一些关于网络规则入站和优先级的问题

deniss

全局规则如下图，全局中控制入站的应该是下图红箭头的两条：



而对于入站的优先级别，好像是“入站：网络→全局规则→预定义规则→本机”

这样的话，如果我想在应用规则中单独设置允许QQ一些UDP（1-4000）端口入站访问的话，依据上面的优先级别，实际上是无效的？因为入站到了全局规则的上图标的那两条那里已经拦截了。

从而是不是可以这样理解？只要全局中有图中的两条入站规则，又不在上图中的自定义入站处加上端口的话，前面的应用程序规则中的所有入站连接都是无效的？

这样的话，QQ的应用程序规则中UDP的入站请求都不成了多余的？因为QQUDP的入站端口不太稳定，基本上都是设置全允许，或者1-4000，这总不能都加在全局的自定义UDP端口中吧？这样的话，下面的全局入站拦截都基本上是多余了。

但是我觉得奇怪的是，不知是否约定成俗了，好像很多规则在全局都有一条拦截全局入站的。

现在我想，如果优级“入站：网络→全局规则→预定义规则→本机” 是这样的话，是不是应该将全局里的拦截入站的规则，转移到应用程序那里会好一点？如下图





这样的话，一些程序的入站链接，就可以单独设置，而无需在全局里对所有程序开放了？

我的设想是这样的：


例如： Comodo V5纯墙规则—COMODO - Ferrari(FireWall) Series  http://bbs.kafan.cn/thread-943013-1-1.html


很大一部分都会在全局规则里加入一条全局拦截进入的规则，这是否真的合理？

darkwolf_99

全局里哪儿需要这么繁杂的规则，自带的三种规则足矣。重点是程序规则

智琛

楼主的对于防火墙的优先级理解有误
预定义规则不参与优先级
无论对于入站还是出站，最终还是要落脚到具体的端口上，限制住程序即可
精确规则由于全局规则，在防火墙中也是如此
也就说如果想限制Q的出站只需要具体精确规则即可
对于Q的具体规则可以参考如下
QQ的：
1、协议为TCP,方向为出站，远程端口是8000，12000，允许它
2、协议为UDP，方向为出站，远程端口是8000，8001，8080，9001，8414，4000,允许他
3、协议为UDP,远程地址为 MY COMPUTER,允许它
4、协议为TCP,方向为出站，远程端口是HTTPS，允许它
5、协议为TCP,方向为出站，远程端口是HTTP-83，允许它
6、协议为UDP,远程地址是DNS SERVERS,远程端口是DNS，允许它
7、协议为UDP，方向为入站，本地端口是13942，允许它

智琛

这样的话，如果我想在应用规则中单独设置允许QQ一些UDP（1-4000）端口入站访问的话，依据上面的优先级别，实际上是无效的？因为入站到了全局规则的上图标的那两条那里已经拦截了。

答：实践出真知。您提出来的优先级我原来并没有见到过，一般是从上到下匹配，精确＞全局，不存在允许和阻止的关系，只存在上下关系

智琛

柯林 发表于 2011-8-22 16:54
优先级从上到下，管你下面怎么拦截，上面开了允许那就优先执行。
全局弄个隐身设置即可，外网加上拦截135- ...

毛豆一直都没有说明
柯大，有空您来个测试？

柯林

黄智琛 发表于 2011-8-22 17:01
毛豆一直都没有说明
柯大，有空您来个测试？

没时间和条件进行测试，哪位朋友有兴趣可以测试下——用一台机子攻击另一台机子，看毛豆全局规则开放端口是否有内置处理机制进行纠错。

智琛

柯林 发表于 2011-8-22 17:10
没时间和条件进行测试，哪位朋友有兴趣可以测试下——用一台机子攻击另一台机子，看毛豆全局规则开放端口 ...

虚拟机构建个。不过效果不如实机好

deniss

黄智琛 发表于 2011-8-22 15:24
楼主的对于防火墙的优先级理解有误
预定义规则不参与优先级
无论对于入站还是出站，最终还是要落脚到具体 ...

首先，关于上面提到的规则优先级问题，是自于这里的，实习版主：mxf147，提出的。

http://bbs.kafan.cn/forum.php?mod=viewthread&tid=972355


中午停电了，现在才能上来……

现在我来实机测试一下，以迅雷的入站链接为例，这里设置迅雷的TCP 入站端口为：8005  UDP 入站端口为：8006

并且每次修改完规则后，清空日志，避免混乱。

1.预定义规则不参与优先级？

现在迅雷在应用规则中有如下，三条规则，第一条是预定义规则，第二，三条是精确规则，全局规则清空。


这时，防火墙规则在的是允许提示的，说明应用规则中的，预定义规则是参与优先级的。



关于此问题，也可能是出于我只是复制了一半，实际上，上面提到的“入站：网络→全局规则→预定义规则→本机”中的预定义规则，说的其实是放在应用程序规则里的“预定义规则”，详细可以看上面提到的优先级的链接。


2.精确规则由于（优于？）全局规则，在防火墙中也是如此

现在迅雷的规则如下图，全局加上一条禁止任何IP入站的规则。




从上面的拦截看，对于入站链接，全局规则是优于应用程序规则的。

智琛

deniss 发表于 2011-8-22 19:15
首先，关于上面提到的规则优先级问题，是自于这里的，实习版主：mxf147，提出的。

http://bbs.kafan ...

开始乃解释的不是很清楚。。
也怪我自己看的不认真，不要在意，再看看

deniss

柯林 发表于 2011-8-22 16:54
优先级从上到下，管你下面怎么拦截，上面开了允许那就优先执行。
全局弄个隐身设置即可，外网加上拦截135- ...

这个我也是这样认为的，这里其实主要想讨论的一个问题是“全局拦截规则的，设置和位置问题”，如果上面的优先级别是正常的话，我的设想是这样的：



例如： Comodo V5纯墙规则—COMODO - Ferrari(FireWall) Series  http://bbs.kafan.cn/thread-943013-1-1.html
很大一部分都会在全局规则里加入一条全局拦截进入的规则，这是否真的合理？