Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   [решено] Dr.Web ESS блокирует выход в сеть (http://forum.oszone.net/showthread.php?t=336551)

UncleD 05-09-2018 17:00 2830063
Dr.Web ESS блокирует выход в сеть
 
Коротенько предыстория.
Взял на организацию пробный Dr.Web Enterprise Security Suite, чтобы помацать перед возможным приобретением в организацию. И сервер и агента установил на одну машину. Добрался до разбора настроек фаервола, для себя решил, что сейчас мне удобнее изменять его настройки на клиенте, а не в консоле, на что агенту и были даны права. Поставил себе и фаерволу несколько задачь и создал под них следующие правила:
1) запретить клиенту подключаться к шаре на определенной машине
а) правило блокирующее все (наверное, можно обойтись исходящими) TCP пакеты на 137 удаленный порт, если удаленный ip 192.168.1.7
б) аналогичное для UDP
в) и так же по паре правил для 138, 139 и 445 портов
2) запретить клиенту подключаться по RDP к определенной машине
а) правило блокирующее исходящие TCP пакеты на порт 3389 и ip 192.168.1.106
3) запретить клиенту ходить на все сайты
а) правило блокирующее исходящие TCP пакеты на удаленный 80 порт
б) такое же для 443
Правила эти добавлял в дефолтный набор и более ничего в нем не менял.

Так вот проблема.
В какой-то момент, фаервол начал полностью блокировать машине выход в сеть. Пингуется только локалхост, в консоль соответственно зайти могу.
Сеть пропадает как только загружаются все компоненты антивируса, а стоит только отключить фаервол тут же начинает работать.

Что-то не так с моими правилами? Может быть я зацепил еще-какую-то жизненно важную настройку, хотя вроде нет? Конфликтует с каким-то компонентов винды? Теряюсь.

Скажите какую информацию скинуть, чтобы повысить шансы решения проблемы.

Заранее благодарю.

iskander-k 05-09-2018 20:18 2830086
Отключи все созданные правила и включай по одному и тестируй

UncleD 06-09-2018 09:43 2830182
iskander-k, попробовал отключить все созданные мной правила, все начинает работать, в журнал в основной массе пишется событие правила разрешающего ARP. Стоит включить хотя бы правило блокирующее исходящий TCP на 3389 до 192.168.1.106 и все снова падает, при этом в журнале не пишется ничего.

UncleD 06-09-2018 12:56 2830222
Как и ожидалось сам себе злой буратино. А именно, в первом посте не написал, что для правил блокирующих шару и рдп в качестве src.ip указал "Адрес этой станции", а надо то бы поставить "Любой". Хотя и странно, что сначала это и не мешало, но и я могу что-то путать.

Ну и возможно кому-то интересное. Для блокировки шары хватает правил TCP без UDP, кроме того, в логах светятся только правила по 445 и 139 портам, а 137 и 138 еще ниразу не отработали. Это конечно еще нужно помониторить, но пока что выходит, что можно обойтись двумя правилами вместо восьми.

meZon 07-09-2018 03:07 2830338
BROWSER (src port udp:138, dst port udp:138) и NBNS (src port udp:137, dst port udp:137) вроде бы как шлётся "всем".
Т.е. для сети 192.168.1.0/24 это будет 192.168.1.255, а не конкретный IP хоста.

Или путаю?


Время: 12:44.

Время: 12:44.
© OSzone.net 2001-