Импортируя дефолтную конфигурацию для фаэрвола обнаружил, что Comodo прописывает следующие глобальные правила для ICMP:
http://www.uploadup.com/di-W2DL.png
Насколько это действительно необходимо и вообще какие правила следует прописать для ICMP протокола?
Раз никто не отвечает, попробую-ка я задать этот вопрос на английском форуме.
Comodo Forum]Global Rules.png
Вот стандартные правила для ICMP, которые обычно оставляют, но даже без этих трёх правил у меня всё работает, никаких проблем не возникает.
Т.е. ты разрешаешь 3 типа, а все остальные запрещаешь. Эхо-запрос я увидел а остальные два что за типы ICMP. Какие коды?
И что насчет ICMPv6? Его надо явно разрешить или необязательно?
??? 
Если последним правилом идет
Блокировать IP Вх. Любой Любой Любой,
то ICMP можно вообще не прописывать не блокировать в глобальных правилах.
По желанию для большей безопасности можно частично ограничить исходящие ICMP.
Hause
Так вроде нет противоречия в правилах - читаются они фаерволом сверху вниз.
Первое правило исходящих ICMP на Echo проходит, остальные рубит запрещающее правило любых исходящих ICMP.
Второе и третье входящих ICMP проходят, остальные рубит запрещающее правило любых входящих IP.
http://s15.rimg.info/555aa40ae7b2bf98d48bcdaf9b10788e.gif
Долгое время у меня и без них не возникало проблем, и пинг нормально проходил, так что…
NOSS, немного исправил свое предыдущее сообщение.
Противоречий нет, все правильно.
Кстати, тут в английской ветке ответили, что второе и третье правила все же нужны.
Hause, правильно там заметил Radaghast:
Когда Мастер Скрытых Портов создаёт правила, то они присутствуют - или он их создаёт (по крайней мере он эти правила не убирает). Я эти правила убирал, чтобы посмотреть - будут какие проблемы или нет, никаких изменений не заметил. Я давным-давно в первую очередь этими правилами здесь на форуме заинтересовался: нужны или нет.
http://s17.rimg.info/488ea63e6948faecc3c85883f4c4426c.gif
Лавка древностей: ICMP Протоколы
Это мой случай.
Я сказал, что дискуссия ICMP о могла бы быть эмоциональной ;D
You're probably going to get some differing opinions, as ICMP tends to be quite an emotive topic.
Проверил, трассировка (tracert) действительно не работает, если убрать правило Время истекло (Time exceeded). Так что кому надо, оставляем. Аналогично с пингом (echo request).
It because ICMP packets are typically abused to launch denial of service (DoS) attacks.
Да, но так можно TCP, UDP, IGMP, RTP и другие 
Radaghast, привет. Встретились называется два англичанина! Ёлы -палы…
Слушай ну ты оказывается по-русски разговариваешь! Слушай давай тогда темы по-русски лучше обсуждать, так удобнее.
Так что насчёт IPv6? Ты в английской теме мне даже рекомендовал фильтрацию IPv6 отключить. Почему?
Я смотрю у тебя под профайлом подпись интересная IPv6 Sage. Что она означает, если не секрет? Ну в смысле перевод то я знаю, а так вообще ты спец по IPv6 или просто так написал. Если спец почему рекомендуешь отключать его фильтрацию by Comodo?
Кстати отключение фильтрации будет означать, что Comodo просто не будет применять никаких правил к протоколу IPV6 и пропускать пакеты или может блокировать? Или вообще что-то другое?
Только для тебя! 
Так что насчёт IPv6? Ты в английской теме мне даже рекомендовал фильтрацию IPv6 отключить. Почему?
Ответил в английском разделе. Я только рекомендовал отключение IPv6 фильтрацию, если вы не используете IPv6.
Я смотрю у тебя под профайлом подпись интересная [i]IPv6 Sage[/i]. Что она означает, если не секрет? Ну в смысле перевод то я знаю, а так вообще ты спец по IPv6 или просто так написал. Если спец почему рекомендуешь отключать его фильтрацию by Comodo? :)
https://ipv6.he.net/certification/
Кстати отключение фильтрации будет означать, что Comodo просто не будет применять никаких правил к протоколу IPV6 и пропускать пакеты или может блокировать? Или вообще что-то другое?
Firewall будет игнорировать IPv6 трафик, но он будет по-прежнему протекать.
В общем итоге прописал у себя следующие правила для ICMP-протокола(см. аттачмент). Первое правило избыточное, добавлено лишь для ускорения обработки. Логирование можно убрать, делал для отладки :).
В общем если считаете что-то не так пишите, обсудим. 
Иначе считаю мои правила самыми правильными! ;D
Если IPv6 не используется в приниципе то и отключение фильтрации ничего не даст(как можно отключит то чего нет ;-)?). А вот если в настройках сетевой IPv6 включен, то отключать эту галку(если верить тебе на слово) ни в коем случае нельзя, иначе весь IPv6 трафик будет мимо фаэра.
Или же ты неправильно выразился и сетевые правила будут по-прежнему применяться и к IPv6 трафику, вот только та часть правила где указан IPv6 адрес или диапазон IPv6-адресов будет игнорироваться?
Что касается ICMPv6, то действительно не обнаружил возможности создания правил для конкретных типов сообщений, а для ICMPv6 они имеют совсем другие коды нежели для ICMP. Поэтому ICMPv6 отключаю вообще. По крайней мере до тех пор пока в Comodo не появится возможность добавлять конкретные типы сообщений. В общем это тоже в wishlist.
[attachment deleted by admin]
Здравствуйте.
Меня интересуют Глобальные правила, я после создания через Мастер скрытых портов хочу их подкорректировать. Вот на этом снимке увидел некоторые изменения, хотя их и не много. Но убрано правило Разрешить IP Исходящие из MAC Любой в MAC Любой, где протокол Любой.
Ссылка
Это не повлияет на работу программ, которые выходят в интернет или всё зависит от того, как по запросам будешь отвечать?
Вот тут я совсем не понял для чего эти правила, и где они находятся(где созданы), в каком отсеке файерволла?
Ссылка
Edit: поместил ссылки в тэги. ntoskrnl
нет
да
находятся там же, для чего их создал comfireuser наверное только он и знает
Спасибо Вам за разъяснение по пунктам.
Да, там правил много, но показалось что они не совсем нужны и разбросаны хаотично(ну это на мой взгляд, может я чего не понял). ???
Я тоже подумал, что правила для программ создадутся сами, а я их потом уже приведу в порядок.
