comodo v3 rc1...防火牆問題

chou

我的設定是 custom policy mode

但是只有少數程式會彈出警告視窗...如msn

而 firefox maxthon DM2005(mail).....都沒反應...幾乎不會警告....

由於我的防毒是 EAV 30560...他會監控 http 與 pop3 的使用程式

所以只要我把EAV設成信任的程式...comodo只會監控EAV...不會裡其他被EAV監控的程式嗎??

有人跟我一樣嗎??

EAV監控的程式



comodo的自動建立規則

PS:Easy rule 是我自建的規則

[ 本帖最后由 chou 于 2007-11-10 21:40 编辑 ]

rcbblgy

程序本身自带了许多程序的规则，可能是你安装的时候选择了自动建立规则的选项了。

ubuntu

感覺像是bug，請補充你的系統、安裝的安全軟件。
我沒有安裝過EAV，我需要詳細的信息，才能測試。

chou

原帖由 ubuntu 于 2007-11-10 20:21 发表
感覺像是bug，請補充你的系統、安裝的安全軟件。
我沒有安裝過EAV，我需要詳細的信息，才能測試。

作業系統 XP home sp2

安全軟件...EAV 3.056.0 & comobo V3 RC1

防火牆設定level : custom policy mode

忘了說

只要是EAV監控的程式...沒有一個會讓comodo防火牆出現警示視窗

ubuntu

看來，EAV 使用了自己的底層協議驅動；
你 在防火墻的Attack Detecting Settings ---> Miscellanious ---->
[v]Monitor other NDIS protocols than TCP/IP
勾選此項，必須重啟系統，看看EAV監控的程式是否有提示。

chou

原帖由 ubuntu 于 2007-11-10 21:50 发表
看來，EAV 使用了自己的底層協議驅動；
你 在防火墻的Attack Detecting Settings ---> Miscellanious ---->
[v]Monitor other NDIS protocols than TCP/IP
勾選此項，必須重啟系統，看看EAV監控的程式是否有提示 ...

還是沒提示...

我猜跟EAV 的portocol filtering功能有關係
它監控所有 http 與 pop3 的ports 和程式
所以只要是http or pop3 都是透過EAV往外連線的




我開啟 maxthon 與 DM2005(mail)...果然是 ekrn.exe在連線

星之梦

哦，看上去这个相当于一个本地代理，你D+里的LOOPBACK NETWORKING这一项阻止了程序应该就不能外连了，这是由代理的性质决定的，如果设置为远程解析地址的话防火墙里就不会出现任何东西。

这个应该不算BUG了，也不见得有驱动，那个选项还是改回去吧。

[ 本帖最后由 星之梦 于 2007-11-11 11:05 编辑 ]

laotie

刚装3.0的时候就发现这个问题了，而OP2008 对需转接到EVA 30606端口监控的每个程序都会有提示是否放行……不会像comodo这样，这应该是comodo的bug

星之梦

comodo V2就可以提示，不过V3把loopback这块做到了D+里而已。
不是BUG。

ubuntu

我安裝EAV，進行測試，這不是bug。

由于EAV 在程序訪問 TCP 80、8080、3128、110 時，相當于一個代理服務器，所以Comodo提示完全正確。

正常 IE訪問遠程HTTP端口時，Comodo 會提示IE 訪問XX IP、80端口。
這時，連接是 IE xxx.xxx.xxx.xxx:xxxx端口 ---------> xxx.xxx.xxx.xxx:80

當安裝EAV以后：
ekrn.exe 會監聽 TCP 127.0.0.1:30606
當IE要訪問遠程HTTP端口時，EAV將數據重定向，進行過濾。實際上是：
IE 并沒有連接遠程80端口。而只有訪問Loopback Network。
訪問遠程80端口的是ekrn.exe 。

IE                                 ekrn.exe                                                                     HTTP Server  
127.0.0.1:(1024-5000) -------->  127.0.0.1:30606(監聽)/ 本機IP：(1024-5000) ------------>  HTTP(80)   

所以有防火墻報 IE直接訪問遠程80端口是錯誤的；
ekrn 的規則是允許DNS、和允許訪問TCP 80、8080、3128、110 。




[ 本帖最后由 ubuntu 于 2007-11-11 20:37 编辑 ]