Помогите понять, как взаимодействуют глобальные правила и правила для приложений. Почему при установке доверенной сети (т.е. глобальных правил) фаервол спрашивает о том разрешить ли подключения в эту сеть для system.
То, что я щас напишу- только мое видение и не претендует на истину в последней интсанции ;D
Итак, логика фаервола
- любые соединения для данного приложения, не подпадающие ни под одно уже существующее правило для этого приложения, запрашивается у юзера
- уже разрешенное соединение для данного приложения разрешается только в том случае, если оно не запрещено в глобальных правилах.
Спасибо.
Но что-то по такой логике получается что разрешающие глобальные правила создавать вообще не имеет смысла, так как они не учитываются вообще, и смысл доверенных сетей, тоже пропадает.
Форумчане, не проходите мимо. Большинство тут пользуется comodo firewall и как-то же для себы понимают эту логику.
Хотя может это у меня фаер глючит, поставил 3.0.17, а тут где-то эту версию хаяли.
Denisko, логика простая:
• Global Rules - правила для всех пакетов без привязки к конкретным приложениям.
• Application Rules - правила для конкретных приложений.
Создание полного доступа в GR не даёт соответствующего разрешения для всех приложений в AR, поэтому прийдётся разрешать конкретные приложения отдельно.
И так удобнее: разрешить в GR для доверенной зоны все, а для остальных, например, запретить все входящие, и вообще всё настроить в GR в общем, а потом уже не задумываться о поступлении входящих из данной зоны.
И ещё важные вещи: логика работы фаера в целом - почитай тут, лень переписывать
P.S. Версию ставь сразу 18.
P.S. Версию ставь сразу 18.А чего так! Что бы глюков было побольше? Обоснуй. Я вот хотел поставить 2.4, а потом решил выпендриться, поставил тройку. В итоге оказался в роли тестировщика.
Можно легко обойтись без Global Rules. Они удобны тогда, когда часто приходиться использовать Stealth ports wizard, или когда нет желания вручную один раз настроить Application rules.
Windows Operating System (AR) может обрабатывать все пакеты, которые не привязаны к конкретным приложениям без помощи Global Rules. Т. е., вместо GR можно прописать все нужные правила на уровне WOS.
Выгоды: не надо зацикливаться на том, какие правила (GR или AR) обрабатываются первыми для вх/исх соединений. Нет необходимости открывать порты на постоянной основе для P2P (и др. программ, которым это необходимо), т. е. нужные порты будут открыты только тогда, когда работает программа. Упрощается создание правил, когда фаер в режиме custom policy и какая-то программа блокируется: вручную надо будет настроить правила только для WOS, для всех других программ будет всплывающее окошко (в случае, если отсутствует последнее запрещающее правило) вместо блокирования без предупреждения в случае с GR.
WIGF,
Если посчитаете нужным, внесите небольшую поправку:
Важное замечание. Если входящее соединение является ответом на исходящее (т.е. ожидаемым ответом), то оно передается ожидающему приложению минуя правила в Global Rules. Т.е. применяется следующий принцип обработки входящих соединений: входящее соединение анализируется на ожидаемость, если это ожидаемый ответ, то оно (соединение) передается приложению напрямую, а вот если нет, тогда анализируются правила в Global Rules.GR и AR в этом случае [u]вообще[/u] не принимаются во внимание: такие запросы в CF обрабатываются SPI, который работает на более высоком уровне (по-крайней мере, в этом случае).
Т. е., если бы не было SPI, то для того же браузера был бы запрос от фаера на принятие входящего соединения или блокирование без предупреждения теми же глобальными правилами, таким образом, имела бы место стандартная обработка (GR и AR) всех соединений.
Все вышесказанное относится к тройке. Не знаю, справедливо ли это для двойки.
yascher, обоснование простое: с версией 17 я не смог подружить свой комп и конфигурация с версии 16 не перенеслась, а версия 18 встала без проблем, НО я не использую D+ (по глюкам, связанным с этим модулем, если они есть, ничего сказать не могу).
Установка и настройка фаера CFP 3.0.18 занимает не более 15-20 минут (вместе со всеми перезагрузками), НО при моём небольшом наборе программ, имеющим доступ к сети: сам фаер, антивирусы всякие, браузеры, квип, ну и всякие утилиты винды (пинг, трассировка и т.п.).
А на счёт глюков, то как раз в версии 17 их теоретически больше, т.к. произошёл переход во внутреннем механизме работы CFP 3.0 при переходе с 16 на 17 версию. Так что в 18 версии исправляли глюки от 17. И обновление 18 вышло буквально через неделю после 17, что говорит как раз о быстро найденных и устранённых багах.
goodbrazer, по поводу необходимости использования GR: как говориться, бережёного Бог бережёт (на компутере могут работать и другие пользователи, которые ненароком разрешат что-нить не то). Хотя, по сравнению с двойкой я пересмотрел построение защиты в COMODO. В двойке я прописывал правила в Сетевом мониторе по некоторым портам, направлениям и получателям, поскольку в двойке не было пунктов My Port Sets и Predefined Policues и нормального пункта My Network Zones. В тройке же в GR я прописал только Stealth ports wizard и правила для IPTV, а все остальное делал посредством новых удобных пунктов (порты, политики, зоны) в AR.
Ну и P2P я не пользуюсь, поэтому разрешённые входящие мне проще прописать 1 раз в GR и забыть.
Я вот настроил свой фаер (в выходные, когда отписывал в другой теме) и с тех пор не загружал GUI, ибо и так всё работает.
По поводу второй части (про ожидаемые пакеты): в принципе о том и написано, но не совсем так… В общем, пока не дам ответа ни ДА, ни НЕТ… Не знаю, что сказать (пятница, однако ;D) …
Спасибо WIGF. Спасибо GoodBrother. Теперь понятно и интересно. Жаль правда, что получается нет возможности разрешить в пределах локальной сети все и вся, так как от этого больше проблем ИМХО.
Можно думаю создать predefined policy с доступом только в локальную сеть и при необходимости быстро назначать его приложению
Вообще хотел уже поставить 2.4 так как с 3.0.17 действи-но какие-то странности происходят, но прочитал последний пост и понял что мне уже понравились My Port Sets, Predefined Policues и My Network Zones, особенно псоледние, ставлю 3.0.18
Да согласен, но мне кажется, что более точной и правильной будет примерно такая формулировка:
“Некоторые входящие соединения обрабатываются на уровне SPI, при этом ни GR, ни AR не принимаются во внимание”.
Может быть, но мы с XenoZ’ом пока решили не править этот кусок: всё-таки целью было не полное научное описание, а простое объяснение… В любом случае, спасибо за внимательный разбор данного пункта. 
P.S. goodbrazer, лучше если вы что-нить заметите не очень верное с вашей точки зрения в описании правил на ру-борде в теме COMODO Firewall, то напишите там об этом, если вас не затруднит, а то данный форум я во всяком случае не так часто посещаю, а XenoZ вроде больше англоязычную часть смотрит…
Без проблем, спасибо за приглашение :-TU