Комментарии по теме "Часто задаваемые вопросы"

International Comodo Forums По-русск
1

Привет всем

Ваши предложения, уточнения, критика и т. п. относительно темы Часто задаваемые вопросы

2

Не пользую P2P-программы,но у меня вопрос. Для таких программ UDP-протокол нужен только для DNS-серверов(может еще DHCP) или еще для чего?

3

Если говорить о правилах в CFP для работы p2p-программы (если не ошибаюсь):

  • для входящего UDP только одно правило на один порт, да и то не всегда (если в настройках p2p задано использовать только TCP протокол для входящих);
  • для DNS достаточно правила UDP только исходящий, но оно не всегда нужно;
  • DHCP входящий/исходящий работает с приложением svchost.exe, поэтому правил для разрешения DHCP для P2P-программы не надо;

Если говорить о реальных входящих UDP-соединениях, то я точно не знаю, сколько их всего, и какими они могут быть для разных p2p-программ. CFP такие соединения обрабатывает автоматически на уровне SPI.

Пример разрешенных соединений в случае с ослом (emule):


udp исх.    192.168.1.2 -> 64.34.178.57     1348 -> 7202     
udp вх.     64.34.178.57 -> 192.168.1.2     7202 -> 1348

… хотя в network security policy нигде не разрешен порт 1348 для входящих UDP.

4

WIGF, я нашел красивые настройки (особенно для пользователей v2) здесь. Кто же автор ;D ?
… У меня просьба: скопируйте их пожалуйста (если это возможно и есть немного свободного времени) сюда куда-нибудь отдельным сообщением, чтобы можно было передвинуть в FAQ (CLY) (CNY)

Наверное можно обойтись без “стандартных правил”, а сразу перечислить “рекомендуемые правила”. Также если на двойке есть предустановки “trusted app”, “blocked app”, “outgoing only”, их наверное также можно не перечислять, хотя… на ваше усмотрение.

Что скажете?

5

2 goodbrazer

5 баллов за идею
Спасибо. Надеюсь и правда кому-нить пригодится (сам то я пользуюсь).
я нашел красивые настройки (особенно для пользователей v2)
Ссылка немного не та. Указанная ссылка ведёт к первоначальному варианту правил для тройки, потом мы ушли от данного представления правил. Сейчас то они уже совсем другие - [url=http://forum.ru-board.com/topic.cgi?forum=5&topic=25649&start=580#1]Правила по COMODO 2 и 3[/url] Я имею отношение только к правилам для тройки, ну и к правилам по VPN. А правила для двойки писал [b]XenoZ[/b], а я сам по ним когда-то учился настраивать фаер. ;D

А какие именно правила скопировать ? В принципе основа там 3 группы (по тройке):
• My Port Sets;
• My Network Zones;
• Predefined Firewall Policies.
А по двойке основные правила собраны тут - Network Control
И плюс к этому DC, торрент и VPN.
И предустановленных правил там нет в принципе, так же как нет групп портов и нормальных зон (зоны не обновляются в правилах, если поменять саму зону, да и делать зоны можно было только из одного диапазона, т.е. через запятую IP перечислить было нельзя).

По мере возможности постараюсь… а то я так и не успел пока перечитать правила по GUI…

EDIT по GUI:

Примечания для CFP v2: Для использования в "тихом" режиме обязательно переводите фаервол в режим custom, а также "закрывайте" каждое приложение правилом "запретить все остальное" в Мониторе приложений.
К сожалению это невозможно, т.к. один из недостатков двойки был как раз в непредсказуемом поведении правил в AR: правила по порядку там нельзя менять и расставлять самому, они сами как-то бессистемно друг с другом меняются и то одно работает, то другое (если есть и разрешающие и запрещающие). Логики в перемещениях особой не увидел. Поэтому завершающего блокирующего в двойке сделать невозможно... точнее оно когда-нить станет единственным работающим ;D Т.о. в двойке основные настройки приходилось делать в Сетевом мониторе, который из-за этого разрастался достаточно хорошо (в зависимости от имеющихся программ и выбранной для себя логики создания всех правил), в том числе и из-за невозможности объединять в одну группу определённые IP (у меня по DNS было в Сетевом мониторе аж 6 правил, т.к. имелось 5 DNS-серверов).
6

WIGF, чего-то я сразу не сообразил… Как вам такой вариант (третья строчка)? Чем париться все переписывать, мне кажется так будет лучше. Что скажете?

Значит на двойке без GUI не получится заявленного результата? Если так, надо будет убрать рекомендацию для двойки…

7

Не знаю даже как сказать… дело не в скромности, просто не хочется на себя брать чужие заслуги.
Может как-нить сюда и XenoZ’а приписать, а то всё-таки он первопроходец в данной теме (на Ru-Board), а я только прошлым летом к данному топику присоединился… Может как-нить тогда переформулировать… В общем, не знаю…

А по двойке, и правда, лучше убрать.
Конечно можно написать правила в таком виде (на примере браузера):
• Запретить все TCP исходящие на любой IP на любой порт, кроме 80, 443
• Запретить все UDP исходящие на любой IP на любой порт, кроме 53
• Запретить все TCP и UDP входящие на любой IP на любой порт
Теоретически должно работать (правила не пересекаются и в тоже время закрывают все диапазоны TCP/UDP).
Но это уже будет извращением. Тем более что с другими программами так просто не всегда можно сделать (например, для FTP-клиента вообще в таком виде правила в двойке не сделаешь, т.к. нельзя объединить TCP исходящие на 21 порт и на порты 1024-65535 в одном правиле).

8

Виноват :-[ Поправил. Так как сейчас можно оставить?

Сделано, спасибо за информацию, иначе может быть пришлось бы выслушивать разьяренных пользователей: “Вы че тут фуфло впариваете?! Не работает как заявлено!!” ;D (:LGH)

9

Одобрям. Спасибо!

Это точно, лучше неоднозначную информацию оставлять в обсуждении.

10

goodbrazer,есть предложение этот вопрос помимо FAQ еще оформить в отдельную ветку с каким-нибудь конкретным названием. Смысл-привлечение дополнительных специалистов к обсуждению именно этой идеи от WIGF,так как в свое время многие отказывались от пользования comodo-м из-за отсутствия функции все запрещено что явно не разрешено(соответствие режиму в оутпост). Плюс пользователи получат удобство ориентировки в форуме и будут оставлять свои наблюдения по этому вопросу. Пока полностью не ясно,обеспечит ли фаервол полную защиту от атак и попыток перевода фаера в более демократичный режим зловредными программами в режиме без GUI. Можно так сделать?

11

barsukRed, идея неплохая, создайте конечно при желании такую тему. При выяснении новых обстоятельств относительно использования метода WIGF’a на двойке, либо если что-то работает не так как заявлено, FAQ можно будет обновить.

В случае тройки такая функция доступна не только при выгруженном GUI: защита паролем + 2 опции “supress…”. При этом также не будет вопросов от CFP с той лишь разницей, что в этом случае GUI будет висеть в памяти, и не надо будет ставить галку “block unknown requests…” в случае использования d+.

Да, это так, но достаточно предсказуемо для тройки: при использовании фаера без d+, можно выключить cmdagent.exe “стандартным” способом: task manager → kill, что должно сказаться на правильной работе фаера, причем не важно загружен gui или нет.
При использовании фаера с d+ при выгруженном gui должна быть включена опция “block unknown requests…”, а при загруженном gui эту опцию включать необязательно. Мне кажется, что в случае обнаружения лазейки в CFP 3, таковая будет относиться к багу той опции (“block unknown requests…”), либо к более серьезному багу службы/драйверов. При этом статус gui (загружен/выгружен) не будет оказывать влияния на проблему… Конечно, могу ошибаться.

12

У меня есть возможность немного потрепать комодо без GUI с другого компа, но, как понимаете,я не хакер, и за хорошую трепку не ручаюсь:)
Настройки во время атак должны стоять по дефолту,так как 80-90% пользователей “не лазают” по настройкам. Это будет честно, я думаю. И для чистоты эксперимента тоже хорошо.
А можно из этой ветки посты по теме “тихий режим” потом перенести в новую ветку? Это чтобы не терять уже наработанные посты по теме? Смысла без наработанных постов новую ветку открывать нет.

13
А можно из этой ветки посты по теме "тихий режим" потом перенести в новую ветку? Это чтобы не терять уже наработанные посты по теме? Смысла без наработанных постов новую ветку открывать нет.
Сделано: [url=https://forums.comodo.com/10551086108810911089108910821080_russian/ethcentethcediln%EF%BF%BDethcedilethsup1_n%EF%BF%BDethmicroethparaethcedilethfrac14_n%EF%BF%BDethdegethplusmnethfrac34n%EF%BF%BDn%EF%BF%BD_cfp_ethplusmnethmicroethmiddot_gui-t21519.0.html]"Тихий" режим работы CFP без GUI[/url] Название подходящее? Ссылка в соотв. сообщении в FAQ'e на нее есть.

Тут я не согласен, ведь вопрос в том, можно ли получить заявленный результат или нельзя (да или нет) при использовании CFP, при этом неважно, по умолчанию настройки или нет.

Еще пара соображений:

  • по умолчанию gui загружен и стартует автоматически; изменив порядок запуска gui, мы уже изменили настройки по умолчанию

  • режимы “train with…” бессмысленны и неправильны при выгруженном gui, ведь “обучением” фаера управляет gui, и выгружая gui мы понимаем, что фаер должен работать только согласно существующим правилам, а значит - только custom и paranoid моды

  • опция “block unknown requests…” для d+ специально рассчитана на такие случаи, и нельзя говорить, что фаер “не справился”, если включение этой опции решает проблему

Мне кажется так…

14

goodbrazer спасибо за новую ветку, так будет гораздо удобнее ориентировать посторонних посетителей в форуме. :slight_smile:
По настройкам я с Вами согласен, но я начал углубленное исследование вопроса как-бы с самого простого. Далее можно увеличивать уровень настроек и смотреть результат. Вот такая мысль. :slight_smile: Кстати, я попробовал сканернуть систему без GUI с другого компа. Результат впечатлил. Более подробно чуть попозже напишу, и уже,наверное в новую ветку… :slight_smile:

15

извените канечно за тупой вопрос,почему сomodo не оповещает об сетевых атакая или проста их не было,и где можно посареть детальный журнал соединений и т.д?? :slight_smile:

16

Я могу,конечно, дико ошибаться но фаервол написан для пользователя не особо интересующегося журналом и тд. Т.е. лишь бы защищал а остальное не важно. В особенности тройка. Журнал бедноват. Но иногда алерты на атаки (скан портов) просто достают, сканирование портов проходит чуть-ли не каждые пять минут, в подавляющем большинстве это связано с особенностями сети а не попытками взлома. Фаер молча работает и не надоедает, и поверьте, он это довольно надежно делает. :slight_smile:

17

Друзья, Комодо уже стал русским, что очень помогло в переходе на него. Но ФАК остался “аглицким”, и попробуй примени в русской версии например вот это:

  1. Destination:127.0.0.1 port any;TCP IN/OUT; Allow
  2. Source Address any;Destination Address ваши IP DNS серверов;Source Port any;Destination Port 53;UDP Out;Allow
  3. Source Address any;Destination Address any;Source Port any;Destination Port 80;TCP Out;Allow

Можно хоть для примера как-то это пояснить на русской версии? Спасибо за понимание.

18

Люди, тут есть кто живой?

19

Файервол - Расширенные - Сетевые политики безопасности - Добавить
Путь к приложению: Выбрать
Переключатель Настроить вручную и кнопка Добавить
На примере
Source Address any;Destination Address any;Source Port any;Destination Port 80;TCP Out;Allow
Это
Действие: Разрешить (Allow)
Протокол: TCP (TCP)
Направление: Исходящие (Out)
Вкладка Адрес отправления - Любой (Source Address any)
Вкладка Адрес назначения - Любой (Destination Address any)
Вкладка Порт отправления - Любой (Source Port any)
Вкладка Порт назначения - Одиночный порт и Порт: 80 (Destination Port 80)

20

спасибо. стало значительно понятнее.