Сетевые пакетные правила.

jemand-jemand · August 9

Добрый день, подскажите пожалуйста, почему в пакетных сетевых правилах, правило которое ниже по приоритету (стоит ниже в списке) и в котором стоит все запретить, блокирует правило, стоящее выше. В отчёте сетевого экрана так и стоит сначала разрешено потом, тоже самое, запрещено. Так и должно быть?

andrew75 · August 9

Потому что кроме приоритета есть еще порядок выполнения:

Цитата

Сетевой экран выполняет правила в порядке их расположения в списке сетевых пакетных правил, сверху вниз.

Поэтому сначала нужно запретить все, а потом разрешить что-то конкретное.

jemand-jemand · August 9

Большое спасибо за ответ, НО тогда теряется смысл приоритетности, да сверху вниз, но должно из правил, влияющих на конкретный один и тот же трафик, выполняться правило, стоящее выше. Я перенёс правило заблокировать все на самый верх и теперь у меня вообще все отсекается. Только красные записи запрещено в отчёте, а раньше чередовалось сначала разрешено, а потом запрещено. И вообще, по моему такое наступило после обновления на kaspersky standard 21.18. Раньше у меня, почему-то, все работало и поэтому я просто хочу теперь разобраться почему так.

andrew75 · August 9

Значит нужно писать в техподдержку, пусть разбираются.

jemand-jemand · August 16

Здравствуйте, а может кто-то у себя поставить всё запрещающее правило после разрешающего правила для обращения к DNS серверу и посмотреть будут ли у него блокироваться пакеты к DNS. Хочу выяснить это только у меня чередуются разрешить, а потом блокировать однотипный трафик или нет. По докам от разработчиков, выполняется только вышестоящее правило, а все остальные правила, которые ниже, для этого же трафика(активности) игнорируются. Буду премного благодарен. Как это у меня, продемонстрировано на скринах:

Edited August 16 by jemand-jemand

andrew75 · August 16

Я не знаю, как насчет соответствия документации. На мой взгляд понятие "приоритет" очень неоднозначное.

А по логике работы любого файервола все работает абсолютно правильно.

Правила выполняются сверху вниз. И в конечном счете срабатывает запрещающее правило.

Журналы читаются снизу вверх.

P.S. За то время, что вы пытаетесь с этим самостоятельно разобраться можно было уже несколько раз задать вопрос техподдержке. Чтобы не гадать, а получить ответ как именно это работает.

andrew75 · August 16

Добрый день. Вопрос по сетевым пакетным правилам. Если я создам два пакетных правила, условно: 1. Разрешить DNS over UDP. 2. Запретить доступ по 53 порту по любому адресу. И размещу эти правила в таком порядке вверху списка. Какое правило в конечном счете сработает?

Вы

16.08.2024 17:54

Правила работают по списку приоритета. Та которое будет выше, то и будет работать первым.

Azat

16.08.2024 18:01

Вопрос не какое будет работать первым. В верхнем правиле я разрешаю обращение к DNS серверам по UDP. А в следующем запрещаю. Какой будет результат? DNS запросы будут разрешены или запрещены?

Вы

16.08.2024 18:05

Андрей, добрый вечер. В данном случае будет работать самое первое правило, которое Вы зададите. Далее будет работать следующее правило по приоритету.

Валерия

16.08.2024 18:12

Вы меня похоже не понимаете. Или я плохо объясняю. То что правила работают сверху вниз, это понятно. Я спрашиваю про результат. Если в первом правиле я разрешаю какое-то действие, а в следующем запрещаю. В результате это действие будет разрешено или запрещено?

Вы

16.08.2024 18:14

Запрещено, так как это последнее действие по приоритету.

kmscom · August 16

короче, я провел такой эксперимент. закрыл все окна браузера (Хром)
создал правила

и

далее. размещаю их так и запускаю браузер

http://forum.ru-board.com/ работает

поднимаю запрет вверх

обновляю страницу браузера

http://forum.ru-board.com/ не работает (Доступ в Интернет закрыт)

поднимаю разрешение вверх

сайт работает.

это если для понимания, как все работает.

если меняются правила сетевого доступа, редактируются, добавляется, то лучше программы, получающие сетевой доступ перезапустить. или запускать после внесения изменения.
Менять порядок правил (приоритет) можно без перезапуска приложения, это работает сразу

если что непонятно, могу снять видео.

andrew75 · August 16

Да все понятно. У меня так же. При этом поддержка сказала мне ровно противоположное.

jemand-jemand · August 16

3 часа назад, andrew75 сказал:

P.S. За то время, что вы пытаетесь с этим самостоятельно разобраться можно было уже несколько раз задать вопрос техподдержке. Чтобы не гадать, а получить ответ как именно это работает.

Конечно я связался с техподдержкой, сначала запросили скрины, я послал, потом запросили уже видео с трассировкой низкого уровня и отчётом от программы GetSystemInfo6.2.exe. И я решил ещё раз здесь спросить.

2 часа назад, kmscom сказал:

короче, я провел такой эксперимент.

Спасибо за пример, а если заменить в запрещающем удалённый адрес "forum.ru-board.com/ " на любой то что будет?

jemand-jemand · August 16

Меня как раз интересует: сначала разрешить, то что надо, а потом через запретить все, отсечь все остальное.

kmscom · August 17

10 часов назад, jemand-jemand сказал:

если заменить в запрещающем удалённый адрес "forum.ru-board.com/ " на любой то что будет?

То соединение с любым другим будет запрещено, если приоритет выше разрешающего

9 часов назад, jemand-jemand сказал:

сначала разрешить, то что надо, а потом через запретить все, отсечь все остальное.

Ну так разрешающие правила, с адресами то что надо, расположите перед правилом, запрещающее всё со всеми.

Edited August 17 by kmscom

jemand-jemand · August 17

4 часа назад, kmscom сказал:

Ну так разрешающие правила, с адресами то что надо, расположите перед правилом, запрещающее всё со всеми.

Добрый день, так как раз вот это у меня и не получается. Это самое нижнее правило и блокирует все что выше. В отчёте идет чередование сначала разрешено, а потом это самое нижнее правило все по очереди прихлопывает. Надо активность смотреть только в отчёте, т.к. если это правило все запретит, то интернета уже по любому не будет. Я поэтому и попросил Вас, если Вам конечно не трудно, заменить на любой адрес, но не указал, что расположить это правило надо в самом низу (не смог отредактировать пост). Хотелось бы исключить вариант, что это только у меня так.

Edited August 17 by jemand-jemand

andrew75 · August 17

Это не только у вас так.

Я подозреваю что оно по разному работает в зависимости от содержания правила. То есть допустим для правил по портам/протоколам и по адресам.

jemand-jemand · August 18

В общем оказывается, что правило , без указания адреса, с направлением "входящее/исходящее" одновременно, вроде, имеет более высокий приоритет и не важно где оно стоит. Если разделить на два то все, вроде, работает. Ключевое слово во всем это - вроде. Странно, хм... Большое спасибо за помощь.

Edited August 18 by jemand-jemand

Сетевые пакетные правила.

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Please sign in to comment