请教一个V6中的默认防火墙全局规则的逻辑问题

sohusinasohu

使用环境：电脑接无线路由器，属于内网，无线路由器拨光纤猫，已开端口映射用于BT和emule。

装完V6，在防火墙全局规则中看到从上至下共有6条默认规则，第一条是允许所有外联如果目标是在局域网内，第二条是允许所有接入如果发送者是在局域网内。这两条没什么说的，给予了局域网内各主机的完全出入通道。

第三条是允许IP出从mac任何到mac任何当协议是任何，这条也能理解，定义了我这台主机只能有外联。

第四第五条是定义ICMP的，没什么太大关系。

关键是第六条，阻止IP进从mac任何到mac任何当协议是任何，这就定义了我这台主机不能接收传入连接。

问题来了，我开P2P下载必须要有传入连接，路由器开端口映射也是这个目的。另外也不可能完全阻止传入连接的，任何一个网络应用程序最起码都有个握手和数据校验的来回吧。这条规则我比较不理解。而且我的BT和emule实际检测端口和下载也是正常的，防火墙日志也过于简单，看不出来这条规则究竟起没起作用，从实际效果来开，这条规则是不起作用的。

求高人解答！谢谢

rex_bbs

对内是所有本机监听服务用的，没有必要的可以全都拒绝。像P2P什么的选择端口开启允许入站即可。

sohusinasohu

rex_bbs 发表于 2012-12-31 10:46
对内是所有本机监听服务用的，没有必要的可以全都拒绝。像P2P什么的选择端口开启允许入站即可。

谢谢。第一个解释明白了，但我没添加过额外的P2P程序和端口例外啊，为什么BT和emule端口映射正常，传入连接正常？

rex_bbs

按理应该是不通过的，可能和最上面的局域网入站全部允许有关，本机－－路由－－外网，路由上有自动端口映射的。

sohusinasohu

rex_bbs 发表于 2012-12-31 11:12
按理应该是不通过的，可能和最上面的局域网入站全部允许有关，本机－－路由－－外网，路由上有自动端口映射 ...

可我开3389远程桌面的端口映射后，如果不在全局设规则，就没法传进来。我在公司试了

rex_bbs

入站还是全局上开吧，反正我一直是全局规则上开的。

柯林

你的理解是从数据包的发送与接收的“双向”的角度，而不是绝大多数防火墙关注的“主动连接”与“被动连接”的“双向”的角度

p2p禁止连入也是可以下载的，只不过依据p2p的原理和精神，你的积分和速度是受影响的——至于你说的正常，那就不好说了，如果软件在用HTTP和FTP协议进行下载，那肯定是一点影响都没有的

sohusinasohu

柯林 发表于 2012-12-31 18:59
你的理解是从数据包的发送与接收的“双向”的角度，而不是绝大多数防火墙关注的“主动连接”与“被动连接” ...

谢谢楼上。

我防火墙开的是安全模式，我的几个P2P软件的执行程序都在“信任的文件”里。是不是P2P程序被信任了后，所有规则就都放开了，而不受全局规则和程序规则的限制？如果我开的是“自定义模式”，是不是就得手动设置规则了？

另外我又看了一下英文说明，说传入连接是先被全局规则过滤，再被程序规则过滤；而传出连接相反，先被程序规则过滤，再被全局规则过滤。如果是这样的话，即使我开自定义模式建立了P2P程序的规则，但不在全局规则里设置的话，那么也不会发生“连入”？

a256886572008

如下圖，

1. 取消隱身，詢問所有入站。

2. 在防火牆，應用程序規則那邊。

上面放例外程序，允許所有入站。

最下面放全局規則，阻止所有入站。

3.別學笨笨的外國人，搞那個超複雜的規則。

a256886572008

sohusinasohu 发表于 2013-1-5 10:49
谢谢楼上。

我防火墙开的是安全模式，我的几个P2P软件的执行程序都在“信任的文件”里。是不是P2P程序 ...

1. 規則優先順序

(1)出站： 本地 --> 應用程序規則 --> 全局規則 --> 對方

(2)入站： 對方 --> 全局規則 --> 應用程序規則 --> 本地

換句話說，就算在白名單，還是受 全局規則約束。

COMODO 有特別設計，全局規則無視白名單，大家平等。

2.是的，無法連入(入站)。