lapi Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Jetico Personal Firewall http://www.jetico.com/jpfirewall.htm В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера. Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...   Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.   Upd2: Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная. Тема в варезнике посвящённая второй верии   Upd3: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.   Последняя версия 1.x: 1.0.1.61 (19 июля 2005) http://www.jetico.com/jpfwall.exe   Текущая версия 2.x: 2.0.2.9 (23 марта 2009) http://www.jetico.com/jpf2setup.exe   Русификация версии 1.0.1.61 с установщиком (19 июля 2005): http://artlonger.narod.ru/jetico.zip (35 кб) Если что, качать браузером. При обновлении версий ссылка не изменяется.   PS: В русской версии прикручено выравнивание столбцов по F12.   Базовые настройки брандмауэров. Правила JPF v1 Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1 Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP... JPF v2 Правила для сервиса svchost.exe Всего записей: 166 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Так всё работает на ура, программы работают в инете. Но когда 82.207.0.0/16 я ставил в  файле settings.xml в Trusted Zone, то это ни на что не влияло. Можешь вместо "хост" выбрать "Trasted zone" тогда будет влиять.   Доверенная зона работает как раз наоборот: входящие из нее и исходящие в нее - считаются "хорошими"     Добавлено: Кстати, можно выбрать local address  и тогда будет всегда использоваться актуальный адрес. Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 19:18 02-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dinoz Цитата: Можешь вместо "хост" выбрать "Trasted zone" тогда будет влиять.   Где выбрать?   Цитата: Доверенная зона работает как раз наоборот: входящие из нее и исходящие в нее - считаются "хорошими" Это понятно. Непонятно почему только блокируются заданные в ней IP. По какому такому правилу они блокируются?   Цитата: Кстати, можно выбрать local address  и тогда будет всегда использоваться актуальный адрес. Задал в своих двух правилах вместо 82.207.0.0/16 local address. Так тоже работает конечно. Просто мне кто-говорил, что не всегда может определить IP на автомате. Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 19:43 02-03-2006

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Где выбрать? Там же где и это: Цитата: Задал в своих двух правилах вместо 82.207.0.0/16 local address   Цитата: Это понятно. Непонятно почему только блокируются заданные в ней IP. По какому такому правилу они блокируются?   Смотри правила в System IP table - все там. Action...........................Protocol...Event...................Source address......Destination address System Trusted Zone.....аny.........incoming packet....Trusted Zone.........any     System Trusted Zone.....any.........outgoing packet.....any.......................Trusted Zone       Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 19:49 02-03-2006 | Исправлено: dinoz, 19:51 02-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ещё раз повторю наверняка глупый вопрос. Почему если я создаю в System Internet Zone - "правило IP-протокол" на вход и выход IP-пакетов с 82.207.0.0/16 - "Принять", то всё прекрасно работает. А если стоит то же самое (82.207.0.0/16) в файле settings.xml в его "Trusted Zone", то ни фига не пашет всё равно (из сети и в сеть ничего не ходит)?!   Я наверное тупой, или просто ничего не понимаю?!!!   dinoz Спасибо огромное что помогаешь. Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 19:50 02-03-2006

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Почему если я создаю в System Internet Zone - "правило IP-протокол" на вход и выход IP-пакетов с 82.207.0.0/16 - "Принять", то всё прекрасно работает.   А если стоит то же самое (82.207.0.0/16) в файле settings.xml в его "Trusted Zone", то ни фига не пашет всё равно (из сети и в сеть ничего не ходит)?!   Доверенная зона - это всего лишь группа адресов заданная через файл, а не через интерфейс. Сама по себе она ничего не определяет. Ее нужно выбрать в полях Source address/Destination address/Local address/Remote address. Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 19:54 02-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dinoz Цитата: Доверенная зона - это всего лишь группа адресов заданная через файл, а не через интерфейс. Сама по себе она ничего не определяет. Ее нужно выбрать в полях Source address/Destination address/Local address/Remote address. Вроде дошло наконец! Я пребывал в преступном заблуждении.   Цитата: Смотри правила в System IP table - все там.   Action...........................Protocol...Event...................Source address......Destination address   System Trusted Zone.....аny.........incoming packet....Trusted Zone.........any       System Trusted Zone.....any.........outgoing packet.....any.......................Trusted Zone   Я уже ВСЁ разрешил в System IP table, кроме Block All not Processed IP Packets, но тем не менее пакеты не идут, если там нету моих правил на вход и выход для local address или 82.207.0.0/16. Если Block All not Processed IP Packets принять, то конечно тоже пропускает. Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 20:02 02-03-2006 | Исправлено: Den_Klimov, 20:10 02-03-2006

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Содержимое Address type списка:   константы:   any - любой адрес, или 0.0.0.0/0   host - х.х.х.х   network - х.х.х.х/х   local address - любой (?) из локальных адресов компьютера   local network - подсеть к которой относится компьютер   broadcast address - 255.255.255.255   nameserver - DNS сервер А также: группы в файле конфигурации:   предустановленные, но вовсе не обязательные:   Trusted zone   Blocked zone любые (!) другие группы из файла конфигурации   My famous zone   My grandfather zone   Добавлено: Цитата: Я уже ВСЁ разрешил в System IP table, кроме Block All not Processed IP Packets, но тем не менее пакеты не идут, если там нету моих правил на вход и выход для local address или 82.207.0.0/16.   Прочитай еще раз по поводу стейтфул инспекшн. Это единственное правило, разрешающее ТСП/ЮДП траффик. Чтобы оно сработало, должны выполниться ВСЕ условия. Если не сработает, пакет уходит дальше, а там только режект. Внимательно посмотри внутри, и не только на адреса. Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 20:03 02-03-2006 | Исправлено: dinoz, 20:15 02-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dinoz Цитата: Содержимое Address type списка Спасибо за объяснение.   Цитата: Прочитай еще раз по поводу стейтфул инспекшн. Пробую..   Добавлено: dinoz Вроде наконец нашёл. Спасибо. В настройках правила "Stateful TCP Inspection" снял галочку с "Контекстная фильтрация (Stateful Inspection)" сразу заработало.   И теперь? Что что это значит? Держать эту галочку всё время снятой? Это не влияет на безопасность? На что это влияет? Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 20:15 02-03-2006 | Исправлено: Den_Klimov, 20:20 02-03-2006

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  настройках правила снял галочку с Контекстная фильтрация (стейтфул инспекшн) я ж это уже раз 10 повторил!!! Цитата: Это не влияет на безопасность?   На что это влияет? Зависит от реализации, это комплексная проверка пакета. Гугл поможет отцу русской демократии Наверное в твоем случае что-то мешает, может то, что интерфейсы в одной подсети.   Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 20:23 02-03-2006 | Исправлено: dinoz, 20:24 02-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору При выключении системы невыгружается Jetico. Никто не знает как бороться? У кого-нибудь такое ещё было?   Добавлено: dinoz Цитата: я ж это уже раз 10 повторил!!! Извини. Но я на 11-ый только понял и нашёл...   Цитата: Наверное в твоем случае что-то мешает, может то, что интерфейсы в одной подсети. Попробую развести как ты советовал.   Ещё вопрос. А как настроить так чтобы спрашивало не только про доступ прокси к сети, но и про программы на той же машине, которые к через прокси работают? При этом в таблице Process Atack всё разрешено, а в корне таблицы приложений первым правилом стоит "Принять" "все" "Доступ к сети"?   Добавлено: dinoz Настроил второй сетевой интерфейс (на модем). Теперь он 192.168.2.1/24(255.255.255.0)   Но ничего не изменилось, к сожалению. Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 20:24 02-03-2006

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А как настроить так чтобы спрашивало не только про доступ прокси к сети, но и про программы на той же машине, которые к через прокси работают?   Это как? Программы на одной, а спрашивать на другой? А как файервол узнает какая программа на другом компьютере запрашивает соединение? Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 22:08 02-03-2006

kesic Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: При выключении системы невыгружается Jetico. Я вообще вырубил его из автозагрузки (при dialup_e), загрузил-выгрузил когда хочешь. Всего записей: 1045 | Зарегистр. 19-02-2006 | Отправлено: 04:28 03-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dinoz Цитата: Это как? Программы на одной, а спрашивать на другой? А как файервол узнает какая программа на другом компьютере запрашивает соединение? Ты просто не понял. Когда мой прокси-программа ломится в сеть, то JPF естественно это видит и спрашивает правило на это действие. Однако если некая программа (на том же компьютере что и прокси) зайдёт через localhost(127.0.0.1)/порт прокси (то есть через сам прокси), то JPF естественно ничего не спросит. Для него в сеть ходит сам прокси, а localhost всем открыт.   Напомню, что у меня в таблице Process Atack всё разрешено, а в корне таблицы приложений первым правилом стоит "Принять" "все" "Доступ к сети".   Добавлено: dinoz Я так понимаю что в какой-то из таблиц необходимо создать правило, которое бы спрашивало при попытке доступа через localhost на определённый порт (порт прокси). Весь localhost ведь нельзя запрещать, надо обязательно указывать конкретный порт? Посоветуй где и как именно это правило лучше разместить. А потом, необходимо в Ask User создать отдельную таблицу с правилом разрешения для localhost/порт прокси. И посылать на эту таблицу выбранные программы которые будут туда ломиться в соответствии с первым правилом (спрашивать при попытке доступа)? ----------   Думаю не будет иметь значение, если вместо localhost(127.0.0.1) у кого-то задан доступ допустим через 192.168.1.7 (который является адресом машины и самого прокси и программы-клиента которая им пользуется)?   И нет ли некоего более универсального решения, чтобы не приходилось задавать конкретный порт и возможно даже не приходилось задавать адрес?   Ещё раз искренняя благодарность за то что ты мне помогаешь.   Добавлено: Цитата: Я вообще вырубил его из автозагрузки (при dialup_e), загрузил-выгрузил когда хочешь.   Мне это не подходит. И я уже не знаю, что делать с этими перезагрузками!   Добавлено: Искал что такое Stateful Inspection. Много размытых описаний. Нашёл такое более-менее конкретное, но тоже неясное. -------------- Свойство "Контроль состояния пакета" (Stateful Inspection) включает так называемый динамический режим для свойства "Mirrored".   Если свойство "Stateful Inspection" включено, то обратные пакеты будут попадать в правило только при наличии предварительного "прямого" попадания в правило.   Если свойство "Stateful Inspection" выключено, то наличие "прямых" попаданий в правило не требуется для проверки на "обратное попадание".   Свойство "Stateful Inspection" полезно для построения файрволльных правил. -------------- И что мне с этим делать? Везде пишется что это правило "очень хорошо" и "должно быть"... А уменя работает только если оно выключено (если это оно)... Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 12:50 03-03-2006 | Исправлено: Den_Klimov, 13:11 03-03-2006

crypt77 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Искал что такое Stateful Inspection.   Много размытых описаний. Нашёл такое более-менее конкретное, но тоже неясное.   --------------   Свойство "Контроль состояния пакета" (Stateful Inspection) включает так называемый динамический режим для свойства "Mirrored".     Если свойство "Stateful Inspection" включено, то обратные пакеты будут попадать в правило только при наличии предварительного "прямого" попадания в правило.   Если свойство "Stateful Inspection" выключено, то наличие "прямых" попаданий в правило не требуется для проверки на "обратное попадание".   Свойство "Stateful Inspection" полезно для построения файрволльных правил.   --------------   И что мне с этим делать?   Везде пишется что это правило "очень хорошо" и "должно быть"...   А уменя работает только если оно выключено (если это оно)...   в JPF Statefull Inspection привязывает сетевые пакеты к приложениям. т.е. сетевой пакет совпадёт с этим правилом только в том случае если какое либо приложение его издало или ожидает. В случае когда трафик проходящий то под Statefull не один пакет не подходит т.к. на локальной машине нету приложения которое его ждёт или издало. Это же персональный файрвол (Jetico Personal Firewall), а не серверный. Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 13:51 03-03-2006 | Исправлено: crypt77, 13:52 03-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору crypt77 Цитата: Это же персональный файрвол (Jetico Personal Firewall), а не серверный. Так он просто не понимает, что некое приложение "ждёт или издало" пакет. Потому что этот пакет идёт через сетевой интерфейс?! Но на домашние машины часто имеют выход в небольшую локальную сеть с общим доступом. И ADSL-модемы через второй сетевой интерфейс тоже часто устанавливают.   Добавлено: Что мне делать? Отмечено что работают такие способы решения проблемы (отсутствие доступа в сеть программ):   Первый способ: Создать два правила в System Internet Zone: 1. "правило IP-протокол" где на "целевой адрес" 82.207.0.0/16, любое событие, любой протокол и любой адрес источника, задал "Принять".   2. "правило IP-протокол" где на "адрес источника" 82.207.0.0/16, любое событие, любой протокол и любой целевой адрес, задал "Принять". (где 82.207.0.0/16 диапазон адресов в рамках которого ADSL-провайдер выдаёт мне мой IP)   Можно в этих правилах заменить 82.207.0.0/16 на local address. Тоже работает. Не совсем только понял какая между ними, способами, разница?     Третий известный мне способ. В настройках правила "Stateful TCP Inspection" снял галочку с "Контекстная фильтрация (Stateful Inspection)"   Какой из этих способов лучше использовать? Или все ухудшают безопасность? Как мне лучше это сделать?   Простите тупицу... Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 14:07 03-03-2006

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Первый способ:   Создать два правила в System Internet Zone:   1. "правило IP-протокол" где на "целевой адрес" 82.207.0.0/16, любое событие, любой протокол и любой адрес источника, задал "Принять".     2. "правило IP-протокол" где на "адрес источника" 82.207.0.0/16, любое событие, любой протокол и любой целевой адрес, задал "Принять".   (где 82.207.0.0/16 диапазон адресов в рамках которого ADSL-провайдер выдаёт мне мой IP)     Можно в этих правилах заменить 82.207.0.0/16 на local address. Тоже работает.   Не совсем только понял какая между ними, способами, разница?     Третий известный мне способ.   В настройках правила "Stateful TCP Inspection" снял галочку с "Контекстная фильтрация (Stateful Inspection)"   Первый способ делает то же самое, что и третий - пропускает пакеты. Правила выполняются последовательно, пока не будет встречено аксепт или режект. Естесственно в первом случае нет никакой проверки на Stateful Inspection.   Я уже написал что такое local address, конечно же он входит в  82.207.0.0/16.     Имей в виду, на уровне протоколов локальный траффик не виден, только на уровне приложений. Ты, вероятно, сможешь контролировать исходящие соединения из аппликаций на прокси. Я не очень знаю как Джетико работает с прокси. Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 15:33 03-03-2006

crypt77 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Так он просто не понимает, что некое приложение "ждёт или издало" пакет. Потому что этот пакет идёт через сетевой интерфейс?!   да, когда пакет идёт транзитом. он как раз и понимает, что этот пакет не одно локальное приложение не ждёт. Цитата: Создать два правила в System Internet Zone:   1. "правило IP-протокол" где на "целевой адрес" 82.207.0.0/16, любое событие, любой протокол и любой адрес источника, задал "Принять".     2. "правило IP-протокол" где на "адрес источника" 82.207.0.0/16, любое событие, любой протокол и любой целевой адрес, задал "Принять".   (где 82.207.0.0/16 диапазон адресов в рамках которого ADSL-провайдер выдаёт мне мой IP)     Можно в этих правилах заменить 82.207.0.0/16 на local address. Тоже работает.   Не совсем только понял какая между ними, способами, разница?   более правильный второй, когда стоит local address. JPF вмето local address сам подставляет выданный тебе провайдером адрес. в итоге ты получаешь более "жёсткое" правило, и это правильно. желательно эти правила создавать выше правил "Statefull Inspection", это соптимизирует время принятия решения для этих пакетов. Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 15:40 03-03-2006

Den_Klimov Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dinoz crypt77   Спасибо ребята. Я поместил два правила с local address прямо перед правилами Statefull UDP Inspection и Statefull TCP Inspection. Но это точно никак не снизит безопасность? Всего записей: 317 | Зарегистр. 27-02-2006 | Отправлено: 16:07 03-03-2006 | Исправлено: Den_Klimov, 16:11 03-03-2006

NightHorror Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dinoz Цитата: Имей в виду, на уровне протоколов локальный траффик не виден, только на уровне приложений. Ты, вероятно, сможешь контролировать исходящие соединения из аппликаций на прокси. Я не очень знаю как Джетико работает с прокси. Я точно не уверен, но если исключить из доверенных подсетей (Trusted Zone) подсеть 127.0.0.0/8 то локальный трафик будет контролироваться т.к. он проходит через TDI а его джетика контролирует.     ... Щас проверил - убрал из доверенных 127.0.0.1 и 127.0.0.0/8 и стали ловиться локальные обращения к прокси. Всего записей: 1254 | Зарегистр. 08-04-2002 | Отправлено: 18:14 03-03-2006 | Исправлено: NightHorror, 18:17 03-03-2006

dinoz Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору NightHorror   Цитата: Щас проверил - убрал из доверенных 127.0.0.1 и 127.0.0.0/8 и стали ловиться локальные обращения к прокси Проверю еще раз, когда буду на работе. У меня ни один пакет локального траффика так и не попал в доверенную зону. Правда, и прокси нету.   Den_Klimov Цитата: Я поместил два правила с local address прямо перед правилами Statefull UDP Inspection и Statefull TCP Inspection.   Но это точно никак не снизит безопасность?   Все равно что снял проверку Statefull Inspection, в принципе Тока сниффер не будет работать   crypt77 Цитата: JPF вмето local address сам подставляет выданный тебе провайдером адрес Кстати, при изменении ИП у провайдера, обновление сразу происходит? Всего записей: 163 | Зарегистр. 20-02-2002 | Отправлено: 23:09 03-03-2006 | Исправлено: dinoz, 23:14 03-03-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall

Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование