请教一个关于MDF规则的问题

451102995

我今天把MDF的规则包换了一下！使用了star1258 提供的MDF8.5规则包修正版
使用后发现QQ不能获取自定义头像和获取QQ空间更新的提示。于是我马上意识到是某些端口被拦截了，我打开MDF的日志看了一下，发现每当我的QQ获取头像的时候都会有数据通过远程地址的4000端口传输到本地的6004端口。但这个规则包里的“拦截UDP传入00”（图1）把4000-8080端口的数据都拦截了（图2）。所以我的QQ自然就获取不到头像和QQ空间更新的提示。
于是我就修改了该规则，其实也不算是什么修改只是在规则里的应用程式里添加了QQ.exe（图5），添加后发现QQ可以获取头像和QQ空间更新的提示，日志里纪录到有数据通过远程地址的4000端口传输到本地的6004端口（图4），而且规则是通过学习模式建立的（图6）。
我这里有疑问的是，我在“拦截UDP传入00”里面添加了应用程式里QQ.exe后，该规则好像就把QQ.exe排除到该规则的限制范围以外继续核对其它的规则直到找到通过学习模式建立的QQ相关的规则（图6），以后再按照学习模式里的处理方式对QQ开放6004端口。但实际情况真的是我所理解的这样吗？如果像我理解的那样在规则里添加了应用程式就等于把那个程式在规则里信任或者排除的话，那么对其它调用该端口的程序会继续进行限制吗？我现在担心的是我把QQ.exe添加到该规则的“应用程式”里会把“拦截UDP传入00”的功能破坏了！请了解在规则里面添加应用程式是什么意思的朋友解析一下。

[ 本帖最后由 451102995 于 2007-6-27 11:15 编辑 ]

451102995

请知道是否在规则里的“应用程式”里添加程式就等于把该规则变为只针对该程式的规则，而对其它程序无视？
另外我把QQ.exe 加入到该规则的“应用程式”程式里会对其它调用这些端口的程式造成限制影响吗？我可不想因为我把QQ加进去以后，所有的程序都放行了。

[ 本帖最后由 451102995 于 2007-6-27 12:00 编辑 ]

小邪邪

MDF很简单，只需要启用传入的学习模式，它就会自动创建基于端口的程序规则

在前面该放行的都已经放行的基础上，在最最后面写一条禁止所有的规则就可以了
这样就是：除了前面已允许，其它的一切连接都禁止，这就够了，不用太苛刻

451102995

原帖由 小邪邪 于 2007-6-27 11:41 发表
MDF很简单，只需要启用传入的学习模式，它就会自动创建基于端口的程序规则

在前面该放行的都已经放行的基础上，在最最后面写一条禁止所有的规则就可以了
这样就是：除了前面已允许，其它的一切连接都禁止， ...

谢谢小邪的指点....其实我之前一直都使用你给出的那个规则包的一直使用下来都没什么问题！........但我现在最迫切需要了解的是我2楼提出的2个问题，请小邪回答一下......

[ 本帖最后由 451102995 于 2007-6-27 11:52 编辑 ]

小邪邪

都已经说是基于端口了：
也就是说它所创建的学习规则只会允许QQ.exe这个程序通过本地的6004端口与远程的4000端口进行连接，并不影响到其它程序，当其它程序在进行连接时候仍然会被拦截并分别为其创造独立的规则，这还不明白吗？

451102995

明白了！！

zea10t

规则执行是从上到下按顺序执行的，允许QQ并不会影响其他程序。

漫步的人

单单一个QQ.exe便要弄出这雨后春笋般如许多的规则来，这哪是在使用软件啊。说是咖啡墙在使用户还差不多。开个玩笑的，别当真。