно сказать, что делать надо так то и так то, он все наровит сделать по своему. Мне например нравится Аутпост и ничего с этим сделать не могу. Буду мозги компстировать но в итоге засталю гада работать.

Мне например нравится Аутпост и ничего с этим сделать не могу.

- Мне тоже некоторое время нравился (читай прошлую стр), но безопасность перевесила.

Буду мозги компстировать но в итоге засталю гада работать.

- Как на мерине выиграть Ф1?
- Болид покупай!
- А мне мерин нравится! Буду мозги компостировать, но заставлю гада..

Короче, удачи.

- Как на мерине выиграть Ф1? - Болид покупай!- А мне мерин нравится! Буду мозги компостировать, но заставлю гада..

Короче, удачи.

Спасибо но удача мне и так светит на полную. Уже заставил!
Правило1:
"Где направление исходящее и тип пакета Локальный, Транзитный, Нат
разрешить эти данные "
Правило2:
"Где направление входящее
разрешить эти данные"

Конечно теперь это дыра, а не файрволл, но вопрос решен. Теперь вопрос стоит как закрыть доступ, чтоб эти правила все не пропускали!

Конечно теперь это дыра, а не файрволл,

- C таким же успехом мог бы и выключить стенку.
О чем и говорилось.

- C таким же успехом мог бы и выключить стенку. О чем и говорилось.

Я вроде бы сказал четко что:

Теперь вопрос стоит как закрыть доступ, чтоб эти правила все не пропускали!

И я путем долгих стараний достиг результата.

Правило1:
"Где направление исходящее и тип пакета транзитный и где удаленный порт
25(SMTP), 110(POP3), 2510-2550(CS), 6112(Battle.net)
разрешить эти данные"

Правило2:
"Где направление входящее и удаленный адрес <<Диапазон внутренней сети>>
разрешить эти данные"

разработчики отказались от открытого выпуска промежуточных бета-версий из-за большого количества сообщений об ошибках, устранить которые требовалось в первую очередь. Нам обещали "вновь увидеться" только при выпуске версий Build 176 и и, что удивительно, новая версии уже выпущена!

Интересно, что разработчики проговорились о том, что рассматривают Outpost Firewall Pro как лидера по функциональности на рынке персональных сетевых экранов, "равняются" на него и изучают его функции с целью введения аналогов в собственных продуктах. Также из сказанного можно было сделать однозначный вывод, что сами же разработчики вообще не считают собственный брандмауэр Kaspersky Anti-Hacker конкурентоспособным продуктом в текущей его версии 1.7.

Антивирус Касперского 2006

врубить транзитные пакеты

- Еще чел ухитрился сделать свою задачу так:

Нактнулся на проблему с транзитными пакетами. Поиском по теме прошёлся, но ни одно решение не помогло. Версия Outpost'а последняя, 2.7.493.5421 (416). Трюк с параметром ShowNATColumn=yes не прокатывает: колонка ICS просто не появляется. Создание правила, явно разрешающего транзитные пакеты тоже не срабатывает, как будто его и нету вообще, правила этого.

Сами транзитные пакеты берутся из MS Virtual PC, когда я с виртуальной машины (Fedora Linux) пытаюсь залезть в нашу локальную сеть (проект лежит в CVS). В журнале пишет

19:16:05 Недоступно ВХОД БЛОКИРОВАНО TCP 192.168.10.20 32873  Запретить транзитные пакеты 

(192.168.10.20 - адрес виртуальной машины, номер порта каждый раз меняется). Также нашёл в теме, что такая проблема возникает, если служба ICS запущена после установки Outpost'а - у меня как раз такая ситуация. Удалил Outpost, выключил всякую дребедень типа счётчика трафика, проверил, что ICS включена, установил Outpost - пофиг. Никаких изменений...

Есть ли ещё какое-то решение? А то, может, пропустил чего... Очень надоедает каждый раз при обновлении из CVS включать режим разрешения, а потом обратно режим обучения...

-----------------

Цитата:Нактнулся на проблему с транзитными пакетами. 

Всем, кто юзает ICS и имеет такую траблу, читаем:
"У меня не получается настроить общий доступ к подключению Интернета по сети в Outpost Firewall." - вопрос 39 - http://forum.five.mhost.ru/kb2/index.php

Цитата:Сами транзитные пакеты берутся из MS Virtual PC, когда я с виртуальной машины (Fedora Linux) пытаюсь залезть в нашу локальную сеть (проект лежит в CVS). 

Читаем http://forum.five.mhost.ru/kb2/index.php - вопрос 17, принцип один.

+

Спаасибо за помощь! Правда, сам по себе ни один совет не помог, но из них удалось в конце концов методом проб и ошибок составить необходимую комбинацию правил для разрешения трафика. Итого у меня теперь добавлены два новых правила:

Правило 1 (Разрешить Исходящее TCP в LAN):
Протокол: TCP
Направление: Исходящее, Тип пакета: Локальный
Удалённый адрес: диапазон локальной сети
Разрешить эти данные

Правило 2 (Разрешить Входящее TCP с VM):
Протокол: TCP
Направление: Входящее
Удалённый адрес: адрес виртуальной машины
Разрешить эти данные

bredonosec

Версия Outpost'а последняя, 2.7.493.5421 (416). Трюк с параметром ShowNATColumn=yes не прокатывает: колонка ICS просто не появляется

А в нем и нет никакой поддержки ICS.
Вместо ICS теперь есть тип исхоядщего пакета Локальный Транзитный и НАТ

19:16:05 Недоступно ВХОД БЛОКИРОВАНО TCP 192.168.10.20 32873Запретить транзитные пакеты

А в итоге:

Правило 1 (Разрешить Исходящее TCP в LAN):Протокол: TCPНаправление: Исходящее, Тип пакета: ЛокальныйУдалённый адрес: диапазон локальной сетиРазрешить эти данные

Слегка непонятно. Раз транзитные не пускает то их и врубать надо. А он только локальные врубил.

Еще бы ко всему повышенный приоритет врубил, тогда бы вообще, файрволл был для виду. Разрешив все исходящие в сеть мы пускаем туда всех троянов. А также подвергаемся атаке експлоитов из сети.

И я путем долгих стараний достиг результата.

Правило1:
"Где направление исходящее и тип пакета транзитный и где удаленный порт
25(SMTP), 110(POP3), 2510-2550(CS), 6112(Battle.net)
разрешить эти данные"

Правило2:
"Где направление входящее и удаленный адрес <<Диапазон внутренней сети>>
разрешить эти данные"

Я конечно не настраивал outpost так серьезно, но по-моему у тебя этим правилом вместе с форвардом разрешаются и все входящие пакеты из локальной сети непосредственно на роутер, что не есть гуд для роутеров на win32.

P.S. Посмотрел я про этот outpost, за последние месяцы его и флудили (видел такое в своей локальной сети), и баги у него были с некоторыми протоколами (например ftp, см. форум поддержки outpost). Учитвая это по-моему проще всего остановиться на встроенном в винду фаерволе.

Правило2: "Где направление входящее и удаленный адрес <<Диапазон внутренней сети>> разрешить эти данные"

Чесно говоря это оказалось бредом. Это правило не нужно.

P.S. Посмотрел я про этот outpost, за последние месяцы его и флудили (видел такое в своей локальной сети), и баги у него были с некоторыми протоколами (например ftp, см. форум поддержки outpost). Учитвая это по-моему проще всего остановиться на встроенном в винду фаерволе.

Не знаю за полгода что я его использую никаких багов не заметил.

А у встроенного есть множество недостатков.

Для начала во всех тестах защиты компьютеров встроенный стоит в самом конце рядом с касперским антихакером а Аутпост как правило впререди.
Во вторых, у него нет мониторинга как у Аутпоста.
В третьих, он не отражает атаки.
В четвертых не так гибко настраивается.
И в пятых он не такой удобный.

Пэтро

Слегка непонятно.

- без понятия сам - юзаю другой. (а этот слишком давно, чтоб помнить все тонкости)
Просто отзеркалил решение, чтоб не утонуло (там тема не на одну сотню страниц).

Учитвая это по-моему проще всего остановиться на встроенном в винду фаерволе.

- Согласен с мнением, что это весьма дырявая и малонастраиваемая штука. Для работы в локалке лучше нормальный пакетный файер, который будет иметь достаточно возможностей для блокировки пакетов всех мастей, а не только ТСР/ИР.

bredonosec

Согласен с мнением, что это весьма дырявая и малонастраиваемая штука.

У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.

Для работы в локалке лучше нормальный пакетный файер, который будет иметь достаточно возможностей для блокировки пакетов всех мастей, а не только ТСР/ИР.

А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?

Сам пользуюсь для защиты домашнего компьютера и выхода в интернет iptables на линукс-роутере.

У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.

Нуну. Видел я этих тестеров. Для половины из них троян эта такая системная функция у виндоуз.

А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?

По идее? он имел ввиду не только TCP/UDP, но и GRE ICMP.

Просветите что это за "новеловском стеке протоколов"?

Пэтро

Нуну. Видел я этих тестеров. Для половины из них троян эта такая системная функция у виндоуз.

Ты видел 5 человек, 10, 20 и 100. По всему миру их миллионы. Срабатывает элементарная статистика.

Просветите что это за "новеловском стеке протоколов"?

ipx/spx

которые под виндой на новеловском стеке протоколов работают?

- А при чем тут новелл? Али желаете сказать, что кроме уровня приложений ни на каком уровне уязвимостей нету? Ни ICMP приколов, ни АРП снифа/флуда/доса? Ни прочих прелестей, хоть от того же УДП?
Али это только желание умными словами покидаться?

более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.

- И для закрытия каждой новопоявившейся дырки ежедневно бегать на винапдейт - искать свежие фиксы? А на мне это надо? Я который год сижу на 98 + стенка 2-летней давности. И никакая тварь не пролазит. Хотя изначально убивали в течение пары часов после подключения кабеля. Сможешь ты так спокойно сидеть используя только стенку выни (а не рутер на линуксе со спецсофтом в качестве посредника)? Сомневаюсь. Да и ты тоже. Иначе не использовал бы линь.

Просветите что это за "новеловском стеке протоколов"?

ipx/spx

Точно точно. Но они ж насколько я знаю заканчиваются на внутренней сети.
И насколько я знаю троянов експлоитов под них нет.

ни АРП снифа/флуда/доса

Помойму программные фаерволлы вообще на ARP уровне не работают. Для этого как правило используют Аппаратные устройства.

А ICMP это часть протокола IP который вы упомянули.