请管理员删帖

zongk

撒由那拉~

柯林

没这么复杂，选择“端口隐藏模式”，两个选择——阻止传入，警告传入，根据需要选一个就行

完整一点说，不是端口隐藏，而是主机隐身----让互联网上的机器探测不到本机的存在，涉及协议与端口。
协议方面，最基本的ICMP协议，至少不允许ping入，然后没必要传入传出的一律拦截
端口方面，当然是尽可能关闭所有端口，对于端口扫描不作出任何回应为佳
防火墙部分可玩性高一点的，放行必须的之后，最后通常会扎上“禁止所有协议通信（出入）”，目前这种墙几乎绝种了
像comodo这种有内置扫尾规则的，一般没必要弄太严，如有需要尝试，请阅读官方使用指南后再做，否则无用功

zongk

柯林 发表于 2017-6-12 09:06
没这么复杂，选择“端口隐藏模式”，两个选择——阻止传入，警告传入，根据需要选一个就行

完整一点说， ...

你看我这两个设置效果一样不？

• 我下载的论坛里的规则，最后一个就是"阻止IP进从MAC任何到MAC任何当协议是任何"，所以就好奇
  

zongk

柯林 发表于 2017-6-12 09:06
没这么复杂，选择“端口隐藏模式”，两个选择——阻止传入，警告传入，根据需要选一个就行

完整一点说， ...

• 系统防火墙里设置关闭端口什么的，是不是会破坏Comodo的隐身，好像是回"端口关"之类的消息
• Comodo全局规则关闭端口置顶，是不是会回"端口关闭"之类，破坏隐藏效果...
  

rex_bbs

所谓的隐身就是不对网络上任何的应答做出反应，这里的应答反应是指对入站信息的应答。最后加一条禁止所有的入站请求，其实是为了防止有遗漏的入站封锁规则没有设置。墙的规则是自上而下，前面设置了就没后面什么事。

zongk

rex_bbs 发表于 2017-6-12 10:00
所谓的隐身就是不对网络上任何的应答做出反应，这里的应答反应是指对入站信息的应答。最后加一条禁止所有的 ...

谢谢~！

柯林

zongk 发表于 2017-6-12 09:20
你看我这两个设置效果一样不？

我下载的论坛里的规则，最后一个就是"阻止IP进从MAC任何到MAC任何当 ...

个人觉得，一般还是不要这样设置为好
以jetico防火墙为例，它的规则流程很清晰，大致如下
1、各种IP拦截规则
……
7、转向程序规则，按程序规则执行
8、校验数据包
9、丢弃所有数据包
-------------------------
像上面这种结构，就很清晰，全局做严厉规则，就比较合适

毛豆的是：
1、出站：应用程序规则---->全局规则
2、入站：全局规则----->应用程序规则
这种结构不好弄，例如：
全局规则禁止了所有IP协议入，P2P程序如迅雷之类需要监听服务端口的，就被拦截，影响下载速度；如果全局上开迅雷监听端口，理论上不就等于一直开个口子？要弥补，你得在应用程序规则里写：1、允许迅雷使用监听端口……9、全局扎口袋规则（禁止所有程序IP协议出入，或者是禁止TCP/UDP协议出入），两方面配合起来，才完整。
冷静来看，还是属于复杂了，没必要，直接选“警告传入”的隐身模式，就能达到以上这种费力组合想要达到的效果

柯林

zongk 发表于 2017-6-12 09:24

系统防火墙里设置关闭端口什么的，是不是会破坏Comodo的隐身，好像是回"端口关"之类的消息

Como ...

全局规则你拦截IP协议出入置顶，系统就处于断网状态

系统防火墙一般不用专门设置，默认就有很好的隐身效果（所有不请自来的数据包，默认丢弃），但是，由于系统开启了一些服务，那些服务可能会打开某些端口，所以可能的话，家庭用户可以关闭那些没用的服务，必要时添加一点点端口封闭规则

ps：玩墙者常听到的一句老话：没有不安全的端口，只有不安全的服务。

rex_bbs

毛豆墙用自定义模式挺好，特别是入站监控就是分两道关卡，全局-->应用程序，全局开了，应用不允许还是无用，反之亦然。

zongk

柯林 发表于 2017-6-12 11:51
个人觉得，一般还是不要这样设置为好
以jetico防火墙为例，它的规则流程很清晰，大致如下
1、各种IP拦 ...

• 我不用P2P
• 我按照的论坛里的设置http://bbs.kafan.cn/forum.php?mo ... peid%26typeid%3D196
• 就这个图上的，我再点阻止传入连接，我加的那两条规则会被移到最下边