COMODO·局域网规则·分享一下下下下下! （男女都适用）（11月23日）

抓抓

（终于有机会把这段废话删除了！开心啊~~过隐啊）

修改：11月23日.。。。

这些设置主要旨在阻止局域网内的广播风暴(如最常见的UDP广播)..

Global Rules（全局规则）简单设置如下：

（注：这些规则一定要放在全局的最上层才有效，，最好在建立后删除全局中的其它所有规则）

（假设你的网关是192.168.1.1；掩码：255.255.255.0）

block 1:

Action：Block

Protocol：IP

Direction：in

Source Address：any

Destination Address：any(或自己的网卡、MAC address。不是特殊网络最好用any)

IP Details：any

block 1（DHCP用户）:

Action：Block

Protocol：IP

Direction：in

Source Address：选择Exclude(.....)，Single IP:192.168.1.1

Destination Address：any(或自己的网卡、MAC address。不是特殊网络最好用any)

IP Details：any

block 2:

Action：Block

Protocol：ICMP

Direction：in

Source Address：any （DHCP用户：192.168.1.2-192.168.1.254）

Destination Address：any(或自己的网卡、MAC address。不是特殊网络最好用any)

ICMP Details：any

block 3:

Action：Block

Protocol：ICMP

Direction：out

Source Address：any

Destination Address：IP Range：192.168.1.1-192.168.1.255（DHCP用户：192.168.1.2-192.168.1.255）

ICMP Details：any

block 4:

Action：Block

Protocol：IP

Direction：out

Source Address：any(或自己的网卡、MAC address。不是特殊网络最好用any)

Destination Address：IP Range:(192.168.1.1-192.168.1.255)（DHCP用户：192.168.1.2-192.168.1.255）

IP Details：any

block 5:(。。。。。。。)

Action：Block

Protocol：IP

Direction：out

Source Address：any(或自己的网卡、MAC address。不是特殊网络最好用any)

Destination Address：255.255.255.255

IP Details:：any

block 6:

Action：Block

Protocol：IP

Direction：out

Source Address：any(或自己的网卡、MAC address。不是特殊网络最好用any)

Destination Address：IP Range：224.0.0.0-239.255.255.255

IP Details:：any

block7:

Action：Block

Protocol：IP

Direction：out

Source Address：zone：any(或自己的网卡、MAC address。不是特殊网络最好用any)

Destination Address：IP Range：240.0.0.0-254.255.255.255

IP Details:：any

另外，还可以在“my blocked network zones”里添加“192.168.1.1-192.168.1.255”

-------------------------------------------------------------------

注：使用DHCP自动获取IP的用户在上述规则中不要block网关。。另外使用Upnp服务的也不要block网关、不要阻止路由ICMP传入。。。。（自行修改。。）

局域网需要共享访问的话须在最上层添加如下规则：

1：只访问对方：

allow udp/tcp out from 自己 to 对方........

2：允许对方访问自己：

allow udp/tcp in from 对方 to 自己........

注：共享时，还要确认system中没有block对方、my blocked network zones里不能有block对方。。

QQ局域网内相互传输时，还需要在QQ应用程序规则里同时添加上述2条(或其中1条)。。（否则QQ将自动被迫更改TCP连接，逼走internet网路）

（下续2楼：P2P）

[ 本帖最后由 抓抓 于 2008-11-24 09:07 编辑 ]

抓抓

原帖由 370341844 于 2008-10-6 20:54 发表
会不会导致没办法局域网联机玩游戏？

原帖由 joshua 于 2008-10-14 13:45 发表
再请教抓抓兄下

' 使用DHCP自动获取IP的用户在上述规则中不要block网关'

貌似一开始没小心就用了BLOCK 3 结果网络被禁了 - -   后来删掉BLOCK 3就没事了

那如果用不了BLOCK 3了需不需要其他的规则替代.  ...


IP地址  202.203.204.190
掩码    255.255.255.128
默认网关202.203,204,129

那就把范围改成：202.203.204.130-202.203.204.254

原帖由 joshua 于 2008-10-14 12:11 发表
请教下抓抓兄  我是照你说的改的   有两个小白问题
EMULE 是否也与迅雷设置类似？ PPLIVE一类的就是不用“ICMP”那一项，其它和迅雷的设置相同？

Destination Address  那里选ZONE还是MAC地址搞不清楚。   我直接填的MAC地址应该可以吧？

.........

好像这个贴子到现还有人在关注啊，呵呵。。
既然这样，那我就再剪修剪修一下。。

p2p...

首先，发表一下个人对p2p的一些看法：

p2p类装载方式本来都是一样的，，只是有些软件加了一些强制手段，，比如“电驴”“电骡”“电猪”“电狗”（按照国人一惯的“创新”思维，以后很可能会有这些软件出现,,,,）之类所谓的“高ID”的东西，

这个“高ID”其实就是一种强制用户分享资源的手段（允许未知入站），，当你设好了“高ID”之后，你会发现你违背了防火墙的宗旨，防火墙最根本的一条就是阻止未知入站，，成功设置“高ID”正好破坏了这个根本。。

而迅雷不同，这里不得不提到迅雷，个人认为这些p2p下载软件中，迅雷做得最好（别误会，不是给迅雷作广告哈），无论是它资源下载的设计方式还是在搜索运用上，迅雷都要远远超过“电X”之类，，，它有它自己的资源共享方式（有些人说它流氓，在这里给迅雷正名一下，其实它的目的就是希望用户达到最好的下载环境（有点拍马屁的感觉？），，尽管它的行为表面看上去有点猥琐）。。。

然后，其实还有。。，省略，，，也没有什么非讲不可的东西。。。

下面是我对几个p2p软件的设置方式，共享一下，看看大家的都有什么不同：

（为了更详细一些，首先对端口、网络划分添加设置一下）：

（新手提示：你的MAC地址肯定和我的不同，IP可能也不同，子网划分可能也不同；按照上面的几组添加，根据自己的网络修改一下就好。）

(上图中的这个8080端口重复了，可以省去)

我的P2P规则（迅雷、pps、pplive、kugou、QQLive、QQ音乐...）：

----------------------------------------------------

(要按顺序，允许的在前，阻止的在最后)

1:允许 IP 出站；来源：any；目的：Loopback Zone；any。。。

2:允许 icmp 出站；来源地址为any；icmp选择 echo request。。。：

3:允许 udp 出站；来源地址为any，目的地址为“open_dns”；来源端口为“dynamic port allocation”，目的端口为“53”。。。

4:允许 tcp/udp 出站；来源地址为any， 目的地址为“非local_area_range”（即："not in [local_area_range]"）；来源端口和目的端口都设为“dynamic port allocation”。。。

5:允许 tcp/udp 出站；来源地址为any， 目的地址为“非local_area_range”（即："not in [local_area_range]"）；来源端口为“dynamic port allocation”，目的端口为“p2p other ports”。。。

6:阻止所有icmp进出。。。

7:阻止所有IP进出。。。

----------------------------------------------------

即：

看一看下载速度是否正常（电信ADSL/2M/局域网）：

基本维持在200KB/以上应该算很正常了。。。

注：第2行解析设置中的“来源端口”最好设置为“dynamic port allocation”，即1024-65535；如果设为49152-65535的话，有时候会阻止迅雷的一部分资源连接解析,如图：

（如果嫌设置p2p规则麻烦的话，那就用“Outgoing Only”吧，，这样更省事，，其实也用不着老是为下载时的安全隐患担心，整天挖空心思想着怎么去限制端口、牺牲功能来换取些许的安全感，也不是个可靠的办法，毕竟那样也解决不了多少安全隐患上的问题，，举个最简单的例子：80端口基本上算是上网必须的端口吧，但是现在很多入侵都可以成功地利用80端口完成，，难道你也要关闭80端口？？那跟直接拔掉网线有多大区别？！。。。(有些朋友需要这样安慰一下。。 )）

另外，以上的设置方式不适合放在“电X”里，，，我这里没有“电X”的设置，，一直没正式用过“电X”，，因为与迅雷相比较，我一直没找到用“电X”的理由（抛开安全不说，，就算“电X”获得“高ID”，它的下载速度无论是理论还是实际上，也不会超过迅雷）。。。

最后要讲的是，（1楼）那几条局域网设置其实是最基本的，，也可以用其它更简单的方式实现。。它的原则是不信任局域网中的其它所有主机（就目前复杂的局域网网络环境来看，个人认为最好不要搞信任，更重要的是自律，就是说自己也不要干扰局域网；至少要阻止UDP在局域网中疯狂互发吧，，除非需要共享），说它是个规则，倒不如说它是个主张。。。。

另外，在玩局域网联机游戏时就需要针对性地添加共享设置才行。。。

（下续3楼：ARP）

[ 本帖最后由 抓抓 于 2008-11-24 00:04 编辑 ]

抓抓

（续1楼）：移动用户在使用时只要根据所处的不同的网络环境更改一下block3就可以了。。。比如你现在身处的C类网网关是192.168.88.1，掩码是255.255.255.0，那么你只要把block3中的IP Range改为：192.168.88.1-192.168.88.255就行了。。

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------




ARP

睡觉了，明天再搞吧。。

[ 本帖最后由 抓抓 于 2008-11-24 00:10 编辑 ]

iceflag

那我就是沙发了
我在局域网中
现在就试试看

tapingshan

第一条规则block in的话  局域网还能访问吗？？

抓抓

原帖由 tapingshan 于 2008-4-20 19:54 发表
第一条规则block in的话  局域网还能访问吗？？

请看完。。。

[ 本帖最后由 抓抓 于 2008-4-20 20:18 编辑 ]

Jelly

关于广播地址255.255.255.255，这个应该是作为目的地址而非源地址，请楼主更正

Jelly

再补充一下，楼主这样设置并不能阻止arp广播包，arp发送的是arp数据包，协议是arp

抓抓

原帖由 Jelly 于 2008-4-20 22:46 发表
再补充一下，楼主这样设置并不能阻止arp广播包，arp发送的是arp数据包，协议是arp

首先，ARP欺骗最初是靠广播IP地址请求并收到对方的应答后实现的，，，限制了最初的广播请求等于限制了它的源头。。。
ARP欺骗发作时，会广播大量的UDP包，这才是真正影响局域网网络质量的因素。。。

[ 本帖最后由 抓抓 于 2008-4-20 23:30 编辑 ]

langzi1

楼主能否把规则导出来？规则男女老少都适用，但是不是男女老少都会编，体谅一下我们这些看的头晕的菜鸟