Jump to content

AnDrEyK@

Members
  • Content Count

    10
  • Joined

  • Last visited

About AnDrEyK@

  • Rank
    Candidate
  1. В моём случае мне не важно какие именно программы лезут в сеть. Я как раз таки пытаюсь установить указанные ограничения на любую сетевую активность. Немного освежу ситуацию: IE таки смог ходить по некоторым адресам, которые я разрешил. Для этого я добавил в "белый список" доп. адреса Microsoft, без которых он вообще никуда не мог сходить. По-моему что-то типа api.bing.com - сейчас не возле того компа, а на память точно не помню. Но как ни странно, адрес kaspersky.com, который я использовал для проверки его работы, так и не открывается
  2. В прошлый раз я поверил, что переход на 15-ю версию поможет, от меня с решением этой задачи отстали мои коллеги и я махнул на данную задачу рукой. Но сейчас вопрос опять всплыл, я поставил таки рекомендовавшуюся версию. Настройки фаервола оставил по умолчанию, но: 1. отключил ненужные мне правила 2. Добавил нужные (с начала списка вплоть до Sending e-mails) 3. Добавил вниз списка запрет всего остального И... Опять не взлетело! Хотя частично всётаки работает: сам KIS таки находит свои сервера и скачивает с них обновления баз. Если отключить правило "Адреса Касперского" (там ограничение по списку адресов: kaspersky.com + адреса серверов обновлений), то соответственно перестаёт обновляться. Адреса DNS-ами разрешаются, пинги тоже ходят, причём только куда надо, а куда надо - не ходят. Расшареная папка на компе в другой сети (192.168.2.10) тоже работает. Но ОС не обновляется и Internet Explorer упорно не хочет ваще никуда ходить! Специально для него создал правила "kaspersky.com" со всеми возможными в фаерволе настройками направлений. Я эти пять правил понимаю так: разрешать для всех программ все протоколы в любом направлении по адресам из списка: kaspersky.com. Но адрес kaspersky.com не окрывается в браузере. Хотя видно, что он честно пытается. Уж тут нюансы, о которых писал WhKitten уже точно не сработают. Свою логику как правильно догадался Vitaliy216 я ранее строил по опыту построения ACL в свичах Cisco. Я бы всё это конечно прописал там, но ACLы работают только с IP-адресами, а тут мне надо резать доступ по доменным именам, у которых IP могут меняться и меняются фактически. Правила для приложений, активность и журнал см. ниже. В журнале мне непонятен такой момент: почему исходящее соединение разрешается для "Kaspersky Anti-Virus", а не для "Internet Explorer"? Указанное время совпадает с попыткой зайти на этот адрес в браузере, сам KIS я в это время не дёргал, кроме как ковырялся в настройках и смотрел в активность. Пытался понять где загвоздка таким образом: 1. Добавил правило Any network activity (Публичная сеть) для приложений. Если ничего не менять, но включить его - то IE начинает работать. Но, понятное дело, вообще без нужных мне ограничений. Т.е. дело всётаки в правилах фаервола. 2. Включал режим "По правилам" для правил "kaspersky.com" и "Адреса Касперского" - ничего не меняется. 3. Если же опять таки ничего в описанной выше схеме не менять, но отключить вообще фаервол KIS, то тоже начинает работать, т.е. дело только в фаерволе, а не в каких-то других модулях антивируса. У кого-то есть какие-то мысли?
  3. Забыл отписаться о итогах общения с поддержкой: после примерно месяца переписки они сказали что это баг, когда он будет исправлен неизвестно и для решения поставленной задачи необходимо вернуться на предыдущую версию, т.е. 15.0.2.361. Надеюсь кому-то эта информация поможет в подобной ситуации
  4. Спасибо за подсказку, но добиться от него вопросов про каждый чих не удалось (вообще ни разу ничего не спросил): Настройка - Общие - Интерактивная защита: стояла галка "автоматически выполнять рекомендуемые действия". Убрал галку, перезагрузился - ничего не изменилось.
  5. Я к тому, что если отталкиваться от того, как топик стартер описал ситуацию: то ничего кроме фаервола трогать не надо. С такими советами он проблему не решит, но может поломать то, что и так нормально работало
  6. Осталось дождаться Если удастся победить, обязательно отпишусь каким именно образом
  7. Статические, динамические адреса, MAC-адреса, настройки роутера, домашняя группа - вы совсем не в ту сторону копаете. Если с включённым фаерволом KIS не работает, а с выключенным работает, то проблема не в сети, а только в настройках фаервола. Настраивать его можно двумя подходами: либо оперировать правилами для ПК целиком, либо оперируя правилами для конкретных программ. Правильней в данном случае (на мой взгляд) будет настроить пакетное правило для всего ПК, открыв порты необходимые для работы SMB-протокола. TCP-порты: 139, 445 UDP-порты: 137, 138 На сколько я помню, по умолчанию они в пакетных правилах KIS закрыты (или часть из них) - в Local services (UDP и TCP)
  8. В том то и дело, что мне всё равно какие именно программы будут обращаться в сеть. Эти правила должны быть справедливы для всех процессов на ПК. Какой смысл строить такие ограничения для например Хрома, если их можно обойти запустив любой другой браузер? Или любую другую программу, умеющую выполнять некоторые функции браузера. В фаерволах обычно существует приоритет правил, они обычно применяются последовательно. Т.е правило "запретить всё" или "разрешить всё" должно быть в самом конце списка. В данном случае "разрешить всё" невидимо, но существует и применяется после обработки всех правил из данного списка. Раз нет ответа тут, пришлось писать в ТП, жду ответа от них...
  9. Как я понимаю, даже на официальном форуме никто не может дать рабочее решение описанной задачи? Действительно интересный фаервол...
  10. Я конечно извиняюсь, может быть я привык к другой организации фаервола, другой идеологии, или другим терминам, но с помощью тех инструментов, что предлагает KIS (16.0.0.614) и тех терминов которые он применяет, я добиться нужного результата никак не могу. Может кто-то подскажет, что я делаю не так? Итак, постановка задачи: есть ПК, который необходимо отрезать от внешнего мира во всём, за исключением нескольких вполне определённых направлений: 1. Он должен суметь получить настройки сети по DHCP 2. Само собой иметь доступ к DNSам 3. Для процесса наладки и тестирования откроем доступ для хождения ICMP пакетов 4. Откроем некоторый минимальный набор TCP и UDP портов 5. Пустим в расшаренную папку на одном компе в соседней сетке 6. Пустим к обновлениям KIS 7. Пустим к обновлениям винды 8. Собственно цель всей затеи: пустим к некоторым интересующим нас сайтам 9. Всё остальное - запрещаем Как я это сделал, см скриншот: Если включим последнее правило, то сеть ложится полностью. Разве что адрес по DHCP получить может. Всё остальное недоступно. При этом любые манипуляции с правилами вызывают ужасно долгие фризы окон KIS. Хотя процессор по загрузке вполне свободен. Отключаем последнее правило - фризы пропадают. Из настроек для меня так и осталось загадкой - чем в "направлении" отличается "Входящее (пакет)" от просто "входящее"? Пытался погуглить похожие проблемы, но в инструкциях (видимо к более старым версиям) встречается ещё один термин "Входящий поток" или что-то типа того. Вобщем хотелось бы таки настроить этот чудо-фаервол, и где ж искать ответ, как не на официальном форуме? Честно пытался найти решение поиском, но ничего удовлетворяющего моей задаче не нашёл, либо решения оказались нерабочими.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.