lapi Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Jetico Personal Firewall http://www.jetico.com/jpfirewall.htm В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера. Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...   Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.   Upd2: Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная. Тема в варезнике посвящённая второй верии   Upd3: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.   Последняя версия 1.x: 1.0.1.61 (19 июля 2005) http://www.jetico.com/jpfwall.exe   Текущая версия 2.x: 2.0.2.9 (23 марта 2009) http://www.jetico.com/jpf2setup.exe   Русификация версии 1.0.1.61 с установщиком (19 июля 2005): http://artlonger.narod.ru/jetico.zip (35 кб) Если что, качать браузером. При обновлении версий ссылка не изменяется.   PS: В русской версии прикручено выравнивание столбцов по F12.   Базовые настройки брандмауэров. Правила JPF v1 Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1 Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP... JPF v2 Правила для сервиса svchost.exe Всего записей: 166 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009

XenoZ Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kadvlad Для начала просмотри таблицу Косвенного доступа на предмет запретов. Опера, случайно, не 9.63? Был у меня с ней схожий косяк, причем фаер "утверждал", что соединение разрешено. Снес, поставил 9.62 - работает.   Добавлено: Упс, с номером версии промахнулся, исправил... ---------- А оно мне надо?.. Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 15:05 03-02-2009 | Исправлено: XenoZ, 15:17 03-02-2009

XenoZ Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kadvlad Цитата: Косвенный доступ разрешён. Просмотреть в смысле - все приложения/процессы. Если при работающей Опере у тебя запустится запрещенный процесс, к-рый полезет в Оперу - Опера умрет. ---------- А оно мне надо?.. Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 15:20 03-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kadvlad Цитата: Т.е. выход — разрешать таким приложениям полный "косвенный" доступ, но запрещать "прямой" досуп (или выдавать запрос)? Про "Косвенный доступ" пол темы исписано , почитай. По самой таблице: Цитата: запретить    C:\Program Files\Opera\opera.exe   Если таблица для браузера заканчивается этим правилом, то не хорошо. Сделать окончание таблицы, так:     (в правиле "Спросить", прописать путь до opera.exe) Цитата: разрешить    Разрешить обращения по http     TCP/IP    исходящее соединение    C:\Program Files\Opera\opera.exe    1024-65535    21, 990 Если указан только локальный диапазон портов (1024-65535), то это правило работать не будет, т.к. опера работает с FTP, только в пассивном режиме, если разрешить этот диапазон и для удалённых портов, тогда, соответственно, оно "перебьёт" все остальные правила в таблице, с портами, входящими в (1024-65535). Цитата: разрешить    TCP/IP    исходящее соединение    C:\Program Files\Opera\opera.exe    72.14.221.111    1024-5000    465 Для Google-почты по SMTP SSL указан IP, а Google IP меняет очень часто , тоже касаемо и обычного SMTP (25 порт) для Mail.ru в четвёртом правиле, редко но тоже меняют. (Это я к тому, если таблица заканчивается правилом "Запретить", а опера будет пытаться проверить почту по несуществующему IP.) Цитата: Клиент DNS (служба доменных имён) Если получение DNS организовано через svchost.exe, правило можно удалить (всё равно в нём ничего не указано, или последнее "Запретить" к нему относится?). Всего записей: 1919 | Зарегистр. 02-07-2006 | Отправлено: 16:05 03-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kadvlad Цитата: насчёт почтовых серверов тоже ясно, уберу ограничения IP Просто Джетика не работает по имени домена, тут три варианта: если таблица завершается запрещающим правилом, придётся постоянно следить за изменением IP, иначе работать не будет, если предпоследнее правило "Спросить", то соответственно по запросу менять регулярно IP в правиле, или да, убирать IP которые часто меняются (как в Google) из правил. Цитата: Не совсем понял насчёт диапазона портов FTP: для пассивного режима убрать это правило вообще? В Джетике Stateful Inspection не работает с пассивным режимом FTP, тут тоже несколько вариантов: 1. Разрешить весь диапазон (1024-65535) для локальных и удалённых портов, что для браузера не приемлемо в плане безопасности. Как вариант можно прописать в этом правиле IP часто посещаемых FTP, но т.к. IP могут меняться, тоже не очень удобно. 2. Оставить для браузера только 21 порт, и ходить по FTP "вручную" давя "разрешить на этот раз", а основную работу с FTP перекинуть на другую, специализированную софтинку (на Total Commander к примеру) которая в сеть ходит не часто и контролировать проще, ей и разрешить весь диапазон портов. По DNS: Через роутер или на прямую, приложения запрашивают соединение: или сами (если служба DNS-клиент отключёна), или через svchost.exe (если DNS-клиент работает), или через альтернативный клиент если устанавливался. Цитата: Правила для клиента DNS: какой путь, к какому приложению там прописан? Как бы не было, вот это правило: Цитата: разрешить    TCP    TCP/IP    исходящее соединение    name server    53 можно убрать, ни разу не встречал реализацию через TCP. В шапке Правила для сервиса svchost.exe, есть правила для DNS. Всего записей: 1919 | Зарегистр. 02-07-2006 | Отправлено: 18:47 03-02-2009

kadvlad Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dimitr1s   Кажется, я только теперь понял насчёт взаимосвязи клиента DNS и svchost. В любом случае, должно быть какое-то конкретное приложение, выполняющее функцию "расшифровки" имён, так?   У меня до сих пор везде, где встречалось правило "Клиент DNS", не был указан путь к приложению (оставил, как было прописано по умолчанию при установке): Теперь мне нужно переделать его согласно Правил из шапки этой темы, прописав путь к svchost в качестве клиента DNS, правильно? Всего записей: 62 | Зарегистр. 14-01-2007 | Отправлено: 11:04 06-02-2009 | Исправлено: kadvlad, 11:14 06-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kadvlad Цитата: У меня до сих пор везде, где встречалось правило "Клиент DNS", не был указан путь к приложению (оставил, как было прописано по умолчанию при установке) Судя по скриншоту, используется самое верхнее правило "Клиент DNS", если пути не прописаны, им могут воспользоваться все, плюс ещё дубляж в каждой таблице приложений (толку от этого 0, т.к. всё равно будет использоваться верхняя таблица "Клиент DNS"). Цитата: Теперь мне нужно переделать его согласно Правил из шапки этой темы, прописав путь к svchost в качестве клиента DNS, правильно? Нет переделывать существующее не надо, если делать по нормальному, надо удалить подчистую все правила касающиеся DNS и выбрать один из путей: Первый вариант: через svchost.exe, с помощью службы DNS-клиент. В этом случае требуется один раз создать два правила (а лучше сразу отдельную таблицу, по примеру из шапки) для сервиса svchost.exe. Первым правилом, разрешить получение/отправку пакетов UDP на имеющиеся IP DNS-серверов где удалённый 53'й порт . Вторым (снизу), запретить все остальные пакеты где удалённый 53'й порт.   При этом раскладе, теперь все приложения, будут выполнять DNS-запросы через svchost.exe и создавать больше ни каких правил для DNS не придётся. Примечания:   И в шапке, и тут подразумевается, что активны правила по умолчанию - разрешающие "слушать" UDP и TCP порты. Нужно удалить все остальные правила для DNS, включая и в "Таблице IP", если есть. Некоторым специфичным приложениям, всё же понадобятся собственные правила DNS (пример nslookup.exe) И наконец проверить, включена ли сама служба DNS-клиент, а то некоторые "зловреды" и поделки (наподобие KAV/KIS 2009) её без спроса отключают. Второй вариант: Разрешать приложениям напрямую выполнять DNS-запросы. Для этого нужно остановить и отключить службу DNS-клиент, и создавать, описанные выше два DNS-правила, отдельно для каждого приложения, с указанием путей и для появляющихся новых приложений придётся создавать также. Примечания:   Для фанатов параноидальных настроек безопасности. Всего записей: 1919 | Зарегистр. 02-07-2006 | Отправлено: 12:39 06-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZEQUALITY Цитата: Провел ряд тестов, вот впечатления: Тесты 3, 4, 5, ИМХО ценности не представляют, т.к. при одновременном использовании драйверов с одинаковым функционалом - картина будет не предсказуема. Тут в каждом конкретном случае надо подробно смотреть, каким образом "хучится" последовательность: приложение <-> прослойка (KERNEL32.DLL, USER32.DLL и т.п.) <-> ядро системы, какие функции/процедуры/и т.п. отслеживаются каждым драйвером и каким образом они их "забирают". Иначе при "пересечении" можно получить крайности, начиная от BSOD'а, кончая простой видимостью работы. То есть я хочу сказать, если даже подберёте связку нормально работающую с определённым набором софта, это не значит, что она будет работать при изменении кода какой-нибудь программы или даже компонента. Если есть желание и время (что особо важно ) - экспериментируйте. Цитата: Пока остался на Comodo (CIS 3.5). Правда он "тяжелее", чем Jetico (аж 36 Мб на диске + 36 Мб - repair), cfp.exe - 14 Мб виртуальной, против 5-6 для jpf.exe. Тут смотря что имеете ввиду под "тяжелее". Если по размеру, то да. Если по работе драйверов, то Джетику "легкой" никак не назовёшь, скорее наоборот. Цитата: Кстати, если временно изменить тип запуска для драйверов Jetico, чтобы они не загружались при старте системы, то теоретически это не должно вызвать последующих проблем? Когда, на какой то из прошлых версий, были проблемы (замерзали большие exe'шники от фотошопа и бриджа), отключал, удаляя ключи реестра с драйверами и выключал автозагрузку. Потом восстанавливал - проблем не было (не заметил по крайней мере ). Добавил: Если имелось ввиду выборочно, отключить часть драйверов, а часть оставить при работающей Джетике, то 100% ничего не выйдет (если исполняемые файлы, "перепишите" только).   Всего записей: 1919 | Зарегистр. 02-07-2006 | Отправлено: 21:52 06-02-2009 | Исправлено: Dimitr1s, 22:04 06-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kadvlad Цитата: winlogon.exe... -> ...irc.zief.pl Вероятность, что машина заражена стремится к 100%. С этим лучше сюда. Цитата: uTorrent, USDownloader, Soulseek, Download Master, eMule Будешь и дальше качать и запускать всякий хлам, факт, что так будет происходить бесконечно. Всего записей: 1919 | Зарегистр. 02-07-2006 | Отправлено: 18:04 08-02-2009

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Будешь и дальше качать и запускать всякий хлам, факт, что так будет происходить бесконечно. сильно ты так припечалал, lol за все не скажу, а вот uTorrent, Download Master и eMule - вполне нормальные и нужные программы. ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 18:33 08-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GQ Цитата: сильно ты так припечалал, lol Я не про сами клиенты, а про их количество . kadvlad Цитата: ...следует ли изменить что-нибудь в этих настройках? Для системных служб и сервисов, запрещать что то смысла не имеет, если какой то функционал будет затребован - или разрешать запрашиваемое, или, скорее всего, работать не будет. А всё ненужное "отсекается" остановкой самих служб и сервисов в которых нет надобности. Цитата: запретить    доступ к сети    C:\WINDOWS\system32\taskmgr.exe Вот это напрасно наверно. Он на вкладке "Сеть", статистику отображает, так что может потребоваться.   P.S. Цитата: ...пока меня не было, пытались установить какую-то игрушку :/ В "NoCD", с нынешними объёмами, сам бог велел дописать что-нибудь, тут ухо надо держать востро . Всего записей: 1919 | Зарегистр. 02-07-2006 | Отправлено: 21:32 08-02-2009 | Исправлено: Dimitr1s, 21:43 08-02-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall

Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование