http://www.oszone.net/figs/pics/avatar-Vadikan-14428356494a4923c761271.png (http://www.oszone.net/9527/Windows_Firewall)Система и безопасность (http://www.oszone.net/9438/System_and_Security) » Брандмауэр в Windows 7 (http://www.oszone.net/9527/Windows_Firewall)
Брандмауэр Windows препятствует несанкционированному доступу вредоносных программ из Интернета и локальной сети. В частности, встроенный брандмауэр успешно защищал предыдущие ОС Windows от проникновения червей MSBlast и Sasser, известных своим эпидемическим распространением. Если вы пользуетесь сторонним фаерволом - замечательно. В противном случае, встроенный брандмаэура должен быть включен.... (http://www.oszone.net/9527/Windows_Firewall)


Читать дальше... (http://www.oszone.net/9527/Windows_Firewall)

Сразу же вопрос, установил сторонний FTP сервер (FileZilla), создал пользователей, создал домашние каталоги, задал область портов для пассивного режима, открыл и переадресовал порты в маршрутизаторе, создал 2 правила на входящие соединения в брандмауэре, с указание стандартного порта на прослушивание и области для PASV...

Тестирую отсюда (http://www.g6ftpserver.com/en/ftptest), клиент подключается и... хоть убей, в пассивном режиме сервер выдает порт на приглашение, вне заданной области открытых портов...

что я не так сделал?
Попытаться подключиться можно здесь (ftp://ftpuser:1753@armdeforcer.homeip.net:21/)...

PS____________________________________________

А сейчас вдруг начал попадать в область, но все равно:

> PASV
* Connect data stream passively
< 227 Entering Passive Mode (ххх,ххх,ххх,ххх,195,82) // то есть, 195*256+82=50002, а открыты c 50000 по 50100
* Trying ххх.ххх.ххх.ххх... Timed out
* couldn't connect to host // ПОЧЕМУ?
* Connection #0 to host armdeforcer.homeip.net left intact

* Closing connection #0

...
с указание стандартного порта на прослушивание и области для PASV... »
Настройки в FileZilla как на рисунке сделал?

ArmDeForcer, у меня есть сомнения, что виной тому брандмауэр. Но если он блокирует подключения, то это должно быть видно из журнала. Как включить журнал и пользоваться им, вы узнаете из статьи http://www.oszone.net/6589/ (там для Vista, но многое применимо и к 7).

Настройки в FileZilla как на рисунке сделал? »

И так, и определение через сайт FileZilla пробовал - тот же результат.

ArmDeForcer, у меня есть сомнения, что виной тому брандмауэр. »
Вот и у меня было такое подозрение:
2009-07-20 13:03:00 ALLOW TCP 87.98.200.119 10.0.0.1 3866 21 0 - 0 0 0 - - - RECEIVE
2009-07-20 13:03:01 DROP TCP 87.98.200.119 10.0.0.1 3872 50008 48 S 1172047372 0 65535 - - - RECEIVE
2009-07-20 13:03:04 DROP TCP 87.98.200.119 10.0.0.1 3872 50008 48 S 1172047372 0 65535 - - - RECEIVE
2009-07-20 13:03:10 DROP TCP 87.98.200.119 10.0.0.1 3872 50008 48 S 1172047372 0 65535 - - - RECEIVE

Значит, маршрутизатор пакеты пропускает, а блокирует брандмауэр? Вроде создал же правило... :read:

ЗЫ: Всё! Нашел проблему!!!! Неправильно были выставлены удаленные порты в правиле брандмауэра! видно, машинально наклацал (сомнения оправдались)!

Сейчас все отлично! Ура!:

> PASV
* Connect data stream passively
< 227 Entering Passive Mode (ххх,ххх,ххх,ххх,195,90)
* Trying ххх.ххх.ххх.ххх... connected
* Connecting to ххх.ххх.ххх.ххх (ххх.ххх.ххх.ххх) port 50010


2009-07-20 13:42:26 ALLOW TCP 87.98.200.119 10.0.0.1 1852 21 0 - 0 0 0 - - - RECEIVE
2009-07-20 13:42:26 ALLOW TCP 87.98.200.119 10.0.0.1 1904 50012 0 - 0 0 0 - - - RECEIVE

Совершенно непонятная вещь с правилами брандмауэра!!Захожу в настройки правил(панель управления-брандмауэр виндовс-дополнительные параметры и тут правила для входящих и исходящих подключений) и например включаю правило на блокировку,(в свойствах правила ставлю Включено и Блокировать подключение,и так все правила какие там есть для входящих и исходящих),если заблокировать тут ВСЕ правила то почему то они добавляются в исключения в другом месте,вот в этом:брандмауэр виндовс-Разрешить запуск программы или компонента через брандмауэр виндовс!!!!!!!!

Наверное я чего то не понимаю,у меня в Разрешить запуск программы или компонента через брандмауэр виндовс не стояло ниодной галки,теперь у меня там все правила отмечены голочками! и произошло это после того как я заблокировал(запретил подключение)во всех правилах в Дополнительных параметирах!

Вот простой маленький пример:В настроке под названием Разрешить запуск программы или компонента через брандмауэр снимаю галку например с правила Удаленное управление службой,и после этого в настройке под названием Дополнительные параметры -Правила для входящих подключений становятся неактивными 3 правила под название Удаленное управление службой,хотя до этого они были активны и в настройках у них стояло Включено и Блокировать подключение.

Или можно наоборот вначале настроить в дополнительных параметрах запрет Удаленное управление службой,после этого почемуто в Разрешить запуск программы или компонента через брандмауэр виндовс появляется галочка напротив Удаленное управление службой.

Система 7600 RTM rus

Основной вопрос...как настроить?
Статьи и прочее толком ничего не дали.
И проблема при настройке, скажем так из личного опыта, я знаю как настроить КИС, и тут действую так же, интуитивно все вроде понятно, но нет...
Прилагаю скрин из которого видно, собственно это и есть вопрос, что в правилах для исходящих приложения, Skype и QIP работают безупрочно, но как только туда попадает настроечка для FF (синяя стрелка)...ВСЁ перестает работать (не может попасть в инет), в том числе и сам FF, работают только QIP и Skype, даже после добавления след. приложения например Thunderbird'а, после FF, если кружок (синяя стрелка у FF) на пунке "эта программа", все лежит, как видите, даже пинг не идет. Конечно если кружок поставить на пунк "все программы отвечающие условиям"...то ВСЕ программы имеют доступ в интернет, включая и прочие "левые", то есть список не действует....
Разумеется я что-то не до понимаю или делаю не так, поэтому прощу помощи.
Главный вопрос всё-так, как его грамотно настроить так, чтобы я мог контролировать все программы, что лезут в интернет.
К сожалению с режимом обучения я тоже никак не совладал, брандмауэр просто не спрашивает разрешить ли доступ, т.к. по дефолту доступ есть ВСЕМ программам (исход. доступ), вот я и хочу контролировать не только входящий, но и исходящий. Спасибо.

Статью читали: Брандмауэр в Windows 7 (http://www.oszone.net/9527/Windows_Firewall)?

Да, читал.

Да, читал. »
И там есть пример, как запретить конкретному приложению доступ в Интернет. По умолчанию - программам разрешен доступ, поэтому не надо для них создавать разрешающие правила. Поэтому объясните конкретно и подробно, что вы хотите сделать... Из вашего скриношта это непонятно.

Режима обучения нет.

Vadikan, это я понял, вопрос вот в чем, можно ли сделать так, чтобы всему по умолчанию был запрещен доступ к интернету. Я сам хочу разрешать приложениям доступ...а не запрещать каждому...надеюс понятно.

Котяр, в правой панели щелкните Свойства. Перейдите на вкладку профиля, который хотите настроить. Для исходящих подключений выберите из списка Блокировать. Затем создавайте разрешающие правила для приложений.

http://pic.ipicture.ru/uploads/090830/thumbs/ceKxgtqwxc.png (http://ipicture.ru/Gallery/Viewfull/22943170.html)

Уважаемый Vadikan, я именно так и сделал...после этого как добавляю в разрешенные FF, происходит выше описанная проблема, то есть перестает идти даже пинг.
У меня заблокировано, именно так как на вашем скрине...и после добавлени FF, в зависимости от кружка (см. скрин) если:
- "все программы отвечающие условиям" стоит кружок,то ВСЕ программы имеют доступ в интернет, включая и прочие "левые", то есть список и ВСЯ блокировка (как на вашем скрине) не действует....что и логично из скрина здесь прикрепленного.
- "эта программа" то есть сам FF, я выбираю местоположение программы, и после этого...перестает работать ВСЕ, включая пинги.

Как я понял, второй пунк, дает доступ в сеть всем программам, отвечающим каким-то условиям, если можно, разъясните пожалуйста каким?

"все программы отвечающие условиям" стоит кружок,то ВСЕ программы имеют доступ в интернет »
Да, так и должно быть.

"эта программа" то есть сам FF, я выбираю местоположение программы, и после этого...перестает работать ВСЕ, включая пинги. »
Так не должно быть :) Но я не смог воспроизвести вашу проблему. Установил Firefox - он не имеет доступа, другие приложения, на которые есть разрешающие правила, имеют доступ. Добавил разрешающее правило для Firefox - он имеет доступ, и на другие приложения это не оказывает никакого эффекта.

Но Ping и не должен проходить - ведь все исходящие подключения, кроме разрешенных, запрещены. Это распростряняется и на пинг :) Чтобы он работал, нужно включить соотв. правило. В списке исходящих подключений отфильтруйте по группе "Общий доступ к файлам и принтерам" и найдите там "Эхо запрос - исходящий трафик ICMPv4". Включите правило, затем в его свойствах на вкладке Область разрешите любые удаленные адреса или пропишите те, к которым нужен доступ.

Общий доступ к файлам и принтерам (эхо-запрос - исходящий трафик ICMPv4) - Включен по умолчанию, и когда я включаю блокировку на исходящие в св-ах профиля брандмауэра, пинг работает всегда, но до того момента, пока не создам правило для FF, причем правило создаю аналогично QIP и Skype...но возникает проблема с доступом в инет. Пытался и удалять правила, и создавать заново, не могу понять в чем дело.
То что вы мне советуете, я как бы знаю, и понимаю отлично, просто сам немножечко не пойму, видать какой-то баг?
Понимаете, я делал даже так:
Добавил FF, сделал как положено в общем опять все перестало работать...как описывал выше. И что я делал...я взял все правила вход. и исход. которые созданы по дефолту (уже есть которые), и большая часть их не активна, я их все активировал ВСЕ. Но "аномальная блокировка" так и продолжает работать...когда кружок именно у FF стоит на "эта программа".
Чудеса блин...
Не знаю что и делать...фаерволл вроде стоящий...да только чудеса вытворяет.

Общий доступ к файлам и принтерам (эхо-запрос - исходящий трафик ICMPv4) - Включен по умолчанию »
Гм... по умолчанию правила эхо-запросов отключены. И их не требуется включать до тех, пока вы не запретите все исходящие подключения.

Экспортируйте список своих правил для исходящих подключений (Экспорт - в левой панели), а также сделайте скриншоты свойств проблемного правила (всех вкладок).

Все сделал. Данные в архиве, так не работает ничего...
Так же отмечу что все профили брандмауэра отключены кроме Общего. Не вижу смысла держать их включенными.

Котяр, мда, я не вижу никаких аномалий в конкретном правиле. Попробуйте включить все профили и применить данное правило ко всем профилям. Попробуйте также создать аналогичное правило для IE и посмотреть, будет ли возникать проблема.

Делал все...теперь ещё разд сделал...IE так же не работал и пинг тоже, так же провел такой тест, как видите на скрине, там видна часть правил...на самом деле я задействовал все правила...то есть пинг уж обязан был работать...НО нет, он не работал так же как и всё. Не смотря на правила, работали QIP, Skype, hamachi, RAdmin (то есть имели доступ в сеть). Тундерберд же вел себя странно. При проверке почты ошибок не выдавл, при прочтении RSS новостей новости не грузил...так же как и почту, при попытке прочесть новости выходило - Гружу сообщение...и все на этом.
После полного отключения брандмауэра, IE и FF, а также Тундерберд так и не зашли в сеть до перезагрузки (то есть закрыть и открыть снова, FF закрылся, но в процессах остался, пришлось убить руками) оных.

---------------------------------
Думаю что глюк какой-то локальный у меня...по этому, наверное выход один...переставить систему.
Кстати, я выхожу в интернет через Wi-Fi роутер...но данный комп подключен к роутеру по Ethernet...думаю это не особо важно в данном случае.
На нетбуке фаерфокс нормально работает соотв. правилу. Видать проблема локальная или черт знает из-за чего.
--------------------------------
Ну и раз на счет брандмауэра пошло дело, есть пункт правила безопасности подключения...может кто обяснит, что это и как юзать?
Справку почитал...да что-то не до понял.
Думаю этот пункт как то связан с тем, как сделать доступ по сети друг к другу.
У меня Wi-Fi роутер, нетбук и ПК, хочу на обоих настроить фаервол, и затем сделать между ними сеть. Что посоветуете в данном случае?
Нетбук по wi-fi, ПК по ethernet.
192.168.0.1 - роутер. ....2 ПК, ....3 Нетбук.
Вот собственно и все, буду рад за посильную помощь=)

Я так понял, что режима обучения нет для исходящих, либо пускать, либо блокировать, неудобно же, для входящих есть же, или может можно как то и для исходящих настроить, чтобы выдавал запрос.
И еще есть те же настройки в политиках, для чего они, зачем дублировать панель управления, или если настроить в политиках, то эти настройки будут иметь приоритет?