В настройках фаервола COMODO Internet Security не совсем все понятно!
Доступ в интернет у меня осуществляется через локальную сеть. В «Моих cетевых зонах» создал две сетевые зоны: прописал не диапазон IP адресов, а два IP адреса(первый, мой IP адрес в локальной сети , второй IP адрес в интернете).
Подскажите пожалуйста, как грамотно создать «Глобальные правила» и правила для Sistem и для Windows Operating System? Положиться полностью на автоматическое создание правил с помощью «Мастера скрытых портов» не могу, т к при создании правил этим мастером блокируется протокол GRE(который по моему не должен блокироваться), фаервол блокирует сетевые атаки которые ни коем образом не относятся к моему компьютеру(соответственно в логах событий фаервола фигурируют все возможные IP адреса, но моих IP адресов нет), такое ощущение что фаервол работает в холостую!)
В шапке этой темы посмотрите. Там и про System, и про WOS, и про GRE (хотя и не последние данные, лучше полистать потом страницы, т.к. в шапку я ещё не успел внести изменения).
А также тут.
С «Глобальными правилами» в COMODO Firewall вроде бы разобрался…
В «Моих cетевых зонах» создал две сетевые зоны LAN#1 и Internet. В сетевых зонах прописал не диапазон IP адресов, а два IP адреса(у меня статические IP-адреса): для LAN#1 - мой IP адрес в локальной сети , для Internet - IP адрес в интернете). Для Sistem создал правилоb[/b].
Глядя на скрин2 можно было бы объединить 8 и 9 правило:
“Блокировать (и логировать) / IP / Входящие / Адрес отправления-любой / Адрес назначения-любой / Детали IP-любой”.
Но при этом правиле появляется Windows Operating System которая начинает блокировать все сетевые атаки в подряд без разборуb[/b]! Какое отношение IP 172.18.255.255 имеет к моему компьютеру честно говоря не понятно!
Так что созданные мой «Глобальные правила» считаю оптимальными(но не уверен полностью).
COMODO Firewal блокирует сетевые атаки [b]именно на мои IP адреса/bпо протоколам TCP, ICMP, UDP успешно и достаточно часто!
P.S. Может кто из форумчан хочет внести коррективы в создание моих «Глобальных правил», отпишитесь, будет интересно выслушать ваше мнение!
[attachment deleted by admin]
Не понял, зачем у вас там второе правило. Для чего вы разрешаете все входящие от провайдера ? Максимум, что нужно разрешить от провайдера, так это входящий пинг. Или у вас не работает интернет без этого правила ?
Также незачем в блокирующих правилах оставлять включенным протоколирование. У вас журнал распухнет от этого.
172.18.255.255 - это броадкаст вашего сегмента сети. Получателем всех запросов на этот адрес являются все компы в вашем сегменте, в т.ч. и вы. И это не атаки, там написан порт 138, а значит это NetBIOS-запросы. Это стандартные вещи, но разрешать их не нужно, конечно, если вы не пользуетесь NetBIOS (расшаренные папки).
Также нет смысла ограничивать входящие только на ваши IP (внутренний и внешний). Лучше тогда полностью все входящие заблокируйте. Ведь основной принцип при создании правил: разрешать то, что необходимо и допустимо, а всё остальное запрещать.
А чтобы в журнале не было однотипных блокировок, создайте перехватывающие блокирующие без протоколирования (см. как я делал в GR по первой моей ссылке), либо создайте блокирующие правила и для WOS в "Правилах для приложений"без протоколирования и сделайте все блокирующие правила в глобальных так же без протоколирования.
В итоге всё будет молча резаться и журнал не будет засоряться.
WIGF вам спасибо за советы, дельные замечания, есть над чем подумать…
1.Второе правило у меня не было полностью дописано, по идее оно должно было выглядеть так(скрин1).Интернет работает и без этого правила(правда не знаю на сколько хорошо). При отсутствии этого правила WOS начинает постоянно блокировать протокол GRE. Просто я подумал, что стоит прописать это правило т.к. GRE (Generic Routing Encapsulation) — протокол туннелирования сетевых пакетов. Протокол GRE обеспечивает механизм инкапсуляции произвольных пакетов в произвольный транспортный протокол. В наиболее общем случае система имеет пакеты, которые нужно инкапсулировать и маршрутизировать (информационные пакеты). Поправите меня если я не прав!
2.Возможно вы и правы, стоит объединить 8 и 9 правило…
3.Вопрос: В «Настройках обнаружения атак» если снизить скорость и длительность обнаружения вторжения, к примеру 7 / 5, я думаю это не критично, ведь фаервол не переходит в критический режим!?
[attachment deleted by admin]
GRE нужен для впн. как минимум для PPTP, насчет остальных не знаю
Hilfiger
-
Для GRE достаточно разрешение исходящих соединений. Ведь vpn-сессию именно ваш комп инициирует. А первым правилом у вас как раз все исходящие разрешены, так что второе вообще не нужно. Ну и для WOS разрешить исходящие GRE. У меня у самого vpn, в т.ч. и по PPTP, для которого как раз GRE нужен, и входящих я не разрешал. Хотя если без этого не будет работать, тогда можно и разрешить.
Для WOS тоже можно отключить протоколирование входящих, чтобы журнал не замусоривать. При необходимости (на время донастройки) можно протоколирование включить, а так лучше не включать.
А там именно ваш адрес блокируется или другие ? -
Нет там ничего критичного. Да и не нужно там ничего менять. Хотя есть некоторые нюансы с этими настройками: например, для того, чтобы нормально работало на компе IPTV, нужно увеличивать порог срабатывания UDP-флуда до 1000 пакетов, т.к. фаер воспринимает видеопоток как флуд и блочит.
WIGF, silverlight благодарю вас за ответы!
А там именно ваш адрес блокируется или другие ?
1.На данный момент(когда я заменил 8 и 9 правило, и убрал 2 правило(скрин 1)) Журнал событий фаервола логирует сетевые атаки, Sistem по протоколу TCP, а WOS по протоколам ICMP, UDP,GRE на мои IP + на 172.18.255.255 и 255.255.255.255.(скрин2). WOS блокирует атаки не на мои IP а на 172.18.255.255 и 255.255.255.255, кроме протокола ICMP(только на мои IP)!
Максимум, что нужно разрешить от провайдера, так это входящий пинг.
http://
2.Как должно выглядеть правило?
3.Если можно на примере покажите пожалуйста правила для WOS, что бы не было однотипных блокировок, создание перехватывающих блокирующих правил без протоколирования. Сам пробовал не получилось!
[attachment deleted by admin]
Quote Максимум, что нужно разрешить от провайдера, так это входящий пинг.2.Как должно выглядеть правило?
Hilfiger, возьмите за пример предпоследнее правило в Вашем последнем посте на скрине 1 и измените его следующим образом: Разрешить, Входящие, с IP [ваша сетевая локальная зона], в IP [ваш], ICMP Эхо запрос. Потом посмотрите протокол, если провайдер Вас не пингует, правило можно удалить.
Предпоследнее правило тоже нужно изменить. Оставить только Входящие.
Можно также запретить Ваш ответ на пинг. Всё то же самое, только Исходящие и Эхо ответ.
Ваш третий вопрос я не понял. Если хотите отключить протоколирование, нужно снять галку “Логировать срабатывание” в соответствующем правиле.
Спасибо за ответ Ujinnee! 3 вопрос я решил…
Hilfiger, ещё разок: пакеты, посылаемые на броадкастовые адреса - это не атаки. Не пугайте самого себя такими формулировками 
Пусть себе блокируются, отключите протоколирование.
ICMP - это различные служебные сообщения - подробнее…
В качестве примера перехватывающих блокировок посмотрите по той ссылке, которую я вам выше давал - в шапке этой темы есть мои прикреплённые правила с объяснением строк. Там же посмотрите, каких разрешений для ICMP достаточно.
Не забывайте о том, что отключать протоколирование надо не только в GR, но и в AR для WOS.
WIGF большое спасибо :)!
раньше не было WOS в списке, сейчас есть. Это нормально?
http://pic.ipicture.ru/uploads/090904/jTxU63TPwW.jpg
Подскажите пожалуйста правила для P2P трафика ??? Шапку читал, но там не человечиском языком написано
У меня в списке правила для приложений отсутствует Windows Operating System, а в журнале фаервола как заблокированное присутствует. Как WOS создать правила.
И еще вопрос сейчас у меня ADSL подключение к инету. Собираюсь подключиться к локальной сети. Какие изменения я должен внести в настройках и правилах CIS, чтобы переход был без проблемным.
Система Win7 x64 CIS 3.13.126709.581.