U版的全局规则设置问题

jjjmeme

郁闷了，之前的COMODO是自己设置的，今天进来学习U版的东西，在《写给新人的 Comodo V3 指南》一文中，U版说可以在全局规则那里添加如下规则：

“Firewall -> Advanced -> Network Security Policy -> Global Rules
添加一些规则，注意所有允许的规则都放在阻止的规则上面，因为 Comodo Global Rules 由上至下匹配。
这里只针对拨号上网用户，和不开服务的用户。
局域网用户，需要首先检查和添加，信任局域网的规则。
然后添加规则：
阻止对本机 Privileged Ports[0-1024] 的访问，普通用户，不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机 3389 端口的访问，由于前面开了 Terminal Service，在这里阻止远程协助端口，以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST"

以上四条我一设置就不能上网，我知道一般上网需要开80这些端口，就另外自己添加了一条"Allow And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[HTTP Ports]"放在阻止的上面，结果依然，但把U版写的那四条规则删掉则正常…………
这是什么原因呢？不解中～～

[ 本帖最后由 jjjmeme 于 2008-3-1 08:12 编辑 ]

jshzdh

要检查你是否局域网用户,另外查看阻止记录.
全局规则设置好以后要调整部分系统程序和应用程序网络规则.如Svchost..exe在不同上网方式设置不同

jjjmeme

原帖由 jshzdh 于 2008-3-1 12:40 发表
要检查你是否局域网用户,另外查看阻止记录.
全局规则设置好以后要调整部分系统程序和应用程序网络规则.如Svchost..exe在不同上网方式设置不同

我是宽带拨号上网，不存在局域网，Svchost.exe的设置上有什么需要改变的，能够具体说一下吗？谢谢

jshzdh

特殊的程序C:\WINDOWS\System32\Svchost.exe
在XP系统，必须允许C:\WINDOWS\System32\Svchost.exe 的一些网络活动
允许DNS协议(必须)
允许连接远程UDP 53 端口

允许DCHP 协议(必须)
允许 UDP 本地端口 68 远程端口 67

允许 Windows Update(可选)
允许 TCP 连接微软服务器 : 本地端口 1024-5000  远程端口 80和443

允许 时间同步(可选)
允许 UDP 远程端口 123 (time.windows.com, time.nist.gov)

阻止 RpcLocator
阻止端口 TCP/UDP 139/445

阻止 UPnP (除非使用)
阻止端口 UDP 1900

阻止其它一切入站请求。

设置规则时，注意其它目录的Svchost之类的一律阻止，它们不是系统程序，很大的可能性是木马。


PS:引用U版原话

jshzdh

如果简单简单点设置也可以按下面设置

引用U版:

有几个特殊程序，再讲一下：
System
LAN(局域网) 或 完全阻止(无局域网)

Windows Updater/Svchost
LAN(局域网) 或 Outgoing Only(无局域网)


PS:自己打字慢,所以大量粘贴

wolfmei

Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]

这个规则出了问题，这个其实不需要特别的规则阻止，因为你在最后的BLOCK ALL规则都可以帮你把这些端口BLOCK主。你只需要记录下这些端口的OUTGOING状态就可以了。

然后你要在最上面，或者在BLOCK ALL前面加条规则允许OUTGOING的端口的规则就可以了。

[ 本帖最后由 wolfmei 于 2008-3-1 23:06 编辑 ]

sean666

你搞错方向了，http port 80 的连接是设out
是你先连出去请求对方给你资料，再带回来显示在你萤幕上的！

不是别人主动送资料来给你显示在你萤幕上，这岂不是木马或劫持了？

jjjmeme

呵呵，收到～
多谢以上各位的指点，原来如此，看来我要重新来看一下应该如何设置这些全局规则