Это который в pcap формате? Боюсь людей, способных в нём разобраться, окажется не много среди пользователейА для этого в свою очередь нужен нормальный протокол убитых пакетов. Добиться, чтобы этот фаер писал в лог все убиваемы пакеты я так и не смог
Даже баг писал по этому поводу, но на него забили. А теперь в старом трекере остался - не найти уже.
Рад сообщить, что в бете 7.0 такая опция внезапно стала доступна(только включается пока хитро). Будет писать все пакеты пока винт не кончится, уж он у нас теперь расстарается на славу.
Отзывы о Firewall от Drweb
#321
Отправлено 20 Июнь 2011 - 00:54
#322
Отправлено 20 Июнь 2011 - 11:19
а в каком формате вы хотите увидеть пакет? ворд? экслеь? модный нынче xml? это же ПАКЕТ!Это который в pcap формате? Боюсь людей, способных в нём разобраться, окажется не много среди пользователейА для этого в свою очередь нужен нормальный протокол убитых пакетов. Добиться, чтобы этот фаер писал в лог все убиваемы пакеты я так и не смог
Даже баг писал по этому поводу, но на него забили. А теперь в старом трекере остался - не найти уже.
Рад сообщить, что в бете 7.0 такая опция внезапно стала доступна(только включается пока хитро). Будет писать все пакеты пока винт не кончится, уж он у нас теперь расстарается на славу.
ip_packet.jpg 11,31К 9 Скачано раз
#323
Отправлено 20 Июнь 2011 - 11:35
А мне не нужен весь пакет. Только ключевую информацию о нём. Видеть я его хочу как строчку в журнале firewall (время, протокол, откуда, куда). Например, для меня как для пользователя неплохие логи у Kerio Winroute. Не персональный firewall, но для примера сойдёт.а в каком формате вы хотите увидеть пакет? ворд? экслеь? модный нынче xml? это же ПАКЕТ!
Если для настройки firewall нужно знать весь стек протоколов от ethernet до HTTP, то это плохой firewall. Бесполезный для 99.99% пользователей.
#324
Отправлено 20 Июнь 2011 - 11:57
соль в том, %username%, что как раз сейчас мы сделали возможнсть фильтрации по конкретному протоколу. нет нужды задавать весь стек.А мне не нужен весь пакет. Только ключевую информацию о нём. Видеть я его хочу как строчку в журнале firewall (время, протокол, откуда, куда). Например, для меня как для пользователя неплохие логи у Kerio Winroute. Не персональный firewall, но для примера сойдёт.а в каком формате вы хотите увидеть пакет? ворд? экслеь? модный нынче xml? это же ПАКЕТ!
Если для настройки firewall нужно знать весь стек протоколов от ethernet до HTTP, то это плохой firewall. Бесполезный для 99.99% пользователей.
по поводу ключевой информации о пакете. что это такое? откдуа и куда может быть адресами IP4, IP6, IPX, MAC, VLAN ID. вам какой надо? а ещё бывает всякая редкость, про которую мы не в курсе. Banyan Vines, например. не смогли найти такую археологическую древность.
обычному пользователю, который не знает что такое стек протоколов, ковыряться в пакетном фильтре нет необходимости. дефолтные настройки устраивают чуть меньше чем всех. остальные обратятся в техподдержку, им там помогут.
#325
Отправлено 20 Июнь 2011 - 12:32
Вот прямо так IP4 и IPX могут быть в одном пакете? Гм, тогда мне тот, котопый на самом "дне"по поводу ключевой информации о пакете. что это такое? откдуа и куда может быть адресами IP4, IP6, IPX, MAC, VLAN ID.
Я в общем-то согласен. Назначение пакетного фильтра для меня вообще загадка, но я верю, что он кому-то жизненно необходим. А со стеком протоколов я знаком довольно поверхностно. Тем не менее этих знаний до сих пор хватало, чтобы настраивать firewallы других производителейобычному пользователю, который не знает что такое стек протоколов, ковыряться в пакетном фильтре нет необходимости. дефолтные настройки устраивают чуть меньше чем всех. остальные обратятся в техподдержку, им там помогут.
Протоколы/адреса нужны мне(?) для настройки фильтра приложений. Если у меня не работает игрушка некая или тот же skype, то мне должно быть достаточно глянуть в лог и увидеть там, куда она ломится, что принимает и соответственно настроить правила. Или вы как-то по другому это видите?
#326
Отправлено 20 Июнь 2011 - 13:10
А вот кто то может захотеть MAC адреса узнать. Чем Вы аргументируете то, что нужен который на самом "дне", а не тот что "сверху" плавает?Вот прямо так IP4 и IPX могут быть в одном пакете? Гм, тогда мне тот, котопый на самом "дне"
Протоколы/адреса нужны мне(?) для настройки фильтра приложений. Если у меня не работает игрушка некая или тот же skype, то мне должно быть достаточно глянуть в лог и увидеть там, куда она ломится, что принимает и соответственно настроить правила. Или вы как-то по другому это видите?
Если Вам нужны логи фильтра приложений для какого то конкретного процесса, то так бы и говорили. Заходите в настройки правил для нужного приложения и включаете там в правилах логирование. Потом в статистике всё можно увидеть, где какое правило сработало. В журнале при этом будет указано и время, и приложение, и endpoint, и протокол, и т.д., и т.п., короче всё что Вы так хотели увидеть.
Сообщение было изменено Aleksey Strokin: 20 Июнь 2011 - 13:11
Как идти ломая стены, и не трогать кирпичи?
#327
Отправлено 20 Июнь 2011 - 13:19
Цель фильтрации по МАС от меня ускользает. Хотя это не суть. В той же строчке может быть кнопочка "детали" и там уже показываете весь пакет, если он кому-то нужен.А вот кто то может захотеть MAC адреса узнать. Чем Вы аргументируете то, что нужен который на самом "дне", а не тот что "сверху" плавает?Вот прямо так IP4 и IPX могут быть в одном пакете? Гм, тогда мне тот, котопый на самом "дне"
Я так и делаю, ноЕсли Вам нужны логи пакетного фильтра для какого то конкретного процесса, то так бы и говорили. Заходите в настройки правил для нужного приложения и включаете там в правилах логирование. Потом в статистике всё можно увидеть, где какое правило сработало. В журнале при этом будет указано и время, и приложение, и endpoint, и протокол, и т.д., и т.п., короче всё что Вы так хотели увидеть.
а) включать нужно для каждого правила и для каждого приложения. Что делать, если я не знаю для какого приложения включать? Например, для игрушки надо еще и dxplay разрешать, как оказалось.
б) туда попадают не все пакеты, о чём я с самого начала и говорил. Т.е. делаешь allow all - не работает, отключаешь firewall - работает.
Суть моей мысли в том, что логи должны вестись по умолчанию либо легко включаться/отключаться. И это должны быть логи достаточной степени подробности (в идеале логи всего).
#328
Отправлено 20 Июнь 2011 - 13:23
Я так и делаю, но
а) включать нужно для каждого правила и для каждого приложения. Что делать, если я не знаю для какого приложения включать? Например, для игрушки надо еще и dxplay разрешать, как оказалось.
б) туда попадают не все пакеты, о чём я с самого начала и говорил. Т.е. делаешь allow all - не работает, отключаешь firewall - работает.
Суть моей мысли в том, что логи должны вестись по умолчанию либо легко включаться/отключаться. И это должны быть логи достаточной степени подробности (в идеале логи всего).
я неоднократно встречаюсь с мнением, что allow all в пакетном фильтре разрешает всем делать всё. это совершенно не так. даже если разрешить пакетному фильтру пропускать все пакеты, трафик будет активно гнобиться фильтром приложений. не отключили? тогда упс!
"логи достаточной степени подробности" --- это звучит почти как "Россия --- правовое государство".
#329
Отправлено 20 Июнь 2011 - 13:38
Цель фильтрации по МАС от меня ускользает. Хотя это не суть. В той же строчке может быть кнопочка "детали" и там уже показываете весь пакет, если он кому-то нужен.
Стало быть, таки весь пакет сохранять в итоге надо? Вернёмся к обсуждению формата хранения пакета? Мда.. за что боролись на то и напоролись.
а) Если ещё, что то надо разрешить/запретить файрвол сам спросит. Просто включите интерактивный режим. Не усложняйте всё, без нужды.а) включать нужно для каждого правила и для каждого приложения. Что делать, если я не знаю для какого приложения включать? Например, для игрушки надо еще и dxplay разрешать, как оказалось.
б) туда попадают не все пакеты, о чём я с самого начала и говорил. Т.е. делаешь allow all - не работает, отключаешь firewall - работает.
б) Какие такие пакеты на уровне приложений? Вы определитесь какие всё таки логи нужны, а то мечемся туда-сюда, я вас теряю.
Так и есть, в pcap есть логи всего, даже есть пометки какие пакеты выкинуты, а какие пропущены, идеал..Суть моей мысли в том, что логи должны вестись по умолчанию либо легко включаться/отключаться. И это должны быть логи достаточной степени подробности (в идеале логи всего).
Сообщение было изменено Aleksey Strokin: 20 Июнь 2011 - 13:40
Как идти ломая стены, и не трогать кирпичи?
#330
Отправлено 20 Июнь 2011 - 15:44
Я имел в виду Allow All для какого-то приложения.я неоднократно встречаюсь с мнением, что allow all в пакетном фильтре разрешает всем делать всё. это совершенно не так. даже если разрешить пакетному фильтру пропускать все пакеты, трафик будет активно гнобиться фильтром приложений. не отключили? тогда упс!
#331
Отправлено 20 Июнь 2011 - 15:47
Ладно, пусть pcap. Храните их хоть в виде лысого чёрта. Но просмотрищик-то для этого pcap есть? Который в человеческий вид этот лог приведёт?Так и есть, в pcap есть логи всего, даже есть пометки какие пакеты выкинуты, а какие пропущены, идеал..
Так глядишь я в конце концов и пойму, чего, собственно, я от вас хочу
#332
Отправлено 20 Июнь 2011 - 15:49
а) в идеале - да, но не спрашивает и программа почему-то не работает. Так было, я же не придумываюа) Если ещё, что то надо разрешить/запретить файрвол сам спросит. Просто включите интерактивный режим. Не усложняйте всё, без нужды.
б) Какие такие пакеты на уровне приложений? Вы определитесь какие всё таки логи нужны, а то мечемся туда-сюда, я вас теряю.
б) а почему вдруг на уровне приложений пропали пакеты? Они по дороге в сумки превратились?
#333
Отправлено 20 Июнь 2011 - 17:16
Wireshark? :-)Но просмотрищик-то для этого pcap есть? Который в человеческий вид этот лог приведёт?
#334
Отправлено 20 Июнь 2011 - 18:21
а) в идеале - да, но не спрашивает и программа почему-то не работает. Так было, я же не придумываюа) Если ещё, что то надо разрешить/запретить файрвол сам спросит. Просто включите интерактивный режим. Не усложняйте всё, без нужды.
б) Какие такие пакеты на уровне приложений? Вы определитесь какие всё таки логи нужны, а то мечемся туда-сюда, я вас теряю.
б) а почему вдруг на уровне приложений пропали пакеты? Они по дороге в сумки превратились?
a) Значит есть запрещающее правило, у которого можно включить логирование, или выставить режим "Запрещать неизвестные соединения". В этом случае в логе то-же будут записи о заблокированных неизвестных соединениях.
б) На уровне приложений есть понятие соединения. Т.е. есть UDP/TCP соединения у которых есть всякие ip:port и есть поток данных(проходящий через это соединение), а вот пакетов нет. Есть например, дейтаграмма весом в 16 кило, которую потом ниже уровнем, аккуратно порежут на более мелкие кусочки и снабдят их красивыми бирками(Identification). Есть например, куча байт которые отсылаются по одному(telnet) через TCP соединение, такие байтики аккуратно склеят в один большой кусок памяти и снабдят его биркой(SEQ/ACK). Вот это и будут пакеты, но это будет чуть позже, уровнем ниже на пакетном уровне.
Wireshark - это пожалуй самый известный, а вообще http://en.wikipedia.org/wiki/PcapЛадно, пусть pcap. Храните их хоть в виде лысого чёрта. Но просмотрищик-то для этого pcap есть? Который в человеческий вид этот лог приведёт?
Сообщение было изменено Aleksey Strokin: 20 Июнь 2011 - 18:21
Как идти ломая стены, и не трогать кирпичи?
#335
Отправлено 20 Июнь 2011 - 18:55
Не факт. Раньше был запрет на пакеты, для которых не нашлось разрешающего правила.a) Значит есть запрещающее правило, у которого можно включить логирование, или выставить режим "Запрещать неизвестные соединения". В этом случае в логе то-же будут записи о заблокированных неизвестных соединениях.
б) На уровне приложений есть понятие соединения. Т.е. есть UDP/TCP соединения у которых есть всякие ip:port и есть поток данных(проходящий через это соединение), а вот пакетов нет.
OK, пусть будет соединение. Так даже проще для понимания, наверное. Вникать во всякие FIN и ASK мне смысла нет при настройке.
============
Всё, я окончательно запутался, чего я хочу. Беру таймаут
#336
Отправлено 20 Июнь 2011 - 19:05
Всё, я окончательно запутался, чего я хочу. Беру таймаут
Не переживайте, программисты компании Dr.Web знают чего вы хотите и обязательно материализуют ваши желания в следующей версии.
To be continued ...
Как идти ломая стены, и не трогать кирпичи?
#337
Отправлено 20 Июнь 2011 - 19:57
Немного зная компанию DrWeb, мне остаётся надеяться, что хотя бы мои внуки её увидятНе переживайте, программисты компании Dr.Web знают чего вы хотите и обязательно материализуют ваши желания в следующей версии.
To be continued ...
Следующую версию, в смысле.
Сообщение было изменено HHH: 20 Июнь 2011 - 19:57
#338
Отправлено 24 Июнь 2011 - 14:21
отображать разрешенную/запрещенную активность в Application journal более наглядно.
Например, используя зеленую/красную подсветку как в Kerio Personal Firewall-
log.png 24,54К 27 Скачано раз
По-моему очень наглядно и удобно при просмотре логов.
Сообщение было изменено #user: 24 Июнь 2011 - 14:25
#339
Отправлено 24 Июнь 2011 - 18:06
Предложение разработчикам:
отображать разрешенную/запрещенную активность в Application journal более наглядно.
Например, используя зеленую/красную подсветку как в Kerio Personal Firewall-
log.png 24,54К 27 Скачано раз
По-моему очень наглядно и удобно при просмотре логов.
если можно, в треккер пожалуйста.
#340
Отправлено 24 Июнь 2011 - 18:07
Предложение разработчикам:
отображать разрешенную/запрещенную активность в Application journal более наглядно.
Например, используя зеленую/красную подсветку как в Kerio Personal Firewall-
log.png 24,54К 27 Скачано раз
По-моему очень наглядно и удобно при просмотре логов.
если можно, в треккер пожалуйста.
на старом трекере был такой FR...утеряли?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых