Входящие WOS (проблемы фаера)

Yuriy, а есть уверенность в том, что метод, описанный в “Windows Operating System” VS Global Rules (CFP v3) работает? – вчера экспериментировал с настройками торрента и убедился в обратном – скрины прилагаю.
Добавлять WOS в список приложений смысла не имеет.

Из правил для p2p всякое упоминание о входящих можно исключить, можно даже клиенту все входящие прямо запретить, как я и сделал на скриншоте – это ни на что не повлияет, т.к. собственно битторрент-клиент входящих не инициирует и они будут создаваться что бы вы не написали в правилах для WOS – главное, чтобы они были разрешены в global.

Таким образом, любые соединения явно не запрещенные в Global Rules так или иначе могут быть установлены вне зависимости от настроек Application Rules – подтверждения пользователя при этом даже не потребуется.

После изменения и перед применением настроек комп был перезагружен, а из сети скачан новый торрент.
Скрины:

http://img98.imageshack.us/img98/2798/cfwarzi2.th.png

http://img98.imageshack.us/img98/2518/cfwgrze7.th.png

bastard, первый раз такое вижу. У меня всё работает (запрещает), если запрещено в AR. Какой-то глюк/баг у тебя.

А фаер был в каком режиме ? Лучше ставить “Custom Mode”, а то может у тебя Safe стоит и фаер почему-то забивает на запрещающие правила по WOS (как вариант).

P.S. Увидел возможную причину: в AR есть группа Windows Updater Applications. Что в неё входит ? Может именно в ней разрешены входящие ?
Да и может ещё какая-нить группа есть ?
Либо может по правилам для System разрешены входящие.

WIGF
Для всех “системных” Stealth Mode скопировал – входящие везде запрещены:

http://img227.imageshack.us/img227/1221/cfw2kx5.th.png

Режим Custom

У меня всё работает (запрещает), если запрещено в AR. Какой-то глюк/баг у тебя.
AR действительно работает и запрещает – и у меня запрещает – за исключением тех случаев, когда соединение устанавливается не “от имени” программы, а как соед. WOS – AR может контролировать все кроме WOS – обрати внимание, что правило Ask and Log на WOS тоже не действует – по всей видимости, WOS в принципе не умеет спрашивать разрешений, он только GR подчиняется.
Если юзаешь uTorrent, просто запрети ему устанавливать любые входящие, и WOS’у запрети – и посмотри после этого в клиенте, доступен ли ты для входящих – будешь доступен, пока в GR не заблокируешь.

Я этот WOS удалил давно, а как заново сделать не соображу (нет такой группы и вручную не пропишешь).
Приложений, которым нужны входящие соединения, у меня нет… за исключением IPTV, но там правило прописано только для мультикаста:
Allow UDP In From IP 172.x.x.x To IP 233.x.x.x Where Source Port Is Any And Destination Port Is 5050
В журнале это соединение (если включено протоколирование) прописывается как WOS, само собой.
В текущих соединениях в CFP его не видно (не отображается), но оно есть в netstat -a и в мониторе CurrPorts (здесь уже показано приложение-получатель).
В AR никаких правил для IPTV-плеера нет, но несмотря на это он всё показывает (в двойке требовалось правило.
В общем, какая-то недоделка у разработчиков. Не всё учитывается… Дырка, в общем.
А проверить путём создания правил для WOS, как уже сказал выше, к сожалению не могу.

Вот, можно попробовать на IPTV проверить: в AR → Add… → Application Path: → Select → Running Processes… → WOS

У меня тут смутное подозрение, что все входящие, т.е. вообще все попадают в группу WOS – просто еще ни одного приложения не нашел, которое бы входящее от своего имени принимало, но это может и не так…

Полный пипец. :-[
Сделал, как ты сказал, и создал правило для WOS (спасибо за наводку, не сообразил я сам так сделать).
Сначала создал ASK, но ни ответа ни привета.
Потом поставил Block - также соединение проходит.
(в GR явно прописано разрешение, ибо без него очень сложно будет сделать, т.к. у меня там полно других запрещающих правил для удобства ведения журнала)

На лицо КОНКРЕТНЫЙ БАГ. ДЫРКА.

Если ты знаешь аглицкий, то попробуй отправить это всё в COMODO, а то я кроме русского ничего и не знаю (точнее читаю, но сказать ничего не смогу).

Я вообще не пойму, как такие вещи в тройке контролировать. Так ведь тогда лучше включить брандмауэр виндоса (он такое ловит и контролирует).

Дружище, я только сейчас начинаю осознавать, о каких масштабов ДЫРЕ идет речь…

Поясню на примере с uTorrent’ом, какие последствия может иметь этот “БАГ”
– это уже не просто абстрактный пример, это самая конкретная ситуация, вот она, описана выше, во всех подробностях, даже допущений никаких делать не придется, все УЖЕ так работает, только uTorrent прога честная и это она сама не захотела делать чего-нибудь вредного, а если бы захотела – никто бы ей не помешал, даже по логам не удалось бы выяснить, кто именно чего там натворил…

Итак, пример:

Скачиваю я из Сети прогу, думаю, что это браузер или мессенджер или все что угодно, в правилах для проги все входящие ЯВНО ЗАПРЕЩАЮ (обрубить все входящие в Global я при всем желании не могу, потому что IPTV к примеру пользуюсь) – после запуска COMODO спросит у меня: можно эта прога сунет свой нос наружу по протоколу TCP порту HTTP 80, на что я отвечу: да ради бога, я ж ей все входящие ЯВНО ЗАПРЕТИЛ – и прога сунет, но не по TCP/80, а инициирует десять тысяч входящих, которые в логах COMODO будут значиться как Windows Operation System

(и это еще при условии, если в глобальных отдельным правилом прописаны входящие и установлено писать их в лог; если же в глобал входящие явно не упоминаются, т.е. просто нет на них общего запрета, что по умолчанию и рекомендуется, то вы вообще никогда не узнаете об их существовании)

и для этих десяти тысяч входящих, поскольку это WOS, COMODO никакого разрешения НЕ СПРОСИТ

– это не теория, не преположение, это реальность: именно так здесь и сейчас работают uTorrent и IPTV скачивая и отдавая ГИГАБАЙТЫ никем и никак НЕ КОНТРОЛИРУЕМОЙ инфы

И действительно, АБСОЛЮТНО ВСЕ входящие COMODO относит к WOS, а это значит, что прямо сейчас ЛЮБАЯ прога на вашем компе, хоть мессенджер, хоть справочник, может открыть столько входящих сколько захочет и туда, куда пожелает, и НИКТО ВАС ОБ ЭТОМ НЕ СПРОСИТ, и если вы не ведете очень специально настроенных логов, вы даже о самом факте соединения никогда не узнаете, а если вы настолько крут, что логи ведете, настраиваете и даже читаете, то о самом факте может и узнаете, как вот мы узнали, но кем именно он был инициирован – в принципе не судьба, и если входящие как таковые вам для чего-то все-таки нужны, то в будущем, уже зная об активности трояна, вы даже доступ в Сеть ему заблокировать не сможете…

УБЕЙТЕ МЕНЯ АП СТЕНУ, чтоб я такие брандмауры юзал

Спасибо, по скрину видно, что так не должно быть. Извиняюсь, что не доглядел с самого начала ИЛИ что-то изменилось (“пропускной режим” для “приложения” WOS) со времени написания Windows Operating System" VS Global Rules. На время написания был на 100% уверен, что способ рабочий: есть ветка на англ. форуме, где ведущий программист подтвердил, что WOS может заменить глоб. правила; не помню какой была версия фаера на тот момент.

Непонятно, что не так в правилах для p2p ? С WOS разобрались, но в “правилах для p2p” ни слова о WOS. Например, когда у меня был осел, он не работал правильно, пока не задать соотв. правило для входящих и в глобальных, и в правилах для приложений.

Уверен, что это не так. Был конкретный пример: осел (emule). К сожалению сейчас осла нет - проверить не могу.

убрал WOS vs global rules из темы. ■■■■■■■, еще раз спасибо, что указали на ошибку.

bastard, слов нет…
Запостил это на Ру-Борде.

Yuriy, дело в том, что я сам проверял с помощью IPTV. Там входящие UDP-соединения на порт 5050.
Они вообще не отражаются нигде! Их нет в текущих соединениях. Их нет в AR (там вообще нет правил по IPTV-плееру, хотя в своё время в двойке я их писал, ибо без них не работало ничего).
В логах отражаются разрешения для WOS, т.к. у меня в GR прописано разрешение для таких соединений.
В AR одновременно стоит полный запрет WOS.
Но каналы я смотрю !!!

Я ведь только сейчас обнаружил, что у меня нет правил по IPTV в AR. Я был полностью уверен, что они там есть. :-[

Не сомневаюсь, что так и есть. Я просто привел пример, когда входящие идут как конкретное приложение (emule.exe), а не как (теперь) непонятное WOS.

Yuriy, но если это так, если мы не ошиблись (а вроде бы не ошиблись, ведь проверяли независимо друг от друга и разными программами), то это конкретная дыра…

Ведь дело даже не в том, что все входящие идут как WOS (хотя и это нехорошо), а в том, что входящие вообще бесконтрольны, если мы их разрешаем в GR. Мы их после разрешения просто не видим. Единственный вариант их увидеть через COMODO - это включить протоколирование в разрешающем правиле в GR. И то, мы это увидим только в журнале. И увидим там всё тот же WOS.

Да, согласен. Недочет фаера есть, не поспоришь…

Yuriy, спасибо что ответили! – если бы сообщить разроботчикам, было бы совсем здорово

Я был не совсем уверен, осла раньше не использовал, но теперь понятно, что в этой версии именно так, только что проверил, просто с ослом ситуация сложнее: он просит два порта, TCP и UDP, однако для входящих он использует только TCP и именно этот TCP для входящих COMODO определяет как WOS, к eMule COMODO привязывает только UDP соединения, очевидно именно потому, что eMule использует их только для исходящих – на скиншотах это видно, их кстати можно легко запретить, ослу это не повредит, даже в настройках самого осла можно указать, чтобы он исходящие UDP не использовал, а вот без входящих по TCP действительно работать не будет…

таким образом, сейчас можно смело утверждать, что для всех без исключения входящих соединений COMODO не различает кто их инициировал и всегда классифицирует как WOS

Скриншоты:

http://img233.imageshack.us/img233/2023/cfwemgrbv8.th.png

http://img232.imageshack.us/img232/692/cfwemaroq3.th.png

Теперь вижу, что я был не прав, спасибо за исследования. По скринам действительно видно, что входящие tcp для осла идут как WOS вместо emule.exe (как в прошлых версиях).

Не вопрос, сообщу. Только пока не удаляйте пожалуйста скриншоты на imageshack - кину ссылки на эти картинки разработчикам.

Для уточнения: какая система (Vista x32, Vista SP1 x32, XP SP2 x32, XP SP3 x32)? …и версия фаера (3.0.25 ?)

Yuriy, я тестировал на XP SP3 x32. Версия CFP - 3.0.25.

Спасибо WIGF. На всякий случай я написал в суппорт также системы xp sp2, vista, vista sp1 - все 32х битные. Пусть проверяют.

=========================
Пришел ответ от саппорта: “Your Ticket has been received and a member of our staff will review it and reply accordingly.” (статус “open”), т. е. пишут, что будут разбираться.

Yuriy, спасибо!
Теперь, как говорится, “будем подождать”.

Yuriy, WIGF
Конечно, все скрины останутся на imageshack, возможно уже не принципиально, но Vista x32 SP1, COMODO FWP 3.0.25.378

Да,будем ждать: вопрос важный еще и потому, что переставать юзать CWF я например все-таки не собираюсь: слишком уж красиво он в систему вписался: с фриварным Avira они прямо созданы друг для друга – нигде не пересекаются и перекрывают весь круг задач и даже больше… оба – легенда и оба – лучшие… вот и фиг его знает как ко всему этому относиться… блин!

bastard, WIGF

Почти 100% уверен, что “мэмбэр оф стаф” (;D т. е. офиц. представитель Comodo) уже рассмотрел этот случай (изменился статус “саппорт тикета” + появилось имя, кому был назначен этот “тикет”). Но мне неизвестно, какие были сделаны выводы - никакого ответа, ни письмом, ни в базе.

ps:
У меня хост за натом + не использую п2п и др. программы, которым необходимы входящие соединения, поэтому отслеживать вход. соединения мне проблематично, а специально этого делать врядли буду… Так что, если будет желание и возможности, держите в курсе, каков будет прогресс следующей версии.
Удачи, будем надеяться, что поправят в 3.0.26.

Ок. Обязательно проверим. В наших же интересах