357 ответов в этой теме

[Пол Банки]

Таким образом что бы в частной сети работали бы настройки FireWall (обычный режим "своей" сети), а в "общественной" запрещались бы дополнительно все входящие соединения, исходящие броадкасты и т.п., netbios и т.п..

да-да. а еще по нетбиосам разрешенные ip разные в разных сетях, если с ноутом тыкаешься то туда, то сюда..вобщем, все что связано с локалкой - профили по именам сетей. но это меньшевизм конечно

[ASteZ]

Но нужна еще настройка на уровне правил пакетного фильтра - не только как сейчас разрешит/запретить передачу данных в указанном направлении, но и разрешить/запретить установление соединения. т.е. сейчас нельзя в пакетных правилах прописать так:
"запретить устанавливать ЛЮБЫМ программам принимать входящие соединения для данной сети, если соединение установлено по инициативе MY_COMPUTER то разрешить прием данных"..

И разделение доступа "в этой сети принимать можно одно а в той другое" можно сделать только на уровне правил для приложений.. отдельно для каждого..
Хотелось бы чтобы на уровне пакетных правил можно было бы прописывать на что оно действует - на установку нового соединения в указанном направлении или на передачу данных вообще..

Можно еще сделать так:
сети делятся на категории, категорию сети можно быстро изменить из контекстного меню firewall
-доверенная (пакетные правила отключены)
-домашняя/рабочая - работает как сейчас.
-общественная - запрещена установка входящих подключений извне (аналогично "не разрешать исключения" для windows firewall) , исходящие соединения работают. Можно прописать разрешающие правила на входящие соединения для конкретных IP..

А в том виде как оно сейчас - ИМХО firewall плохо совместим с ноутбуком бывающим в разных сетях..

[kamikaze2007]

А по какому принципу пополняется база известных приложений? Почему-то получилось так, что uTorrent и Steam файрволу известен, а The Bat и Miranda IM — нет…

Ещё очень интересно — не стОит ли доверенным приложениям просто разрешать всё, а не создавать «особые» правила? Вот со Steam интересно получилось. Автоматически создалось три правила, но потом пришлось добавить ещё два, одно из которых — подключение через https. Что будет если просто всем приложениям, которым нужен доступ в интернет, разрешать всё? Или лучше детализировать, всё-таки?

А ещё, если правило создано автоматически, то путь и имя файла приложения написаны маленькими буквами, а если поменять это поле вручную — путь и имя файла будут как на диске, разными буквами. Тоже странно.

Окно статистики файрвола продолжает вести себя всё страннее и страннее. Раньше только появлялось не в фокусе, а теперь ещё бывает не видно пунктов разделов слева, бывает фон окна белый…

Ещё бы в активных приложениях неплохо видеть не только имя файла, но и текущие коннекты и слушаемые порты у каждого приложения.

[HHH]

А по какому принципу пополняется база известных приложений? Почему-то получилось так, что uTorrent и Steam файрволу известен, а The Bat и Miranda IM — нет…

Скорее всего Миранда и бат не подписаны, а ваши конкретные версии к разработчикам еще не попадали.

Ещё очень интересно — не стОит ли доверенным приложениям просто разрешать всё, а не создавать «особые» правила?

Тогда зачем вообще firewall?

Окно статистики файрвола продолжает вести себя всё страннее и страннее. Раньше только появлялось не в фокусе, а теперь ещё бывает не видно пунктов разделов слева, бывает фон окна белый…

Про это подробнее, наверное. Со скриншотами...

[maxic]

А по какому принципу пополняется база известных приложений? Почему-то получилось так, что uTorrent и Steam файрволу известен, а The Bat и Miranda IM — нет…

Скорее всего Миранда и бат не подписаны, а ваши конкретные версии к разработчикам еще не попадали.

The Bat подписан - точно. У меня крайний релиз ходит нормально в сеть. Естественно, что если например, экзешник пропатчен, ни о какой цифровой подписи не может идти и речи

[kamikaze2007]

Скорее всего Миранда и бат не подписаны, а ваши конкретные версии к разработчикам еще не попадали.

Я примерно так и понял. С батом никаких проблем, два правила всего понадобилось. Для Миранды одного хватило, соединения на порт 5190, но она ещё пытается устанавливать входящее соединение на 0.0.0.0 и разные порты. Если запретить, то ругается про невозможность p2p соединения, хотя оно в настройках отключено. Какое правило создать, не знаю, создал просто запретить всё и поставил после правила про 5190.

Ещё очень интересно — не стОит ли доверенным приложениям просто разрешать всё, а не создавать «особые» правила?

Тогда зачем вообще firewall?

Ну, в общем, он мне нужен чтобы пускать или не пускать приложения в инет, а снаружи и так NAT, не пройдут. Кстати, на сайте Steam написано что ему надо разрешить все TCP и UDP соединения, а Dr. Web создаёт недостаточные правила. Это к вопросу разрешения всего.

Окно статистики файрвола продолжает вести себя всё страннее и страннее. Раньше только появлялось не в фокусе, а теперь ещё бывает не видно пунктов разделов слева, бывает фон окна белый…

Про это подробнее, наверное. Со скриншотами...

Тут Павел Плотников ответил, что исправлено, а белое окно и глюки с пунктами больше не получались.





Кстати, ещё вспомнил. Одно и то же автоматическое правило может называться «Разрешить tcpv4://*:80» и «tcp://*:80», «HTTP Connection» и «HTTP (80-83) Connection». Если они автоматические, значит сидят в базе, значит, по идее, должны и называться одинаково. Да?

[Borka]

Окно статистики файрвола продолжает вести себя всё страннее и страннее. Раньше только появлялось не в фокусе, а теперь ещё бывает не видно пунктов разделов слева, бывает фон окна белый…

Про это подробнее, наверное. Со скриншотами...

Тут Павел Плотников ответил, что исправлено, а белое окно и глюки с пунктами больше не получались.

Значит, исправлено.

Кстати, ещё вспомнил. Одно и то же автоматическое правило может называться «Разрешить tcpv4://*:80» и «tcp://*:80», «HTTP Connection» и «HTTP (80-83) Connection». Если они автоматические, значит сидят в базе, значит, по идее, должны и называться одинаково. Да?

Не совсем так. Если я правильно помню, правила типа "Разрешить" создаются при ручном добавлении, а правила вида "HTTP (80-83) Connection" - при автоматическом.

[kamikaze2007]

Кстати, ещё вспомнил. Одно и то же автоматическое правило может называться «Разрешить tcpv4://*:80» и «tcp://*:80», «HTTP Connection» и «HTTP (80-83) Connection». Если они автоматические, значит сидят в базе, значит, по идее, должны и называться одинаково. Да?

Не совсем так. Если я правильно помню, правила типа "Разрешить" создаются при ручном добавлении, а правила вида "HTTP (80-83) Connection" - при автоматическом.

«HTTP Connection» и «HTTP (80-83) Connection» одинаковые правила, только названия разные и, да, оба создались автоматически. Видимо, разные люди в базу добавляли.

[Borka]

Кстати, ещё вспомнил. Одно и то же автоматическое правило может называться «Разрешить tcpv4://*:80» и «tcp://*:80», «HTTP Connection» и «HTTP (80-83) Connection». Если они автоматические, значит сидят в базе, значит, по идее, должны и называться одинаково. Да?

Не совсем так. Если я правильно помню, правила типа "Разрешить" создаются при ручном добавлении, а правила вида "HTTP (80-83) Connection" - при автоматическом.

«HTTP Connection» и «HTTP (80-83) Connection» одинаковые правила, только названия разные и, да, оба создались автоматически.

Может, не «HTTP Connection», а все же «HTTPS Connection»?

Видимо, разные люди в базу добавляли.

Люди тут ни при чем. Правила разные.

[kamikaze2007]

«HTTP Connection» и «HTTP (80-83) Connection» одинаковые правила, только названия разные и, да, оба создались автоматически.

Может, не «HTTP Connection», а все же «HTTPS Connection»?

Нет, HTTPS это другое правило, а эти именно одинаковые, но с разными именами. «HTTP Connection» у апдейтера Dr. Web, а «HTTP (80-83) Connection» — у Opera. Я не то, что придираюсь, а просто если автоматически, то, по идее, есть в базе правило «HTTP Connection» — создавать его автоматически одно и то же и его же предлагать при ручном создании. Впрочем, это всё косметическое.


Меня вот опять удивил «игровой режим». Запускаю игру, всё работает, а потом выхожу, а оказывается, там предупреждение файрвола висит. Или запускаю игру, выскакивает предупреждение, нажимаю создать правило и окна не видно, я вслепую Enter нажимаешь и создаётся разрешающее правило.

В общем, я понял — все правила надо создавать до запуска программы а, тем более, игры. Вот тут опять возвращаюсь к вопросу — можно для приложения, для которого хочу разрешить доступ в инет, ставить просто Разрешить Всё, а не создавать набор правил? Это может чем-то грозить в смысле безопасности?

[Borka]

«HTTP Connection» и «HTTP (80-83) Connection» одинаковые правила, только названия разные и, да, оба создались автоматически.

Может, не «HTTP Connection», а все же «HTTPS Connection»? http://forum.drweb.com/public/style_emoticons/default/wink.png

Нет, HTTPS это другое правило, а эти именно одинаковые, но с разными именами. «HTTP Connection» у апдейтера Dr. Web, а «HTTP (80-83) Connection» — у Opera. Я не то, что придираюсь, а просто если автоматически, то, по идее, есть в базе правило «HTTP Connection» — создавать его автоматически одно и то же и его же предлагать при ручном создании. Впрочем, это всё косметическое.

Ага, увидел. Да, косметика.

Вот тут опять возвращаюсь к вопросу — можно для приложения, для которого хочу разрешить доступ в инет, ставить просто Разрешить Всё, а не создавать набор правил? Это может чем-то грозить в смысле безопасности?

В принципе можно разрешить всем всё, но зачем тогда файер? ЕМНИП, общее правило для файеров такое: "разрешить то, что нужно, запретить все остальное". Например, разрешите Акробату Ридеру фсё вместо правила по умолчанию - вдруг подхватите какой-нить эксплойт с даунлоудером. Если стандартные правила есть - появится запрос. Если разрешено фсё - появится даунлоудер. Как-то так.
Впрочем, с таким ником, как у Вас, не страшно ничего.

[SergM]

Впрочем, с таким ником, как у Вас, не страшно ничего.

[kamikaze2007]

В принципе можно разрешить всем всё, но зачем тогда файер?  ЕМНИП, общее правило для файеров такое: "разрешить то, что нужно, запретить все остальное". Например, разрешите Акробату Ридеру фсё вместо правила по умолчанию - вдруг подхватите какой-нить эксплойт с даунлоудером. Если стандартные правила есть - появится запрос. Если разрешено фсё - появится даунлоудер. Как-то так.

Я где-то так и представлял. В общем, с файрволом Dr. Web пока делаю так — если правило автоматически не создалось или я совсем не запретил приложению сетевую активность, тогда из окна предупреждения создаю предлагаемое правило. Обычно предлагается создать правило разрешения или запрета соединения на конкретный порт без всяких айпишников. Так и живём…


Сейчас осталось непонятны некоторые правила для пары приложений. Например Миранда пытается слушать случайный пор, а Dr. Web расценивает это как установку входящего соединения на IP 0.0.0.0. Вот какое тут правило создавать?

Впрочем, с таким ником, как у Вас, не страшно ничего. http://forum.drweb.com/public/style_emoticons/default/wink.png

Так и задумывалось.

[HHH]

Сейчас осталось непонятны некоторые правила для пары приложений. Например Миранда пытается слушать случайный пор, а Dr. Web расценивает это как установку входящего соединения на IP 0.0.0.0. Вот какое тут правило создавать?

Можно запретить. Но тогда не будут файлы приниматься, например.
Я запретил

[Borka]

Сейчас осталось непонятны некоторые правила для пары приложений. Например Миранда пытается слушать случайный пор, а Dr. Web расценивает это как установку входящего соединения на IP 0.0.0.0. Вот какое тут правило создавать?

Можно так: тип == входящее, протокол == IPv4, локльный адрес == 0.0.0.0, порт == любой.

Впрочем, с таким ником, как у Вас, не страшно ничего.

Так и задумывалось.

[kamikaze2007]

Можно запретить. Но тогда не будут файлы приниматься, например.
Я запретил

Я тоже запретил, Миранда теперь при старте всегда ругается, хотя в настройках выключено peer-to-peer. Это, скорее всего, к Миранде вопрос.

Можно так: тип == входящее, протокол == IPv4, локльный адрес == 0.0.0.0, порт == любой.

Ага, попробую.

[kamikaze2007]

Что-то я сразу и не сообразил, а попробовал создать правило и увидел — в правилах для приложений нельзя указать локальный IP. Можно только:

«Входящий/Исходящий адрес — IP-адрес удаленного хоста, участвующего в подключении»,

то есть, в терминологии пакетных правил — Удалённый IP-адрес. Ну, почему бы так и не назвать? «Локальный IP-адрес» и «Удалённый IP-адрес», IMHO, понятнее, чем «Исходящий адрес» и «Входящий адрес».

Объясните, пожалуйста, в правилах для приложений указываемый IP всегда удалённый? Что тогда значит попытка Миранды установить входящее соединение с входящим адресом 0.0.0.0?

[mrbelyash]

Что-то я сразу и не сообразил, а попробовал создать правило и увидел — в правилах для приложений нельзя указать локальный IP. Можно только:

«Входящий/Исходящий адрес — IP-адрес удаленного хоста, участвующего в подключении»,

то есть, в терминологии пакетных правил — Удалённый IP-адрес. Ну, почему бы так и не назвать? «Локальный IP-адрес» и «Удалённый IP-адрес», IMHO, понятнее, чем «Исходящий адрес» и «Входящий адрес».

Объясните, пожалуйста, в правилах для приложений указываемый IP всегда удалённый? Что тогда значит попытка Миранды установить входящее соединение с входящим адресом 0.0.0.0?

[Borka]

Что-то я сразу и не сообразил, а попробовал создать правило и увидел — в правилах для приложений нельзя указать локальный IP. Можно только:
«Входящий/Исходящий адрес — IP-адрес удаленного хоста, участвующего в подключении»,
то есть, в терминологии пакетных правил — Удалённый IP-адрес. Ну, почему бы так и не назвать? «Локальный IP-адрес» и «Удалённый IP-адрес», IMHO, понятнее, чем «Исходящий адрес» и «Входящий адрес».
Объясните, пожалуйста, в правилах для приложений указываемый IP всегда удалённый? Что тогда значит попытка Миранды установить входящее соединение с входящим адресом 0.0.0.0?

Ничего не понял. Давайте посмотрим на скриншот. Есть предположение, что Вы не выбрали тип соединения. Если входящее, должно показывать local address, если исходящее - remote address.

[Borka]

Я бы поставил адрес не "маска", а "равно" (0.0.0.0) и порт не "в диапазоне", а "любой".