Сетка из 2 машин с выходом в инет через одну из них.
С подключенной к инету машины выход нормальный (пускает, спрашивает разрешения и т.д.). Со второй выхода в инет нет (ни браузеры, ни игры). И вопросов никаких при этом не задается (пускать или не пускать). Переключение режимов (сейф, трейнинг, кастом) ничего не дает. Отключаешь Комод - все работает. Включаешь - браузеры перестают, игры продолжают (до разрыва соединения).
В каких настройках править эту ситуацию?
Firewall - Advanced - Firewall Behavior Settings - Alert Settings - галочка “This computer is an internet connection gateway (i.e. an ICS Server)” - стоит.
У меня была та же проблема, смотри Firewall – Common Tasks – My Network Zones, если не настроена локальная сеть, создай New Network Zone и дальше New Address - адрес машины с инетом. Перезагрузись.
Второе и третье правило не совсем важны для домашнего компа. Если совсем без ICMP не обойтись-то попробуйте по ICMP исх эхо-запрос(тип 8 ) и входящий эхо-ответ(тип 0). И разрешаем не по IP все а только по TCP/UDP… Обязательно в GR. Попробуйте.
Помогите, пожалуйста, у меня аналогичная проблема, пробовал вариант boq’а и marksman’а. Не помогло. Работать без файера уже как-то не привычно и боязно.
заранее спасибо.
Нужны настройки компьютеров для понимания правил (IP+маска) и принцип соединения и раздачи интернета.
Нужны правила из “Сетевого монитора”/“General Rules”.
Вот ещё информация - http://forum.ru-board.com/topic.cgi?forum=5&topic=30023#13 (действовать по предложенному там XenoZ’ом способу - сам правильный путь, но после внесения дополнений в правила придётся для надёжности перегружать комп).
2 машины: “сервер” с 2 сетевыми картами, подключен к интернет(ethernet)
2 ая машина подключена по локальной сети к “серверу” и выходит во внешнюю сеть через шлюз.
При деактивации Comodo firewall pro (3.8.65951.477) на сервере щлюз свободно работает, если же включить любую степень защиты, то в событиях выдаются многочисленные записи о попытке соединения с svchost, источник - ip клента, цель - ip сервера.
Ip в домашней сети стандартные, 192.168.0.x, маска сети 255.255.255.0
в global rules 3 правила: одно было сразу - block ICMP in from IP to Any to IP Any where ICMP message is any
остальные появились при подключении локальной сети:
Allow all outgoing requests if the target is in [Home_net]
Allow all incoming requests if the target is in [Home_net]
Исходя из лога нужно прописать для svchost.exe правило: Allow UDP In From 192.168.0.114 To 192.168.0.1 Where Source Port Is In [1024-65535] And Destination Port Is 53
(я так понял, что 1 - это сервер, 114 - второй комп)
После этого перегрузить комп и т.д. прописывать нужные правила для системных приложений.
В данной ситуации надо будет наблюдать за логами процессов “svchost.exe”, “SYSTEM”, “Windows Operating System” и возможно “alg.exe” - если для этих приложений стоит запрет всего, то лучше его убрать (хотя бы на всремя настройки Общего доступа).
И следует учесть, что для WOS запросов на создание правил не будет вни при каких параметрах фаервола, т.е. надо будет по логам смотреть и вручную прописывать нужные правила.
Если нет уверенности по диапазонам, которые надо будет открыть (как я написал выше правило), то помогу прописать, нужны будут лишь логи блокировок.
WIGF, спасибо, что помогаете.
С адресами вы все правильно поняли, 192 168 0 1 - серв, 192 168 0 114 - клиент.
Я прописал указанное правило (кстати порт назначения не только 53, бывает еще 2 других) в application rules, поставил лог на все правила для процессов system, svchost, alg.
Для windows operating system у меня правил не стоит.
Я не очень опытный пользователь, вы не могли бы потом написать последовательность действий, если придумаете решение.
Исходя из последнего лога можно расширить правила для svchost.exe до такого списка: • Allow UDP In From 192.168.0.114 To 192.168.0.1 Where Source Port Is In [1024-65535] And Destination Port Is 53
• Allow UDP In From 192.168.0.114 To 192.168.0.1 Where Source Port Is 68 And Destination Port Is In 67
• Allow TCP In From 192.168.0.114 To 192.168.0.1 Where Source Port Is In [1024-65535] And Destination Port Is In 2869
Все эти правила должны быть и в General Rules (в самом верху списка).
Позволю себе небольшое дополнение.
Такие правила хороши, если адрес на втором компе, в данном случае 192.168.0.114 прописан вручную или комп ежедневно включается. В противном случае, может получиться так, что однажды адрес изменится и правила перестанут работать.
Для исключение подобной ситуации, я в My Network Zones создал группу “Local Network”, в которую включил обе машины, но не по IP, а по MAC адресам. Таким образом, правила получились такого типа:
Allow UDP In From Local Network To Local Network Where Source Port Is In [1024-65535] And Destination Port Is 53
…
Всё работает, даже когда IP второй тачки меняется.
Знатоки COMODO, подскажите, правильно ли такое построение правил?
У меня ip адреса заданы вручную, но я попробовал уже ради интереса прописать по MAC адресам. Перестало работать
Правила делал по аналогии с вышепредложенными для ip, видимо надо писать иначе.
Какие вообще побочные эффекты могут быть от правил с единичными ip и диапазоном портов? Или это представляет какую-то опасность?
Да нет, такие же правила будут. Может с МАК-адресами ошибка ? Ведь на сервере 2 сетевые карты, может не та вбита в правила.
Какие вообще побочные эффекты могут быть от правил с единичными ip и диапазоном портов? Или это представляет какую-то опасность?
В той конфигурации, в которой всё подключено и прописано (интернет-сервер-клиент), - никакой опасности нет. Ведь, насколько я понимаю, карта, смотрящая в интернет, имеет совсем другой IP (иначе не было бы адреса 192.168.0.1).
По логу видно, что вы пинговали свой сервер со второй машины, т.е. выполняли команду ping 160.222.1.1. И на серевере в фаерволе сработала эта блокировка. Верно ?
Если у вас такое в логе появляется, значит у вас в GR и/или в AR для WOS запрещены входящие ICMP.
Чтобы разрешить все входящие ICMP со второй машины, нужно прописать такое правило: Allow ICMP In From IP 160.222.1.2 To Any Where ICMP Message Is Any
Для надёжности в данном случае лучше вместо IP прописать MAC-адрес сетевой карты второй машины.
Извиняюсь за ламерский вопрос : это в GR надо прописывать или добавить процесс WOS в AR и для него прописать правило? Не пойму как работают правила! ???
