Часто задаваемые вопросы (фаер Комодо)

[Guest]

[Yuriy]

Привет всем,

Оставляйте пожалуйста ваши предложения, уточнения, критику и т. п. относительно этой темы здесь.


_________________________________________________

Рекомендации по установке/обновлению
_________________________________________________   

Восстановление/cохранение настроек
_________________________________________________

Помощь + правила по 2 и 3 версиям (© XenoZ © WIGF)
_________________________________________________

Правила для Opera, Firefox, АВАСТ!, Касперский антивирус 6.*-7.*, svchost.exe, The Bat
_________________________________________________

Правила для P2P-программы
_________________________________________________

Правила для ICQ-клиента
_________________________________________________

Как вручную деинсталировать v2
_________________________________________________
    
Как вручную деинсталировать v3
_________________________________________________

Центр обеспечения безопасности в Windows XP/Vista показывает неправильную информацию после установки/удаления CFP
_________________________________________________

SPI (Stateful Packet Inspection)
_________________________________________________

"Тихий" режим фаервола (без "всплывающих окошек")
_________________________________________________

Проблемы в системе предположительно из-за фаера v3
_________________________________________________

[Yuriy]

** даны общие правила, которые должны обеспечить нормальную работоспособность любой p2p-программы; в случае необходимости, редактируйте/исключайте соответствующие правила конкретно для Вашего случая;


Правила для самой P2P-программы (в правилах для приложений):

- allow / tcp or udp / out / any / any / any / any
- allow / tcp / in / any / any / any / destination port: №1*
- allow / udp / in / any / any / any / destination port: №2*
- block / ip / in-out / any / any / any

Глобальные правила; должны располагаться выше любых запрещающих правил: 

- allow / tcp / in / any / any / any / destination port: №1*
- allow / udp / in / any / any / any / destination port: №2*

* где №1 - порт для приема входящих соединений по TCP протоколу, №2 - порт для приема входящих соединений по UDP протоколу (указаны в настройках P2P-программы). 


Если для выхода в интернет используется маршрутизатор/ADSL модем в режиме "роутер" (а не "бридж"), нужно настроить его для перенаправления портов, либо открыть соответствующие порты на постоянной основе.

[Yuriy]

v2 (версия 2.xx фаервола Comodo) (следуйте инструкциям/рекомендациям на свой страх и риск)

Чтобы иметь возможность восстановить первоначальные настройки, надо экспортировать текущие (по умолчанию) сразу после установки программы.
Чтобы сохранить существующие настройки, также используем "экспорт":

- заходим в Regedit ("Пуск" - "Выполнить..." - вводим: Regedit);
- находим ключ реестра "HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\", жмем по нему правой кнопкой и выбираем "Экспортировать", после чего выбираем путь, куда сохранить файл с настройками фаерволла;

ИЛИ с помощью скрипта из этого сообщения (CPFBackupV1.5.zip).


Чтобы применить ранее сохраненные настройки:

- в настройках фаервола отключаем опцию "Protect own registry keys" (Security -> Advanced - Miscellaneous);
- переключаем CFP в режим "allow all";
- импортируем настройки, выполнив соответствующий файл .reg;
- после того, как появится сообщение "Данные из ... добавлены успешно.", перезагружаем компьютер;


                                      © Denisss, panic, Rotty
                                          оригиналы текста здесь и здесь



v3 (версия 3.xx фаервола Comodo)

Чтобы иметь возможность восстановить первоначальные настройки, надо экспортировать текущие (по умолчанию) сразу после установки программы *
Чтобы сохранить существующие настройки, также используем "экспорт":

- вкладка Miscellaneous -> Manage My Configurations -> Export;


Чтобы применить ранее сохраненные настройки:

- вкладка Miscellaneous -> Manage My Configurations -> Import -> Import As... -> наберите любое имя, затем Manage My Configurations -> Select -> соответствующая настройка, после чего может потребоваться "перезагрузка" cfp.exe: для этого нажимаем на иконке Comodo в системной панели, затем "exit", после чего запускаем ярлык фаервола; 


* в архиве файл настроек по умолчанию (взят из версии 3.0.21, в текущей версии 3.0.25 настройки по умолчанию немного другие).

[Yuriy]

* к версии фаера 3.0.18; в последующих версиях инструкции могут частично (полностью) поменяться; в любом случае, следуйте им на свой страх и риск;

Загрузите систему в *безопасном режиме* (нажав клавишу F8 при загрузке Windows и выбрав соотв. вариант). 

Шаг 1: Выключите CFP (нажать правой кнопкой -> exit)

Шаг 2:
* Пуск->Выполнить-> "services.msc" (без кавычек)
* COMODO Firewall Pro Helper Service -> свойства->disabled 

Шаг 3: Удалите следующие записи в реестре, предварительно экспортировав их:

- COMODO Firewall Pro в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

- Firewall Pro в ветке HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\

- 1 в ветке HKEY_LOCAL_MACHINE\SOFTWARE\ComodoGroup\CDI\

Шаг 4: Перезагрузите компьютер

Шаг 5: Удалите папку Firewall в папке C:\Program Files\COMODO\ (путь по умолчанию, может отличаться)

Шаг 6: Удалите файл guard32.dll в папке C:\Windows\System32\

Шаг 7: Удалите файлы cmdhlp.sys, cmdguard.sys и inspect.sys в папке C:\Windows\System32\drivers;

Шаг 8: Удалите папки сommon и Firewall Pro в папке C:\Documents and Settings\All Users\Application Data\comodo

Шаг 9: Удалите папку Firewall Pro в папке C:\Documents and
Settings\Administrator\Application Data\Comodo
(вместо Administrator ваша учетная запись или учетная запись, от имени которой был установлен CFP)

Шаг 10: Перезагрузите компьютер


                                                   © Mark
                                                       оригинал текста здесь

[Yuriy]

CFP v2 и v3, как и большинство других фаерволов поддерживают SPI.

Что такое SPI?

"Техника, применяемая в фаерволах, которая гарантирует, что все входящие пакеты являются результатом исходящего запроса.
Была разработана с целью блокировать вредные или неожидаемые пакеты до того, как они достигнут защищаемого компьютера.
Например, когда вы нажимаете на ссылку к web-странице, делается http-запрос на определенный адрес в сети интернет. Все пакеты, которые вернутся с этого адреса, пройдут проверку и будут разрешены."
Источник.


Следовательно, SPI разрешает или блокирует некоторые соединения, вне зависимости от того, существуют ли соответствующие глобальные правила и/или правила для приложений.

[Yuriy]

* следуйте инструкциям/рекомендациям на свой страх и риск;



Загрузите этот архив и распакуйте его содержимое (2 файла) на диск C:\

Пуск -> Выполнить -> cmd

Введите команду:
c:\fwconfig.exe -uninstalln

После того как установщик завершит работу, перезагрузите компьютер и удалите папку
C:\Program Files\Comodo\Firewall

                                                      © pandlouk
                                                          оригинал текста здесь

[Yuriy]

* общие рекомендации, чтобы избежать возможных проблем;


Установка:

- устанавливайте правильную версию фаервола: x32 - для 32-х битной Windows, x64 - для 64-х битной Windows, вне зависимости от архитектуры процессора (только CFP v3)

- отключите встроенный фаервол Windows и его службу

- удалите ваш прежний фаервол (или security suite) и убедитесь, что от него не осталось следов в системе
 
- закройте все программы и остановите их службы (особенно это касается антивирусов, HIPS, антишпионов и т. п.)

- желательно отключить интернет-соединение

- после установки будет окошко с предложением перезапустить компьютер; в некоторых случаях установщик не успевает завершить настройку минипортов, поэтому запустите диспетчер устройств, включите опцию "показывать скрытые устройства" и удостоверьтесь, что "Comodo Firewall Miniports" в группе "network adapters" установились успешно; перезапустите компьютер (только CFP v3 при установке на Висту)


Можно использовать утилиту ZSoft Uninstaller (есть интерфейс на русском языке) для отслеживания файлов и ключей реестра, создаваемых при установке фаервола.
Затем, когда надо деинсталировать/переустановить CFP, удаляем фаервол через "установку и удаление программ", а затем используем образ, созданный ZSoft Uninstaller'ом, для удаления "остатков" CFP.




Обновление:

- не обновляйте фаервол при работе на ограниченной учетной записи пользователя в Windows

- если UAC включена, перед обновлением закройте иконку Comodo (нажать правой кнопкой -> exit), запустите ярлык CFP "run as admin"/"запустить от имени администратора", после этого обновить фаервол (только CFP v3 при работе на Висте).

[Yuriy]

- allow / tcp / out / any / destination: 127.0.0.1 / any / any  (при необходимости*)

- allow / udp / out / any / destination: xx.xxx.xx.xx-xx.xxx.xx.xx **/ any / destination port: 53

- allow / tcp / out / any / destination: 205.188.0.0-205.188.250.250 / any / destination port: 5190

- allow / tcp / out / any / destination: 64.12.0.0-64.12.255.255 / any / destination port: 5190

- allow / tcp / out / any / any / any / destination port: 80

- block / ip / in-out / any / any / any  (при необходимости)




* для некоторых icq-клиентов это правило излишнее

** диапазон dns-серверов, если не знаете, ставьте "any"



                                                 © barsukRed
                                                     оригинал текста здесь

[Yuriy]

* режим работы фаервола без оповещений ("всплывающих окошек")


v2 (вторая версия)

В настройках надо снять галку с пункта "Показывать оповещения...".



v3 (третья версия);

1) отключение оповещений только фаервола:

- убрать галки "enable alerts for ... tcp [udp] [icmp] [loopback] requests" в настройках gui->firewall->advanced->firewall behavior settings->alert settings;


2) отключение оповещений и фаервола, и дэфэнс+ :

- поставить период показа оповещений ("Keep an alert on screen for maximum") в "Firewall Behavior Settings" и в "Defense+ Setings" в 1 - оповещения будут показываться только на одну секунду (ноль ставить нельзя);

- включить пароль в "Miscellaneous" - "Settings" - "Parental Cоntrol" и поставить там же галки в пунктах "Supress the ... alerts ...";

- отключить GUI (графический интерфейс пользователя) "Miscellaneous" - "Settings" - "General", сняв галку с пункта "Automatically start the application with Windows" - не будет значка фаера в трее, процесса cfp.exe в оперативной памяти, но фаер будет незаметно выполнять свою работу, блокируя все, что не разрешено/запрещено его настройками;
в случае необходимости GUI можно будет в любой момент запустить, нажав на ярлык COMODO на рабочем столе или выбрав его в меню ПУСК-Программы-COMODO-Firewall-COMODO Firewall Pro;
для корректной работы дэфэнс+ без gui необходимо включить опцию "block all the unknown requests..." (defense+/advanced/defense+ settings);
без gui фаер (скорее всего) не будет записывать события в свои журналы;
 
 


Возможное применение
При необходимости можно настроить автозапуск GUI только для определенных пользователей одного компьютера:
- отключаем автозапуск GUI (см. выше);
- создаем ярлык для cfp.exe, в свойствах ярлыка редактируем строчку "объект": добавляем -h после кавычек через пробел;
- копируем ярлык в папки "Автозагрузка" (которые находятся на X:\Documents and Settings\UserName\Start Menu\Programs - путь для XP) тех пользователей, которым надо разрешить автозапуск GUI.                                                             
         

                                        © WIGF
                                         оригинал текста здесь и здесь

[barsukRed]

Список основных правил для приложений,работающих корректно с фаерволами COMODO 2.*-3.*. Правила унифицированы и применимы к основным,усредненным потребностям пользователя Windows XP SP2.Создаются в мониторе приложений.


Браузеры ОПЕРА или ФАЕРФОКС:
Opera.exe, мать-explorer.exe

1. Destination: 127.0.01; Port: Any;Protocol: TCP In/Out;Allow

2. Source Address any;Destination Address ваши IP DNS серверов;Source Port any;Destination Port 53;UDP Out;Allow

3. Source Address any;Destination Address any;Source Port any;Destination Port 21,80,81,82,83,443,8080;TCP Out;Allow

--------------------------------------------------------
Антивирусы:
АВАСТ!
ashServ.exe
для двойки:Source Address any;Destination Address any;Source Port any;Destination Port 53,80;TCP/UDP Out;Allow
для тройки:Source Address any;Destination Address any;Source Port any;Destination Port 80;ICMP Out;message Any

Avast.setup
Source Address any;Destination Address any;Source Port any;Destination Port 80;TCP Out;Allow

ashMaiSv.exe
Source Address any;Destination Address any;Source Port any;Destination Port 53,80;TCP/UDP Out;Allow

ashWebSv.exe
Если Вы пользуете оперу или фаерфокс-то этот провайдер Вам не нужен. Отключите скрипты в браузере,это будет даже надежнее против эксплойтов.
Если не хотите отключать-то этому провайдеру доверять можно:
Source Address any;Destination Address any;Source Port any;Destination Port 80;TCP Out;Allow


Касперский антивирус 6.*-7.* (НЕ КИС!)
мать C:\WINDOWS\system32\services.exe

1. Source Address any;Destination Address any;Source Port any;Destination Port 1110;TCP IN;Allow
ps:это правило входящее,его надо скорректировать с разделом Global Rules.

2. Source Address any;Destination Address ваши IP DNS серверов;Source Port any;Destination Port 53;UDP Out;Allow

3. Source Address any;Destination Address any;Source Port any;Destination Port 21,80,443;TCP Out;Allow

---------------------------------------------------------
Для контейнера svchost.exe эти правила для пользователей с прямым выходом в интернет.В ЛВС правила нужно дорабатывать в зависимости от потребностей.
svchost.exe, мать-services.exe

1. Destination:127.0.0.1 port any;TCP IN/OUT; Allow

2. Source Address any;Destination Address ваши IP DNS серверов;Source Port any;Destination Port 53;UDP Out;Allow

3. Source Address any;Destination Address any;Source Port any;Destination Port 80;TCP Out;Allow

----------------------------------------------------------
thebat.exe, мать-explorer.exe
Destination:127.0.0.1 port any;TCP IN/OUT; Allow
Destination:xx.xxx.xx.xx-xx.xxx.xx.xx;port 53(DNS);UDP OUT;Allow
Destination: any; port 80;TCP Out;allow
Destination: any; port 995;TCP Out;allow
Destination: any; port 465;TCP Out;allow
------------------------------------------------------------

Вышеуказанные правила не только можно но и нужно дорабатывать под свою систему по мере получения опыта работы с COMODO и понимания для чего все это вообще нужно. Ибо чем тоньше(уже) настроены правила-тем меньше шансов у зловредных программ навредить системе.

Для всех остальных программ,для которых Вы не знаете правила я бы посоветовал такой фокус:
Вкладка Firewall Tasks > Advanced. Переместить ползунок на вкладке'General Settings' в Custom Policy Mode а на вкладке 'Alert Settings' в положение Very High. Запускайте тест-прогу и на всех полученных алертах ставьте-разрешить и галку запомнить. После некоторого времени работы проанализируйте все созданные правила и оформите более компактно в мониторе приложений.
Настоятельно рекомендую правила для ДНС серверов прописывать отдельно с точными адресами. Этим вы избежите перенаправлений во время атаки зловредов.

[Yuriy]

инструкции (не скрипт) являются безопасными и проверенными на системах Win XP SP2 x32, Vista x32 ; скорее всего так же четко работают на системах SP3 и Vista SP1 x32;


Если Центр обеспечения безопасности в Windows XP или Vista показывает неправильную информацию после установки или удаления CFP, нужно сделать следующее, используя администраторскую запись пользователя:

1. создаем точку восстановления
2. Панель управления -> Администрирование -> Службы
3. приостанавливаем (pause) службу "Windows Management Instrumentation" ("Инструментарий управления Windows")
3. удаляем папку Repository в папке с:\windows\system32\wbem
4. возобновляем службу "Windows Management Instrumentation"
5. перезапускаем компьютер при необходимости (если центр безопасности все еще показывает "левую" информацию)
источник;


ИЛИ
загрузите архив отсюда (remove_wmi.zip), распакуйте его и запустите .bat файл * (также необходима администраторская запись пользователя), перезапустите компьютер при необходимости.

* используйте на свой страх и риск.

[Yuriy]

* для инсталяции фаера (в т. ч. CIS 3.5 BETA - без антивируса и SafeSurf) без SafeSurf (Toolbar) на 32х битных системах XP SP2, XP SP3

Чтобы выяснить, действительно ли фаервол Комодо является причиной проблем(ы), можно сделать следующее:


1) перевести компоненты Firewall и/или Defense+ в режим(ы) "disabled" (щелкаем правой кнопкой на иконке фаера в трее, выбираем Firewall и/или Defense+ -> disabled);


2) если 1) не поменяло ситуации, отключить 2 драйвера фаервола Комодо: cmdguard.sys (драйвер HIPS), inspect.sys (драйвер собственно фаера) из папки x:\windows\system32\drivers (где х - системный раздел диска). "Отключить" можно следующими способами:
- удалить эти файлы; впоследствии их можно будет восстановить из "корзины" или с помощью встроенной диагностики (gui->miscellaneous->diagnostics), которая может скопировать нужные файлы из особой папки "repair";
- переименовать указанные файлы; чтобы впоследствии вернуть драйвера в рабочее состояние, переименовываем обратно или используем встроенную диагностику;
- отключить автозапуск драйверов в реестре, например с помощью программы Autoruns (вкладка "drivers" интерфейса программы);
- чтобы отключить только cmdguard.sys, можно сделать это следующим способом: убрать галку с пункта "Deactivate the Defense+ permanently (Requires a system restart)" по адресу GUI->Defense+->Advanced->Defense+ Settings;

После отключения/включения драйверов необходимо перезагружать компьютер, чтобы изменения вступили в силу.


3) если 1) и 2) не помогли, скорее всего фаервол Комодо не является причиной проблем(ы).

[Tags:]