Не знаю как настроить “ящерицу” в этом случае: заметил что скорость Интернета притормаживает. Я сначала не обратил внимания, мол, это не у меня, а у провайдера. Три дня скорость была отвратительной.
Сегодня изучил статистику всех входящих и обратил внимание на локальные IP - адреса и их время, в чей промежуток была низкая скорость. Я как понял, шли пакеты с адресов и затормаживали связь с Интернетом.
Раскидав мысли, я сразу понял что это либо трояны, либо балуются местные.
Вопрос: как заставить “ящерицу” заблокировать локальные, если мне назначается один из IP адресов. Это вообще возможно или мне придется бороться с шалунами вручную?
Если я правильно понял суть вопроса-то ваша настройка будет зависеть от схемы сети. В обшем случае вы должны запретить входящий пинг-запрос, и глобально запретить все входящие. Ну,например, у меня прямой выход в интернет и параллельно домашняя сеть. Для антивируса я (только в GR!!!) разрешаю по протоколу ICMP: echo reply in и echo request out, и весь ICMP трафик блокирую третьим правилом. Для UDP/TCP только исходящие по строго фиксированным портам.
При такой настройке я с другого компа сканирую сеть и не вижу ничего. Это для примера общие правила. Осторожней с расшаренными ресурсами!!! Отключить весь удаленный доступ!
В остальном надо дорабатывать согласно вашей сети.
Самый простой и надежный вариант:
в Global Rules ставите правило
Block IP In/Out SourceAddr:Any DestAddr:Any IP Details:Any
в конце списка. Эта строчка запрещает абсолютно ВСЕ входящие соединения. Комп будет невидим в сети. Проще говоря, вы ходить в гости сможете, а гости к вам не зайдут.
А вот более гибкий вариант.
10.0.0.0 - 10.255.255.255
169.254.0.0 - 169.254.255.255
172.16.0.0 - 172.31.255.255
192.0.2.0 - 192.0.2.255
192.168.0.0 - 192.168.255.255
196.200.0.0 - 196.200.255.255
224.0.0.0 - 224.255.255.255
Вот эти диапазоны - это всё локалка. Нам надо ее блокировать.
К примеру, ваш айпишник статический, 10.22.12.52.
Тогда надо этот список разбить:
вместо строчки 10.0.0.0 - 10.255.255.255 прописать две:
10.0.0.0 - 10.22.12.51
10.22.12.53 - 10.255.255.255
Т.е. мы будем блокировать все локальные адреса, кроме собственного (иначе сеть ваааще перестанет работать)
Прописывать надо в Firewall > Common Tasks > My Network Zones.
Там создаете ОТДЕЛЬНУЮ зону, и в неё вписываете все эти айпишники. Обзываете зону какнибудь вроде “запрещённая сеть” чтобы потом всегда знать что это за списочек такой…
Затем жмете ОК, открываете чуть ниже My Blocked Network Zones, и выбираете только что созданную вами зону. Весь трафик с/на эти адреса теперь будет приоритетно блокироваться.
Необходимо также разбить и диапазон 192.168.x.x, потому что наверняка в этом диапазоне настроена ваша сетевуха, которая цепляется сначала к, например, адсл модему…
С динамическим локальным айпи такая схема почти бесполезна.
А если у человека общий доступ в интернет?
Я спрашивал у него-ответа не получил. Правильно настроить фаер проблематично если не знаешь особенностей локальной сети. К тому же он может использовать общий доступ к документам… с некоторыми пользователями локалки.
что значит “общий доступ в интернет”?
имеется ввиду что комп, на котором комод установлен является роутером? так пакеты будут транзитом проходить мимо камода, камод ничего не сможет сделать. насколько я понимаю, должно быть так.
Да, с динамическим IP это бесполезно. Уже делал что-то подобное, но все равно. Я просил написать про настройки firewall на местном форуме, но все склонялись к тому, чтобы я снес COMODO и поставил другого защитника. Уж больно они громоздкие и требуют больше ресурсов.
VGPolitoff если я правильно Вас понял, у Вас один домашний ПК и подключение к инету через локальную сеть провайдера? А единственный IP Вы получаете посредством DHCP? И пользуетесь Вы ресурсами и инета, и локалки?
Не понимаю, в чем сложность с запретом всех входящих соединений. С локалкой сложнее, а без нее все просто. Может быть, я чего-то не знаю? Отключить автодетект новых сетей. Фаервол в режим Custom или Safe mode. Не создавайте вообще никаких доверенных и недоверенных сетевых зон. А в Stealth Ports Wizard выберите Block all incoming connections. Приложений в AR доверенных тоже не должно быть. Все Outgoing Only или Custom. Если что не так - поправьте.
Может это для Вас не актуально, но мне это не известно. Предварительно на винду патчи поставьте, закройте расшары, закройте неиспользуемые порты отключением прослушивающих их приложений и служб. Если Вы принимали ранее входящие, может быть у Вас уже заражение сетевыми червями. В этом случае, доверять фаерволу, да и всей системе уже нельзя. Проведите диагностику, если надо то и лечение. Взгляните тут VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido
Для антивируса я (только в GR!!!) разрешаю по протоколу ICMP: [b]echo reply in[/b][b]barsukRed[/b], извините, зачем?
Да, IP через DHCP назначается. Да, подключение к Интернету через локальную сеть провайдера. Я не первый раз делаю запрет на входящие, но firewall почему-то не запоминает изменения. Это начинает напрягать…
Я ему просто обновляться запретил - запомнил. И помнит уже несколько месяцев. Или создайте и восстанавливайте настройки через импорт - экспорт. 
Комод должен быть установлен у пользователя. Установлен ли он на компе, предоставляющем выход в инет всем в локалке-я не знаю. А может у него отдельный, прямой выход в инет. Пользователь не ответил-значит смысла нет обсуждать.
Делаю все как надо, получается все наоборот. Понятия не имею, ставлю blocking all incoming connection, но опять 25, все так же. CIS Версия 3.5.51.173.439.
Все обновляется и работает. Как начинаю настраивать, почему-то все сбрасывается. Был ZA, проблем не было, поставил ящерицу, началось…
Все-таки надо проверить “ящерицу” на пробиваемость. Пишите ЛС.
Потому что для Аваста требуются такие правила для корректной работа автообновления. Дело в том что не все фаеры в логах отражают такие запросы по ICMP по типу 0… Об этом даже писал наш общий знакомый p2u. В комоде создается правило только echo request out(тип8), видимо считая, что ответ на этот запрос легитимен. Мой постоянный фаервол sygate в этом отношении более точен.
barsukRed, спс, ясно.
В комоде создается правило только echo request out(тип8), видимо считая, что ответ на этот запрос легитимен. Мой постоянный фаервол sygate в этом отношении более точен.Да, но помойму, с практической точки зрения такой подход вполне оправдан, а с теоретической не особо важен.
Несомненно. Наверное это особенность старых сет.фильтров.