Вопросы по Agnitum Outpost Firewall /Outpost Security Suite

[alvic]

N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!

========================

Уважаемые пользователи! Если Вы задаете вопрос по проблемам БЕТА-версий данного программного обеспечения, то будьте готовы к тому, что Вам не смогут помочь!

========================

Уважаемые пользователи!!!
Огромная просьба к Вам!!!

1-ых,
Если Вы просите решить какую-либо проблему с программой Outpost Firewall
указывайте, пожалуйста, версию программы!!!
+
Вашу операционную систему, к примеру: Windows XP ENG SP2 + All Windows Updates
P.S. Скопировать версию программы можно из:
Главное окно Outpost -> Справка -> О программе Outpost Firewall Pro
К примеру: Outpost Firewall Pro ver. 2.7.479.5319 (411)
Номер версии можно выделить мышкой и скопировать в буфер!!!

2-ых,
В решении вашей проблемы очень сильно поможет соответствующая запись из Журнала событий Outpost Firewall
Иконка Outpost Firewall в трее -> Правый клик мышки -> Открыть Журнал событий
или
Главное окно Outpost -> Сервис -> Просмотр Журнала (F7)

3-их,
Прочитайте, пожалуйста, хотя бы один раз русскоязычную документацию к программе!!!
Ссылка на строчку ниже...

========================

Ресурсы для ознакомления:
Русскоязычная документация (с картинками).
http://www.agnitum.com/download/User_Guide_(RU).pdf

01. Весь данный топ на одной странице (поиск по Ctrl+F).

02. Довольно много правил под популярные программы.

03. Knowledge Base (англ.) и Часто задаваемые вопросы (рус.) - весьма познавательно для продвинутых юзеров.

04. Форум на английском языке - http://www.outpostfirewall.com/forum/

05. Форум на русском языке - http://www.firewallforum.ru/

06. Официальный сайт (анг.) - http://www.agnitum.com/

07. Официальный сайт (рус.) - http://www.agnitum.ru/

08. База Знаний Agnitum Outpost - Неофициального русского форумa Agnitum Outpost Firewall

09. Outpost 4.0 - What to Expect - http://www.outpostfirewall.com/forum...ad.php?t=18611

10. A Guide to Producing a Secure Configuration for Outpost - http://www.outpostfirewall.com/forum...&threadid=9858

11. Впервые в РУНЕТЕ - Перевод статьи Paranoid2000 -> A Guide to Producing a Secure Configuration for Outpost -> Теперь на русском языке!!!

--->>> Читаем "Руководство по созданию безопасной конфигурации Outpost". Это должно избавить Пользователей ОР от многих проблем...

12. Outpost PRO FAQ (англ.) - http://www.outpostfirewall.com/forum...splay.php?f=64

13. Забыли пароль? Вам сюда! - http://outpostfirewall.com/forum/showthread.php?t=12089

14. Как я могу сохранить диагностическую информацию, чтобы предоставить ее службе технической поддержки Agnitum? / How can I save Outpost log files and send them to Agnitum's technical support team?
www.agnitum.com/support/kb/article.php?id=1000144&lang=ru

========================

Обновление до последней бета версии идёт только при измененном update.ini
1) C:\Program Files\Common Files\Agnitum Shared\Aupdate
2) update.ini
3) Изменить:
Outpost Firewall Pro ver. 2.0.xxx.xxxx (xxx)
ServerDir=/update_beta25 (было ServerDir=/update_pro20)
Outpost Firewall Pro ver. 3.0.xxx.xxxx (xxx)
ServerDir=/update_test (было ServerDir=/update_pro20)
4) Сохранить файл
5) Запустить обновление
Внимание!!! При обновлении блокируются "левые" ключи!!!

========================
Если Ваш компьютер настроен как шлюз Internet Connection Sharing (ICS),
могут наблюдаться проблемы с доступом на FTP-серверы,
если используется активный режим передачи данных протокола FTP.

Проблема:
Outpost 2.5-3.5 + Windows ICS (Internet Connection Sharing) + Не работает 21 порт

Симптом:
Вы используете ICS и ваш FTP менеджер или менеджер закачки не может работать через 21 порт.

Решение:
Для избежания блокировки таких соединений в Outpost Firewall, попробуйте сделать следующее:
1. Убедитесь что у текущего пользователя есть права администратора системы.
2. Нажмите Start (Пуск), затем Run (Выполнить).
3. Введите REGEDIT и нажмите Enter.
4. Найдите ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\
5. Для ключа ISV замените значение Enable на Disable.
6. Закройте программу Registry Editor.

========================
Каков порядок применения правил обработки сетевого трафика в продуктах Outpost?

http://www.agnitum.ru/support/kb/art...000120&lang=ru


Outpost Firewall Pro 2008 и Outpost Security Suite Pro 2008

• Блокировать узел атакующего
• Доверенные зоны
• Глобальное правило блокировки/разрешения NetBIOS
• Низкоуровневые системные правила, помеченные как "правила с высоким приоритетом"
• Глобальные правила, применяемые до правил для приложений
• Правила для приложений (Запрещенные/Доверенные/Пользовательский уровень)
• Низкоуровневые системные правила
• Глобальные правила, применяемые после правил для приложений
• Разрешить NAT-пакеты
• Правила ICMP
• Политика Outpost
• Блокировать транзитные пакеты

========================
Как сделать, чтобы "глобальные правила" имели больший приоретет, чем "правила для приложений?!"
User_Guide_(RU).pdf
5.5 Фильтрация системы
...
Вы можете изменять глобальные правила или создавать новые с помощью кнопки Правила. Этот процесс аналогичен созданию правил на основе приложений, описанному в главе 5.4 Создание правил для приложений.
Единственными отличиями являются следующие возможности.
Возможность задания типа пакета для исходящих соединений (т.е. соединений, где Где направление – Исходящее):
• Локальные пакеты, направленные из или в локальную сеть
• Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты)
• NAT пакеты – транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT (Network Address Translation, трансляция сетевых адресов) прокси-сервер)

Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество над правилами для приложений, которым отдается предпочтение по умолчанию.

Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NeBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию.
Более того, если Вы отметили Игнорировать Контроль компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения.

NetBIOS rules (in Options/LAN) have a priority of 243. The "Global NetBIOS Block" rule has a priority of 242. Global rules marked as High Priority have a priority of 192 so they do not override NetBIOS/Trusted settings. However adding Ignore Component Control to a global/application rule (regardless of whether it has High Priority set or not) increases its priority to 251 so this would override NetBIOS/Trusted settings. This is an interesting thing to know about, so thanks for pointing it out - I will update the Rules Processing FAQ accordingly.
========================

version 3 and Port 803?
http://outpostfirewall.com/forum/showthread.php?t=15081
Listening on port 803, its for the smart advisor, when you get a message asking you to allow or deny a program, the smart advisor connects to the agnitum server and queries a database for a recommended action.

========================


Линейка продуктов ESET NOD32 Antivirus 3 и ESET Smart Security фильтрует весь HTTP и POP3 трафик через себя...

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Подобное поведение можно отключить!
Как? Читай по этой ссылке (кликай тута)!

========================

Что такое feedback.exe
Ответ на вопрос:
http://outpostfirewall.com/forum/sh...708&postcount=2
The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs.
Перевод (не литературный):
feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка.

========================
History of changes
http://www.agnitum.com/products/outpost/history.php
========================
N.B. Ссылки на фаервол и остальные причендалы в другом (кликай здесь!) топике, здесь только обсуждения!
========================

[Makc666]

Цитата:

Сообщение от kelta

Hi.
Установил себе FTP Serv-U v6.1.0.5, настроил LAN.
У меня такой вот вопрос: какие правила прописать в Outpost (ver. 3.0.543.5722 (431)), чтобы он давал ftp нормально (т.е. вообще) работать?
Стандартные правила ftp только для клиента, под ними фаервол ее блокирует, а прописывать в доверенные не очень-то и хочется.

Сначала немного цитаты из помощи программы TMeter:

Цитата:

Как учитывать FTP-трафик?

FTP аббревиатура обозначает "File Transfer Protocol" или "Протокол передачи файлов". Существует два режима FTP-соединений: Активный FTP и Пассивный FTP. Правила, которые вам потребуются для учета FTP-трафика зависят от используемого режима. По умолчанию, большинство браузеров используют Пассивный FTP, в то время как большинство FTP клиентских программ (например, CuteFTP, Internet Neighborhood, WS-FTP) используют Активный FTP.

FTP-протокол подразумевает два различных соединения между клиентом и FTP-сервером. Первое соединение называется "управляющим" (control connection). Оно предназначено для "входа" клиента в FTP-сервера, перехода между каталогами в FTP-сервере и т.п. Для того, чтобы получить список файлов с сервера, скачать файл с сервера или закачать файл на сервер, используется второе соединение, называемое "соединение для передачи данных" (data connection).

Управляющее соединение одинаково для Активного и Пассивного режима. Клиент инициирует TCP-соединение с динамического порта (1024-65535) к порту номер 21 на FTP-сервере и говорит "Привет! Я хочу подключится к тебе. Вот мое имя и мой пароль". Дальнейшие действия зависят от того, какой режим FTP (Активный или Пассивный) выбран.

В Активном режиме, когда клиент говорит "Привет!" он так же сообщает серверу номер порта (из динамического диапазона 1024-65535) для того, чтобы сервер мог подключиться к клиенту для установки соединения для передачи данных. FTP-сервер подключается к заданному номеру порта клиента используя со своей стороны номер TCP-порта 20 для передачи данных.

В Пассивном режиме, после того как клиент сказал "Привет!", сервер сообщает клиенту номер TCP-порта (из динамического диапазона 1024-65535), к которому можно подключится для установки соединения передачи данных.

Главное отличие между Активным режимом FTP и Пассивным режимом FTP - это сторона, которая открывает соединение для передачи данных. В Активном режиме, клиент должен принять соединение от FTP-сервера. В Пассивном режиме, клиент всегда инициирует соединение.

Пример Активного соединения:
[1] Control Connection: Client port 1026 -> Server port 21
[2] Data Connection: Client port 1027 <- Server port 20

Пример Пассивного соединения:
[1] Control Connection: Client port 1026 -> Server port 21
[2] Data Connection: Client port 1027 -> Server port 2065

Эта информация будет вам достаточна, чтобы создать правила для посчета трафика FTP. Обратите внимание на опцию "FTP data" в редакторе правила. Если эта опция включена, то TMeter будет корректно подсчитывать трафик соединения передачи данных (активное или пассивное) путем динамического добавления дополнительных правил.

Достаточно создать правило для Serv-U на разрешение всех входящих соединений по 21 порту (или другому, если он другой) + Динамическая фильтрация.
ВАЖНО!!! Правило нужно создавать полностью/изначально вручную, т.е. не использовать уже созданные автоматически правила.

Если между Вашим FTP Serv-U и клиентами есть сторонний фаервол, то тогда цитата из помощи Serv-U:

Цитата:

Passive Mode Data Transfers Behind a Firewall
If Serv-U is running behind a firewall or proxy server with address translation, passive mode data transfers (as used by all Web browsers) will generally not work. The reason is that the IP address of the server is not the same as the IP address outside users should use to connect to the server. Serv-U does not know this, and when the FTP client program asks for its passive IP address it will give the wrong (internal) address.

You can often tell if your server is behind a firewall or proxy server because the server’s IP address is a dummy IP address, which can only be used locally on a LAN, and which will not work over the Internet. Any IP address starting with these numbers is a dummy IP address:

192.168.xxx.xxx
172.16.xxx.xxx – 172.31.xxx.xxx
10.xxx.xxx.xxx

You can use the "Help | Local IP Address" menu selection to view the IP address(es) of your computer.

What is needed is some way to tell Serv-U what IP address it should hand out to FTP clients when they want to do a passive mode data transfer, the right address is the IP address the outside world should use to connect to the server. This can be done via the Domain Settings Advanced tab. In that tab is an entry for IP for passive mode, which is where the IP address to report to FTP clients goes.

Example
Say a server is behind a firewall, and has an IP address 192.168.0.10. The outside world accesses the server by using, for example, address 243.56.78.1. To make passive mode work, enter '243.56.78.1' as the IP to use for passive mode for the domain.

The above assumes the firewall is set up to pass all the needed packets on to the server. In particular, this means the firewall has to allow incoming TCP connections to port 21 on the server, allow outgoing TCP connections from port 20 (for regular mode data transfers), and allow incoming TCP connections to any random port between 1024 and 65535 on the server (for passive mode transfers). Depending on what the firewall allows to pass it may be that despite passive mode address translation it is still not possible to use passive mode for data transfers.

If the firewall is blocking incoming connections to ports between 1024 and 65535 not all is lost yet. You may be able to open up the firewall to pass a limited range of ports to be used for passive mode data transfers. The Advanced tab in the Server Settings is used to accomplish this.

[Gruner]

У меня Outpost Firewall Pro ver. 3.0.543.5722 (431). Операционная система:Microsoft Windows XP Professional версия 2002 Service Pack 2.
Проблема заключается в том, что когда я запускаю Far Cry и хочу, подключится к Ubi.com, Outpoct выдаёт, сначало – (Сетевой доступ для Far Cry.ЕХЕ Блокирован, так как его область памяти была изменена другим процессом. Процесс /Е5.0001 произвел запись в область памяти.) после того как я подключился выдаёт- ( Сканирование сети. Узел подменяет свои IP-адреса МАС атакующего: А2-ВВ-20-00-01-00
Или 8С-95-20-00-01-00
IP-атакующего. 255.255.255
Нормального соединение с сервером не происходит постоянно зависает и невидет все сервера. Пробовал обучать, не помогло, разрешил как Доверенному приложению, сервера видит, но не подключается. Могу иногда только сам сделать свой сервер, вот только так и работает. Либо приходится отключать Outpost Firewall и. брандмауэр.Тогда всё идёт как надо. Отключаю, вирусы получаю. К примеру, такого плана - (С/…Black Box.class заражен вирусом Exploit.Java Byte Verify) Помогите, кто, чем может, хотя бы немного, разрулить с этой проблемкой.

Да и ещё один вопрос, когда Осёл работает. Что означает: Обнаружен неверный DNS запрос с IP адреса:84.183.103.157 порт4672 на IP адрес: 202.98.116.66 порт53. Что это за не верный адрес такой?

Да и ещё один вопрос, когда Осёл работает. Что означает: Обнаружен неверный DNS запрос с IP адреса:84.183.103.157 порт4672 на IP адрес: 202.98.116.66 порт53. Что это за не верный адрес такой?

Да и ещё один вопрос, когда Осёл работает. Что означает: Обнаружен неверный DNS запрос с IP адреса:84.183.103.157 порт4672 на IP адрес: 202.98.116.66 порт53. Что это за не верный адрес такой?

Я конечно дико извеняюсь но это не моя вина. Выдало ошибку. я послал ещё раз. Так , простите извените!!!

[faterider]

Попробуй разрешить когда памят процеса изменена от другой процес вьiходит в Веб (на английски): options/application/Process memory control.

Если заработает нормально, тогда сново забрани все и позволи только то что нужно.

Что касает неверньi DNS запрос - нужно будеть очень внимательньi потому что трояньi иногда маскирует свой трафик как DNS запросьi. Сделай все проверки для гадьi которьiе знаеш. Но потому что троян которьi маскируется так возможно будеть очень зльi (например с руткит маскировка) не плохо если ничто не найдеш все таки преинсталирать операционная система. Если ето только когда осел работает не так страшно, но все таки.

[Gruner]

Попробуй разрешить когда памят процеса изменена от другой процес вьiходит в Веб (на английски): options/application/Process memory control.

Можиш повторить свою мысль ещё раз. Немного по подробнее, я не всё понял.

[faterider]

http://img484.***************img484/7622/clipboardimage7cw.jpg

Удали ето: http://img514.***************img514/4702/clipboardimage10fb.jpg

[Gruner]

Зделал, всё как ты сказал. Теперь по новому.Атакующий заблокирован Обнаружена Short fragments c.62.202.14.199 ПРоверил не идёт.

[faterider]

Останови только attack datection plugin:

http://img409.***************img409/6721/at7et.jpg

И скажи так работает ли нормально?

[Gruner]

Ещё не сделал, так как пришлось переустанавливать. Не могу его запустить – (используется другим приложением, У вас не достаточно прав.) Вот проги обучу и дуду опять пробовать.

[Gruner]

Цитата:

Gruner:
Останови только attack datection plugin:

Переустановил. С первого раза подключилось, всех нашло. Я его обучил. Даже сумел подключится к серверу. Произашол сбой. Я попробовал заново. Не идёт. Попробовал как
ты подсказал не пляшет. Но в журнале нашел новую запись. (farcry.exe исход. Блок. TCP
crl Microsoft.com HTTP Заблок. Контролем Компонентов) И вся строка серая и перечёркнута. Я его переместил в Доверенные. Не помогает. И ещё одно пишет ( farcry.exe исх. Блок. TCP gsconnect.ubisoft.com Заблок. Контролем Компонентов)
Ума не прилажу где он его блокирует и почему!?

Да, вот ещё, нарыл в журнале ещё одну (svchost.exe исх. TDP 217.237.149.225 DNS Использован кэш DNS) если это поможет.

[Iv@№1]

перешел на оютпост 3. шо за feedback дополнительно висит? Для чего это?

[Makc666]

Цитата:

Iv@№1:
перешел на оютпост 3. шо за feedback дополнительно висит? Для чего это

Забей на него Убей его из процессов и убери данный процесс в Автозапуске Windows.
C:\Program Files\Agnitum\Outpost Firewall\feedback.exe

А вообще, вот ответ на твой вопрос:
http://outpostfirewall.com/forum/sho...08&postcount=2

The feedback service is a new feature that is similar to error reporting in windows. It is meant to send, if you allow it, error reports when there are issues directly to Agnitum. It should only run when an error occurs.

Перевод (не литературный):
feedback service новая фича, похожая на отсылку отчетов в Windows. Это означает, что данная утилита отсылает, если Вы её разрешаете, отчеты о ошибка программы напрямую в Agnitum. Она запускается, только когда возникает ошибка.

[faterider]

Цитата:

Сообщение от Gruner

Но в журнале нашел новую запись. (farcry.exe исход. Блок. TCP
crl Microsoft.com HTTP Заблок. Контролем Компонентов) И вся строка серая и перечёркнута. Я его переместил в Доверенные. Не помогает. И ещё одно пишет ( farcry.exe исх. Блок. TCP gsconnect.ubisoft.com Заблок. Контролем Компонентов)
Ума не прилажу где он его блокирует и почему!?

В крайном мере можно регулировать kонтрол kомпонентов, но ето весьма опасно для безопастност целой системе: http://img451.***************img451/982/c1qv.jpg

[orvman]

Gruner, faterider
Я пытался понять о чем Вы говорите, но прикола не понимаю.
Могу сказать одно - видать трояны в системе, поэтому и глюки. Но это отдельная история. Детально разбираться нужно.
Теперь другое. Можно попробовать прописать ручками для Far Cry.ЕХЕ дополнительную фичу - игнорировать контроль компонентов. Это известный баг в ОР, тянущийся еще с v2.6. - с такими играми, например CS и другими.
Теперь по поводу смены mac. Уверен на 90% - подключение VPN. Если да, то часто помогает Детектор атак - вкладка Ethernet.
Но это всё в общих чертах.
Не забудьте провериться на вирусы последними базами. И никогда не отключать Детектор атак полностью - это самоубийство.

[faterider]

orvman - Я считаю что с постьi #1430, #1432, #1434 очень ясно показал что отключение ети компонентов нужно сделать, только для тест что конкретно блокирует игру. И после вернуть ети настройки назад и добавить только то что нужно как довереньie елементьi.

Очевидно что если он оставить attack detection, component control и process memory managemet удалени, то ето равносильно удалить цельi Аутпост.

Что касается трояна - мне ето тоже усамнило, но я никогда не играл такие игрьi и сам не уверен как держатся. Правда я сделал google для проблема и не нашел ничто подобно в цельi нет и ето наводить на мьiсл что троян возможен. Но ето Gruner должен проверить преди спросить об Аутпосте.

[Gruner]

Цитата:

orvman:
Теперь другое. Можно попробовать прописать ручками для Far Cry.ЕХЕ дополнительную фичу - игнорировать контроль компонентов. Это известный баг в ОР, тянущийся еще с v2.6. - с такими играми, например CS и другими.

ПРивет. А можешь по подробнее! И по проще.

Цитата:

Gruner:
Я считаю что с постьi #1430, #1432, #1434 очень ясно показал что отключение ети компонентов нужно сделать, только для тест что конкретно блокирует игру.

Давай пошагово попробуем. Была не была, может, что и получится. Проблемка в том что у меня рус. Инте фей-с. А в английском я не очень. С легка в немецком. Ты мне по шагово что делать, и мы я думаю эту проблему разкантачим.

[orvman]

Gruner - а что тут проще? Для всех правил для игры в ОР (если их несколько) для farcry.exe ставишь - Игнорировать контроль компонентов. Видать игра активно юзает UDP-порты. А вообще, много инфы есть в логах ОР.

[Gruner]

Привет. Всё получилось намного проще, чем я думал. Парамитры / память процессов/(добавил)FARCRY.EXE./И (разрешил) - Блокировать сетевой доступ, если память приложения была изменена другим процессом. Всё лабает как надо.

[bronetemkin]

Проблема возникла. Outpost Firewall Pro ver. 3.0.543.5722 (431) - Страшно глючит Opera (c правилами для броузера). Постоянно некоторые страницы недоступны. При политике "Блокировка" и "Обучение" это и происходит. Причем при "Обучении" ничего не спрашивает. В блокированных Оперы нет. А доступа тоже нет. Когда переключаешь на политику "Разрешать" - тогда работает, но с каждого сайта Аутпост обнаруживает кучу атак и сканирования портов ( 217.16.18.83 TCP (2604, 2600, 2598, 2597, 2596, 2581, 2580, 2579, 2574, 2570, 2569, 2568)(Например). Аналогичное поедение у Миранды (при попытке соединяться с Jabber). Почему так? Почему не работает "Обучение"?

[anakarn]

Цитата:

bronetemkin:
Постоянно некоторые страницы недоступны.

Что говорит журнал? Случаем не Пакет на закрытый порт?

[vikmor]

После перехода на Outpost Firewall Pro ver. 3.0.543.5722 (431) стало невозможно ввести пассворд для соединения с роутером (Linksys BEFW11s4). Когда выгружаю Outpost, пассворд проходит нормально. Может надо какое правило отменить? подскажите, кто знает...