SEP防火墙arp包过滤无效？请各位大大来讨论讨论

asdlxy

我装了SEP12.1.3 32位版本在win2003 R2上，主要是做包过滤，其他策略都很顺利，但是在做arp包过滤的时候出现了问题，大致如下：

我添加了三条规则：

Block arp0806，主机：所有主机，协议：以太网，网络类型：0x806，方向：两者；

Block arp0x808，主机：所有主机，协议：以太网，网络类型：0x808，方向：两者；

Block arp0x8035，主机：所有主机，协议：以太网，网络类型：0x8035，方向：两者；

这三条规则在规则的最上面，按照原理来说现在防火墙会禁止所有的arp包进出，然后我做了个实验，我用arp -d清除了本机缓存表，然后打开IE访问了一个网站，奇怪的事情发生了，网站竟然打的开，然后我arp -a发现有网关的IP和MAC。按照道理来说我做了上面三条规则应该是所有arp包都出不去进来不，包括网关的，应该是上不了网的啊。之后我去看了通信日志，发现本机发出询问网关MAC的arp包和网关应答的包都是显示已禁止，而且也是被第一条规则给禁止的，我不经想问这三条规则根本防不住arp包，日志里显示拦截了，可包还是被发出去和传进来了，大家可以想想，如果我的请求包没发出去按照日志说的被禁止了，那网关为什么还是会回应一个包给我？

我很郁闷啊，除了这个，我觉得SEP蛮好，难道是我设置问题？还请各位大大赐教啊。

asdlxy

这么多人看就没人知道为什么吗？

qjoyous

楼主如果能找到SEP的专门中文论坛告诉偶一声，这里的人水平太菜

独孤无语

请用wireshark去把包截下来。。。看看有没有发包出去。。。

sep的防火墙是顺序优先规则。。。确认在禁止的规则之前没有矛盾的允许规则。。。

问题多多的。。。。再者，如果是sep自己的问题，建议使用其它能达到你的目的的规则。。。

单独的arp禁止是想弄成arp防火墙吗？

asdlxy

独孤无语 发表于 2014-3-13 16:14
请用wireshark去把包截下来。。。看看有没有发包出去。。。

sep的防火墙是顺序优先规则。。。确认在禁止 ...

如果询问包没出去那网关不会应答的，所以包肯定是出去了。
这三条规则之上没有其他规则，所以这不会是问题。
还有，我只是想知道是不是sep的BUG，如果是我就不用这个墙了。
也不是说想搞成arp防火墙，这只是我的一个测试，如果sep正如我测试的，做了规则，日志也显示已禁止，但包还是出去了，那这样的墙要来干嘛呢？

Meine_Frau

来学习学习！

独孤无语

asdlxy 发表于 2014-3-13 16:26
如果询问包没出去那网关不会应答的，所以包肯定是出去了。
这三条规则之上没有其他规则，所以这不会是 ...

sep我电脑上也卸载了，测试不出是否有这个问题。

不过防火墙那里有“启用防mac欺骗”这个选项，你把选项关一下，在试试看有什么结果。

（把sep提供的那堆额外功能都关闭之后再试试规则的用处。）

把选项关闭之后，再清空一次列表

独孤无语

其实我是这样怀疑：你的arp表根本没有清空。

用wireshark截包看看，那个arp是怎么来的？有没有arp协议的包在发送。

人说的话做不得数的哦。。。

asdlxy

独孤无语 发表于 2014-3-13 17:21
其实我是这样怀疑：你的arp表根本没有清空。

用wireshark截包看看，那个arp是怎么来的？有没有arp协议的 ...

我肯定清空了，不然通信日志里的拦截记录怎么解释？

防MAC欺骗这种我都关了，问题依旧，看来是BUG。

独孤无语

asdlxy 发表于 2014-3-14 08:17
我肯定清空了，不然通信日志里的拦截记录怎么解释？

防MAC欺骗这种我都关了，问题依旧，看来是BUG。

我没装SEP，所以没法做实验证实你的情况。还是到官方论坛那里报一下。或许让@消停或者@尘梦幽然做下实验。

SEP的墙在一些测试上是仅次于comodo的，比ZA高。LZ可以玩玩毛豆嘛。。。