357 ответов в этой теме

[HHH]

А для этого в свою очередь нужен нормальный протокол убитых пакетов. Добиться, чтобы этот фаер писал в лог все убиваемы пакеты я так и не смог
Даже баг писал по этому поводу, но на него забили. А теперь в старом трекере остался - не найти уже.

Рад сообщить, что в бете 7.0 такая опция внезапно стала доступна(только включается пока хитро). Будет писать все пакеты пока винт не кончится, уж он у нас теперь расстарается на славу.

Это который в pcap формате? Боюсь людей, способных в нём разобраться, окажется не много среди пользователей

[Alexey Nevolin]

А для этого в свою очередь нужен нормальный протокол убитых пакетов. Добиться, чтобы этот фаер писал в лог все убиваемы пакеты я так и не смог
Даже баг писал по этому поводу, но на него забили. А теперь в старом трекере остался - не найти уже.

Рад сообщить, что в бете 7.0 такая опция внезапно стала доступна(только включается пока хитро). Будет писать все пакеты пока винт не кончится, уж он у нас теперь расстарается на славу.

Это который в pcap формате? Боюсь людей, способных в нём разобраться, окажется не много среди пользователей

а в каком формате вы хотите увидеть пакет? ворд? экслеь? модный нынче xml? это же ПАКЕТ!
 ip_packet.jpg   11,31К   9 Скачано раз

[HHH]

а в каком формате вы хотите увидеть пакет? ворд? экслеь? модный нынче xml? это же ПАКЕТ!

А мне не нужен весь пакет. Только ключевую информацию о нём. Видеть я его хочу как строчку в журнале firewall (время, протокол, откуда, куда). Например, для меня как для пользователя неплохие логи у Kerio Winroute. Не персональный firewall, но для примера сойдёт.
Если для настройки firewall нужно знать весь стек протоколов от ethernet до HTTP, то это плохой firewall. Бесполезный для 99.99% пользователей.

[Alexey Nevolin]

а в каком формате вы хотите увидеть пакет? ворд? экслеь? модный нынче xml? это же ПАКЕТ!

А мне не нужен весь пакет. Только ключевую информацию о нём. Видеть я его хочу как строчку в журнале firewall (время, протокол, откуда, куда). Например, для меня как для пользователя неплохие логи у Kerio Winroute. Не персональный firewall, но для примера сойдёт.
Если для настройки firewall нужно знать весь стек протоколов от ethernet до HTTP, то это плохой firewall. Бесполезный для 99.99% пользователей.

соль в том, %username%, что как раз сейчас мы сделали возможнсть фильтрации по конкретному протоколу. нет нужды задавать весь стек.

по поводу ключевой информации о пакете. что это такое? откдуа и куда может быть адресами IP4, IP6, IPX, MAC, VLAN ID. вам какой надо? а ещё бывает всякая редкость, про которую мы не в курсе. Banyan Vines, например. не смогли найти такую археологическую древность.

обычному пользователю, который не знает что такое стек протоколов, ковыряться в пакетном фильтре нет необходимости. дефолтные настройки устраивают чуть меньше чем всех. остальные обратятся в техподдержку, им там помогут.

[HHH]

по поводу ключевой информации о пакете. что это такое? откдуа и куда может быть адресами IP4, IP6, IPX, MAC, VLAN ID.

Вот прямо так IP4 и IPX могут быть в одном пакете? Гм, тогда мне тот, котопый на самом "дне"

обычному пользователю, который не знает что такое стек протоколов, ковыряться в пакетном фильтре нет необходимости. дефолтные настройки устраивают чуть меньше чем всех. остальные обратятся в техподдержку, им там помогут.

Я в общем-то согласен. Назначение пакетного фильтра для меня вообще загадка, но я верю, что он кому-то жизненно необходим. А со стеком протоколов я знаком довольно поверхностно. Тем не менее этих знаний до сих пор хватало, чтобы настраивать firewallы других производителей
Протоколы/адреса нужны мне(?) для настройки фильтра приложений. Если у меня не работает игрушка некая или тот же skype, то мне должно быть достаточно глянуть в лог и увидеть там, куда она ломится, что принимает и соответственно настроить правила. Или вы как-то по другому это видите?

[Aleksey Strokin]

Вот прямо так IP4 и IPX могут быть в одном пакете? Гм, тогда мне тот, котопый на самом "дне"

А вот кто то может захотеть MAC адреса узнать. Чем Вы аргументируете то, что нужен который на самом "дне", а не тот что "сверху" плавает?

Протоколы/адреса нужны мне(?) для настройки фильтра приложений. Если у меня не работает игрушка некая или тот же skype, то мне должно быть достаточно глянуть в лог и увидеть там, куда она ломится, что принимает и соответственно настроить правила. Или вы как-то по другому это видите?

Если Вам нужны логи фильтра приложений для какого то конкретного процесса, то так бы и говорили. Заходите в настройки правил для нужного приложения и включаете там в правилах логирование. Потом в статистике всё можно увидеть, где какое правило сработало. В журнале при этом будет указано и время, и приложение, и endpoint, и протокол, и т.д., и т.п., короче всё что Вы так хотели увидеть.

Сообщение было изменено Aleksey Strokin: 20 Июнь 2011 - 13:11

[HHH]

Вот прямо так IP4 и IPX могут быть в одном пакете? Гм, тогда мне тот, котопый на самом "дне"

А вот кто то может захотеть MAC адреса узнать. Чем Вы аргументируете то, что нужен который на самом "дне", а не тот что "сверху" плавает?

Цель фильтрации по МАС от меня ускользает. Хотя это не суть. В той же строчке может быть кнопочка "детали" и там уже показываете весь пакет, если он кому-то нужен.

Если Вам нужны логи пакетного фильтра для какого то конкретного процесса, то так бы и говорили. Заходите в настройки правил для нужного приложения и включаете там в правилах логирование. Потом в статистике всё можно увидеть, где какое правило сработало. В журнале при этом будет указано и время, и приложение, и endpoint, и протокол, и т.д., и т.п., короче всё что Вы так хотели увидеть.

Я так и делаю, но
а) включать нужно для каждого правила и для каждого приложения. Что делать, если я не знаю для какого приложения включать? Например, для игрушки надо еще и dxplay разрешать, как оказалось.
б) туда попадают не все пакеты, о чём я с самого начала и говорил. Т.е. делаешь allow all - не работает, отключаешь firewall - работает.
Суть моей мысли в том, что логи должны вестись по умолчанию либо легко включаться/отключаться. И это должны быть логи достаточной степени подробности (в идеале логи всего).

[Alexey Nevolin]

Я так и делаю, но
а) включать нужно для каждого правила и для каждого приложения. Что делать, если я не знаю для какого приложения включать? Например, для игрушки надо еще и dxplay разрешать, как оказалось.
б) туда попадают не все пакеты, о чём я с самого начала и говорил. Т.е. делаешь allow all - не работает, отключаешь firewall - работает.
Суть моей мысли в том, что логи должны вестись по умолчанию либо легко включаться/отключаться. И это должны быть логи достаточной степени подробности (в идеале логи всего).

я неоднократно встречаюсь с мнением, что allow all в пакетном фильтре разрешает всем делать всё. это совершенно не так. даже если разрешить пакетному фильтру пропускать все пакеты, трафик будет активно гнобиться фильтром приложений. не отключили? тогда упс!

"логи достаточной степени подробности" --- это звучит почти как "Россия --- правовое государство".

[Aleksey Strokin]

Цель фильтрации по МАС от меня ускользает. Хотя это не суть. В той же строчке может быть кнопочка "детали" и там уже показываете весь пакет, если он кому-то нужен.

Стало быть, таки весь пакет сохранять в итоге надо? Вернёмся к обсуждению формата хранения пакета? Мда.. за что боролись на то и напоролись.

а) включать нужно для каждого правила и для каждого приложения. Что делать, если я не знаю для какого приложения включать? Например, для игрушки надо еще и dxplay разрешать, как оказалось.
б) туда попадают не все пакеты, о чём я с самого начала и говорил. Т.е. делаешь allow all - не работает, отключаешь firewall - работает.

а) Если ещё, что то надо разрешить/запретить файрвол сам спросит. Просто включите интерактивный режим. Не усложняйте всё, без нужды.
б) Какие такие пакеты на уровне приложений? Вы определитесь какие всё таки логи нужны, а то мечемся туда-сюда, я вас теряю.

Суть моей мысли в том, что логи должны вестись по умолчанию либо легко включаться/отключаться. И это должны быть логи достаточной степени подробности (в идеале логи всего).

Так и есть, в pcap есть логи всего, даже есть пометки какие пакеты выкинуты, а какие пропущены, идеал..

Сообщение было изменено Aleksey Strokin: 20 Июнь 2011 - 13:40

[HHH]

я неоднократно встречаюсь с мнением, что allow all в пакетном фильтре разрешает всем делать всё. это совершенно не так. даже если разрешить пакетному фильтру пропускать все пакеты, трафик будет активно гнобиться фильтром приложений. не отключили? тогда упс!

Я имел в виду Allow All для какого-то приложения.

[HHH]

Так и есть, в pcap есть логи всего, даже есть пометки какие пакеты выкинуты, а какие пропущены, идеал..

Ладно, пусть pcap. Храните их хоть в виде лысого чёрта. Но просмотрищик-то для этого pcap есть? Который в человеческий вид этот лог приведёт?

Так глядишь я в конце концов и пойму, чего, собственно, я от вас хочу

[HHH]

а) Если ещё, что то надо разрешить/запретить файрвол сам спросит. Просто включите интерактивный режим. Не усложняйте всё, без нужды.
б) Какие такие пакеты на уровне приложений? Вы определитесь какие всё таки логи нужны, а то мечемся туда-сюда, я вас теряю.

а) в идеале - да, но не спрашивает и программа почему-то не работает. Так было, я же не придумываю
б) а почему вдруг на уровне приложений пропали пакеты? Они по дороге в сумки превратились?

[#user]

Но просмотрищик-то для этого pcap есть? Который в человеческий вид этот лог приведёт?

Wireshark? :-)

[Aleksey Strokin]

а) Если ещё, что то надо разрешить/запретить файрвол сам спросит. Просто включите интерактивный режим. Не усложняйте всё, без нужды.
б) Какие такие пакеты на уровне приложений? Вы определитесь какие всё таки логи нужны, а то мечемся туда-сюда, я вас теряю.

а) в идеале - да, но не спрашивает и программа почему-то не работает. Так было, я же не придумываю
б) а почему вдруг на уровне приложений пропали пакеты? Они по дороге в сумки превратились?

a) Значит есть запрещающее правило, у которого можно включить логирование, или выставить режим "Запрещать неизвестные соединения". В этом случае в логе то-же будут записи о заблокированных неизвестных соединениях.
б) На уровне приложений есть понятие соединения. Т.е. есть UDP/TCP соединения у которых есть всякие ip:port и есть поток данных(проходящий через это соединение), а вот пакетов нет. Есть например, дейтаграмма весом в 16 кило, которую потом ниже уровнем, аккуратно порежут на более мелкие кусочки и снабдят их красивыми бирками(Identification). Есть например, куча байт которые отсылаются по одному(telnet) через TCP соединение, такие байтики аккуратно склеят в один большой кусок памяти и снабдят его биркой(SEQ/ACK). Вот это и будут пакеты, но это будет чуть позже, уровнем ниже на пакетном уровне.

Ладно, пусть pcap. Храните их хоть в виде лысого чёрта. Но просмотрищик-то для этого pcap есть? Который в человеческий вид этот лог приведёт?

Wireshark - это пожалуй самый известный, а вообще http://en.wikipedia.org/wiki/Pcap

Сообщение было изменено Aleksey Strokin: 20 Июнь 2011 - 18:21

[HHH]

a) Значит есть запрещающее правило, у которого можно включить логирование, или выставить режим "Запрещать неизвестные соединения". В этом случае в логе то-же будут записи о заблокированных неизвестных соединениях.
б) На уровне приложений есть понятие соединения. Т.е. есть UDP/TCP соединения у которых есть всякие ip:port и есть поток данных(проходящий через это соединение), а вот пакетов нет.

Не факт. Раньше был запрет на пакеты, для которых не нашлось разрешающего правила.
OK, пусть будет соединение. Так даже проще для понимания, наверное. Вникать во всякие FIN и ASK мне смысла нет при настройке.

============
Всё, я окончательно запутался, чего я хочу. Беру таймаут

[Aleksey Strokin]

Всё, я окончательно запутался, чего я хочу. Беру таймаут

Не переживайте, программисты компании Dr.Web знают чего вы хотите и обязательно материализуют ваши желания в следующей версии.
To be continued ...

[HHH]

Не переживайте, программисты компании Dr.Web знают чего вы хотите и обязательно материализуют ваши желания в следующей версии.
To be continued ...

Немного зная компанию DrWeb, мне остаётся надеяться, что хотя бы мои внуки её увидят
Следующую версию, в смысле.

Сообщение было изменено HHH: 20 Июнь 2011 - 19:57

[#user]

Предложение разработчикам:
отображать разрешенную/запрещенную активность в Application journal более наглядно.
Например, используя зеленую/красную подсветку как в Kerio Personal Firewall-
 log.png   24,54К   27 Скачано раз

По-моему очень наглядно и удобно при просмотре логов.

Сообщение было изменено #user: 24 Июнь 2011 - 14:25

[Alexey Nevolin]

Предложение разработчикам:
отображать разрешенную/запрещенную активность в Application journal более наглядно.
Например, используя зеленую/красную подсветку как в Kerio Personal Firewall-
 log.png   24,54К   27 Скачано раз

По-моему очень наглядно и удобно при просмотре логов.

если можно, в треккер пожалуйста.

[mrbelyash]

Предложение разработчикам:
отображать разрешенную/запрещенную активность в Application journal более наглядно.
Например, используя зеленую/красную подсветку как в Kerio Personal Firewall-
 log.png   24,54К   27 Скачано раз

По-моему очень наглядно и удобно при просмотре логов.

если можно, в треккер пожалуйста.

на старом трекере был такой FR...утеряли?