to MOZAS Ответ может колебаться в самых различных вариациях

to MOZAS

Ответ может колебаться в самых различных вариациях:) Ты же мне почти ничего с чем можно было бы работать а я информацию удалённо не снимаю пока :)
Agnitum не рекомендуется ставить с другими файрволами и с некоторыми он из-за специфики их и его структуры фильтрации пакетов не будет работать. Я не знаю что Ты там ещё наставил кроме Kaspersky 5.0 (который сильно использует ресурсы если настроен на real-time сканирование) и не знаю как Ты настроил Agnitum OutPost и какой он у Тебя версии тоже не знаю.
Но несколько предположений могу высказать: если какое-то время работает то это уже хорошо. В идеале а у Тебя наверняка не так - если Ты правильно настроил Agnitum(каждой проге необходимые порты и направление трафка плюс немаловажно реакцию (Reject или Deny) (по умолчанию не всегда хорошо выбраны необходимые порты) плюс режим проверки изменившихся системных библиотек также стоит внимательно посмотреть как реагировать на пакеты ICMP скана (сам найдёшь где) DNS запросы (ставишь в режим обучения и разбираешь что и как в зависимости от версии Твоей Windows Ты найдёшь какое приложение отвечает за DNS) плюс стоит отдельно посмотреть фкладку касательно IP пакетов там можно разрешить или запретить вид определённых пакетов) и указать только используемые. Не рекомендую пользоваться всяческими патчами найденными по ссылкам на astalavista.box.sk. 8) Ключ идеальное решение.


Для оптимизации можно ещё настроить DNS встроенный в файрволл (он сохраняет записи и не посылает повторно запрос если в его базе они уже есть) и естественно внимательно посмотреть на фильтрацию Active-Content'a (скрипты апплеты разрешённый редирект и прочее)
И пунктик там один есть касательно хэкерских атак. У меня только одно предположение что Ты видимо выставил на максимум - т е предупреждать при каждом подозрительном пакете и выставил галку блокировать соединение. Теперь думай если у Тебя PPP(модемное) соединение то весь трафик пойдёт через IP к которому Ты цепляешься и если оттуда хоть раз прийдёт какой-либо подозрительный либо потерявшийся (таймаут) пакет Ты сам обрубаешь сук на котором сидишь. Такая ситуация(ближний к Тебе IP к которому Ты цепляешься при PPP) мне встречалась крайне редко поэтому изучай что там происходит у Тебя в Windows(посмотри процессы и т д и т п) ищи что у Тебя глючит и читай доки хотя бы по Agnitum и форумы касательно оного тоже.
Ещё возможна более вероятная ситуация у Тебя не уходят в момент облома DNS пакеты. Плюс ещё ситуация если Ты сам случайно запретил выход своему броузеру к примеру. Либо - исходя из того что у Тебя что-то там падает(Windows в смысле) есть предположение что Ты зацепил уже что-то и это что-то перекрывает Тебе доступ (один из реальных примеров троян agobot (версию не помню) который скрывает себя от системы и соответственно от файрволла - позволяет входящий трафик который Ты вероятно не увидишь даже в сниффере обнаруживается сканированием портов извне)

Если хочешь понять сам что происходит запусти сниффер и изучай что там пришло - как только почуувствуешь что засох инет смотри в снифффер и проведи пару экспериментов ping traceroute попробуй netcat(удобен для экспериментов).

С уважением Виктор.
P.S. И читай хотябы доки если Ты не имеешь желания ковырнуться глубже в структуру файрволла поняв как это всё работает.