Здравствуйте. Скажу сразу что пользуюсь фаерволом Comodo с версии 2.4 , и вроде не ламер.
Не могу открыть порт для всех, неужели нельзя это просто сделать? Версия Comodo Internet Security последняя - 5.3.
Прописываю правило для входящих соединений в глобальных правилах. Тестирую допустим порт для торрент клиента, к примеру порт 10000 извне сервисами типа http://2ip.ru/check-port/ .
Правило для global rules: allow / tcp or udp / in or out / any / any / any / destination port 10000
В логах отражается что заблокированно, правило Windows Operating System. Разрешаю для системных приложений соединения по порту 10000 (можно даже если разрешить вход по всем). Все равно при проверке появляется в логах это правило и блокируется пакет.
Однако если запустить торрент клиент и прописать ему входящее правило по этому порту то порт показывается как открытый.
У меня вопрос, неужели нет возможности просто открыть порт без привяки к приложению? Пофигу на безопасность и т.п, мне нужно просто открыть этот порт. Неужели эта простая азбучная вещь отсутствует в таком продвинутом фаерволе? Причем я помню как легко это делалось в версии 2.4.
P.S. Очень уважаю продкуцию Comodo и всем рекомендую.
Прописывал правило в сетевых соединениях allow / tcp or udp / in or out / any / any / any / destination port xxxxx . Все, любой порт прописываешь и он доступен извне без привяки к приложению.
Tehnik, что значит “доступен извне без привяки к приложению”, если порт отдельно от приложения не существует. Порт - это свойство открытого приложением сокета. Вы же сами написали:
“Однако если запустить торрент клиент и прописать ему входящее правило по этому порту то порт показывается как открытый.”
Нет никого, кто слушает этот порт - нет и порта. Или Вы хотите, чтобы порт снаружи был виден как “закрытый”, а не как “отсутствующий”? Хм. А зачем? Это же дыра в безопасности.
Тогда проще, задача следующая, сделать так, чтобы сервисами по проверке открытости портов, указанный порт был как открытый. Согласен что дыра, но необходимо чтобы было так
Есть специфический софт который работает только если порт открыт для всех соединений. Вобще без фаервола гораздо хуже чем допустим один открытый порт 23456.
Скажите как это можно сделать если возможно? В 2.4 делалось легко, поэтому я и не понимаю, ранее просто не было такой потребности и поэтому я не копал этот вопрос, а сейчас возникла необходимость.
Запустить сервис, который работает на этом порту. И открыть ему входящие соединения в глобальных правилах и правилах для приложения. Иначе просто не бывает, порт не может быть “открыт”, если его никто не открывал.
Результат сканирования порта обычно подпадает под одну из трёх категорий:
* Открыт, или соединение принято (англ. open): хост послал ответ, подтверждающий, что хост «слушает» — принимает соединения на данный порт.
* Закрыт, запрещено, не слушает (closed): хост послал ответ, показывающий, что соединения на данный порт будут отвергнуты.
* Заблокирован, отфильтрован (filtered, firewalled): от хоста не поступило ответа.</blockquote>
Возможно тогда я что-то не понимаю ???
А можно тогда еще вопрос? Как сделать так, чтобы все что блокируемые пакеты которые в логах отображаются как Windows Operating System не блокировались? т.е. проще говоря как явно указать правило для всех подобных соединений чтобы фаервол пропускал эти пакеты?
Когда ты указываешь в свойствах этого правила что именно по этому порту нужно пропустить пакет, он все равно его не пропускает. Даже если ставишь “разрешить все для всех” все равно эффекта ноль. (порт который нужно открыть 63372)
Вот скриншоты:
Глобальные правила - http://s43.radikal.ru/i102/1101/15/23a24db6005c.jpg
Журнал - http://s014.radikal.ru/i327/1101/18/bcf355a8c950.jpg
Правило для WOS - http://s004.radikal.ru/i207/1101/00/5c103136a6d5.jpg
Ну вообще, здесь видно, что входящие UDP он принимает.
Так, давайте по порядку. Вы видели чтобы этот порт был “открыт”? Вы уверены, что он не перекрывается железным файрволлом по дороге? Насколько я вижу, Вы находитесь за роутером. Поставьте ту программу, которая должна работать на этом порту, настройте для неё правила, давайте сразу на неё ориентироваться. Вам не нужно, чтобы что-то лишнее, доходило до “Windows Operating System”, это всё равно будет фактически означать сброс пакета, пока на этом порту никто не работает, только сбрасывать его будет не файрволл, что лучше, а драйвер TCP/IP, что хуже. А я пока даже не пойму, что в какой момент происходит и работает ли какой-то сервис на этом порту, когда пакеты дропаются.
Задача у меня следующая:
Нужно чтобы программа для проведения видеоконференций OpenMeetings Google Code Archive - Long-term storage for Google Code Project Hosting. , работала на 5080 порту через вирутальный линукс сервер на VirtualBox (проброс с локалки я потом сделаю). Как я не колдовал, она никак не хочет запускаться с фаерволом, даже в логах информации не отображается. Это не принципиально, т.к. если удастся настроить нормальный открытый порт то думаю все будет ок.
Вам не нужно, чтобы что-то лишнее, доходило до "Windows Operating System", это всё равно будет фактически означать сброс пакета, пока на этом порту никто не работает
Как раз работает и слушает порт, и пример с торрент-клиентом это показывает, но в логах пусто.
Так, Tehnik, давайте сначала опредлимся с терминологией.
Порт снаружи может быть виден как:
Открытый. Когда на этот порту работает некий сервис и файрволл ему не прпятствует.
Закрытый. Когда файрволл сервису не прпятствует, но сервис не работает и драйвер протокола возвращает соответствующий ответ, чтобы клиент мог прекратить попытку соединения не дожидаясь таймаута.
Скрытый. Когда независимо от состояния сервиса файрволл бросает любой пакет идущий на этот порт без всякого ответа.
Если не ошибаюсь, 2ip сводит пункты 2) и 3) в один, проверьте лучше этим
Насколько я понимаю, Вам нужен режим (1). Но тогда Вам нужно, чтобы сервис работал, файрволл не препятствовал прохождению пакетов на указанный порт внутрь охраняемой сети (это в глобальных правилах), данному сервису был разрешен прием пакетов из внешней сети на указанный порт. Это уже в правилах для приложений. При Выполнении этих трёх условий сервис будет без труда принимать входящие соединения. Возьмите для проверки какой-нибудь простенький http-вервер, вроде этого, настройте его на внешний интерфейс, разрешите в глобальных вохд снаружи по нужному порту, пробросьте этот порт на роутере, разрешите серверу приём соединений изй внешней сети и проверьте “самого себя” через какой-нибудь прокси снаружи. Всё будет работать. Если заработает, то можно будет разбираться дальше, особенно с учетом того, что в Вашем случае сервис должен работать, минимум, за тремя файрволлами и двумя NAT-роутерами.
Запустил MiniServer, прописал правила - все действительно заработало и пакеты проходят
Но проблема с openmeetings все еще осталась, нет ответа и все тут.
У меня вопрос немного не относящийся к топику: есть ли возможность с помощью Comodo или чего либо еще пробросить порты с локального адреса на внешний ip адрес без использования роутера? (допустим я воткну шнурок из роутера напрямую в компьютер и пропишу статический ip). Просто желательно чтобы траффик шел с минимальным количеством узлов и задержек.
Но тогда Вам, по идее, надо разбираться с NATом VirtualBox’а, раз соединения из инета приходят. Сам я с ним практически не работал, помню только что там была какая-то команд-лайнная утилитка для этого…
Сделать из CIS NAT-роутер? Нет, так он не умеет.
Э-мм… А сейчас у Вас куда шнурок? И какой Вы статический имеете в виду, интернетный?
P.S. А-аа… понял, В смысле, хотите отцепить от интернета роутер и воткнуть инет сразу в эту машину? А с остальной сетью как быть? Да и задержки-то там копеечные…
Э-мм... А сейчас у Вас куда шнурок? И какой Вы статический имеете в виду, интернетный?
P.S. А-аа.. понял, В смысле, хотите отцепить от интернета роутер и воткнуть инет сразу в эту машину? А с остальной сетью как быть? Да и задержки-то там копеечные...
Остальная сеть потерпит без интернета :). Когда на сервере висит около 100 человек то каждый лишний узел это задержки, а также и с точки зрения надежности лучше чтобы было напрямую в сервер.
Сделать из CIS NAT-роутер? Нет, так он не умеет.
И все таки, с помощью какого стороннего софта это возможно сделать? Или допустим route прописывать?
Но тогда Вам, по идее, надо разбираться с NATом VirtualBox'а, раз соединения из инета приходят. Сам я с ним практически не работал, помню только что там была какая-то команд-лайнная утилитка для этого...
Эх ладно, буду копать в сторону VirtualBox, спасибо за помощь :)
А зачем Вам сторонний софт, если нужно пробросить порт уже “внутри” VirtualBox’а? Точно так же он будет принимать на каком-то своём порту и NATить уже внутрь, на виртуальную машину. Вот, кстати, инструкцию нашел Chapter 6. Virtual Networking
