Есть предложение!

Доброго всем времени суток.
Просьба сильно не пинать если что не так. (:
Вообщим начну немножко издалека. Сам я подсел на комод с недельку как, и вот пошастал по вашему форуму и по руборду кое как настроил правила, пока что все мне неообходимое работает. Но скажу честно было трудновато как для новичка, потому как раньше я пользовал Аутпост только в режиме обучения. Так вот теперь к делу. Мне понравилась идея руборда сводить все одобренные правила в шапку, что и предлагаю сделать тут. Собственно в чем мысль, каждый выставляет на всеобщее рассмотрение свои варианты настроек которые после рассмотрения и оспаривания сводятся в одну таблицу. Итог - отпадают одинаковые вопросы, плюс рассматривается конкретная ситуация…
Например комодо+прокси, комодо+впн и т.д.
Вообщим думаем, решаем… А пока спасибо за внимание.
ЗЫ: Лично я могу завтра оформить свою конфу на вашу проверку (Комодо+аваст)

Вот мои правила может кому-то пригодятся:

Port Sets:

  1. HTTP Ports: 80, 443, 8080
  2. POP3/SMTP Ports: 25, 110, 465, 587, 995
  3. Privileged Ports: 0-1023
  4. Non-privileged Ports: 1024-65535
  5. Local Ports: 1024-4999
  6. ICQ Ports: 443, 5190
  7. Avast Web Ports: 12080
  8. Avast Mail Ports: 12025, 12110, 12119, 12143

My Network Zone:

  1. Loopback Zone IP: 127.0.0.1
  2. DNS Servers: ( два IP DNS провайдера)
  3. Time Servers IP: 207.46.197.32 и 192.43.244.18

В Global Rules пока что только одно правило блокировки входящего пинга, так как я еще не разобрался толком что к чему:
Block ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
(Block/ICMP/In/Any/Any/Icmp Echo Request)

Predefined Firewall Policies:

  1. Web Browser:
    1. Allow Access to Loopback Zone *
      Allow/TCP or UDP/Out/Loopback Zone/Loopback Zone/Local Ports/Local Ports
    2. Allow Outgoing HTTP Requests **
      Allow/TCP/Out/Any/Loopback Zone/Local Ports/Avast Web Ports
    3. Allow Outgoing DNS Requests
      Allow/UDP/Out/Any/DNS Servers/Local Ports/53
    4. Block and Log All Unmatching Requests
      Block and Log/IP/In-Out/Any/Any/Any
  • Лично у себя я это правило удалил и пока все работает хорошо.
    ** Браузер работает через Web экран Avast с перенаправлением портов через его прокси.
  1. FTP Client:

    1. Allow Access to Loopback Zone *
      Allow/TCP or UDP/Out/Loopback Zone/Loopback Zone/Local Ports/Local Ports
    2. Allow Outgoing FTP Connection Requests
      Allow/TCP/Out/Any/Any/Local Ports/21
    3. Allow Incoming FTP Data Requests
      Allow/TCP/In/Any/Any/20/Non-privileged Ports
    4. Allow Outgoing FTP PASV Requests
      Allow/TCP/Out/Any/Any/Local Ports/Non-privileged Ports
    5. Allow Outgoing DNS Requests
      Allow/UDP/Out/Any/DNS Servers/Local Ports/53
    6. Block and Log All Unmatching Requests
      Block and Log/IP/In-Out/Any/Any/Any
  2. Web+FTP Browser: (Для тех кто качает браузером по FTP)

    1. Allow Access to Loopback Zone *
      Allow/TCP or UDP/Out/Loopback Zone/Loopback Zone/Local Ports/Local Ports
    2. Allow Outgoing HTTP Requests
      Allow/TCP/Out/Any/Loopback Zone/Local Ports/Avast Web Ports
    3. Allow Outgoing DNS Requests
      Allow/UDP/Out/Any/DNS Servers/Local Ports/53
    4. Allow Outgoing FTP Connection Requests
      Allow/TCP/Out/Any/Any/Local Ports/21
    5. Allow Incoming FTP Data Requests
      Allow/TCP/In/Any/Any/20/Non-privileged Ports
    6. Allow Outgoing FTP PASV Requests
      Allow/TCP/Out/Any/Any/Local Ports/Non-privileged Ports
    7. Block and Log All Unmatching Requests
      Block and Log/IP/In-Out/Any/Any/Any
  3. ICQ Client: (В данном случае Miranda не настроено пока обновление)

    1. Allow Outgoing ICQ Requests
      Allow/TCP/Out/Any/Any/Local Ports/ICQ Ports
    2. Allow Outgoing DNS Requests
      Allow/UDP/Out/Any/DNS Servers/Local Ports/53
    3. Allow Outgoing HTTP Requests
      Allow/TCP/Out/Any/81.126.148.66/Local Ports/HTTP Ports
    4. Block and Log All Unmatching Requests
      Block and Log/IP/In-Out/Any/Any/Any
  4. E-mail Client

    1. Allow Outgoing Email Requests
      Allow/TCP/Out/Any/Any/Local Ports/Avast Mail Ports
    2. Allow Outgoing DNS Requests
      Allow/UDP/Out/Any/DNS Servers/Local Ports/53
    3. Block and Log All Unmatching Requests
      Block and Log/IP/In-Out/Any/Any/Any
  5. Avast Web Proxy: (Встроенный в монитор Аваст Web прокси)

    1. Allow Outgoing HTTP Requests
      Allow/TCP/Out/Any/Any/Local Ports/HTTP Ports
    2. Block and Log All Unmatching Requests
      Block and Log/IP/In-Out/Any/Any/Any
  6. Avast Mail Proxy: (Встроенный в монитор Аваст Mail прокси)

    1. Allow Outgoing Mail Requests
      Allow/TCP/Out/Any/Any/Local Ports/POP3/SMTP Ports
    2. Allow Outgoing DNS Requests
      Allow/UDP/Out/Any/DNS Servers/Local Ports/53
    3. Block and Log All Unmatching Requests
      Block and Log/IP/In-Out/Any/Any/Any

PS: Правила для стандартных приложений доверенных, блокированых etc. не пишу так как это само собой понятно.

Ах да. Имеются вот такие вопросы:
Может кто раскинет что б заново не изобретать велосипед

  1. В Global Rules политика запрещено все что не разрешено или наоборот?
  2. В логах много запросов от Windows Operation System, торенты пока не установлены, к чему бы это?
  3. Как правльно настроить правило для Comodo Internet Security, svchost и system, и Windows Update? Хотелось бы поконкретнее с указанием серверов если можно.
    И еще. С комодой паралельно использую утилитку APS Олега Зайцева, так часто выскакивают запросы на 23-й и 1433-й порты это расценивать как атаку или глюк?

Добро пожаловать на форум, NapsteR !

1) В Global Rules политика запрещено все что не разрешено или наоборот?
Если не запрещено, то или разрешено или просить действие. Зависит от выбранного режима файера + направления (вход. или исход.) Основной смысле - не запретил, значит не запретил =)
2) В логах много запросов от Windows Operation System, торенты пока не установлены, к чему бы это?
WOS часто появляется, если нет "принимающего" приложения. В частности ,если кто-то долбится на порт 55000, на котором никто не ждёт соединения, то скорее всего и будет в логах WOS

Про утилиту APS пока сказать не могу. 23-й порт, это telnet (доступ к консоли грубо говоря) 1433 порт, это MySQL, если не путаю. Отсюда и делаем выводы.

По сути предложения Идея достаточно хорошая. Очень поможет, если люди будут выкладывать не только свои наработки, но и “переносить” с англоязычной ветки форума (там всё же поболее и чаще идут обсуждения).

Топики создавать можете сразу тематические. При достаточном наборе материала и по специальному запросу, буду рад или “прилепить” тему, или создать отдельную “приклеенную”, с набором ЧаВо по правилам для приложений.

Благодарствую.

Чем вызвана такая идея, просто по сути всех кто пишет на форуме интересует одна цель - настройка фаерволла в частности или интернет секьюрити. Ну и я тут осмотрелся и заметил что в разных топиках поднимаются одни и те же вопросы, и чтобы подитожить нужно перечитывать все посты во всех топиках. И ИМХО было бы намного проще если б допустим кто-то выдвигает свою мысль насчет какого-то правила, потом все дружно оспаривают и в конце концов приходят к консенсусу. Ну и если в общем возражений не возникает это правило заносится модератором в сводную таблицу или просто прикрепленную тему.
Насчет английской ветки, было бы неплохо если кто харашо шпарит на инглише. Потому как мой английский заставляет желать лучшего (немецкий учил). Ну вот я открываю английскую тему и вижу правила а что дальше в тексте как говорится ни в зуб ногой… :slight_smile:
Ну и по Global Rules. Так я и не вкурил, есть ли смысл там дублировать разрешения из правил для приложений и в конце ставить блокировку всего остального, или лучше не писать ничего а жестко прописать в самих правилах приложений?
Да в двух словах об APS. Утилитка довольно харошая хоть и слегка старая, но смысл не меняет. Может работать в режиме honneypot (имитировать ответ сервиса и отвечать фонаревыми данными) или просто слушает порты и показывает функционирует ли фаерволл в даный момент вообще.

Это скорее всего не атака но точно не глюк. Это значит что кто то пытается выполнить входящее на 23-й и 1433-й порт. Принимать некому и принимает APS о чем честно и сообщает. Это значит что не запрещены входящие в глобальных правилах. Моим первым правилом для Comodo всегда есть правило в Global Rules
Block IP In from IP Any To IP Any Where Protocols Is Any
которое и предлагаю вынести первым правилом в шапку
Всегда начинаю настройку с запрета всех входящих, а при необходимости потом уже добавляю сверху разрешенные. Кому что надо разрешать это уже индивидуально.

zil968 ну я так и думал в принципе вот только интересно кому нужно запрашивать входящее на мой комп о котором походу никто как бы не знает (входящий пинг запрещен) и при с IP разбросаных по всему миру (пробивал парочку), даже если это прокси все равно как-то настораживает. Да и порты стремные - телнет и mySQL которые обично и атакуются.
Block IP In from IP Any To IP Any Where Protocols Is Any
Признаюсь честно я не совсем понимаю это правило хоть и часто его встречал. В моем понимании запрещается входящее по всем протоколам с любого на любой адрес, или я не прав? Тогда по логике нужно или дублировать правила для входящих из приложений или о входящих можно забыть вообще. А как тогда быть с тем самым FTP или Torrent. Мне чего-то не очень нравится такой подход в политике комода. ИМХО было бы лучше если в б в глобальных было “запрещено все что не разрешено”.
На счет шапки дело за модераторами, главное ведь начать а там пойдет. :))

PS: Не нашел нигде, может кто встречал или знает. Как настроить в Comodo правила для Tor. Ато у меня что-то большая связка проксей выходит в куче с Avast, как лучше сделать Browser—>Tor proxy—>Avast proxy или Browser—>Avast proxy—>Tor proxy. Как по мне то вроди одинаково. :)) Но как с точки зрения утечки информации.

Разделение главное ЛОГИЧЕСКОЕ
Глобал Рулезы отвечают скорее за доступность/запрет по портам/IP и т.д.
Аппликэшн Рулез - для приложений.
В частности, Вы можете разрешить исходящий на 80 порт в Глобале, но запретить конкретному приложению в ЕГО настройках.
Точно так же и для входящих - Вы в Глобале Разрешаете куда входить, но в Аппликэйшене запрещаете/разрешаете конкретным приложениям.

Поэтому, даже при полной прозрачности и кажущейся дублируемости - это наиболее правильный выход. Запретить всё и вся в Глобальных. Затем разрешать в Аппликэйшенах и добавлять соответствующие разрешения в Глобал ВЫШЕ полного запрета.

При этом можно и “поиграть” с режимами самого файера.

Политику Comodo постом выше объяснил exproff. Что касается конкретно, например, FTP-сервера то выше над правилом
Block IP In from IP Any To IP Any Where Protocols Is Any
я создаю правило
Allow TCP In From In [моя локалка] To IP мой IP Where Source Port Is Any And Destination Port Is 21
и аналогичное по портам FTP-сервера для Passive Mode
Если аналогичные правила сразу же не вписать и в политику приложений для FTP-сервера, то по приходу входящего Comodo еще и спрашивает “а можно ли ВОТ ЭТОМУ приложению принять такое то входящее”. Абсолютно логично.

Наконец-то ко мне стало приходить прозрение… :slight_smile: Тоесть в глобале нужно разрешить те порты которые будут использоваться вообще независимо от приложения, а также зоны и тип соединений. И соответствено запретить все неиспользуемое. А потом конкретно по приложениях расписать что и кому использовать. Подправьте если ошибаюсь. Благодарю за ясные разъяснения.
С этим ясно, а насчет прикрепленной темы. А то я смотрю мой пост смотрят многие а откликнулись только вы двое. Может я что не так думаю только мне кажется так было бы намного проще особенно для новичков (коим и являюсь не сочтите за эгоизм). :slight_smile:

С позиции ИМХО, данную утилиту надо правильно подключить… Для частного пользователя подойдет вариант, в котором APS в комоде(фаерволе) полностью запретить. Тогда, если эта утилита реагирует-это говорит о том что фаер пропускает или неправильно сконфигурирован. “Мышеловка” на мой взгляд больше подходит для серверов… Имхо…

barsukRed мысль правильная. Только особой разницы нет сервер или десктоп, а я пока не определился так что использую ее по разному но с запросом. Вот только в описании сказано что фаер под нее настраивать не нужно, так что я не понимаю смысла запретить, она же перестанет выполнять свои фунцкии.
Да кстати ты не мог бы сделать услугу, показать пример глобал рулез? А то кроме настроек ICMP и блокировать все не придумываэтся ничего. Спасибо.

Да, в описании так и написано. Это основное направление использования данной утилиты. Но при использовании фаервола COMODO 2.*(и в трешке так-же,насколько помню…) при первом запуске мы получаем огромное кол-во алертов(бигунок в верхнем положении). Держать APS в режиме “Honeypot” нет смысла обычному пользователю,если он специально не экспериментирует. При заблокированном APS в фаере, утилита как-бы находится за фаером и если фаер оставляет без внимания попытку сканирования извне-утилита даст алерт. И мы делаем вывод о не совсем корректной работе испытуемого фаера. Честно говоря, для других целей я не вижу смысла использовать APS в домашнем режиме не специалисту. ИМХО

Я предпочитаю в ГР настраивать очень тонко, вплоть до указания IP-адресов. Но такой подход не все пользователи принимают. Слишком хлопотно. Ну,например для ICQ только порт 5190 и только на адреса по маске::205.188.0.0-205.188.250.250 и 64.12.0.0 - 64.12.255.255,это именно в ГР и именно отдельным правилом.

Я для ДНС прописываю точные IP, это обязательно. Есть зловредные модули, использующие перенаправления на 53 порт и свои адреса.

Для TCP я люблю специально указывать порты,которыми пользуюсь. Например, 80.443. И все.
Причем не важно какой фаервол в использовании, в любом желательна тонкая настройка.

Вообщем все зависит от Ваших потребностей и интересов… :slight_smile:

То barsukRed.
Я не отрицаю что я не специалист, но пока у меня есть желание разобраться в этой ботве я буду разбираться. И я люблю экспериметировать. С APS все понятно, я держу ее только для того чтобы для себя выяснить кто и как пробует прорваться на мой комп, хозяином которого хочу быть я и только я. До этого я использовал Outpost, все работало на ура я серфил по нету и спал спокойно. Пока в одно время не поймал руткит, и вот тогда меня и заинтересовала сетевая безопасность. Взял я да посмотрел преустановки того Outpostа и прозрел, столько лишних разрешений там присутствовало. И решил я все настроить руками по твоему же принципу, задать конкретные IP, конкретные порты и т.д. Вот только не все гладко получается, особенно з пиринговыми сетями, с тем же Torrentом, в особенности для меня как для чайника. И есче я хочу сделать шаблонную таблицу с правилами для всех приложений какие только мне попадаются под руку. Так что буду благодарен за любую ценную информацию ми оказаную помощь.

Я тоже не специалист. Но тем не менее буду рад оказать любую посильную помощь. На форуме есть раздел типа FAQ,там опубликованы множество правил для фаера. Посмотрите, уверен найдете много интересного.
На мой взгляд, к сожалению фаервол comodo не дает полной информации в журнале. Там все очень скудно. Осмелюсь присоветовать вместо APS поставить какой нибудь сниффер. И анализировать его логи. Я очень люблю старый фаервол Sygate v 4.2, в нем сильный журнал и сам он довольно серьезен. При всем при этом он прост в настройках. Для экспериментов и исследований в сети нужны хорошие логи…

огда меня и заинтересовала сетевая безопасность.
:) В нашем полку прибыло...

ИМХО к чему это, если в режиме для приложений и фаервола custom вы создадите правила через кнопки в балунах разрешить-запретить. А потом эти правила отсортируете вверх-вниз.

И тогда к примеру тут у вас будут правила по числу почтовых серверов=ваших ящиков с явно прописанными удаленными ip-адресами и номерами портов.

Как раз никакого противоречия. Даже счетчик гугля для браузера можно забанить.

Всем приветы.
Не хотел открывать новую тему пишу сюда. Кто может обяснить такое поведение Comodo 3.8.65951.477. Установлены: Opera, Avast(Web Scaner), Ad Muncher. Comodo в режиме Custom. Воопщим не мог разобраться как правильно связать эти три програмы в цепочку, запарился и решил удалить правила для них и посмотреть кто куда начнет ломиться.
В результате по логам и запросам нарисовалась такая последовательность
Opera—>Ad Muncher—>Avast Web Scaner
Ad Muncher слушает порт 1101 (Потом почему-то начинает слушать 1102, 1103, 1104 … и т.д. что тоже не совсем понятно)
Avast Web Scaner слушает порт 12080. Нарисовались такие правила:

  1. Для Opera
    Allow and Log/TCP/Out/0.0.0.0(Any)/127.0.0.1/Any/1101
  2. Ad Muncher
    Allow and Log/TCP/Out/0.0.0.0(Any)/127.0.0.1/Any/12080
  3. Avast Web Scaner
    Allow and Log/TCP/Out/0.0.0.0(Any)/Any/Any/80
    Все работает странички сайтов загружаются, мунчер фильтрует, аваст проверяет. В логах отображаются соединения по этим правилам.

Но я на этом не успокаиваюсь и начинаю извращаться и суживать правила(конкретизировать).
Выходит:

  1. Для Opera
    Allow and Log/TCP/Out/0.0.0.0(Any)/127.0.0.1/1024-5000/1101
  2. Ad Muncher
    Allow and Log/TCP/Out/0.0.0.0(Any)/127.0.0.1/1024-5000/12080
  3. Avast Web Scaner
    Allow and Log/TCP/Out/0.0.0.0(Any)/Any/Any/80
    Результат аналогичный все работает логи есть.

Еще суживаю:

  1. Для Opera
    Allow and Log/TCP/Out/127.0.0.1/127.0.0.1/1024-5000/1101
  2. Ad Muncher
    Allow and Log/TCP/Out/Any/127.0.0.1/1024-5000/12080
  3. Avast Web Scaner
    Allow and Log/TCP/Out/Any/Any/1024-5000/80
    И вот тут начинается самое интересное. Сранички загружаются, мунчер фильтрует, аваст проверяет. Но вот только в логах видны соединения только для Ad Muncher и все. ИМХО получается что остальные не попадают под правила и не логируются. Тогда вопрос в чем, почему грузятся сайты если оно не попадает под правило??? В активных соединениях видно вот что Ad Muncher (listen 1101, 1102, 1103), Avast Web Scaner (listen 12080 и соединения с адресами сайтов), Opera появляется только на время DNS запросов а так ее нет там.
    Пожалуйста проясните ситуацию кто знает, а то я запутался или это мой просчет или глюк фаера!!!
    PS: Адрес 0.0.0.0 означает любой адрес по моему пониманию или ошибаюсь?

0.0.0.0 - любой.

Во втором случае (частично суженные правила) посмотрите с каких портов лезет Avast Web Scaner. Вполне возможно, что не с диапазона 1024-5000.

По поводу исходящих соединений

“Во втором случае (частично суженные правила) посмотрите с каких портов лезет Avast Web Scaner. Вполне возможно, что не с диапазона 1024-5000.”

Дело в том что Аваст лезет с 1024-5000, для него только одно правило исхолящее
Allow and Log/TCP/Any/Any/1024-5000/80
И второе блокировать все по протоколу IP для всех адресов и портов.
Я пробовал все работает… Но вот в логах аваст то проскакивает то нет. Может тут какая-то задумка и есть но я ее не понимаю. За ту схемку спасибо, но я ее уже просматривал раньше.
Выходит что правило выполняется иначе бы вторым все блокировалось и странички бы не грузились. Непонятно есче и то почему Ad Muncher сначала слушает один порт а потом начинает расширять диапазон вплоть до 1110, может у него какой-то роутинг там или что, и он не находит запросы на порту 1101 и начинает искать. Да и есче нигде не смог найти нормального описания адреса 0.0.0.0 в общих чертах понял что это что-то связано с роутером. И он может означать в зависимости от ситуации как любой локальный адрес так и любой воопще вроди.

Блин а тут у меня проксей насобиралось малость вот я и запутался в этих перенаправлениях. ))) Такой вот букет проксей: Ad Muncher, PGP, Avast, Privoxy.