stormlord666
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору WIGF Цитата: stormlord666, 1. Возможно, глюки какие-то, т.к. логирование должно нормально работать. Тут можно применить несколько некрасивый способ, но скорее всего он должен сработать: включить протоколирование во всех правилах в GR, а также добавить там в самом низу разрешающее всё правило с включённым протоколированием. Тогда точно должно всё отображаться. Также можно попробовать провести диагностику CIS и изучить журнал проактивки, а то может вы там случайно сами что-то запретили самому CIS. По трассировке вы верно вычислили: вы отправляете пакеты от tracert, а вот ответы приходят на WOS. И вообще все ответы именно по ICMP приходят на WOS. 2. На самом деле там не только 2 службы надо выключить для отключения NetBIOS. Их несколько больше. Ось у вас какая? 3. Теоретически, это без разницы. Но на практике апплет "Заблокированные зоны" не всегда правильно работал раньше. Что касается броадкаста, то его уж точно не надо в заблокированные добавлять, т.к. есть и необходимый броадкаст (DHCP). И если мы его запретим, то комп не сможет получить IP от провайдера. 4. По идее должно хватить добавления браузера в заблокированные приложения в строке "Запуск приложений". Протоколирование в проактивке для отдельного приложения не выключишь, к сожалению нет такой опции. | 1. Сделал как Вы посоветовали, лучше не стало(( Например, соединения по 1701 порту так и не получилось увидеть. Кстати заметил еще такую особенность - у меня 2 сетевые в компе, через одну приходит инет по VPN соединению, через вторую, другой комп получает удаленный доступ к инету и она же (вторая сетевая) используется для доступа к расшареным ресурсам этого второго компа. Так вот, например, если я пингую первый комп со второго, при отключенной карте смотрящей в инет, то приходящий пинг отображается в логе, если же я и эту карту тоже включаю, то пинг уже не логируется. Вобщем бардак какой-то(( Мне кажется тут может быть что-то с метриками, хотя я попробовал vpn соединению назначить метрику 1, но все равно поднятие соединения по 1701 порту в логе не увидел. А что может быть в проактивке , приводящее к таким результатам? Я вроде ничего не трогал там, все по умолчанию пока, с файрволом бы разобраться для начала))) 2. Ось у меня windows 7 на ведущем компе, на ведомом XP. В настройках всех сетевых карт я отключил компоненты имеющие отношение к "драйвер тополога" и "ответчик тополога", (так же принудительно отключил LLMNR через груповую политику) на карте смотрящей в инет активны только компоненты "протокол версии 4", "планировщик пакетов" и "cis", на vpn подключении - только "протокол версии 4" (компонента cis там нету – это нормально?) , на карте по которой подключен второй комп "протокол версии 4", "планировщик пакетов" "cis" и "клиент для сетей майкрософт", так же на ней включен принудительно netbios, а на карте смотрящей в инет и на vpn подключении netbios принудительно отключен. (локальные ресурсы билайн мне не нужны) На карте второго компа, где установлена windows xp включены компоненты "протокол версии 4", "планировщик пакетов" "cis", "клиент для сетей майкрософт" и "шара файлов и принтеров мафкрософт". и на этом компе запущены службы «сервер» и «браузер компьютеров». Так же на всех соединениях в параметрах tcp/ip снял галочку с опции «регистрировать адреса этого подключения в dns» - не понятно, нужна она или нет (в инете не удалось найти инфы по данной опции), но вроде без нее работает)) , еще отключил службу шлюза уровня приложения - без не вроде тоже работает, хотя так и не понял зачем она нужна, в концах пишут что ее нужно включать только при работающем встроенном брандмауэре. Еще отовсюду снял галочку "использовать LMHOSTS" - все равно этот файл пустой на обоих компах. С DHCP тоже непонятно. Если ставлю запрет входящих В GR с 67 на 68 порт, то билайновская локалка не идентифицируется, если же в GR такие входящие разрешены, то все работает, даже если прямо запретить такие входящие в svchost.exe. А кто тогда является получателем этого входящего, если в AR ни одному приложению оно не позволено, а в WOS разрешены только ICMP и прописано правило блокировать все входящие? Ну и с логирование тут тоже ж.па. Одно время эти входящие в логах показывались (это был броадкаст с чего-то типа 10.9.x.x.) теперь показываться перестали почему-то и получается что выдал DHCP сервер моей карте айпишник, что нет - в логах одно и тоже. Вообще такое ощущение что эти траблы с логами из за того что 2 сетевые карты подключены, вот на компе с win xp где 1 карта стоит – вроде все нормально логируется. И что касается настроек AR – я правильно понимаю что, для случая соединения 2х компов, (когда 2й выходит в инет через 1й комп и на 2м расшарены ресурсы для первого), нужно в процесс system прописывать правила для работы по netbios, а в процесс svchost.exe – правила связанные с выходом второго компа в инет… так? Уфф.. вроде ничего не забыл. Еще раз большое спасибо Вам за помощь и подробные ответы на вопросы. |