Dr.Web ESS блокирует выход в сеть
Коротенько предыстория.
Взял на организацию пробный Dr.Web Enterprise Security Suite, чтобы помацать перед возможным приобретением в организацию. И сервер и агента установил на одну машину. Добрался до разбора настроек фаервола, для себя решил, что сейчас мне удобнее изменять его настройки на клиенте, а не в консоле, на что агенту и были даны права. Поставил себе и фаерволу несколько задачь и создал под них следующие правила: 1) запретить клиенту подключаться к шаре на определенной машине а) правило блокирующее все (наверное, можно обойтись исходящими) TCP пакеты на 137 удаленный порт, если удаленный ip 192.168.1.7 б) аналогичное для UDP в) и так же по паре правил для 138, 139 и 445 портов 2) запретить клиенту подключаться по RDP к определенной машине а) правило блокирующее исходящие TCP пакеты на порт 3389 и ip 192.168.1.106 3) запретить клиенту ходить на все сайты а) правило блокирующее исходящие TCP пакеты на удаленный 80 порт б) такое же для 443 Правила эти добавлял в дефолтный набор и более ничего в нем не менял. Так вот проблема. В какой-то момент, фаервол начал полностью блокировать машине выход в сеть. Пингуется только локалхост, в консоль соответственно зайти могу. Сеть пропадает как только загружаются все компоненты антивируса, а стоит только отключить фаервол тут же начинает работать. Что-то не так с моими правилами? Может быть я зацепил еще-какую-то жизненно важную настройку, хотя вроде нет? Конфликтует с каким-то компонентов винды? Теряюсь. Скажите какую информацию скинуть, чтобы повысить шансы решения проблемы. Заранее благодарю. |
Отключи все созданные правила и включай по одному и тестируй
|
iskander-k, попробовал отключить все созданные мной правила, все начинает работать, в журнал в основной массе пишется событие правила разрешающего ARP. Стоит включить хотя бы правило блокирующее исходящий TCP на 3389 до 192.168.1.106 и все снова падает, при этом в журнале не пишется ничего.
|
Как и ожидалось сам себе злой буратино. А именно, в первом посте не написал, что для правил блокирующих шару и рдп в качестве src.ip указал "Адрес этой станции", а надо то бы поставить "Любой". Хотя и странно, что сначала это и не мешало, но и я могу что-то путать.
Ну и возможно кому-то интересное. Для блокировки шары хватает правил TCP без UDP, кроме того, в логах светятся только правила по 445 и 139 портам, а 137 и 138 еще ниразу не отработали. Это конечно еще нужно помониторить, но пока что выходит, что можно обойтись двумя правилами вместо восьми. |
BROWSER (src port udp:138, dst port udp:138) и NBNS (src port udp:137, dst port udp:137) вроде бы как шлётся "всем".
Т.е. для сети 192.168.1.0/24 это будет 192.168.1.255, а не конкретный IP хоста. Или путаю? |
Время: 12:44. |
Время: 12:44.
© OSzone.net 2001-