lapi Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Jetico Personal Firewall http://www.jetico.com/jpfirewall.htm В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера. Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...   Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.   Upd2: Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная. Тема в варезнике посвящённая второй верии   Upd3: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.   Последняя версия 1.x: 1.0.1.61 (19 июля 2005) http://www.jetico.com/jpfwall.exe   Текущая версия 2.x: 2.0.2.9 (23 марта 2009) http://www.jetico.com/jpf2setup.exe   Русификация версии 1.0.1.61 с установщиком (19 июля 2005): http://artlonger.narod.ru/jetico.zip (35 кб) Если что, качать браузером. При обновлении версий ссылка не изменяется.   PS: В русской версии прикручено выравнивание столбцов по F12.   Базовые настройки брандмауэров. Правила JPF v1 Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1 Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP... JPF v2 Правила для сервиса svchost.exe Всего записей: 167 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: а на транспортном уровне входящие соединения никто не разрешал, а jetico лепит реджекты на апликатион уровень, а т.к. приложение неизвестно вот он и ставит системс... Смешно просто   Если у тебя кто-то (в данном случае ядро (а даже не сервис)) слушает порт 445, то срабатывает правило с вердиктом Accept на пакеты прошедшие Statefull inspection из таблицы IP. Это и есть связь пакетного фильтра с фильтрацией на уровне приложений. ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 12:23 12-09-2006 | Исправлено: GQ, 12:32 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GQ Цитата: Если у тебя кто-то (в данном случае ядро (а даже не сервис)) слушает порт 445 у меня ничего нет на 445 - служба "сервер" и та остановлена, соотв шаринга нет. Куда он там пытается законектиться на 445? Получается в пустоту - т.е. идёт обычный коннект на 445 порт который по логике ipfw должен быть отброшен (при чём именно на tcp\ip уровне - при чём тут  app с этим system?) ибо правилами коннект этот не разрешён. Но тут я смотрю как то разрабы иначе замутили логику (т.е. она не ipfw)? Цитата: равило Accept пакеты прошедшие Statefull inspection из таблицы IP на него срабатывает. Это и есть связь пакетного фильтра с фильтрацией на уровне приложений. можно подробней плиз, а то справка 0-я прямо скажем. И так приплывает пакет на 445 порт (tcp, 445 port, icoming connection) что куда там смотрит jetico? Наск я понял он начинает смотреть таблицы с уровня app? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:39 12-09-2006 | Исправлено: greenfox, 12:40 12-09-2006

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: у меня ничего нет на 445 - служба "сервер" и та остановлена, соотв шаринга нет. Куда он там пытается законектиться на 445? Прочти еще раз то, что я написал. Не в пустоту, а непосредственно к ядру. За вопросами, нахрена так делать, что ядро занимается такими вещами - спрашивай майкрософт.   Цитата: И так приплывает пакет на 445 порт (tcp, 445 port, icoming connection) что куда там смотрит jetico? Наск я понял он начинает смотреть таблицы с уровня app? Он обрабатывает его по правилам. доходит до правила Statefull inspection. Смотрит в системные таблицы винды, видит, что этот сокет открыт и слушается, и делает резолюцию accept. Это не связь между таблицами (может я где не так выразился выше, перечитывать неохота), а Цитата: связь пакетного фильтра с фильтрацией на уровне приложений.   PS Все вышесказанное - мои личные домыслы. =\ ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 12:47 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GQ Цитата: Прочти еще раз то, что я написал. Не в пустоту, а непосредственно к ядру. За вопросами, нахрена так делать, что ядро занимается такими вещами - спрашивай майкрософт.   Да какая разница куда он там приходит и как винда обрабатывает на уровне кода входящие пакеты? Смысл в том что у меня на 445 порту нет ничего. Т.е. по лигеке даже в отсутсвтии файера этот пакет (входящий коннект) должен быть отброшен даже самой виндой ввиду того что bind на 445 сокет в системе нету. В его присутствии он его сам должен отбросить - ибо на ip уровне такое не разрешено правилами. Т.е. ещё раз, по логике ipfw  перед тем как пакет вообще дойдёт до app уровня и ОС будет думать какому приложению и какими ядерными модулями его передавать, этот пакет будет отброшен самим файером ввиду отсутствия явно заданного правила для его прохождения. Теперь, в эксперементальных целях, предположим что на 445 порту что-то висит, например стандарт. виндовая служба. Итак, судя по вашим словам (давайте вместе разбираться) пакет начнёт прохождение по таблицам jetico. Судя по справке очерёдность будет именно такой как они идут в root таблице - т.е. App Table -> System ip table -> Protocol Table -> Process attak table Итак наш входящий коннект от юного хакера прёт на 445 порт и файер начинает искать соответствия в таблице app? А какие собственно он там соответствия может найти? Разрешено ли System принимать пакеты с заданными параметрами (адреса, порты и т.д.) на 445 порт? Тогда логично предположить что Sysytem это вообще абстрактное понятие характеризующее Ос в целом? Или в этом месте он смотрит ещё куда-то по мимо App Table? Далее он по идее, если нет на уровне приложений accept incoming 445 tcp from any any (например) должен смотреть следующие таблицы - System ip table и Protocol Table, так? Тогда вопрос зачем их сейчас вообще смотреть бо даже если там прописано разрешение, на app уровне соотв всё равно нет. Или я чего то не так логику понимаю?   ps про этот Stateful TCP Inspection где-н вообще расписано? Ну там на офф.сайте хотя бы? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:11 12-09-2006 | Исправлено: greenfox, 13:15 12-09-2006

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  ps про этот Stateful TCP Inspection где-н вообще расписано? Ну там на офф.сайте хотя бы? не знаю.   Цитата: Судя по справке очерёдность будет именно такой как они идут в root таблице - т.е. App Table -> System ip table -> Protocol Table -> Process attak table Не знаю, кто врет, может и справка, но на деле обработка входящего пакета идет так:   По таблица типа Network и IP из корневой по порядку, пока не найдет вердикт. Затем По таблицам типа Application из корневой по порядку, пока не найдет вердикт.     блин, я на самом деле у себя в статье это уже писал, жаль сейчас сервак в дауне, показать не могу.   Цитата: Цитата: Прочти еще раз то, что я написал. Не в пустоту, а непосредственно к ядру. За вопросами, нахрена так делать, что ядро занимается такими вещами - спрашивай майкрософт.   Да какая разница куда он там приходит и как винда обрабатывает на уровне кода входящие пакеты? Разница такая, что Stateful inspection использует виндовые механизмы для того, чтобы определить пропускать ли этот пакет или нет, в частности порпускает, если этот пакет кто-то готов принять. ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 13:31 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GQ Цитата: Не знаю, кто врет, может и справка, но на деле обработка входящего пакета идет так:   По таблица типа Network и IP из корневой по порядку, пока не найдет вердикт. Затем По таблицам типа Application из корневой по порядку, пока не найдет вердикт.   в справке сказано чётко: Цитата: Entry point for rule processing is the root table of the active Security policy. See Configuration explorer chapter for more information on Security policy navigating. Jetico Personal Firewall picks rules from current table in series and tests network event parameters against rule condition.   Перевод примерно такой Цитата: Точкой для начала обработки правил является корневая таблица активной политики безопасности. Jetico Personal Firewall последовательно выбирает правила из текущей таблицы и сравнивает параметры сетевого события с условием правила. Обработка таблицы продолжается до тех пор, пока не произойдет одно из следующих событий Т.е. иными словами начало обработки идёт именно с App Table. Откуда вы узнали что сначало идёт ip table? Откуда инфа? принципиальный момент...   Цитата: Разница такая, что Stateful inspection использует виндовые механизмы для того, чтобы определить пропускать ли этот пакет или нет, в частности порпускает, если этот пакет кто-то готов принять. это бы имело смысл если бы обработка правил была бы с нижележащего уровня и по возрастающей, тогда да, jetico могбы просмотреть на уровне tcp\udp сист. таблицу сокетов и определить, есть ли смысл вообще фильтроваь этот пакет или его можно сразу отбросить т.к. его всё равно никто не ждёт. Однако (см.выше) jetico начинает обработку правил с уровня приложений. Об этом так же свидетельствует и присловутый System в таблице App Table ибо если бы jetico начинал обработку с ip-tcp\udp  таблиц то на этом бы уровне и задавал бы вопрос пользователю не хочет ли он разрешить коннект, и соотв-но на этом бы уровне и прописывал правила ( разрешении коннекта на такой то порт). А в App Table просто бы потом дублировал правило уже с указанием того демона (приложения) которому разрешено принимать на прикладном уровне эти пакеты. Однако jetico лепит всё на уровне App Table "Однако здравствуйте"(с)...   Добавлено: ёпть! Он из лана (которую в визарде пишешь) позволяет коннекты на твою машину на сетевом уровне беспрепятственно! Нет, понятно что ланона лан -но вот так открыть машину на вход и не предупредить даже.... мда, походу придётся дать отказ данному продукту второй раз. ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:49 12-09-2006

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox утомил, честное слово... Цитата: в справке сказано чётко: меня не интересует что написано в справке, я тебе говорю, как оно есть на самом деле.   Цитата: то на этом бы уровне и задавал бы вопрос пользователю не хочет ли он разрешить коннект, и соотв-но на этом бы уровне и прописывал правила ( разрешении коннекта на такой то порт). А в App Table просто бы потом дублировал правило уже с указанием того демона (приложения) которому разрешено принимать на прикладном уровне эти пакеты. он не будет спрашивать в пакетном фильтре!!! патамушта стэйтфул инспекшн! Ну что ты такой непонятливый!!   Цитата: Он из лана (которую в визарде пишешь) позволяет коннекты на твою машину на сетевом уровне беспрепятственно! Какой лан? какой визард? какой нахрен сетевой уровень? Ты свою локалку в трастед зоун внес? Тогда сам себе злобный буратино. ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 14:54 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GQ Цитата: утомил, честное слово ну звиняй, надеюсь статью "по принуждению" шить не будешь Цитата: меня не интересует что написано в справке, я тебе говорю, как оно есть на самом деле так я и спрашиваю как ты это определил? Дебагером смотрел что ли? Просто интересно... Цитата: он не будет спрашивать в пакетном фильтре!!! патамушта стэйтфул инспекшн! Ну что ты такой непонятливый!!   не, непонятливый. Т.е. ты хочешь сказать, что этот твой "инспекш" типа делает обрезание? - вместо того что бы добавлять соотв правила как на сетевой так и на прикладной уровень он добавляет их только на прикладной с соотв привязкой (по каким то внутренним параметрам) к сетевому уровню? Цитата: Ты свою локалку в трастед зоун внес? Тогда сам себе злобный буратино. дык это, сколько живу, сколь раз в разных файерах в трастед зон свою лан вносил - ни разу файер не позволял себе такую вольность как не блокировать входяшие коннекты Ужась. ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:02 12-09-2006

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Цитата: ни разу файер не позволял себе такую вольность как не блокировать входяшие коннекты Это ПОЛНОСТЬЮ ДОВЕРЕННАЯ ЗОНА. РАЗРЕШЕНО ВСЁ! и это написано всюду.   Цитата: так я и спрашиваю как ты это определил? Дебагером смотрел что ли? Просто интересно... Достаточно большое количество экспериментов + *скромно* очень хорошие знания сетевых технологий + логика, которая видимо работает по схожим с логикой разработчиков принципам. И очень много возни с джетикой пока не снизошла нирвана.   Цитата: не, непонятливый. Т.е. ты хочешь сказать, что этот твой "инспекш" типа делает обрезание? - вместо того что бы добавлять соотв правила как на сетевой так и на прикладной уровень он добавляет их только на прикладной с соотв привязкой (по каким то внутренним параметрам) к сетевому уровню? Значит алгоритм на псевдоформальном языке.   Пришел пакет   PF: для каждой таблицы типа нетворк или IP в корневой таблице { для каждого правила из таблицы { если выполняются все условия правила, то РЕЗУЛЬТАТ:=вердикт правила; goto AFTER_PF; } } РЕЗУЛЬТАТ:=???(никогда не интересовался какой у джетики вердикт по-умолчанию) AFTER_PF: если РЕЗУЛЬТАТ==REJECT отбросить пакет и выйти из обработчика AF: для каждой таблицы типа application в корневой таблице { для каждого правила из таблицы { если выполняются все условия правила, то РЕЗУЛЬТАТ:=вердикт правила; goto AFTER_AF; } } РЕЗУЛЬТАТ:=???(никогда не интересовался какой у джетики вердикт по-умолчанию) AFTER_AF: если РЕЗУЛЬТАТ==REJECT отбросить пакет и выйти из обработчика передать пакет дальше в стек винды и выйти из обработчика       В частности, среди правил в таблице пакетного фильтра есть правило if(ip stateful inspection==true) then accept; которое означает, что если пакет ожидается виндой (то есть открыт слушающий сокет или пакет направляется внутренним сущностям (ядру) винды ) и имеет правильную структуру/чексам/флаги то принять этот пакет.   Подробнее писать не буду. Надоело. ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 15:32 12-09-2006

VitRom Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Т.е. иными словами начало обработки идёт именно с App Table. Тогда уж для точности формулировки уточнение: если порядок таблиц в Root не изменён. Т.е. если перетащить в самый верх IP-Table - то и будет проверяться сначала по IP и т.д.   ЗЫ. Инфу эту подтверждают и сами разрабы; я с ними как-то долго переписывался по поводу левых алармов... Всего записей: 3116 | Зарегистр. 18-06-2006 | Отправлено: 15:34 12-09-2006

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору VitRom Обработка исходящих пакетов - да. Вначале все аппликейшн, затем все нетворк. Обработка входящих - нет. если не веришь, воткни первым же правилом в таблицу нетворк reject и убедись сам.   Добавлено: Цитата:  Т.е. если перетащить в самый верх IP-Table - то и будет проверяться сначала по IP и т.д.   Это не правда. можешь сам проверить, создав правила с логированием в начале каждой таблицы и посмотрев логи. ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 15:46 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GQ Цитата: Достаточно большое количество экспериментов + *скромно* очень хорошие знания сетевых технологий + логика, которая видимо работает по схожим с логикой разработчиков принципам. И очень много возни с джетикой пока не снизошла нирвана. нет, ну если вы утверждаете что пакеты обрабатываются как не крути (при вход) именно с ip таблиц это конечно всё меняет\объясняет. Но неужто разрабы написали в справке откровенную ложь? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:28 12-09-2006 | Исправлено: greenfox, 16:32 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору VitRom а если не перетаскивать в root таблице наверх ip-table и повторить эксперемент то что будет?   2all так и не понял что означает System - для системных процессов ОС (lsass, svhost, userinit, rundll32 и т.д.) всё выдаётся ка положено - имя процесса и т.д. А с систем что то непонятное... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:21 12-09-2006

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Возможно они написали не совсем внятно. =\ Документация там сильно хромает.   На самом деле там все немножко хитрее, там 2 разных фильтра, которые вызываются по разным событиям - пакетный фильтр при приеме/отправке сообщения.   фильтр приложений срабатывает при любом взаимодействии с сокетами - открытие, коннект, чтение, запись.   И на самом деле есть еще третий фильтр, который использует таблицы типа процесс аттак.   Я так понимаю, что вопрос, который был в оригинальном сообщении до исправления наконец-таки снялся? ура.   Еще раз: разработчики винды сделали несколько странных вещей. например рассылка широковещательных запросов НетБиос, которые используются для выяснения имен и договоренности насчет браузера (имеется в виду браузер рабочей группы в нетбиос) идет от имени System, т.е. от модуля стека TCP/IP, от ядра, а нет от службы.     VitRom Если не перетащишь - увиддишь то же самое. Короче, поставь в каждой таблице логирование в начале и в конце и посмотри на последовательность ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 18:05 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GQ Цитата: Я так понимаю, что вопрос, который был в оригинальном сообщении до исправления наконец-таки снялся? ура.   ну если принять во внимание что документация откровенно противоречит вашей точке зрения - то да. :/ Спасибо так сказать что нашли время её высказать, пока что другого объяснения увы нет. Цитата: Еще раз: разработчики винды сделали несколько странных вещей. например рассылка широковещательных запросов НетБиос, которые используются для выяснения имен и договоренности насчет браузера (имеется в виду браузер рабочей группы в нетбиос) идет от имени System, т.е. от модуля стека TCP/IP, от ядра, а нет от службы.   хм, да... вообще то у меня в логах этот систем в основном лезет наружу по 137-139 и 445 портам, странно конечно...   ps интересно как они собираются продавать 2-ю версию с такой документацией и неразберихой :/ ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:14 12-09-2006

kesic Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox А ты запусти netstat -ano и посмотришь, какие порты у тебя открыты. ---------- vivere militare est! Всего записей: 1045 | Зарегистр. 19-02-2006 | Отправлено: 18:40 12-09-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kesic спасибо, но я и сам "не первый раз замужем"(с) ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:58 12-09-2006 | Исправлено: greenfox, 19:58 12-09-2006

kesic Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Да нет проблем. Кстати, по поводу System. Это системный процесс, на котором "висят" драйвера устройств, со всеми вытикающими из этого последствиями ---------- vivere militare est! Всего записей: 1045 | Зарегистр. 19-02-2006 | Отправлено: 23:59 12-09-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall

Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование