Ρυθμίσεις comodo firewall για application και local TCP

[policymaker]

Καλησπέρα σε όλους,

αυτό που θέλω να κάνω είναι να αφήσω ένα πρόγραμμα να επικοινωνεί σε local machine TCP με άλλες τοπικές εφαρμογές, αλλά ταυτόχρονα να το εμποδίζω από το internet. Αυτό πως το κάνω? Έχω ψαχτεί λίγο στα φορουμς τους και στο νετ, αλλά μου φαίνεται πως δεν έχω βρει ακριβή απάντηση και φοβάμαι μη κάνω κάποιο λάθος! Ευχαριστώ!

[trendy]

Βάλε έναν κανόνα να επιτρέπει το tcp port που θέλεις από το τοπικό δίκτυο και από κάτω έναν να κόβει το tcp port από όλες τις άλλες διευθύνσεις.

[policymaker]

πρέπει να ρυθμίσω και ip συγκεκριμένα στο PC μου? γιατί είχε και τέτοια επιλογή απο κάτω... δηλαδή για του πω να περνάει το tcp τάδε στο 192.168.τάδε ας πούμε?

[trendy]

Αν το firewall είναι πάνω στο μηχάνημα που τρέχει την υπηρεσία δε χρειάζεται.

[policymaker]

Αν το firewall είναι πάνω στο μηχάνημα που τρέχει την υπηρεσία δε χρειάζεται.

Φίλε μου συγγνώμη που δε το νιώθω, απλά θέλω να γίνει σωστά:

Είμαι σε αυτήν εδώ τη φάση αφού έχω επιλέξει το exe, πες μου σε παρακαλώ πολύ ολοκληρωμένα τα βήματα ώστε να υπάρχουν και searchable στο φορουμ, όλο και κάποιος άλλος θα τα χρειαστεί!

[defiant]

Το Destination Address σε ενδιαφέρει μόνο. Σαν destination address θα βάλεις είτε μια

συγκεκριμένη ip π.χ 192.168.1.10 ή όλο το local network, p.x 192.168.1.0/24 .

[trendy]

Δεν το ξέρω το comodo, αλλά και εσύ δεν απάντησες αν είναι στο ίδιο μηχάνημα που τρέχει η υπηρεσία ή σε κάποιο άλλο. Βάλε έναν κανόνα που επιτρέπει την πόρτα που θέλεις από τις source addresses και καπάκι άλλον έναν από όλες τις διευθύνσεις που θα κόβεται.

[policymaker]

Συγγνωμή, η υπηρεσία είναι στον υπολογιστή μου μόνο και αν έχω καταλάβει σωστά, το πρόβλημα είναι πως το πρόγραμμα προσπαθεί να επικοινωνήσει με άλλα εγκατεστημένα προγράμματα, πάντα στο pc μου, και επειδή το comodo το κόβει, δεν κάνει start up. Όταν βγάζω το block από το comodo, όλα καλά. Έχει αυτές τις επιλογές:

Το πρόβλημα μου είναι οτι δεν είμαι σίγουρος ποιες αφορούν το local network ή το μηχανημα μου. Ποια επιλογή θέλω δηλαδή για να βάλω το 192.168.1.x που είναι το pc μου στο network? Και μετά τα ports πάνω τα πειράζω, ή μονο τα source/destination που πρότεινε ο defiant?

Σας ευχαριστώ για τις απαντήσεις

[trendy]

Όλες τις επιλογές τις πειράζεις. Source address είναι οι διευθύνσεις από όπου θα σου έρχονται τα πακέτα. Destination address αφού τρέχει στο ίδιο μηχάνημα το αφήνεις στο any. Τέλος στο destination port θα βάλεις την πόρτα που τρέχει η υπηρεσία. Στο direction βάζεις in και στο action allow. Κατόπιν φτιάχνεις ένα δεύτερο κανόνα για να κόβεις όλους τους άλλους με action deny, direction in, source address any, destination address any, destination port XXX.

[policymaker]

Σε ευχαριστώ πολύ, θα δοκιμάσω αργότερα και θα ποστάρω αποτελέσματα!

[policymaker]

Λοιπόν, έκανα τα βήματα που μου είπες, απλά αντί για any σε κάποια σημεία, έβαλα τη local ip μου, όπως μου τη δίνει το ρουτερ. Παραθέτω τα σημεία σε 2 εικόνες, με τη σειρά, για να διπλοτσεκάρουμε τις ρυθμίσεις. Συγγνώμη που σας πρήζω, απλά αν μη τι άλλο σίγουρα θα χρειαστεί κάτι σαν mini guide στο comodo στον καθένα. Το πρόγραμμα που θέλω, ανοίγει σωστά, αλλά υπάρχει τρόπος να τσεκάρω τις πόρτες μου? Ξαναλέω, θέλω να επικοινωνεί με οτι χρειάζεται locally, στο μηχάνημα μου, όχι με το internet... Αυτό το ρωτάω, γιατί από οτι βλέπω, αν του προσθέσω άλλη μια εντολή, να κάνει block τα πάντα, από tcp/udp, κάνει override τις προηγούμενες εντολές και το μπλοκάρει τελείως...(ή μήπως δεν είχα μπλοκάρει την έξοδο προς το νετ απο πριν έτσι και αλλιώς?)

[trendy]

Στο allow κανόνα η source address είναι λάθος. Πρέπει να βάλεις τις εσωτερικές διευθύνσεις σου είτε με το range είτε με το subnet.

[policymaker]

Μα γιατί? αφού θέλω μόνο στο μηχάνημα μου, όχι σε όλο το δίκτυο! Αυτό δεν εννοείς?

[trendy]

Το μηχάνημά σου είναι το destination. Source είναι από εκεί που του έρχεται το πακέτο.

[policymaker]

Ναι, και το πρόγραμμα είναι στο μηχάνημα μου, άρα θέλω να ξεκινάει από εκεί και να καταλήγει εκει.... δε θέλω να βγαίνει έξω

[trendy]

Αν οι εφαρμογές πελάτη τρέχουν στο ίδιο μηχάνημα τότε θα επικοινωνούν με την εφαρμογή εξυπηρετητή στη διεύθυνση 127.0.0.1 που είναι η loopback. Εγώ κατάλαβα ότι ήθελες άλλα μηχανήματα από το τοπικό δίκτυο να προσπελαύνουν την εφαρμογή.

[policymaker]

Θα σε μπέρδεψα γιατί το ανέφερα σαν "locally" πιο πάνω, συγγνώμη. Οπότε τώρα τι αλλάζει και που?

[trendy]

Στον allow κανόνα βάλε source και destination την 127.0.0.1

Πλέον όταν χρησιμοποιείς την εφαρμογή θα χρησιμοποιείς αυτήν την IP.

[policymaker]

Το έκανα αυτό και δουλεύει. Αλλά πριν το δοκιμάσω αυτό, αφού έκανα remove την εντολή ALLOW, προσπάθησα να τρέξω το πρόγραμμα, έχοντας ενεργοποιημένη μόνο την εντολή deny που δώσαμε πιο πάνω, και το πρόγραμμα άνοιγε κανονικά. Αυτό με κάνει να πιστεύω πως το πρόγραμμα επικοινωνεί κανονικά στο νετ.... γιατι ?

Μόνο όταν βάζω μία γενική εντολή block UDP/TCP στο exe δεν ανοίγει το πρόγραμμα- και τότε είμαι σίγουρος οτι δεν επικοινωνεί

Εχω και δεύτερο πρόγραμμα που θέλει να επικοινωνήσει ακριβώς με τον ίδιο τρόπο, αλλά η διαφορά τους είναι πως το πρώτο, μετά από μερικές προσπάθειες, παρά την αδυναμία του να βρει ανοιχτή τη θύρα(το τσεκάρω από το log του comodo), στο τέλος ανοίγει( ενω τρώει πορτα συνέχεια). Δεν είμαι καν σίγουρος σε αυτό το σημείο πλέον αν είναι εφιχτή η λειτουργία του δεύτερου προγράμματος, χωρίς να του δώσω το ΟΚ να επικοινωνεί και έξω, εκτός αν με διαψεύσεις..

[trendy]

Εξαρτάται πού εφαρμόζεται ο κανόνας του firewall. Κανονικά εφαρμόζεται στο interface, οπότε αν βγάλεις το ALLOW θα μπορείς να επικοινωνήσεις με την εφαρμογή στη loopback αφού δεν περνάει κάτι μέσω του interface. Μπορείς να δοκιμάσεις από κάποιο άλλο υπολογιστή στο τοπικό σου δίκτυο να δεις ότι δεν περνάει κάτι.

Η εντολή block tcp/udp στο exe το κλειδώνει τελείως, δε σου χρειάζεται κάτι τέτοιο.

Την τρίτη παράγραφο δεν την καταλαβαίνω. Το firewall δεν ανοίγει μόνο του μετά από μερικά χτυπήματα. Για ποια προγράμματα μιλάμε;