Сам программист. Потому поверьте мне: то, что Майкрософт вытворяет с языками программирования – просто невообразимо. А теперь представьте себе, что в основу этой операционки положен как минимум 1 миллион строк кода. Ребята хорошо постарались и не опустили руки в тот момент, когда им приказали переписывать весь код с нуля. В этом продукте не только труд, но и душа, талант, логика, философия и, в какой-то степени, героизм многих людей. Каждая иконка, каждая текстура, каждая строчка кода говорит об этом. Посему, я даже рад отдать такие деньги за продукт, равных которому нет. К сожалению, 11 тыс. руб. это единственное, чем я, как обычный пользователь, могу отблагодарить Майкрософт, но они это заслужили!

Коротеев Антон (все отзывы), Россия/Нижний Тагил, 20 лет

http://www.ozon.ru/context/detail/id/3132268/?type=4#comments

Есть разнородная сеть, состоящая из нескольких виндовых машин, и нескольких линуксовых. К нескольким виндовым машинам и нескольким линуксовым подключены принтеры. Как настроить это все хозяйство, чтобы печать работала со всех машин на все принтеры максимально прозрачно?

Понятное дело, что в винде просто подключаем принтер, ставим драйвера, расшариваем принтер для доступа к нему по сети и все. Удаленные виндовые драйвера подключаем при помощи встроенных виндовых средств.

Под линуксом:

На тех машинах, к которым подключены принтеры, устанавливаем CUPS. Далее настраиваем принтер через его веб-интерфейс (PPD файлики используем либо встроенные, либо с http://linuxprinting.org). Возможно еще потребуется поставить hpijs.

Далее ставим галочку “Расшарить принтеры” все в том же веб-интерфейсе.

На тех, машинах, которые должны видеть чужие принтеры, тоже ставим CUPS и ставим галочку “Подключать расшаренные принтеры”.

Если машины находятся в разных сетях, придется поправить Access-лист на хосте с принтером и указать

BrowsePoll <CupsServerHostName>

на тех машинах, которые должны подключать удаленные принтеры.

Кстати сакральное знание, которого нету в доках: @LOCAL у CUPS’а значит “любая локальная подсеть, то есть подсеть заданная для любого интерфейса, кроме ppp”.

В итоге и на хостах с принтерами, и на хостах без них, в вебинтерфейсе мы должны видеть все принтеры (которые подключены к линуксовым хостам).

Теперь подключение виндовых принтеров к линуксу: на одном из CUPS’ов подключаем удаленный принтер, указав ему URI “smb://windowHost/printerShare”. Естественно должна стоять поддержка Samb’ы. И этот хост расшаривает подключенный принтер остальным линуксовым хостам средствами CUPS’а.

А вот обратно всё хитрее.

Во-первых, ставим самбу. У нее должен быть подключен CUPS:

[global]
    load printers = yes
    printing =  cups
    printcap name = cups

И должны быть 2 хитрых шары:

[printers]
    path = /var/spool/samba
    guest ok = yes
    browseable = no
    printable = yes
    printer admin = @lpadmin

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = no
   read only = yes
   guest ok = yes
   write list = @lpadmin

В качестве группы администраторов я использовал lpadmin – это группа, которая используется для администрирования CUPS’а. Эта группа обязательно должна иметь права на запись в каталог /var/lib/samba/printers.

Далее возможны 2 варианта: либо вы пробуете подключить в винде принтер расшаренный в самбе, винда просит диск с драйвером, устанавливает его локально и автоматически заливает на самбу драйвера (после чего все остальные виндовые машины могут подключать принтер, забирая дрова прямо с самбы), либо вам придется заливать дрова на самбу самому.

Как залить дрова на самбу.

Подключаем принтер к какой-нибудь виндовой машине (по сети через самбу) и устанавливаем его драйвера. На виндовой же машине расшариваем этот принтер. Затем на линуксовом хосте говорим:

$ rpcclient <имя виндовой машины> -c 'getdriver "<имя принтера>"'

Получаем что-то вроде:

[Windows NT x86]
Printer Driver Info 3:
        Version: [3]
        Driver Name: [HP LaserJet P2015 Series PCL 5e]
        Architecture: [Windows NT x86]
        Driver Path: [\\\\POSTMAN\\print$\\W32X86\\3\\UNIDRV.DLL]
        Datafile: [\\\\POSTMAN\\print$\\W32X86\\3\\HPC20155.GPD]
        Configfile: [\\\\POSTMAN\\print$\\W32X86\\3\\UNIDRVUI.DLL]
        Helpfile: [\\\\POSTMAN\\print$\\W32X86\\3\\UNIDRV.HLP]

        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzui43e.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hppdvq01.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpz5r43e.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpcdmc32.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hplj1xxx.exp]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzsm43e.gpd]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzst43e.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\HPC2015W.HTML]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\HPC2015W.SWF]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\HPC2015W.XML]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzev43e.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzhl43e.cab]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\STDNAMES.GPD]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpc20155.xml]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpc2015b.ini]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzsc43e.dtd]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzls43e.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\hpzss43e.dll]
        Dependentfiles: [\\\\POSTMAN\\print$\\W32X86\\3\\UNIRES.DLL]

        Monitorname: []
        Defaultdatatype: []

После этого вытаскиваем с этой виндовой машины все файлики, которые она нам выдала (если не заметили – все имена, это пути к файлам в виндовой нотации \\хост\шара\имяфайла). Кладем эти файлики в каталог /var/lib/samba/printers/W32X86/ (либо руками, либо через самбу, у нас же этот каталог расшарен под именем “Print$”).

Теперь самое страшное: создаем запись об этом драйвере:

$ rpcclient localhost -c 'adddriver "Windows NT x86" "HP LaserJet P2015 Series PCL 5e:UNIDRV.DLL:HPC20155.GPD:UNIDRVUI.DLL:UNIDRV.HLP:NULL:RAW:hpzui43e.dll,hppdvq01.dll,hpz5r43e.dll,hpcdmc32.dll,hplj1xxx.exp,hpzsm43e.gpd,hpzst43e.dll,HPC2015W.HTML,HPC2015W.SWF,HPC2015W.XML,hpzev43e.dll,hpzhl43e.cab,STDNAMES.GPD,hpc20155.xml,hpc2015b.ini,hpzsc43e.dtd,hpzls43e.dll,hpzss43e.dll,UNIRES.DLL" 3'

(Здесь устанавливаем все на localhost и текуший юзер входит в группу lpadmin. Если надо логиниться под другим юзером – используйте ключик -U. Ну и естественно, не забываем, что самба использует свою собственную базу паролей, которая управляется командой smbpasswd.)

Что там написано: первый параметр – это архитектура, для которой задается драйвер, для 2000/XP на x86 это “Windows NT x86″.
Второй параметр, это опции, разделенные двоеточием. Первая опция – имя драйвера (любая строка), дальше 4 опции – имена первых четырех файлов в той выдаче, которую мы получили от винды, затем две опции NULL и RAW, и в конце одной опцией через запятую имена всех файлов, которые были указаны как Dependentfiles все в той же выдаче. Ну и третий параметр – это версия. Для 2000/XP пишем “3″.

Должны получить что-то вроде

Printer Driver HP LaserJet P2015 Series PCL 5e successfully installed.

После этого команда

$ rpcclient localhost -c 'setdriver "<ИмяПринтера>" "<Имя драйвера>"'

Должна нам сказать что-то вроде

Succesfully set Printer1 to driver HP LaserJet P2015 Series PCL 5e.

Единственное место, где про все это написано нормально.

PS На каждом шаге могут возникать малоадекватные ошибки. В первую очередь стоит смотреть в лог самбы – вполне может быть, что кому-то не хватает каких-то прав.

… сотрудники самих правоохранительных органов не отрицают, что на компьютерах в их собственных кабинетах установлены контрафактные программы. Но по словам начальника отдела «К» ГУВД Воронежской области Павла Сушкова, его коллеги таким образом закон об авторских правах не нарушают.
— ФЗ РФ «Об авторских и смежных правах» подразумевает привлечение к ответственности тех фирм, которые используют программное обеспечение исключительно в коммерческих целях, — говорит Павел Феликсович. — Поскольку Министерство внутренних дел — это государственная организация, то вопрос о наличии нелицензионных программ в компьютерах его сотрудников неактуален.

Источник: http://www.moe.kpv.ru/view/text.shtml?22895

Дальше тоже прелестно:

Есть у «Linux» и минусы. Для того чтобы работать с этой операционкой, нужно хорошо разбираться в программировании. Сложности могут возникнуть уже на первом этапе — при установке. В некоторых версиях «Linux» придётся переписывать ядро программы для своего компьютера, а кроме того, и приобретать нужные драйверы, поскольку старые могут просто не подойти.
Небольшие сложности могут возникнуть и с программным обеспечением. Вы не сможете установить на свой компьютер, оснащённый «Linux», продающиеся в магазинах «фотошопы», «корелы» и прочие полезности. Для этой операционки нужны специальные версии этих программ, которые найти в продаже практически невозможно — их можно скачать в Интернете.
Все эти минусы в принципе незначительны, если операционная система досталась вам бесплатно, однако это нельзя сказать про сетевые версии, предназначенные для организаций с большим количеством компьютеров. Сетевую «Linux» придётся покупать за деньги, причём стоит она чуть ли не больше, чем аналогичная версия «Windows».

Майкрософт знает.

Очень порадовала комплектация:

• Док
• Запасной стилус
• Чехол (кожезаменитель? но хорошего, вроде, качества)
• Набор проводов и коннекторов (для вариантов Всех сочетаний из USB(и/или USB-host), док, сетевой адаптер)

Плюс ко всему мне попался расширенный набор, в котором к коробке с наладонником прилагались:

• Адаптер от прикуривателя (12-24 вольт)
• Автомобильный держатель на присоске

Ну и из софта:

• Набор всяких примочек от производителя
• Локализатор и три словаря от парагона (расширенный Rus-Eng-Rus и стандартные Rus-Deu-Rus и Rus-Fr-Rus)
• PalmGISGPS

Ах да, еще какой-то ваучер на покупку софта на 70евро в каком-то буржуинском онлайн магазине.

Что убило:

ВИНДА!!!

До этого с нею только игрался. Сейчас попробовал поработать и понял что ничего более чудовищного в плане интерфейса я не видел. Мультитаскинг оказался еще хуже, чем я думал. Особенно порадовало описания одной программки от Фуджитсу, которая идет в комплекте. Если чуть-чуть убрать обтекаемые маркетинговые формулировки, то оно звучит следующим образом:

Вас уже достала чудовищная поделка под названием Internet Explorer для WM? Не правда ли он отвратительно показывает страницы и приходится постоянно пользоваться горизонтальной прокруткой? Тогда специально для Вас мы изобрели новый костыль, который позволяет пользоваться этой какашкой с бОльшим удобством.

Ну и еще до кучи:

• Могли бы защитную плёнку в комплект включать, все равно ведь мастхэв

Продолжение следует…

В начале я уж было решил брать ThermalTake (Swing или Armor Jr.), но решил перед выходом из дому почитатать хобот, и что-то как-то там народ очень с нелюбовью о качестве термалтэйковских корпусов отзывался. Особенно про их шумность. Следующие четыре часа были потрачены на выбор корпуса. Требования были такие:

• Минималистический дизайн (отсутстсвие наворотов в стиле “кулхацкер”, но в то же время не хотелось совсем дешевого пластмассового вида).
• Корзина под диски, обдуваемая засасывающим вентилятором.
• 2 (или в крайнем случае 1 + одно нормальное посадочное место) вентилятора 9 или лучше 12 см.
• Достаточно толстые стенки, чтобы корпус не был хлипким и не резонировал.

Ну и, естественно, не хотелось очень сильно переплачивать за все это.

В результате понял, что ничего лучше корпусов, продаваемых под маркой Ascot (иногда приписывают ASUS в качестве производителя, хотя от ASUS’а в нем только наклейка “Powered by ASUS”, а производит их HEC group) сегодня купить нельзя.

После недолгих камланий над гуглом и прайс.ру решил покупать Ascot 6AR6-F/420. “-F” в данном случае означает встроенный кардридер. Но тут меня ждал небольшой облом, модели с кардридером были в наличии (в пределах досягаемости + чтобы купить в тот же день) только мощностью 360 ватт. Не то чтобы мне этого было мало, до сих пор мне хватало честных 300х, но, с учетом предстоящего через год-полтора апгрейда, все-таки было в притык (ну там двухядерность, несколько дисков и все такое). Поэтому пришлось взять 6AR6/420, а кардридер оставить белый (Наверное куплю черный кардридер совмещенный с флоповодом, как только они появлятся где-нибудь неподалеку.) Что в общем-то не портит картину хотя бы и потому, что привод CD у меня пока стоит старый и тоже белый. (Блин, связался с черно-серебристым корпусом, теперь проблемы…:) )

Теперь собственно что мне есть сказать об этом корпусе.

Что понравилось

Действительно симпатичный дизайн.

Достаточно просторный и удобный внутри, с 3 12тисантиметровыми кулерами (один в БП, один сзади на выдуве, один спереди на вдуве).

Очень неплохая и главное нормально обдуваемая корзина под диски с резиновыми прокладочками под винты. Правда несколько хлипкая (что компенсируется жесткой фиксацией и сверху и снизу) и немного туговато вставляется, да еще присутствует грань на нижнем полозе, по которому ездит корзина, которая (грань) проходит при вставлении/вынимании меньше чем в миллиметре от нижнего диска и, боюсь, может снести пару элементов с платы контроллера этого диска, если вставлять неаккуратно.

Более-менее (по крайней мере пока я еще не занимался моддингом в этом направлении) тихий и в, то же время, 12тисантиметровые кулеры снабжены термодиодами, которые заставят их крутиться сильнее в случае, если диски, или воздух, или то, к чему их прилепите, начнут перегреваться. А охлаждает очень неплохо: тепиература дисков упала ниже 30 градусов.
Еще достаточно удобные костыли, закрывающие сзади прорези под платы расширения. Вытаскивать их правда не просто, приходится подцеплять отверткой, зато устанавливаются назад одним нажатием пальца.

Что не понравилось

Пластмассовые полозья для ToolFree установки 5тидюймовых девайсов – в старом InWin’е были более удобные и аккуратные металлические, котороые, к тому же, позволяли привинтить сидюк дополнительно одним винтом слева.

ToolFree хреновина, позволяющая крепить платы расширения. То есть сама по себе она может быть и ничего, но она не позволяет выборочно зажать некоторые платы винтами (либо зажимать ею все платы, либо снимать ее нафиг и пользоваться винтами). В частности у меня проблемы возникли из-за планки с портами (которая не имеет, понятное дело, дополнительного упора в виде платы, вставленной в PCI слот и из-за этого недостаточно крепко зажимается этой тулфрёй. Ну и, правда это частный случай, мне требовались винты чтобы поставить кулер моего Zalman CNPS6000-Cu.

Что я не понял

Нахрена было придумывать съемную корзину для флоповода? То есть я понимаю, что если бы она была несъемной, то возникли бы проблемы с тем, как привентить флоповод справа, но не лучше ли было для этого использовать тот же метод, что и для 5тидюймовых устройств? Естественно тут все портят страшные пластмассовые полозья, но в InWin’е все было крайне удобно. О! Кажется понял! Если туда ставить не флоповод/кардридер, а жесткий диск, то тогда бы пришлось снимать все эти замечательне экранирующие перфорированные панельки спереди. Правда кому может понадобиться ставить 7 дисков в несерверный (ну по крайней мере не для такого количества дисков) корпус?

Что рассмешило

Замок и датчик открытия корпуса.

Датчик, конечно, работающий, вот только смысла в нем не так много, ведь передняя панель снимается без каких-либо сложностей, после чего можно, например, вытащить сиди-приводы и засунуть руку через образовавшееся отверстие. Неудобно, конечно будет так вредительствовать, но все-таки вполне реально.

Ну а ключ, который одинаковый на всех экземплярах данного корпуса и представляет из себя аналог ключа замка кенсингтона или ключа, которым в эпоху 386 отключали клавиатуру, но…. (sic!) без единой риски внутри. Игрушка одним словом.

В общем нахрена это было делать – непонятно.

В целом, корпус вполне понравился. Единственное с чем у меня сейчас проблемы – шумит очень. Но это из-за того, что при перестановке железок неудачно всавил видеокарту и начал гудеть ейный кулер. Сегодня буду делать комп еще тише. Там резисторов в питание кулетов понатыкать и тп. Ну и осталось купить копмлект из черной дивиди-писалки, флоповода и кардридера (а еще до кучи куплю круглые шлейфы внутрь, чтобы все было как у больших).
PS. Фотографии корпуса взяты с http://www.jupiter-group.ru/.

NB! За консультациями по настройке JPF обращайтесь сюда. Я не консультирую, в особенности по JPF2.

Чуть раньше я уже писал про лучший на мой взгляд файрвол для Windows. И обещал выложить свои правила для него. Что я и делаю. Собственно сами файлы ниже, а вначале некоторые объяснения по поводу того, как именно я представляю себе файрвол в ОС Windows.

• Персональный файрвол для винды это инструмент который позволяет задать ограничение для программ выполняющихся в винде и для служб самой винды.

1. Какие типовые задачи должен позволять решать этот инструмент?
   1. Возможность накладывать ограничения на сетевой траффик на уровне IP и ниже (пакетная фильтрация).
   2. Возможность задавать ограничения на сетевой траффик в приязке к приложениям, этот траффик генерирующим (фильтрация на уровне приложений).
2. Кроме того от файрвола хотелось бы:
   1. Простой формы представления всех правил и настроек.
   2. Возможность протоколирования всех событий (прохождение пакетов, срабатывание правил и т.д.).
   3. Возможность задавать шаблоны правил, которые затем можно легко применять к разным программам.
   4. Возможность задавать “Зоны” – диапазоны IP-адресов, которые затем можно использовать в правилах.
3. Дополнительные возможности, которые может предоставлять файрвол:
   1. Базовые функции IDS (Intrusion Detection System)
   2. Отслеживание windows-специфичных механизмов, которыми могут воспользоваться (и пользуются) вредоносные программы, чтобы получить доступ к сети (hooks, внедрение в код дочернего процесса, скрытый запуск других программ (в первую очередь браузеров) и т.п.)

Фильтрация траффика на уровне приложений не относится к функциям файрвола. Да, файрвол может предоставлять интерфейсы для плагинов, позволяющие плагинам осуществлять такую фильтрацию (кэширование DNS, вырезание банеров и поп-апов из HTTP, проверка антивирусом файлов, загружаемых по тем или иным протоколам), но это не должно быть встроенным в его ядро (кивок в сторону Нортонов, Касперских и им подобных).

Собственно мой выбор пал на Jetico потому что это единственный файрвол, который соответствует всем перечисленным выше требованиям (кроме пункта 3.1 – обнаружение атаки еще можно реализовать, создав правило, соответствующее этой атаке, но вот реализовать реакцию на нее в виде автопереконфигурирования файрвола – нет). При этом он крайне стабилен и, что самое главное, бережно относится к системным ресурсам.

Если кому интересно, из конкурентов я пробовал как минимум следующие:

• Agnitum Outpost Firewall Pro
• ZoneAlarm Pro
• Sygate Personal Firewall Pro
• Kerio Personal Firewall
• AtGuard
• Norton Personal Firewall
• Tiny Firewall

Прежде чем перейти к настройкам JPF попробую сформулировать некоторый предпосылки из которых я исходил.

Все программы можно разделить на три класса:

1. Доверенные программы, к которым не надо применять никаких ограничений.
2. Программы, которым разрешено соединяться только с определенным сервисом на определенном сервере.
3. Программы, которым запрещено все.

При этом для программ из первого класса надо иметь возможность задавать ограничение по “Зоне”:

1. Разрешено соединение только с локальным компьютером.
2. Разрешено соединение с компьютерами из домашней сети.
3. Разрешено соединение с компьютерами из локальной сети провайдера.
4. Разрешено соединение со всеми.

Как нетрудно заметить, на самом деле эти ограничения (точнее разрешения) будут вложенными: если вы разрешаем программе подключаться к локальной сети провайдера, то уж к своей домашней сети запрещать не имеет смысла.

Перейдем к программам из 2го класса.

Почему-то во многих файрволах (и JPF с правилами по-умолчанию не исключение) принято так или иначе задавать правила для приложений в виде “Программа The Bat! – это почтовая программа и она должна ходить только на порт 25 и 110″. К чему это приводит? Либо пользователь вынужден переодически тыкать мышкой в всплывающее окно с сообщением, что программа полезла куда-то еще (Особенно часто такое бывает с браузерами, потому что пользователи обычно забывают указать, что помимо 80го порта есть еще https (443), ftp-control (21), прокси (1080, 3128), да и вообще нередко встречаются веб-сервера на экзотических портах не говоря уже о забавном соедиении с ftp-data в пассивном режиме). Забавнее бывает, когда к этому правилу еще прибавляют “а на остальные ей ходить нельзя” и потом долго разбираются с вопросом “А почему у меня не работает IMAP (POP3S, IMAPS, SMTPS – подставьте по вкусу)?”

Но самое забавно впереди: допустим для некоторой почтовой программы мы-таки зададим необходимые ограничения по портам. И что? Это защитит нас от гнусных хакеров (“лишнего” интеллекта программы)? На самом деле не очень. Да, если вышеупомянутый TheBat! все же полезет на вебсайт производителя с целью поинтересоваться своей легальностью (чего он все же не делает), то мы это заметим, но ведь он может поступить хитрее: отправить что-либо через 110й порт на сервере, контролируемом производителем (или злоумышленником, если мы говорим о попытке взлома).

Таким образом я пришел к выводу, что на самом деле в большинстве случаев либо мы доверяем программе и даем ей полную свободу внутри некоторой зоны, либо мы ей не доверяем и разрешаем ходить только на определенный порт определенного сервера (например ходить на сервер разработчика – проверять обновляния).

Что касается программ из 3го класса (“Программы, которым запрещено все”), то очевидно, что это вырожденный случай ограничения по зоне.

Очевидно, что не все программы можно отнести к этим 3м (а точнее теперь уже 2м) классам. Самый очевидный контрпример – отнесение программы к 1му классу, но введение дополнительных правил, которые разрешают отдельные соединения вне расрешенной для программы зоны или, наоборот, запрещающие какие-то соединения внутри (случай, когда можно все, кроме как стучать разработчику).

Чтобы избежать этой неприятной ситуации можно переформулировать введенную классификацию следующим образом:

• Программы, которым достаточно задать максимально разрешенную зону доступа. (большинство программ)
• Программы, которым необходимо задать зону доступа и дополнительные правила расширяющие (или сужающие) права программы вне (внутри) этой зоны. (как правило в качестве базовой зоны доступа выступает зона “ничего” или зона “все”)

Ура. Теперь можно перейти к описанию собственно моих правил. Хотя нет Вначале еще несколько слов о внутренней логике работы JPF, которая мне показалась не совсем очевидной и заставила разбираться с ним пару дней, прежде чем я понял что к чему.

Несмотря на то, что все правила JPF вынесены в одну таблицу в их обработке есть несколько особенностей. Обработка правил инициируется в трех случаях:

• Взаимодействие процессов (установка хуков, вызов одним процессом другого и т.д.)
• Обработка входящего/исходящего пакета
• Отправка/прием пакета приложением

Если обрабатывается взаимодействие процессов, то JPF заходит из корневой таблицы только в те, в которых существуют правила “Process Attack”.

Если обрабатывается входящий или исходящий пакет, то переход идет только в таблицы с правилами типа “System Protocol” и “System IP” и “Application”. Надо отметить, что Stateful inspection срабатывает не только на пакеты, приходящие в рамках уже установленной сессии, но и на пакеты приходящие на порт, который в данный момент кто-то слушает.
И, наконец, при обработке отправки/приема пакетов приложениями переход выполняется только в таблицы с правилами типа “Application”.

То, что таблицы всех трех типов вынесены в одну корневую таблицу (да к тому же их там можно еще и в разном порядке распологать) меня лично вначале несколько запутало.

Для тех, кто не понял:

Значит алгоритм на псевдоформальном языке.

Пришел пакет

PF:
для каждой таблицы типа нетворк или IP в корневой таблице
{
для каждого правила из таблицы
{
если выполняются все условия правила, то РЕЗУЛЬТАТ:=вердикт правила;
goto AFTER_PF;
}
}
РЕЗУЛЬТАТ:=???(никогда не интересовался какой у джетики вердикт по-умолчанию)
AFTER_PF:
если РЕЗУЛЬТАТ==REJECT отбросить пакет и выйти из обработчика
AF:
для каждой таблицы типа application в корневой таблице
{
для каждого правила из таблицы
{
если выполняются все условия правила, то РЕЗУЛЬТАТ:=вердикт правила;
goto AFTER_AF;
}
}
РЕЗУЛЬТАТ:=???(никогда не интересовался какой у джетики вердикт по-умолчанию)
AFTER_AF:
если РЕЗУЛЬТАТ==REJECT отбросить пакет и выйти из обработчика
передать пакет дальше в стек винды и выйти из обработчика

Теперь наконец-то про мои правила. Хотя нет ) Про зоны. Дело в том, что в Jetico есть одна фича, которая плохо видна невооруженным взглядом: это файлик settings.xml – из гуевого конфигуратора “Configuration Wizard” можно лишь задать две зоны: “Trusted” и “Blocked” (может я что и путаю, давно им пользовался). А вот если открыть его в текстовом редакторе – возможностей намного больше (ищите в докуметации, если там написано, хотя я не уверен). В частности там можно задать произвольное количество различных зон. У меня это “Blocked Zone” (которая на самом деле пустая, так как у меня нет сетей-недоброжелателей, которые надо было бы блокировать), “Infoline Zone” – зона в которую я выпускаю программы, работающие только в локальной сети Infoline (это UKCable++, FTP-сервер и т.п.) и “Trusted Zone” – то, что находится внутри моей домашней сети (второй компьютер, виртуальные машины VmWare и т.п.). Соответственно имена этих указаны во многих правилах вместо диапазонов.
И вот наконец правила:

Во-первых практически во всех таблицах есть в начале и в конце отключенное правило с вердиктом continue, которое можно использовать в целях отладки.

Таблица Process Attack Table – ничего особенного, точно так же как у авторов JPF просто правило ask в конце, которое добавляет новые правила при необходимости.

Таблица Protocols Table – разрешает ARP и WiFi.

Таблица IP Table – разрешает все для TrustedZone, запрещает все для BlockedZone, для зоны InfolineZone разрешает пинговать себя и для зоны Internet (ну на самом деле такой зоны нет, прото для единообразия так таблица названа) запрещает некоторые атаки и разрешает все что надо для работы. Все правила там прокомментированы вполне пристойно.

Таблица Application Table – в самой таблице заданы только несколько правил для svchost.exe разрешающие DNS и DHCP. В принципе в этой таблице можно размещать и другие правила созданные вручную. А также из этой таблицы вызывается таблица Ask User в конце которой выводится запрос к пользователю (правила сгенерированные этим запросом сохраняются тоже в этой таблице).

В таблице Application Table (и ее подтаблице Ask User) в качестве вердиктов можно использовать следующие таблицы:

• AccessToNetworkOnly – для приложения будет разрешен доступ к сети (и открытие сокетов), но соединяться оно само ни с чем не сможет (даже с локальными сервисами). Зачем это надо: Например приложение PuntoSwitcher устанавливает общесистемный хук. При старте оно также хочет получить доступ к сети (access to network). Мы можем запретить ему это, но тогда все приложения, к которым будет прицеплен установленый пунтосвитчером хук (то есть в данном случае все гуевые приложения), не смогут получить доступ к сети (а то мало ли что за хук он установил). Но мы-то знаем, что он ничего плохого не делает и поэтому просто запретим ему соединяться с другими серверами (да и с локалхостом тоже), но доступ к сети все-таки дадим.
• LocalHostOnly – доступ до локальных адресов.
• TrustedOnly – только до зоны Trusted (например у меня TrustedOnly стоит для svchost.exe, чтобы можно было использовать shared folders внутри домашней сети).
• InfolineOnly – только до локальной сети Инфолайна.
• FullAccess – полный доступ.

Таким образом при попытке приложения получить доступ к сети мы можем сразу указать максимальную для него (приложения) зону доступа из выпадающего меню:

Возвращаясь к введенным ранее классам приложений:

• Для программ 1го класса достаточно указать таблицу-шаблон в соответствии с разрешенной зоной.
• Для программ 2го класса надо указать таблицу-шаблон и, среди правил предшествующих данному, дополнительные правила расширяющие/сужающие права программы.

На этом на сегодня достаточно. Если есть какие-то вопросы или замечания – пишите в комментариях.

PS. В моих правилах отсутствуют правила для PPPoE, так как PPPoE настраивается модемом. Если у вас он настраивается компьютером, то надо добавить соответствующие правила в таблицу Protocol Table.

Скачать правила для Jetico Personal Firewall.

Файлы из архива распакуйте в C:\Program Files\Jetico\Jetico Personal Firewall\Config

NB! JPF проверяет для бинарников контрольные суммы, поэтому, если у Вас отличная от моей версия винды (у меня XP SP2 Eng), то поправьте правила для svchost.exe в таблице Applications table (DNS и DHCP) – просто выберете в контекстном меню “Редактировать” и задайте в качестве приложения свой svchost.exe.