Решил создать ветку по своим вопросам и настройкам по комодо 3.
Вопрос № 1:
Как для фарфокс создать правило DNS? Чтобы запросы делали сами приложения, а не делегировали их svchost.exe
в отупост 4 эти правила для приложения выглядели так:
правило 1:
Где протокол UDP
и Где удаленный адрес <адреса DNS серверов провайдера>
и Где удаленный порт 53
Разрешить эти данные.
правило 2:
Block DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
Если прописать правила DNS для каждого приложения, то не нужны правила для svchost.exe (т.е. приложения сами делают запросы, а не svchost.exe).
Вопрос № 2:
Firefox:
в отупост 4 эти правила для приложения выглядели так:
правило № 1:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80
Разрешить эти данные
правило № 2:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 443
Разрешить эти данные
то же самое для 8000, 8010, 8080.
Кстати, со стандарным правилом Web browser в комодо 3 файрфокс вообще не работает. Пока выставил как довереннное, т.к. не могу пока настроить.
Вопрос № 3:
Как запретить файрфоксу делать запросы на себя? (Loopback - 127.0.0.1), т.к. при использовании оутпост рекомедовали блокировать.
Action: allow
protocol: UDP
Direction: Out
Source address: any
Destination address: IP range (start IP и End IP - адреса DNS серверов провайдера)
source port: any
destination port: 53
Action: allow
protocol: TCP
Direction: Out
Source address: any
Destination address: any
source port: any
destination port: 21
Action: allow
protocol: TCP
Direction: Out
Source address: any
Destination address: any
source port: any
destination port: 80
Action: allow
protocol: TCP
Direction: Out
Source address: any
Destination address: any
source port: any
destination port: 443
Всё это хозяйство не работает), если выставлен режим Custom police Mode
Вопрос № 1:
Как для фарфокс создать правило DNS? Чтобы запросы делали сами приложения, а не делегировали их svchost.exe
Вроде как для этого надо отключить службу DNS. Только зачем это ?
Лучше прописать группу DNS-сервер и разрешить DNS-запросы только на эту группу: в двойке это удобнее прописать в Сетевом мониторе (несколько правил сделать с конкретными IP), а в Мониторе приложений разрешить исходящие DNS-запросы на любой адрес, а в тройке удобно создать группу DNS-серверов и с её помощью прописывать правила для приложений.
итак, уважаемые специалисты, оцените правила для веб броузера. Пишу подробно, так как сам по другому пока плохо воспринимаю. Это модифицированное правило “wEB BROWSER”
Allow Access to Loopback Zone
Action: allow
protocol: IP
Direction: Out
Source address: any
Destination address: any
IP details: any
Сразу вопрос: а зачем вообще броузеру разрешать протокол IP?
Далее,
Allow Outgoing HTTP Requests
Action: allow
protocol: TCP
Direction: Out
Source address: Zone (тут я указал DNS сервера провайдера и еще пару открытых DNs, которые прописал в “My network zones”).
Destination address: any
Source port: a set of ports - HTTP PORT
Destination port: a set of ports - HTTP PORT
Allow Outgoing FTP Requests
Action: Block
protocol: TCP
Direction: Out
заблокировал - далее не имеет смысла писать.
Allow Outgoing FTP-PASV Requests
Action: Block
protocol: TCP
Direction: Out
заблокировал, т.к. понятия не имею, что это такое!).
Allow Outgoing DNS Requests
Action: Block
protocol: UDP
Direction: Out
Source address: Zone (тут я указал DNS сервера провайдера и еще пару открытых DNS, которые прописал в “My network zones”)
Destination address: Zone (тут я указал DNS сервера провайдера и еще пару открытых DNS, которые прописал в “My network zones”)
Source port: any
Destination port: a single port 53
Block and Log All Unmatching Requests - оставил по умолчанию.
Подскажите, я правильно написал правило для svchost.exe? Создавал в третьей версии в Application Rules. Модем в режиме роутера.
Action: allow
protocol: UDP
Direction: Out
Source address: 192.168.1.2
Destination address: DNS сервера своего провайдера
Source address: a set of ports - 1024-4999
Destination port: a single port - 53
Правило поставил наверх списка Application Rules.
Добавил еше глобальное правило:
Action: allow
protocol: UDP
Direction: Out
Source address: 192.168.1.2
Destination address: DNS сервера своего провайдера
Source address: a set of ports - 1024-4999
Destination port: a single port - 53
Evgesh, ошибки есть… или опечатки: второе правило по DNS, а порты стоят HTTP, причём и там, и там.
Правила по FTP нужны, чтобы была возможность скачивать файлы, если они выложены на FTP-серверах (часто ссылки идут именно на такого типа серверы, а не только на HTTP).
Попытка разобраться с комментариями, применительно к третьей версии:
Allow Access To Loopback Zone:
Allow TCP OR UDP Out From 127.0.0.1 To 127.0.0.1 Where Source Port Is In [Local Ports] And Destination Port Is In [Local Ports]
Коммент: Allow TCP OR UDP Out… - это понятно.
…From 127.0.0.1 To 127.0.0.1… - это в разделе Source address надо вписывать?
…Where Source Port Is In [Local Ports]… - это в разделе “Source Port”. Под Local Port понимаем диапазон “1024-4999” ?
Allow Outgoing HTTP Requests: Коммент:
Allow TCP Out From In [Internet Zone]… - [Internet Zone] прописывается в разделе Source address? Кстати, если модем роутером, то вписываем адрес модема? т.е. 192.168.x.x. ?
…To Any Where Source Port Is In [Local Ports]… - вроде понятно. Пишем в Source Port.
… And Destination Port Is In [Browser Ports] - пишем в Destination port.
Allow Outgoing DNS Requests: Коммент:
Allow UDP Out From In [Internet Zone] To In [DNS Servers] Where Source Port Is In [Local Ports] And Destination Port Is 53
Block and Log All Unmatching Requests:
Block and Log IP In/Out From Any To Any Where IP Protocol Is Any
Evgesh, после одного из обновлений виндоса (было с месяц назад, забыл номер и лень искать) исходящие DNS-запросы, производимые процессом svchost.exe, осуществляются не с портов 1024-4999, а с портов 49152-65535.
Исходящие DNS-запросы, осуществляемые обычными приложениями (браузерами и т.п.), производятся по-старому - с портов 1024-4999.
Это всё я говорю про Windows XP SP3. По Висте сказать не могу, т.к. сам не проверял (нету её у меня).
Для WOS у меня тоже нет. Они были изначально, но я их сразу стёр.
Для svchost.exe у меня такие (XP SP3):
Allow TCP Out From IP Any To IP Any Where Source Port Is Any And Destination Port Is 80 - для обновления виндоса.
Allow TCP Out From IP Any To IP Any Where Source Port Is Any And Destination Port Is 443 - для обновления виндоса.
Allow UDP Out From IP Any To IP Is In [DNS-servers] Where Source Port Is Any And Destination Port Is 53 - для DNS-запросов.
Allow UDP Out From IP Any To IP Is In Any Where Source Port Is 68 And Destination Port Is 67 - для DHCP-запросов.
Block And Log IP In/Out From IP Any To UP Any Where IP Protocol Is Any.
Правила проверяются сверху вниз. Если какое-то приложение входит в разные группы, то чтобы какое-то соединение действовало, оно должно быть разрешено во всех группах. Т.е. если есть правила для svchost.exe и для WOS (в которую входит svchost.exe), то чтобы было разрешено определённое соединение приложению svchost.exe, оно должно быть разрешено и там, и там.
Браузеры сами по себе и остальное само по себе (если только специально не создыть дублирующие группы правил, которые будут контролировать одно и тоже приложение).
После прописывания правил, чтобы они нормально стали работать (особенно, если были блокировки до прописывания разрешающего правила), следует перегрузить компьютер.
С таким правилом вообще ничего не должно работать.
У меня стоит там запрет только на IP In. А перед различные разрешающие правила (только те, которые именно мне необходимы).