Čím jiným než aplikačním fw zakázat aplikaci přístup na internet
Dotaz je tak trochu pod vlivem Vladimírovy averze vůči aplikačním firewallům. Připouštím, že oprávněné - ale takovéto posouzení není obsahem tohodle threadu.
Existuje lokální aplikace, které uživatel nechce dovolit přístup na net (třeba na server výrobce). Aplikace funguje plnohodnotně lokálně, např. přehrávač médií, grafický editor, nějaká systémová utilita, hra. V jejím nastavení ale není možnost kontakt s internetem zakázat. Je-li aplikační firewall zlo, jak teda přístup takovéto aplikace někam ven zarazit? BFU nezná porty, kterých je využíváno; ba ani neví, co to porty jsou.
Důvody k takovému okleštení aplikace neposuzujte - je to věcí uživatele.
Řešení č. 1, vytahovat při provozu takovéto aplikace internet ze zásuvky (hardwarově či softwarově) je nepohodlné.
Řešení č. 2, používat nějaký aplikační firewall s nastavením nulové ochrany, pouze se zákazem příslušných aplikací ven na internet - tady by se to mohlo škaredě liskat s paralelně spuštěným neaplikačním (t.j. správným) firewallem.
Řešení č. 3, existuje? Nějaká utilitka, která by to dokázala?
Dotaz je míněn opravdu jen vzhledem k potřebě blokovat odchozí spojení, nijak nepolemizuje s Vladimírem. (...rád bych někdy dosáhl jeho znalostí a zkušeností v této oblasti, což ovšem nehrozí...) Jen bych chtěl v případě použití neaplikačního fw dořešit onu potřebu 
Díky za tipy.
doplnění: měla by to být nějaká jednodušší záležitost, aby ji zvládal i poučený začátečník. Tedy asi ne nějaké změny opravdu hluboko v registrech či nastaveních fw (jak mi jednou Vladimír ukazoval v případě fw z Windows Vista).
Takove veci se daji resit i bez firewallu.
Zjistis si server, na ktery se aplikace pripojuje a v souboru HOSTS jej nastavis na 0.0.0.0
To mě taky napadlo, ale zjistit si tu IP adresu laik nezvládne. Navíc může nastat problém, když se chce na ten server dostat ne z té aplikace, ale třeba z www prohlížeče. To by se ueditoval.
IP adresu, kam se nechce dostat, zjistí až po prvním připojení. Pokud nechce aplikaci ani jednou (čili ani poprvé) povolit přístup na server, stejně by musel IMHO nějaký aplikační FW použít a sledovat v něm příslušné IP adresy, kam se chce aplikace připojit.
a jak poznas konkretni server podle IP respektive, ze server na IP xxx.. patri nekomu duveryhodnymu? ja znam jen ripe.net a tam toho moc nezjistim, vetsinou je vse sit IANA a nebo jak to tam je, zpameti to nevim a konkretne nezjistis skoro nikdy nic.
mno protoze ta ip adresa nespada pod ripe musis se zeptat jineho spravce trebas tady
LACNICcountries.html
pouziti programu super scan od foundstonaku a ipnetinfo od nir sofera vic nez doporuceno
dik, to jsem vubec nevedel, znal jsem jen Ripe
než na 0.0.0.0, tak raději na 127.0.0.1 prosím.
aplikační firewall je pro tvé potřeby ideální řešení.
nemusíš řešit co je hypoteticky právné z hlediska microsoftu (je to volný odchod tvých dat pryč:). od xp sp2 má jejich jediný správný firewall většina lidí - jak je možné že se od nich bez kontroly šířil "icq vir" stration / warezov - a není pro mě argument že viry má řešit jen antivir.
například díky spywaru v ie odcházející data či hesla postižených zákazníků kb/čs nejsou vir - a kdo jiný než firewall by měl tuto komunikaci povolit/zakázat?
v práci mi startuje firemní instalace xp asi 3-5minut a zabírá 230mb ram, věřím že s aplikačním firewallem prakticky není možné start takové obludnosti uřídit bez chyb v nastavení, navíc proč platit za něco co už je v jakési verzi v ceně, dá se pohodlně centrálně nastavovat, a protože to nic neumí na uživatele nevyskakují žádné zbytečné dotazy?
čili: pro každé použití se hodí něco jiného.
Mně se samozřejmě aplikační firewall líbí, ale chtěl bych zjistit, co místo něj, kdybych se v sítích poučil natolik, že bych Vladimírovu filosofii přijal za svou - a přes jeho tvrzení, že to není potřeba, bych si chtěl aplikace (někam se snažící připojovat) ohlídat.
Raději znova opakuju, že nesleduju nějaké flameózní antivladímovské cíle, ale seriózně hledám jednoduché (i pro IT elévy dostatečně přístupné) řešení.
obávám se, že pro lidi neznalé je aplikační firewall jediné schůdné řešení. Vladimír je jednoduše řečeno extrémní případ (dokonce bych řekl, že i "protiváha" jedinců s 3 simultánně nainstalovanými firewally a antiviry
) a fungovat podle něj může jen pár lidí, kteří splňují i jiné požadavky (např. práce v User kontu, korektně nastavený IE, atp.)
Myslíš tedy, že nějaká NEfirewallovská (pravděpodobně na pozadí běžící) utilitka, která by uměla zabezpečit: "...Hro XYZ, ty prostě na internet nesmíš!" nebude existovat?
Mohla by fungovat ta moje možnost 2 z prvního příspěvku: že by kromě řádně nastaveného/spuštěného paketového firewallu běžel např. ZoneAlarm, jehož vlastní firewall by byl vypnut a fungovala v něm pouze sekce zakazující/povolující aplikacím "příchozí a odchozí volání"?
Lekce z češtiny:
1. pád virus (nikoliv vir),
2. pád viru,
3. pád virem...
Díky za pochopení.
1. pád virus = živý bacil
1. pád vir = terminus technicus pro malware
:)
Ja neviem, či je to presne to čo chceš, ale na nete sa dá nájsť kadečo...
Napr: programcontrol
Ano, toto je dobrá cesta.
Safe Eyes bohužel obsahuje mnoho sub-utilit v (docela drahém, 50$ ročně) balíku - z nichž by mě zajímala jen jedna, uživatelem stanovená kontrola, která aplikace může na internet.
Tak, díky pme jsem se dostal na správnou cestu při hledání řešení. Našel jsem např. postarší aplikaci iprotectyou.html (freeware), která mj. umí zakázat/povolit libovolným aplikacím přístup na internet.
Ne, že bych si ji hnedka instaloval (jsem spokojenej s Keriem z předSunbeltovské éry), ale jsem rád, že něco, co splňuje požadavek z nadpisu threadu existuje - a navíc zadarmo.
Hu, vidím že moje propaganda má účinky
Z hlediska "mé filozofie" 
je ideální řešení od JaFiho...
Edit: pro pravidelné moje fanoušky mám další protikeriovský projev v threadu "svchost"
Pečlivě všechno sleduju a jsem rád, že ses tu objevil
JaFiho řešení se mi nezdá user friendly a mám k němu výhrady (viz reakce na něj).
Co říkáš na řešení požadavku z dotazu, které jsem naznačil zde: http://pc.poradna.net/question/view/100487-cim-jiny m-nez-aplikacnim-fw-zakazat-aplikaci-pristup-na-int ernet#re-100554
nebo za pomocí další aplikace?
Taky jsem se tu s Vladimirem dohadoval o smyslu aplikacnich firewallu... Sice si porad myslim, ze v plno pripadech smysl maji (je potreba vybrat nejaky, co nebrzdi normalni provoz), ale vzdycky se rad necham poucit - a kdyz je moznost a cas, vyzkousim i jine pristupy.
Takze nas novy domaci pc-prirustek je za asusem wl-500g premium, bez aplikacniho firewallu a antiviru, leze se do nej jenom jako restricted user. Nonstop na nem bezi nekolik vmware virtualnich pocitacu - a prakticky vsechno se dela na nich. Jeden je vyhrazeny na zkouseni ruznyho smeti - potom se vzdycky obnovi ze snapshotu. Na virtualni pc se obvykle chodi pres terminalovy sluzby, i fyzicke pc funguje jako terminalovy server. Zbytecny veci jsou povypinany, vsecko je rychly a stabilni, zda se, ze i bezpecmy.. a hlavne pohodlny.
Pardon za OT.
aplikace vskutku jsou
http://winpooch.free.fr/page/home.php?lang=en&page= home
doufam ze to vleze do skatulky jednoducha a zacatecnik
winpooch je omezovadlo cehokoliv na cokoliv - jednoduchymi pravidly lze "usmernovat" aplikace (net,soubor,registry),pridat program pridat akci net zalozku (port nebo ip)vlepit tam hodnotu a ulozit by mel zvladnout i pouceny laik - pokud by potreboval info jake ip (kam aplikace leze) tak tcp view + info o procesech (process explorer)
otestovat muzete ihned - zkuste ze spravce uloh ukoncit proces winpooch
vse free