Попробовал юзать uTorrent без входящих – вобщем работает, но многие пиры присоединиться не могут и когда их мало, то скорость сильно падает…
так что входящие нужны, но явно открывать порт стремно, а прописывать по каждому приложению тоже как-то не очень…
поэтому выдумал все, что к делу не относится, в Global Rules запретить явно, а уже uTorrent’у разрешить единственный порт, который в global остался необозначенным ну и с соотв. ограничениями по протоколам конечно
Все работает Зацените, имеет ли смысл так извращаться:
+ Allow IP Out From IP Any To IP Any Where Protocol Is Any + Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED + Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED - Block TCP OR UDP In From IP Any To IP Any Where Source Port Is Any And Destination Port Is Not [торрент-порт] - Block TCP OR UDP In From IP Any To IP Any Where Source Port Is In [0 - 1024] And Destination Port Is Any - Block IP In From IP Any To IP Any Where Protocol Is ICMP - Block IP In From IP Any To IP Any Where Protocol Is IGMP - Block IP In From IP Any To IP Any Where Protocol Is RAW IP - Block IP In From IP Any To IP Any Where Protocol Is PUP - Block IP In From IP Any To IP Any Where Protocol Is GGP
Для uTorrent: + Allow TCP OR UDP In From IP Any To IP Any Where Source Port Is Not In [0 - 1024] And Destination Port Is [торрент-порт]
bastard, я в твоём случае сделал бы немного попроще:
Allow IP Out From IP Any To IP Any Where Protocol Is Any - это правило, в принципе, не нужно, т.к. запрета по исходящим потом нет, т.е. его можно вообще не писать, т.к. в GR то что не запрещено, разрешено.
Allow ICMP In From IP Any To IP Any Where ICMP Message Is FRAGMENTATION NEEDED
Allow ICMP In From IP Any To IP Any Where ICMP Message Is TIME EXCEEDED
Allow TCP OR UDP In From IP Any To IP Any Where Source Port Is In [1025-65535] And Destination Port Is [торрент-порт]
Block IP In From IP Any To IP Any Where Protocol Is Any
Т.е. разрешаешь то, что нужно, а всё остальное запрещаещь.
WIGF
Я просто так понял, что тогда они будут разрешены явно и при попытке установить соединение кем-нибудь кроме uTorrent’а COMODO моим мнением интересоваться уже не станет, если конечно при этом они так же явно не будут запрещены для каждого приложения по-отдельности… разве не так?
И не подскажешь, достаточно ли будет в исходящих ограничиться TCP и UDP, т.е. если все остальные отрубить на корню на чем это может негативно сказаться?
Чтобы не было неожиданных соединений, которые система пропустит молча, надо убрать все правила для WOS, для svchost.exe и для System, если они были в стандарте, а потом уже создавать по факту правила для них.
Вот тут я свои настройки для svchost.exe написал - svchoste.exe
Для WOS у мнея вообще ничего нет, а для System стоят разрешения на исходящие по VPN PPTP и L2TP - Шапка для Comodo Firewall - [21] :: Тестирование :: Компьютерный форум Ru.Board - а всё остальное запрещено.
Для исходящих соединений для обычных программ достаточно TCP и UDP.
Протокол ICMP нужен для проверки связи (2 типа прописанных входящих соединений нужны обязательно), для служебных сообщений, например, тот же ping - это один из типов ICMP-сообщений, поэтому его также стоит разрешить в качестве исходящего. - пример настройки, при которой разрешён только пинг
Остальные протоколы домашнему пользователю не нужно разрешать.
Хотя можно ещё разрешить IGMP, если у твоего провайдера есть такая услуга как IPTV и/или ты смотришь это IPTV через комп.
Так что можно разрешить исходящие TCP/UDP, а также исходящий ICMP-Echo Request и всё.
Похоже ты прав, только что перепроверил для p2p можно ограничиться одним запретом на все и разрешением по соотв. порту/протоколу, а для WOS ручками прописать
А вот чего в Global Rules по исходящим наваял, пока работает отменно, что порекомендуешь добавить?, может я чего-то не учел:
+ Allow TCP Out From IP Any To IP Any Where Source Port Is Not In [1 - 1023] And Destination Port Is Any – вся “браузерная” активность, только TCP + Allow UDP Out From IP Any To IP Any Where Source Port Is [торрент-порт] And Destination Port Is Not In [0 - 1024] – UDP для торрента + Allow UDP Out From IP Any To IP [DNS-сервер 1] Where Source Port Is Not In [1 - 1023] And Destination Port Is 53 – DNS-сервер 1 + Allow UDP Out From IP Any To IP [DNS-сервер 2] Where Source Port Is Not In [1 - 1023] And Destination Port Is 53 – DNS-сервер 2 + Allow UDP Out From IP Any To IP [DHCP-сервер] Where Source Port Is 68 And Destination Port Is 67 – DHCP-сервер - Block IP Out From IP Any To IP Any Where Protocol Is Any
Not In [1 - 1023], Not In [0 - 1024] - я бы написал просто In [1025-65535]
Кстати, а какая версия фаера у тебя ? Неужели двойка ?
Если всё-таки тройка, то вместо двух правил по DNS создай одно с группой [DNS], и по приложениям будет удобно прописывать именно группу, а не 2 правила (у меня вообще 5 DNS-серверов в сетке, представь, если бы я их отдельными правилами прописывал).
+ Allow UDP Out From IP Any To IP [DHCP-сервер] Where Source Port Is 68 And Destination Port Is 67 -- DHCP-сервер
Дело в том, что первый DHCP-запрос идёт на адрес 255.255.255.255 (т.е. всем), а уже потом приходит ответ от DHCP-сервера. Так что я бы не стал писать именно адрес DHCP-сервера, т.к. это скорее всего не будет работать.
И ты уверен, что тебе нужно это правило ? Ведь если IP в настройках сетевой карты прописан статически, то правило по DHCP не нужно (я просто твоих исходных данных по подключению к интернету не знаю).
И ты так и не написал правило для пинга:
Allow ICMP Out From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
Всё-таки для проверки связи (точнее отклика по ICMP) полезно иметь возможность запускать команду, например, ping ya.ru (пинг до яндекса).
Это я тогда еще про пинг не прочитал – щас добавил конечно: я им в Download Master’е пользуюсь, когда выбор есть, откуда качать
юзаю dsl, в настройках карты прописан локальный IP: 192.168.1.XXX – две машины выходят в сеть ч/з 1 модем по разным учетным записям, необходимость в полноценной локалке пока отсутствует
А про DHCP я так понял, что эта та самая штука, кот. мне динамический IP выдает, т.е. в “состоянии соединения” я вижу свой IP, кот. постоянно меняется и выше “адрес сервера”, кот. всегда постоянный, и я решил, что это и есть DHCP, его и прописал… ;D
однако, когда запускаю ipconfig /all везде вижу: DHCP включен…: Нет – наверно я чего-то не догоняю… :-\
Версия тройка, по приложениям так и поступлю, несколько групп уже создал – оч. удобно, но я стараюсь как можно жестче global сконфигурировать, а там приходится по одному вписывать
И еще сомневаюсь, точно ли UDP для обычных задач не нужен: сейчас он у меня только для DNS запросов и для торрента отдельно, т.е. никто и никак больше его использовать в принципе не сможет…
когда запускаю ipconfig /all везде вижу: DHCP включен
Это значит, что включена такая служба.
По идее, если через модем подключаешься, то твой dialup/ADSL-провайдер сам определяет внешний IP. Т.е. я думаю, что тебе это правило вообще не нужно (поэкспериментируй). Хотя я уже давно не пользовался модемной связью…
У меня интернет такой (упрощённо):
• общая локальная сеть по району с адресами 10.х.х.х;
• я получаю внутренний IP и маршруты для бесплатного доступа к внутренним ресурсам даже при включенном интернете по DHCP от DHCP-сервера провайдера - вот здесь нужно разрешение DHCP;
• подключаюсь к интернету по VPN → vpn-сервер провайдера мне выдаёт внешний динамический IP.
И еще сомневаюсь, точно ли UDP для обычных задач не нужен: сейчас он у меня только для DNS запросов и для торрента отдельно, т.е. никто и никак больше его использовать в принципе не сможет..
У меня по UDP идут только DNS, VPN L2TP и IPTV. Последние 2, я так понял, тебе не нужны. Значит, только DNS.
Ниже правила для торрента. В Глобальных правилах нет ничего специально для торрента - просто перекрыты некоторые порты. + разрешён ping
Всё работает нормально.
“Локалка” - набор сетей, которые локальные для меня (доступ не требует выхода в И-нет)
“Локальный IP” - думаю ясно =)
“Torrent” - это порт торрента (64003 - он же в явном виде для домена прописан)
Собственно я ограничил торрент только локальной сетью, но в остальном я думаю можно распространить и на любую сеть.
Если в GR ничего не добавлял больше, то и работать не будет.
Последнее правило из тех, что “делаются через Stealth ports wizard” - это запретить все входящие.
Значит до торрент-клиента не дойдет ни один входящий запрос, всё порежется в GR.
Необходимо прописать в GR:
Allow TCP or UDP IN from ANY to [Internet Zone] where Source Port Is In Port Range 1024-65535 And Destination Port Is In [Torrent Port]
Это программа-минимум, дальше по обстоятельствам (логам).
спасибо за предложения!
Сделал вот как в правилах для приложения:
Allow TCP in from IP any where source port is any and destination port (№ порта юторрент)
Allow TCP or UDP out from IP any to IP any where source port is in (1025-65535) and destination port is any
тут правило для ДНС провайдера обычное.
В глобал рулез записал одно для юторрент:
Allow TCP or UDP in from IP any to IP any where source port is in (1025-65535) and destination port is (№ порта юторрент).
Сделал вот как в правилах для приложения:
1. Allow TCP in from IP any where source port is any and destination port (№ порта юторрент)
2. Allow TCP or UDP out from IP any to IP any where source port is in (1025-65535) and destination port is any
3. тут правило для ДНС провайдера обычное.
Не видно разрешения входящих по UDP для приложения. Они нужны.
Evgesh всё правильно.
Просто шло обсуждение добавлять ли правило
Allow UDP in From Any to Any where source port (1025-65535) and destination port [utorrent port]
Так вот ответ - можно добавлять, а можно и не добавлять =)