Svchost

GAS_85 · March 12, 2010, 6:51pm

Доброго времени суток всем.
Знаю, что уже писали про настройку файервола, я даже все это читал, но есть проблема. Comodo постоянно ругается, что svchost запрашивает соединение на порт 53. Оно и понятно, что надо, но у меня стоят правила, где написано что это РАЗРЕШЕНО, а он все-равно спрашивает.
Такая же ситуация с DHCP, фаер блокирует всю активность.
с другими приложениями нормально.
Подскажите плиз.
Прикреплено: лог и правила фаера.

[attachment deleted by admin]

viktorsvv · March 13, 2010, 4:32am

а в глобальных правилах что у Вас?

GAS_85 · March 13, 2010, 12:54pm

Запрещены ICMP и все.

Самое смешное, то что после редактирования правил, начинает заново спрашивать про svchost, можно там даже ничего не менять, просто зайти и на ок нажать. И начинается…

[attachment deleted by admin]

viktorsvv · March 13, 2010, 4:07pm

Хмм… с svchost пока понять не могу что за ерунда, но по глобальным правилам пара вопросов к Вам.
Вот взять, например, самое первое правило, которое на скриншоте. Зачем оно? Вы хотите разрешить доступ только к некой подсети Himachi. Хорошо. А где тогда блокирующее правило? Попробуйте приконектиться к любому хосту вне Himachi (только удостовертесь, что приложение не блокируется в правилах для приложений) . Должно соединиться. Ведь ничто не запрещает.
Тоже самое по входящим.

GAS_85 · March 13, 2010, 5:42pm

Ну стоит “пользовательский” режим, где меня должны спрашивать если что новое есть. Так что все сторится на политиках приложений.
Проверял, приложения не могуйт выйти в интернет, а меня об этом оповещают.

viktorsvv · March 13, 2010, 5:56pm

Ну да, правила для приложений создаются. А глобальные-то тут причем?
Разрешите приложению любую сетевую активность и увидите, что через Ваши глобальные правила оно пройдет

viktorsvv · March 13, 2010, 6:07pm

А как у вас на уровне правил для приложений контролируется то глобальное правило? Прописали что ли у каждого?

GAS_85 · March 13, 2010, 9:20pm

Как я понял из хелпа, то при входящих все ок, а мне только это и нужно (играю, настраиваю компы и т.д. через Хамачи).
А для исходящих там для некоторых приложений прописано.
Это все работает. Вот почему при всех созданных для свцхоста правилах все время на него ругаются, это я не пойму:(

Кстати, елси запретить в глобальных весь траффик, а пытаться настроить только парвилами для программ, то тарффик вообще от всего отрубается.
А иначе как? по портам фильтровать?

[attachment deleted by admin]

viktorsvv · March 14, 2010, 8:44am

Тогда можете удалить глобальное правило для исходящих.
Но с входящими не все ок. Они будут проходить через глобальные правила и спускаться до правил для приложений. Можно конечно и там все контролировать, но это же не всегда неудобно. Например вот я разрешаю входящие соединения только на одном порте( для торрент-клиента), без глобальных правил мне бы пришлось запрещать входящие правила для всех остальных программ в правилах для приложений, что, согласитесь, не удобно.

Если Вы в глобальных правилах запретите весь трафик, то конечно все и отрубится. Это очевидно. А если надо разрешить исходящие(входящие) только в (из) хамачи для всех приложений, то надо прописать разрешающие правила (как у вас), а в конце дописать запрещающее правило для всех исходящих(входящих) подключений. Ведь как работает обработка правил комоды - он их просматривает сверху вниз. Как-только находит подходящее - применяет его. Например - поступил к Вам входящий запрос из хамачи - нашлось второе правило, пропускает дальше, поступил не из хамачи - нет правил - тоже пойдет дальше, до правил для приложений.

GAS_85 · March 14, 2010, 1:01pm

Спасибо, viktorsvv, попробую.

А вот проблему с svchost решил очень просто. Оказалось, что она стоит в группе “Обновления Windows”, а эти правила стояли выше, чем для svchost-а, ну и соответственно там стояло “спрашивать”.
Переместил вниз, запретил, что надо, вот и все.
Сбивало меня с толку, что когда разрешал,то он добаляет правило именно для svchost-а, а не для “Обновления Windows”, которые и спрашивают.

Тогда можете удалить глобальное правило для исходящих.

На самом деле, это сам фаер создал, когда спрашивал меня о доверии к конкретной зоне.

Например вот я разрешаю входящие соединения только на одном порте

Сейчас переработал. Тепеь все входящие запрещены, есть отдельные правила для одного порта и одной зоны.

SvEgiiVEteR · September 27, 2010, 10:56pm

знающие люди подскажите все ли нормално настроено?

http://ib1.keep4u.ru/s/2010/09/28/5d/5dc07a1f0adf84eb3d7fa83230ec86bd.jpg
может что лишние? или что добавит надо?
естесвеннов конце запрещающее правило доложно быть…но я пока изучаю.а то очень не удобно из журанал блокировки вносить все в ручную.

tandser · September 28, 2010, 2:40am

SvEgiiVEteR, в предпоследнем правиле (DNS) достаточно разрешить только исходящие.

SvEgiiVEteR · September 28, 2010, 10:56am

ой моя ошибочка совсем забыл…а что осталное все можно?а то достали нармиер запросы на 1027 порт…не поянтные…или вот порт 1030 и 1035…может из того что маршрутизатор стоит.запросы обычно с ip который даёт модем на ip самого модема

zil968 · September 28, 2010, 3:33pm

В первом 127,0,0,1 я бы заменил предопределенной LoopBack зоной а порт назначения на Любой.
Для DNS TCP не нужен, а только UDP. Порт назначения в [DNS] - это только 53 или еще какой порт? Достаточно 53. Хотя я, например, вообще бы выключил службу DNS-клиент (Внимание! после этого начнутся UDP на 53 в DNS-сервера от всех приложений).
Броадкст на 1900 и TCP на 2869 я, например, зарубил бы, и службу SSDP выключил - а в общем дело вкуса.
TCP на 1780 я не знаю что такое, и если его запрет жить не мешает, то можно и закрыть.

SvEgiiVEteR · September 29, 2010, 12:57am

то есть там где 127 0 0 1 можно смело вписывать LoopBack?про днс знаю…просто что то не обратил внимания на правило.а что вообще значит самое по себе это подключение первое?и ещё у меня часто запросы ICMP между IP маршрутизатора и шлюзом маршрутизатора в WOS…это вообще само по себе безопасно? ip то известные и не внешние…то есть общение айпишниками маршрутизатора и комопьютера ни как не связаны с внешним интирнетом?месяц уже с свхостом ВОС и систем разбираюсь…хочу уже закончить наконец

zil968 · September 29, 2010, 3:44pm

ru.wikipedia.org

localhost

localhost (так называемый, «местный» от англ. local, или «локальный хост», по смыслу — этот компьютер) — в компьютерных сетях, стандартное, официально зарезервированное доменное имя для частных IP-адресов (в диапазоне 127.0.0.1 — 127.255.255.254, RFC 2606). Для сети, состоящей только из одного компьютера, как правило, используется всего один адрес — 127.0.0.1, который устанавливается на специальный сетевой интерфейс «внутренней петли» (англ. loopback) в сетевом протоколе TCP/IP. В Unix-подобных ...

Это, скорее всего, они между собой “договариваются”. См. ICMP — Википедия. “ICMP сообщения (тип 3) генерируются маршрутизатором при отсутствии маршрута к адресату.
ICMP сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя.
ICMP сообщения с типом 4 используются получателем (или промежуточным маршрутизатором) для управления скоростью отправки сообщений отправителем.”

SvEgiiVEteR · September 29, 2010, 7:27pm

дак может кто то с увереностью сказать что любые дейсвия между 127 0 0 1, ip которые прописаны в маршрутизаторе в любой комбинацие абсолютно безопасны?

zil968 · September 29, 2010, 8:55pm

Такие проблемы решаются очень просто: блокируем и если интернет не отваливается и не глючит, то считаем что так и надо. Если интернет исчезает, то либо радуемся жизни без него, либо разрешаем.

Jelum · September 30, 2010, 9:24am

+10

barsukRed · September 30, 2010, 9:56am

Некоторые программы написаны чтобы работать по сети. Механизм такой: открывается адрес\порт (сокет) себе(например, 0.0.0.0+ порт) и как бы удаленный 127 0 0 1+порт, и программы работает сама с собой. Контролирует трафик, работает как прокси, и тп. Вот как-то так…
Такими приложениями могут быть браузеры , вэб-сканеры антивирусов, фаерволы,C:\WINDOWS\system32\Svchost.ехе(контейнер для системных служб ) … Если приложение, открывшее сокет с удаленным IP 127 0 0 1 известно, блокировать его не надо.

зы Я могу ошибиться, но черви работающие с 127 0 0 1 -большая редкость. Если вообще они есть. Я таких не знаю. Может кто и знает или встречал их описание…