Очень прошу о помощи поскольку впервие имею дело и с Firewall, а нужно настроить сеть для IP в диапазоне х.х.10.1-х.х.10.20, также разрешить доступ для х.х.112.1 и х.х.112.3 и х.х.0.1, а другое запретить, никаких существенных настроек после установки не делала. Скрины прилагаются. Буду благодарна за любую помощь и информацию.
Создать группу, перечислив в ней все нужные адреса/диапазоны;
в глобальных правилах:
• разрешить все исходящие, если назначение - группа;
• разрешить все входящие, если источник - группа;
• переместить эти правила вверх;
в правилах для приложений создать аналогичные для процессов system и svchost (для последнего, по необходимости, добавить нужные разрешения для DHCP, DNS, HTTP(s), NTP etc.);
для х.х.0.1 (127.0.0.1 т.е. loopback) правила создаются по необходимости, для каждого приложения отдельно.
Извините, но не могли б Вы более подробно написать о каждом пункте,а именно:
1.как создать группу, и как добавить диапазоны\адреса?
2.ну если будет группа то можна создать правила, но толька скажите как правильно их написать.
3 с этим уж очень далеко(… как их идентифицировать(процессы system и svchost ), я знаю что они эсть, но до конца не понимаю что и где, как сделать для них правила и особенно добавть разришения для svchost?
Извините за столь подробный расспрос, но очень хочу научиться корректно польваться Comodo и настроить его для сети, чтоб наших 20 компов на предприятии имели доступ между собой.
Посмотрите пожалуста, создала сетевую зону(Рис4) и создала глобальние правила(Рис5, Рис6, Рис7), и подскажете что делать с [Офисная сеть No.1], которая создалась при установкке и имеет свои глобальние правила(Рис8, Рис9, Рис10), можно ёё удалить? IP х.х.0.1- ето не 127.0.0.1, а 192.х.0.1. Где system и svchost и какие для них создать правила?
В принципе все правильно. В правилах для System достаточно сменить зону на созданную (IФГП).
Правила для зоны (Офисная сеть) можно удалить и в глобальных правилах и в правилах для System.
А для svchost просто добавить 2 правила, как для System. (Стандартное расположение: C:\Windows\system32\svchost.exe)
Так в списке правил его может и не быть ;D. svchost может присутствовать в группах “Обновление” или “Системные”. Тем не менее, ничто не мешает создать для него отдельные правила.
КАжется стало понятно что я в этом мягко говоря мало понимаю, и всьо же хотелось би больше))) Итак,я могу вибрать групу Системные приложения и там на ряду с уже каким-то существующим правилом создать своё правило для svchost, или же нет? (Рис12)
Нет, конечно!
Нужно создать отдельное правило. Выбрать “добавить…”-“запущенные процессы”, там найти svchost (в процессах его может быть несколько, выбрать можно любой), а затем изобразить для него 2 правила, аналогичные упомянутым.
Добавлено:
“Обновление” и “Системные” - это группы приложений, меняя правило в группе, меняешь его для всей группы, а не одного приложения.
Вот так?(Рис13) А еще как вы упомянули: svchost (для последнего, по необходимости, добавить нужные разрешения для DHCP, DNS, HTTP(s), NTP etc.); как ето сделать и что етим ми зададим?
Да, так. При наличии групп “Системные” и “Обновления” и присутствии в них svchost больше ничего добавлять не нужно, для svchost будет работать правило “Разрешить все исходящие” из этих групп.
Что такое эти страшные букафки (DHCP, DNS, HTTP(s), NTP etc.):
Посредством DHCP система получает сетевые настройки от сервера/провайдера, UDP, порты 67,68. DNS - сервер соответствия доменных имен IP-адресам, UDP, порт 53. Например, получив адрес yandex.ru, браузер сначала сделает запрос DNS, получит соответствующий IP (77.88.21.11) и уже по этому адресу откроет страничку. HTTP(s) - связь с интернетом, TCP, порты 80, 443. NTP - служба синхронизации времени через интернет, UDP, порт 123.
Подойти и отнять клаву Нормальное централизованное управление в Комоде не предусмотрено, по крайней мере в бесплатной версии. Ну или можно, при наличии соответствующих навыков, воспользоваться утилитами типа Radmin.
Если же имеется в виду “попасть” по сети, то - через сетевое окружение. И на целевом компьютере должен быть открыт сетевой доступ хотя бы к одной папке.
UPD
Открывать сетевой доступ к целому диску - плохая идея. А в общем - в сетевом окружении будут видны только те ресурсы, к к-рым открыт сетевой доступ.
““Если же имеется в виду “попасть” по сети, то - через сетевое окружение. И на целевом компьютере должен быть открыт сетевой доступ хотя бы к одной папке.””
Хочу уточнить: у нас есть сеть на 250 компьютеров, и от когда я сделаю эту так сказать сеть между 20 компьютерами, то другие не смогут попасть к нам сеть и на наши компьютеры, тоесть мы в комодо пропишем уже эти права доступа и в сетевом окружении сможем иметь доступ только между собой в данном диапазоне IP-адрессов?Просто такова идея начальника и я спрашиваю возможно ли так?
Еще очень маленький вопрос по поводу DHCP, DNS, HTTP(s), NTP etc. Там вы указали порта то создать для каждого правило с учетом номера порта к примеруTCP, UDP…? И как для них написать разрешения: адрес направления, адрес назначения, порт источника, порт назначения? Что и где указать?
Теоретически возможно, если не использовать т.н. “гостевой доступ” (см. выше по ссылке). Так же, как вариант, в правилах для System после 2х разрешающих правил поставить запрещающее все входящие, а в правилах для svchost - добавить запрет на входящие, порт 135.
Хммм…
DHCP: для svchost разрешить исходящие UDP, порт источника 68, порт назначения 67.
DNS: для svchost разрешить исходящие UDP, порт назначения 53.
HTTP(s) порты разрешаются для приложений, выходящих в интернет.
NTP: для svchost разрешить исходящие UDP, порт источника 123, порт назначения 123.
НО:
При наличии групп “Системные” и “Обновления” и присутствии в них svchost больше ничего добавлять не нужно, для svchost будет работать правило “Разрешить все исходящие” из этих групп.
При наличии групп "Системные" и "Обновления" и присутствии в них svchost больше ничего добавлять не нужно, для svchost будет работать правило "Разрешить все исходящие" из этих групп.
Как знать присутствуют в них svchost или нет?(Рис14) Это правило "Разрешить все исходящие" надо после этого тогда прописать? Что в нем указать?
И еще одно, когда, я сделала эти настройки и на 2-ром компьютере хотела протестировать работоспособность меня ожидала неприятность: после инсталяции отключился нет и невозможно подключится как будто что-то его заблокировало, хотя настройки я поставила точно такие же как на моем, где все работает, что это может быть....?
В Комодо 5: Защита+ - Политика безопасности компьютера - Защищенные файлы и папки - Группы…
Где искать группы в шестерке - не помню.
Если присутствует - ничего больше прописывать не нужно.
И еще одно, когда, я сделала эти настройки и на 2-ром компьютере хотела протестировать работоспособность меня ожидала неприятность: после инсталляции отключился нет и невозможно подключится как будто что-то его заблокировало, хотя настройки я поставила точно такие же как на моем, где все работает, что это может быть....?
Что угодно. Про [i]нет[/i] до сих пор не было не слова :) Для начала напиши хотя бы, как у вас компы в интернет выходят. Ну и журнал событий Комода посмотри на предмет блокировок.