Настройка Avira Firewall с нуля
Gris → 28.11.2008, 03:00
И так, установили мы Avira Premium Security Suite, в которую входит Firewall и заметили, что не все программы, которые используют сеть, работают нормально. Правила по умолчанию нам не подходят, по этому мы напишем свои.
— Как попасть в настройки Avira Firewall?
— Открываем Avira, идем Сервис → Настройка, или жмем F8. Далее ставим галку на «Режим эксперта» и выбираем Firewall → Правила адаптера
Перед указанной ниже процедурой рекомендуется вытащить сетевой кабель из гнезда или отключить сетевой интерфейс во избежание атак на беззащитный компьютер со стороны зараженных вирусами компьютеров в сети. Выбираем адаптер, подключенный к локальной сети. Удаляем все правила по умолчанию для входящего и исходящего трафика, чтобы получить вид, как показано на картинке ниже:
Теперь самое интересное — создание наших собственных правил.
Позволю себе небольшое лирическое отступление, дабы прояснить для большего понимания то, как функционируют правила в Avira Firewall да и в большинстве других «огненных стенок». Вот что говорит нам Справка: «Так как при фильтрации пакетов определенные правила применяются друг за другом, их последовательность имеет важнейшее значение». Что это значит? Каждый пакет, приходящий на сетевой интерфейс, сравнивается с каждым правилом по порядку, сверху вниз. Т. е. если он не подпадает под первое правило, он сверяется со вторым правилом и т. д. По этому очень важно, чтобы последнее правило запрещало любые пакеты, которые не подпадают под юрисдикцию предыдущих правил. Коротко говоря, мы создаем условия, когда «запрещено все, что не разрешено». Перейдем к сути дела.
Начнем создавать правила для входящего трафика. Первым правилом, с которым будут сравниваться все входящие пакеты, будет проверка на сканирование портов TCP. Жмем кнопку «Добавить» и выбираем правило TCP-Port-Scan. Теперь настраиваем его, нажимая на ссылки ниже, и задавая нужные значения. В данном правиле можно оставить все по умолчанию: в случае, если будут просканированны 7 портов за 5 секунд — IP-адрес сканирующей машины будет добавлен в журнал, а Awira Firewall создаст правило, блокирующее атакующий IP-адрес.
Аналогичным образом создаем правило UDP-Port-Scan. Настройки правила тоже можно оставить по умолчанию.
Теперь переходим к созданию правил, которые будут разрешать входящие подключения для различных программ, вроде клиентов сетей DC++, Torrent и др.
Правила для нормального функционирования клиента сети DC++ Добавляем правило TCP. Переименовываем его во что-то типа «Входящие подключения клиента DC++». Указываем порт для правила, например 1000.
Добавляем правило UDP. Переименовываем его в «Поиск в DC++». Указываем порт для правила, например 5000.
Осталось малое — указать соответствующие настройки в клиенте DC++:
Правила для нормального функционирования клиента сети Torrent(для тех, у кого реальный внешний IP адрес!)
Добавляем правило TCP. Переименовываем его в «Torrent». Указываем порт для правила, например 55551.
Указываем этот же порт в настройках клиента Torrent.
Создаем правило, которое разрешит входящий трафик для программ, которые его запрашивают (браузеры, месенжеры и т. д.). Добавляем правило TСP. Переименовываем его в «Разрешенные соединения TCP». Указываем все как на картинке ниже:
Важно! Это правило должно стоять первым! Передвинуть его можно кнопкой «Вверх». И замыкающее правило — это запрет соединений на все остальные порты, которые не подпадают под действие правил, созданных выше. Добавляем правило TCP. Переименовываем его в «Запрет всех соединений TCP». Меняем действие на запретить. Указываем диапазон портов 1-65535.
Таким образом у нас созданы правила для безопасной работы и отдыха в сети. И не забудьте воткнуть обратно сетевой кабель.
Комментарии
Гроздь → 22.09.2010, 17:17
Очень познавательно.
Для слабого компа как раз хотелось настроить и файервол.
Спасибо!
LiMon → 28.10.2010, 12:27
Долго шаманил с настройками Avira Firewall для нормальной работы IPTV в сети Airbites. Получалось либо файервол нормально защищает систему, блокируя IPTV, либо работает IPTV но с "дырявым" файерволом. К счастью вспомнил про статью Gris'а. Настраивал практически по вышеприведённой инструкции. Снёс все лишние правила, нужные отредактировал, создал правило для μTorrent. IPTV работает без конфликтов. Проверка файервола показала, что степень защиты системы высокая.
andrei → 17.11.2010, 22:56
спвсибо большое
DK → 09.01.2011, 17:49
Добрый день. Подскажите как настроить Avira Firewall для работы сервера CS. Который я создаю непостредственно у себя на компе. С возможностью подключения ко мне игроков из вне. Раньше, когда не было Avira Firewall игроки могли запросто подключаться, а щас Avira Firewall блокирует их попытки подключения к моему компьютеру.
Gris → 09.01.2011, 18:17
Это достаточно просто. По аналогии с другими правилами: добавляем правило TCP. Переименовываем его в «CS TCP». Указываем порт для правила, на котором работает сервер (обычно это 27015) . Создаем такое же правило UDP. Переименовываем его в «CS UDP». Указывем тот же порт.
епт → 02.02.2011, 12:58
Здравствуйте. У меня не находит сервера в CS, я так понял что это из за Firewall, поскольку, когда я его отключаю то сервера находит. Подскажите, пожалуйста, что делать?
Gris → 02.02.2011, 13:42
Создайте правило TCP (как в предыдущем моем коментарии), только вместо 27015 укажите 27030-27039 и дополнительно создайте правило UDP, где вместо 27015 укажите 1200,27000-27020
епт → 02.02.2011, 19:50
-то непомогла, может ето влеять если я играю через Steam? если другие способы решения данной проблемы?
Gris → 02.02.2011, 20:11
Судя по информации форума поддержки Steam, для клиента Steam тоже требуются открытые порты.
По этому необходимо создать правило UDP и указать порты 1200,4380,27000-27030 , а так же правило TCP и указать порты 27014-27050 . Эти два правила можно создать вместо предыдущих.
Отпишитесь о результатах. Интерестно или помогло.
АНдрей → 20.02.2011, 20:46
Здравствуйте, у меня проблема с клиентом torrent. Он не хочет работать: горит либо красный знак восклицания, либо желтый. Отключаю Firewall Avira - все норм, пробовал настроить как вы написали ни помогает. Может быть у меня руки кривые и вы мне поможете индивидуально!!!!
Gris → 20.02.2011, 22:33
Какой торент-клиент используете?
АНдрей → 21.02.2011, 10:34
torrent 2.2 (build 24638), я вчера firewall понастраивал, вроде сейчас заленый знак торрент показывает, но мне кажется, что защита ослабла!!!
hihc → 04.03.2011, 18:36
Здравствуйте Gris! Ну замучил PnkBstrA и PnkBstrB в BF BC 2 и BF 21421 в ХР. Без фаервола AVIRA все нормально работает. В тесе утилиты Pbsvc прописываются 127.0.0.1:44301 и ...:45301 соответственно. Ставлю в FVIRU ну нифига. Помогите.
Gris → 04.03.2011, 23:15
Судя по информации из официального FAQ по PunkBuster их клиент вообще не использует входящих портов. Что касается игр, то нужно точно знать, какие входящие порты нужны каждой игре. Самый простой способ это выяснить - утилита от Microsoft под названием TCPView . Запустить tcpview.exe и найти по имени приложения какой порт у приложения в статусе "LISTENING". Это и есть искомый порт, который нужно открыть в фаерволе.
Пример:
hihc → 05.03.2011, 12:31
Спасибо за инфу Gris! Список официальных портов то есть. На всякий случай:Порт: 80 TCPПорт: 13505 TCPПорт: 18800 TCPПорт: 18805 TCPПорт: 53 UDPПорт: 10000 UDPПорт: 11000-11030 UDPПорт: 18805 UDP Дело в том что даже при слабых настройках фаера (флудинг, сканирование портов) прекращается процес PunkBusterВ. Наверно придется опять исполнять танцы с бубнами с этим гребаным ПБ. На всякий случай выложу свой скрин настроет фаера: во чёрт а как это зделать?
Gris → 05.03.2011, 16:39
Скрин можно залить на любой хостинг картинок, например piccy.info и выложить сюда линк. По поводу PunkBusterВ попробую еще поискать инфу, как подружить его с фаерволом.
Можно попробовать для начала добавить в файерволле файлы PnkBstrA.exe, PnkBstrB.exe (/windows/system32), PnkBsteK.sys (/windows/system32/drivers) в список исключений.
И еще, запустите тест (pbsvc.exe) при включеном фаерволе и скопируйте сюда текст журнала тестирования.
hihc → 05.03.2011, 20:05
Скрин файервола по адресу: http://s15.radikal.ru/i188/1103/8f/fb73035a8a3d.jpg Оба PnkBstr в исключения файера добавлены (я с этого начал) за исключением PnkBsteK.sys он вроде наружу не просится. Рабочие папки игр добавлены в исключение Guard C:\Program Files\Electronic Arts\Battlefield 2142 и C:\Program Files\Electronic Arts\Battlefield Bad Company (рекомендация на форуме BF для общего ускорения, респана ну т.д.). Отчет pbsvc "отрицательный" привожу: Starting PunkBuster Service Tests (v0.988) (03/05/11 20:07:13)Checking OS Windows XP (build 2600, Service Pack 3) 32-bitChecking PnkBstrA service status RUNNINGChecking PnkBstrA Version OK (1034)Extracting "PnkBstrB.exe" to: "C:\Documents and Settings\olle\Application Data\PnkBstrB.exe" OKChecking firewall settings OFFChecking if PnkBstrB is running RUNNINGManually stopping PnkBstrB STOPPEDGetting port for PnkBstrA OK (44301)Opening socket for packet send OKSending version packet to PnkBstrA SENTReceiving version from PnkBstrA TIMEOUTGetting PnkBstrB install instance OKSending start packet to PnkBstrA SENTWaiting for packet from PnkBstrA TIMEOUTWatching for PnkBstrB instance change (1) TIMEOUTGetting port for PnkBstrB OK (45301)Sending version packet to PnkBstrB SENTReceiving version from PnkBstrB TIMEOUTChecking PnkBstrK driver status NOT FOUNDExtracting new PnkBstrK to: "C:\Documents and Settings\olle\Application Data\PnkBstrK.sys" OKSending load packet to PnkBstrB SENTChecking PnkBstrK driver status NOT FOUNDManually stopping PnkBstrB STOPPEDRemoving test PnkBstrB file OK PnkBstrA.log: [03.05.2011 12:26:34] PnkBstrA v1032 Service Started Successfully. This service is a component of the PunkBuster Anti-Cheat system. Visit http://www.evenbalance.com for more information.[03.05.2011 12:28:01] PnkBstrA v1034 Service Started Successfully. This service is a component of the PunkBuster Anti-Cheat system. Visit http://www.evenbalance.com for more information.[03.05.2011 19:03:57] PnkBstrA v1034 Service Started Successfully. This service is a component of the PunkBuster Anti-Cheat system. Visit http://www.evenbalance.com for more information.
PnkBstrB.log: kBstrK][drivers\][PnkBstrK.sys][03.05.2011 13:07:21] Loaded and Started PnkBstrK[03.05.2011 13:09:00] PnkBstrB v2.202 (WOLF) Service Started Successfully. This service is a component of the PunkBuster Anti-Cheat system. Visit http://www.evenbalance.com for more information.[03.05.2011 13:09:43] Attempting Component Load [PnkBstrK][drivers\][PnkBstrK.sys][03.05.2011 13:09:44] Loaded and Started PnkBstrK[03.05.2011 13:44:49] PnkBstrB v2.202 (WOLF) Service Started Successfully. This service is a component of the PunkBuster Anti-Cheat system. Visit http://www.evenbalance.com for more information.[03.05.2011 13:58:32] WARNING: CRITICAL ERROR: Failed to Register Service (ffa9)[03.05.2011 19:03:58] PnkBstrB v2.202 (WOLF) Service Started Successfully. This service is a component of the PunkBuster Anti-Cheat system. Visit http://www.evenbalance.com for more information.
---------------------------------- Tests finished.
Gris → 05.03.2011, 22:29
Попробуйте такие правила для
PnkBstrA и PnkBstrB:
hihc → 06.03.2011, 01:29
Результат отрицательный. Я уже пробовал этот вариант только не знал какую маску использовать. Скрин http://s006.radikal.ru/i215/1103/6b/b352d58bf463.jpg Даже завершающую строку убрал "Запрет всех сое....". Кстати Ваша утилита TCPView определяет их (PunkBusterA,B буть они не ладны) как UDP порты. Может это что-нить значит? Ниже привожу пример работы утилиты pbsvc положительный тоесть с отключенным файерволом:
Starting PunkBuster Service Tests (v0.988) (03/06/11 02:22:13)
Checking OS
Windows XP (build 2600, Service Pack 3) 32-bit
Checking PnkBstrA service status
RUNNING
Checking PnkBstrA Version
OK (1032)
Extracting "PnkBstrB.exe" to:
"C:\Documents and Settings\olle\Application Data\PnkBstrB.exe"
OK
Checking firewall settings
OFF
Checking if PnkBstrB is running
STOPPED
Getting port for PnkBstrA
OK (44301)
Opening socket for packet send
OK
Sending version packet to PnkBstrA
SENT
Receiving version from PnkBstrA
OK
Received 6 bytes from 127.0.0.1:44301
Response = 7109 (ms) Version = v1032
Getting PnkBstrB install instance
OK
Sending start packet to PnkBstrA
SENT
Waiting for packet from PnkBstrA
OK
Received 3 bytes from 127.0.0.1:44301
Response = 14156 (ms) PnkBstrB started.
Load SUCCESSFUL.
Watching for PnkBstrB instance change (1)
CHANGED (2)
Getting port for PnkBstrB
OK (45301)
Sending version packet to PnkBstrB
SENT
Receiving version from PnkBstrB
OK
Received 5 bytes from 127.0.0.1:45301
Response = 3015 (ms) Version = 2202
Checking PnkBstrK driver status
NOT FOUND
Extracting new PnkBstrK to:
"C:\Documents and Settings\olle\Application Data\PnkBstrK.sys"
OK
Sending load packet to PnkBstrB
SENT
Checking PnkBstrK driver status
RUNNING
Stopping PnkBstrK
STOPPED
Deleting PnkBstrK
OK
Checking PnkBstrK driver status
DELETED
Manually stopping PnkBstrB
STOPPED
Removing test PnkBstrB file
OK
----------------------------------
Tests finished.
Gris → 06.03.2011, 13:16
>>утилита TCPView определяет их (PunkBusterA,B буть они не ладны) как UDP порты. Может это что-нить значит?
Это значит, что нужно создать такие же правила, только UDP, а не TCP. Было бы лучше, если бы вы показали скрин из TCPView, где видно процессы PnkBstrA.exe и PnkBstrB.exe и какие порты они слушают.
hihc → 06.03.2011, 10:21
Убрал все. Только две записи (PnkBstrA и ...В) как на Вашем скрине. Отрицательно.
Gris → 06.03.2011, 13:18
Смотрите мой ответ выше
hihc → 06.03.2011, 19:16
Скрин TCPView http://i023.radikal.ru/1103/8a/b428f3e7559c.jpg
Скрин созданных 2-х портов UDP http://s55.radikal.ru/i150/1103/8e/3107fb1b0ab0.jpg
второй скрин результат отрицательный http://s16.radikal.ru/i191/1103/bd/dc6df315fb1f.jpg
hihc → 06.03.2011, 22:04
Gris!! Кажется сработало. Открытие UDP под ПБ 2 шт. Счас буду тестить.
Gris → 06.03.2011, 22:12
Вообще странно. Я поставил себе клиент PunkBuster, запретил все входящие подключения по TCP и UDP и тест все равно успешно проходит.
Закрадывается подозрение что дело в версии Авиры. У меня 9.0, а у вас?
hihc → 07.03.2011, 12:15
У меня тоже 9.0.0.82. При новой установке AVIRA и BFов все проходит по умолчанию. Это у меня последстия глобального краха системы. Словил 15 февраля какуюту гадость заблокировало загрузку винды и типа плати ато все и биос, железо через 24часа и т.д. все накроется. Ну файервол вижу был вообще не настроен нужды, вроде не было. Хотя и вируса тоже толком небыло (cureit и AVIRA) какой-то скрипт говорят. Ну вроде все востановил но эта проблема осталась. Так-что только переустановка PB BFов уже раз 10 пеустанавливал вроде заработал ну теперь видно дело за AVIROй.
Gris → 07.03.2011, 12:26
Я не могу смоделировать аналогичную ситуацию как не пытался (хотя у меня W7). Как и писал выше, при закрытых входящих соединениях все работает. Возможно вирус что-то подпортил в вашей системе. Я бы рекомендовал попробовать на изначально чистой операционке.
hihc → 07.03.2011, 12:21
P.S. Файервол начал пропускать PunkBusterы на както вяло, только если сначала поиграеш без файера а потом его врубиш то пропустит, а сразу ни как.
hihc → 07.03.2011, 14:37
Это ты конечно прав. По новой система, проги.... и разговору не было-бы. Но вопрос к примеру "Как включаю файер пинг возрастает на порядок с в среднем 30-60 до 150-180 и более. А пол серваков вообще 999" А вообще спасибо тебе. Хоть какие не то настойки файера дал. А то вообще нифига нигде нет.
Woldemar → 13.05.2011, 23:50
??? Мой компьютер является интернет-шлюзом для ещё трёх компов, что нужно изменить/добавить (две сетевые платы) в настройках фаервола Avira PSS v.10, чтобы они (эти три компа) имели доступ к интернету (IP у них статические)?
Gris → 14.05.2011, 14:49
Интернет работает при настройках Avira по умолчанию. Должен работать и при настройках из данной статьи.
Woldemar → 14.05.2011, 16:30
Gris, возможно Вы меня не поняли, или я не понял Вас... На компе (1) установлена Avira PSS и этот же комп является интернет-шлюзом (т.е. две сетевые карты) для троих компов (2, 3, 4), на компе (1) интернет есть, на компах (2, 3, 4) оного нет, т .к. фаервол компа (1) блокирует им доступ к интернету через комп (1). Настройки фаервола компа (1) по умолчанию, добавил только доступ к принтеру и сетевым ресурсам. Вопрос. Что нужно изменить/добавить в настройках фаервола компа (1) (интернет-шлюза), чтобы компы (2, 3, 4) имели доступ к интернету через комп (1)? IP у компов (2, 3, 4) - статические.
Gris → 14.05.2011, 19:25
Все предельно ясно, только вы не уточнили, каким образом компы 2,3,4 получают Интернет, т.е. через какое-то ПО (proxy) или встроенными средствами Windows (NAT) ? Ибо только что для проверки я установил виртуальную машину, установил виртуальное сетевое подключение с реальной машиной посредством NAT, установил Avira Premius Security Suite 10 (настройки по умолчанию) на реальную систему. Виртуальная система прекрасно получила Интернет с реальной без каких-либо телодвижений.
Woldemar → 14.05.2011, 21:41
На компе 1 в сетевом подключении InterNet разрешено другим пользователям сети использовать подключение к Интернету данного компьютера.
Здесь схема моей сети: http://rghost.ru/6387411.view
Я вспомнил, что фаервол Avira отключает встроенный фаервол Windows (на компе 1), возможно из-за этого нет доступа другим компам к Инету...
Gris → 14.05.2011, 21:46
Давайте начнем с простого - если отключить фаервол Авиры то Интернет на машинах 2,3,4 появляется?
Woldemar → 14.05.2011, 22:03
Gris, сейчас я не с этими компьютерами, в понедельник всё перепроверю и обязательно сообщу Вам что и как работает или не работает...
Woldemar → 16.05.2011, 06:29
Добрый день, Gris! Отключил фаервол Avira, включил фаервол Windows, перезагрузился, на компах 2,3,4 - инет есть. Включаю фаервол Avira, на компах 2,3,4 - инета нет.
Gris → 16.05.2011, 07:05
Попробуйте создать следующее правило для адаптера с адресом 192.168.1.100 (Internet) и поставить его первым:
Хочу еще отметить, что для машин с двумя сетевыми картами фаервол Авиры не самый удачный выбор. Особености его работы заключаются в том, что трафик с одной сетевой карты в другую он расценивает как входящий снаружи. От сюда сложности в настройке и неудобства в конфигурировании.
Woldemar → 16.05.2011, 07:59
Всё сделал как на изображении, у компов 2,3,4 инета нет.
Woldemar → 16.05.2011, 12:23
Gris, я извиняюсь за свою некомпетентность, т.к. я добавлял и изменял правила фаервола изначально в "Среднем" уровне безопасности, теперь переставил на "Низкий" и всё заработало. Спасибо за Вашу помощь и терпение.
Ещё вопрос, что добавить/изменить в «Среднем» уровне безопасности, чтобы компы 2,3,4 имели доступ к интернету?
Gris → 16.05.2011, 18:25
В "Низком" уровне отсутствуют правила, блокирующие весь трафик, не подпадающий под остальные правила. Видимо загвоздка в этом. Если их удалить - получится то же что и на "Низком" уровне. Но я не могу смоделировать вашу ситуацию, что бы уверенно сказать что нужно добавить, так как у меня на виртуальной машине с настройками Авиры по умолчанию всё работает.
П.С. Я конечно не знаю чем вызвана столь сложная топология сети (с промежуточным шлюзом в виде компьютера), но я бы советовал использовать другой фаервол на машине с двумя сетевыми картами.
Woldemar → 16.05.2011, 20:24
Спасибо за совет. Comodo?
Vik → 04.08.2011, 13:53
Здравствуйте Gris!
Скажите по;алуйста как настроить доступ к домашней сети, который авирафаервол запрещает. ДЩоступ к домашней группе без авиры - прекрасный.
Спасибо.
Гость → 22.10.2011, 15:54
Здравствуйте Gris!
Скажите по;алуйста как настроить доступ к домашней сети, который авирафаервол запрещает. ДЩоступ к домашней группе без авиры - прекрасный.
Спасибо.
Поддерживаю вопрос. Такая же проблема.
Gris → 03.11.2011, 23:24
Допустим, машины в локальной сети имееют адреса вида 192.168.1.ХХ
Попробуйте создать правилa TCP и UDP следующего содержания и поставить их в начало:
Данные правила разрешат весь локальный трафик.
Гость → 29.01.2012, 00:01
А где последняя картинка??? Не видно - обновите плз!
Отправить комментарий