Global Rules для uTorrent

Попробовал юзать uTorrent без входящих – вобщем работает, но многие пиры присоединиться не могут и когда их мало, то скорость сильно падает…
так что входящие нужны, но явно открывать порт стремно, а прописывать по каждому приложению тоже как-то не очень…
поэтому выдумал все, что к делу не относится, в Global Rules запретить явно, а уже uTorrent’у разрешить единственный порт, который в global остался необозначенным ну и с соотв. ограничениями по протоколам конечно :wink:
Все работает :slight_smile: Зацените, имеет ли смысл так извращаться:

+ Allow IP Out From IP Any To IP Any Where Protocol Is Any
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
+ Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
- Block TCP OR UDP In From IP Any To IP Any Where Source Port Is Any And Destination Port Is Not [торрент-порт]
- Block TCP OR UDP In From IP Any To IP Any Where Source Port Is In [0 - 1024] And Destination Port Is Any
- Block IP In From IP Any To IP Any Where Protocol Is ICMP
- Block IP In From IP Any To IP Any Where Protocol Is IGMP
- Block IP In From IP Any To IP Any Where Protocol Is RAW IP
- Block IP In From IP Any To IP Any Where Protocol Is PUP
- Block IP In From IP Any To IP Any Where Protocol Is GGP

Для uTorrent:
+ Allow TCP OR UDP In From IP Any To IP Any Where Source Port Is Not In [0 - 1024] And Destination Port Is [торрент-порт]

bastard, я в твоём случае сделал бы немного попроще:

  • Allow IP Out From IP Any To IP Any Where Protocol Is Any - это правило, в принципе, не нужно, т.к. запрета по исходящим потом нет, т.е. его можно вообще не писать, т.к. в GR то что не запрещено, разрешено.
  • Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
  • Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
  • Allow TCP OR UDP In From IP Any To IP Any Where Source Port Is In [1025-65535] And Destination Port Is [торрент-порт]
  • Block IP In From IP Any To IP Any Where Protocol Is Any

Т.е. разрешаешь то, что нужно, а всё остальное запрещаещь.

WIGF
Я просто так понял, что тогда они будут разрешены явно и при попытке установить соединение кем-нибудь кроме uTorrent’а COMODO моим мнением интересоваться уже не станет, если конечно при этом они так же явно не будут запрещены для каждого приложения по-отдельности… разве не так?

И не подскажешь, достаточно ли будет в исходящих ограничиться TCP и UDP, т.е. если все остальные отрубить на корню на чем это может негативно сказаться?

Не совсем. В GR может быть либо запрещено, либо не запрещено (или разрешено). А уж дальше в любом случае будет анализ AR. А что том прописано - неизвестно. - Шапка для Comodo Firewall - [11] :: Тестирование :: Компьютерный форум Ru.Board

Чтобы не было неожиданных соединений, которые система пропустит молча, надо убрать все правила для WOS, для svchost.exe и для System, если они были в стандарте, а потом уже создавать по факту правила для них.
Вот тут я свои настройки для svchost.exe написал - svchoste.exe
Для WOS у мнея вообще ничего нет, а для System стоят разрешения на исходящие по VPN PPTP и L2TP - Шапка для Comodo Firewall - [21] :: Тестирование :: Компьютерный форум Ru.Board - а всё остальное запрещено.

Для исходящих соединений для обычных программ достаточно TCP и UDP.
Протокол ICMP нужен для проверки связи (2 типа прописанных входящих соединений нужны обязательно), для служебных сообщений, например, тот же ping - это один из типов ICMP-сообщений, поэтому его также стоит разрешить в качестве исходящего. - пример настройки, при которой разрешён только пинг
Остальные протоколы домашнему пользователю не нужно разрешать.
Хотя можно ещё разрешить IGMP, если у твоего провайдера есть такая услуга как IPTV и/или ты смотришь это IPTV через комп.

Так что можно разрешить исходящие TCP/UDP, а также исходящий ICMP-Echo Request и всё.

Похоже ты прав, только что перепроверил :wink: для p2p можно ограничиться одним запретом на все и разрешением по соотв. порту/протоколу, а для WOS ручками прописать

А вот чего в Global Rules по исходящим наваял, пока работает отменно, что порекомендуешь добавить?, может я чего-то не учел:

+ Allow TCP Out From IP Any To IP Any Where Source Port Is Not In [1 - 1023] And Destination Port Is Any – вся “браузерная” активность, только TCP
+ Allow UDP Out From IP Any To IP Any Where Source Port Is [торрент-порт] And Destination Port Is Not In [0 - 1024] – UDP для торрента
+ Allow UDP Out From IP Any To IP [DNS-сервер 1] Where Source Port Is Not In [1 - 1023] And Destination Port Is 53 – DNS-сервер 1
+ Allow UDP Out From IP Any To IP [DNS-сервер 2] Where Source Port Is Not In [1 - 1023] And Destination Port Is 53 – DNS-сервер 2
+ Allow UDP Out From IP Any To IP [DHCP-сервер] Where Source Port Is 68 And Destination Port Is 67 – DHCP-сервер
- Block IP Out From IP Any To IP Any Where Protocol Is Any

Not In [1 - 1023], Not In [0 - 1024] - я бы написал просто In [1025-65535]

Кстати, а какая версия фаера у тебя ? Неужели двойка ?
Если всё-таки тройка, то вместо двух правил по DNS создай одно с группой [DNS], и по приложениям будет удобно прописывать именно группу, а не 2 правила (у меня вообще 5 DNS-серверов в сетке, представь, если бы я их отдельными правилами прописывал).

+ Allow UDP Out From IP Any To IP [DHCP-сервер] Where Source Port Is 68 And Destination Port Is 67 -- DHCP-сервер
Дело в том, что первый DHCP-запрос идёт на адрес 255.255.255.255 (т.е. всем), а уже потом приходит ответ от DHCP-сервера. Так что я бы не стал писать именно адрес DHCP-сервера, т.к. это скорее всего не будет работать. И ты уверен, что тебе нужно это правило ? Ведь если IP в настройках сетевой карты прописан статически, то правило по DHCP не нужно (я просто твоих исходных данных по подключению к интернету не знаю).

И ты так и не написал правило для пинга:
Allow ICMP Out From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
Всё-таки для проверки связи (точнее отклика по ICMP) полезно иметь возможность запускать команду, например, ping ya.ru (пинг до яндекса).

Это я тогда еще про пинг не прочитал :slight_smile: – щас добавил конечно: я им в Download Master’е пользуюсь, когда выбор есть, откуда качать
юзаю dsl, в настройках карты прописан локальный IP: 192.168.1.XXX – две машины выходят в сеть ч/з 1 модем по разным учетным записям, необходимость в полноценной локалке пока отсутствует
А про DHCP я так понял, что эта та самая штука, кот. мне динамический IP выдает, т.е. в “состоянии соединения” я вижу свой IP, кот. постоянно меняется и выше “адрес сервера”, кот. всегда постоянный, и я решил, что это и есть DHCP, его и прописал… ;D
однако, когда запускаю ipconfig /all везде вижу: DHCP включен…: Нет – наверно я чего-то не догоняю… :-\ :slight_smile:

Версия тройка, по приложениям так и поступлю, несколько групп уже создал – оч. удобно, но я стараюсь как можно жестче global сконфигурировать, а там приходится по одному вписывать

И еще сомневаюсь, точно ли UDP для обычных задач не нужен: сейчас он у меня только для DNS запросов и для торрента отдельно, т.е. никто и никак больше его использовать в принципе не сможет…

когда запускаю ipconfig /all везде вижу: DHCP включен
Это значит, что включена такая служба.

По идее, если через модем подключаешься, то твой dialup/ADSL-провайдер сам определяет внешний IP. Т.е. я думаю, что тебе это правило вообще не нужно (поэкспериментируй). Хотя я уже давно не пользовался модемной связью…

У меня интернет такой (упрощённо):
• общая локальная сеть по району с адресами 10.х.х.х;
• я получаю внутренний IP и маршруты для бесплатного доступа к внутренним ресурсам даже при включенном интернете по DHCP от DHCP-сервера провайдера - вот здесь нужно разрешение DHCP;
• подключаюсь к интернету по VPN → vpn-сервер провайдера мне выдаёт внешний динамический IP.

И еще сомневаюсь, точно ли UDP для обычных задач не нужен: сейчас он у меня только для DNS запросов и для торрента отдельно, т.е. никто и никак больше его использовать в принципе не сможет..
У меня по UDP идут только DNS, VPN L2TP и IPTV. Последние 2, я так понял, тебе не нужны. Значит, только DNS.

че то не пойму где ошибка у меня:
для юторрент правила:

  1. Allow TCP OR UDP out from IP any to ip any where source port in (1025-65535) and destination port is any
  2. Allow UDP out from IP any to in (ДНС провайдера) where source port is any where source port is 53
  3. Allow TCP in from IP any to ip any where source port is any and destination port is (№ порта в юторрент)

Красный круг в юторрент.

в глобал рулез ничего не добавлял кроме трех правил стандартных, которые делаются через Stealth ports wizard

Ниже правила для торрента. В Глобальных правилах нет ничего специально для торрента - просто перекрыты некоторые порты. + разрешён ping
Всё работает нормально.
“Локалка” - набор сетей, которые локальные для меня (доступ не требует выхода в И-нет)
“Локальный IP” - думаю ясно =)
“Torrent” - это порт торрента (64003 - он же в явном виде для домена прописан)

Собственно я ограничил торрент только локальной сетью, но в остальном я думаю можно распространить и на любую сеть.

[attachment deleted by admin]

Во втором правиле порт 53 у получателя, а не у источника должен быть.

Если в GR ничего не добавлял больше, то и работать не будет.
Последнее правило из тех, что “делаются через Stealth ports wizard” - это запретить все входящие.
Значит до торрент-клиента не дойдет ни один входящий запрос, всё порежется в GR.
Необходимо прописать в GR:
Allow TCP or UDP IN from ANY to [Internet Zone] where Source Port Is In Port Range 1024-65535 And Destination Port Is In [Torrent Port]
Это программа-минимум, дальше по обстоятельствам (логам).

спасибо за предложения!
Сделал вот как в правилах для приложения:

  1. Allow TCP in from IP any where source port is any and destination port (№ порта юторрент)
  2. Allow TCP or UDP out from IP any to IP any where source port is in (1025-65535) and destination port is any
  3. тут правило для ДНС провайдера обычное.

В глобал рулез записал одно для юторрент:
Allow TCP or UDP in from IP any to IP any where source port is in (1025-65535) and destination port is (№ порта юторрент).

Сделал вот как в правилах для приложения: 1. Allow TCP in from IP any where source port is any and destination port (№ порта юторрент) 2. Allow TCP or UDP out from IP any to IP any where source port is in (1025-65535) and destination port is any 3. тут правило для ДНС провайдера обычное.
Не видно разрешения входящих по UDP для приложения. Они нужны.

В третьем правиле UDP out на ДНС провайдера и порт 53.

С таким набором правил работает.

UDP правила для торрента не обязательны, хотя могут облегчить жизнь =) Торрент прекрасно работает но одном лишь TCP

Имется ввиду UDP In на порт уторрента, так же как для TCP.
У меня в логах было полно таких запросов, после чего открыл их тоже.

Я тоже именно это имел в виду. Входящие UDP на порт торрента. А при куче запросов их можно и правилом вырезать =)

для UDP только это правило для приложения

Allow UDP out from IP any to In (DNS провайдера) where source port is any and destination port 53

Evgesh всё правильно.
Просто шло обсуждение добавлять ли правило
Allow UDP in From Any to Any where source port (1025-65535) and destination port [utorrent port]
Так вот ответ - можно добавлять, а можно и не добавлять =)