关于svchost和防火墙全局规则

小钦差

感觉毛豆其他方面都差不多了 唯独这个 svchost.exe规则 还有防火墙的全局规则  没搞好
求大神推荐规则   

小钦差

还有就是 想用毛豆防火墙 设置关闭 某一个端口  应该怎么写规则

柯林

不都大同小异么
允许系统更新（连接微软更新服务器IP地址一堆）和域名解析（允许udp方式连接的你的dns服务器地址）就可以了，其它的可以拦截（记不得时间同步服务是否使用svchost了，根据日志看下）

全局很简单，选个隐身模式就可以。如果要详细设置，可就麻烦了——架构不明，可能是执行完全局规则里用户添加的IP规则后，转向执行应用程序规则，最后再转向内置规则进行收尾。也就是说，内置的全局防御规则，你看不见；你自己设置的全局IP规则，最好不要有漏洞（其实就是可写的没多少，至多设置下ICMP规则之类，对于ARP等是不可能的，而全局TCP检验与UDP校验之类的规则应该是内置隐藏了，你没法设置调整；错误的设置只是影响网速而已，所以可玩性不高，最简单就是选个隐身模式即可，一些高危端口要拦截就拦截下，其它几乎没了（弄一大堆黑IP地址或者网段来个全局封杀是没有多大意义的）

小钦差

柯林 发表于 2019-3-24 18:02
不都大同小异么
允许系统更新（连接微软更新服务器IP地址一堆）和域名解析（允许udp方式连接的你的dns服务 ...

谢谢

ELOHIM

柯林 发表于 2019-3-24 18:02
不都大同小异么
允许系统更新（连接微软更新服务器IP地址一堆）和域名解析（允许udp方式连接的你的dns服务 ...

udp 123 svchost.exe IPHTTPS 同步时间的。

柯林

ELOHIM 发表于 2019-3-24 23:29
udp 123 svchost.exe IPHTTPS 同步时间的。

好久不玩，有点忘了

柯林

小钦差 发表于 2019-3-24 18:10
谢谢

毛豆的防火墙规则，大致遵循三块结构：
1、全局规则过滤（拦截高危端口，拦截不好的ICMP消息等）【目的是隐身】
2、转向应用程序规则加以执行（详细制定活动程序的连接规则）【目的是细控】
3、以上二者皆无的，转入内置规则，按全状态检测机制，进行校验、丢弃
所以全局规则最好不要画蛇添足去制定打开端口的规则，弄点拦截是可以的
注意：如果使用局域网共享，需要全局规则里有信任本地网络的规则，或者改由程序规则对system进行定制
================================================
完整的svchost.exe的规则，可能包括这些内容：
a、执行域名解析---允许UDP协议出，来源端口1024-65535，目的端口53，目标地址（DNS服务器地址（比如114.114.114.114等））
b、系统更新---允许TCP协议出，来源端口1024-65535，目的端口80，443，目标地址（微软更新服务器地址，自己收集，嫌麻烦就空着）
c、DHCP服务--允许UDP协议进出，来源端口67-68，目的端口67-68
d、网络对时--允许UDP协议出，本地端口123，目的端口123，目标地址（授时地址，自己搜寻整理）
e、局域网广播--允许UDP协议出，目标地址255.255.255.255，目标地址（本地网络）
f、设备发现1---允许UDP协议出，目标地址239.255.255.250，目的端口1900
g、设备发现2---允许UDP协议入，目标地址239.255.255.250，目的端口1900
H、拦截其它数据包---禁止TCP/UDP协议进出
这样设置，相对安全、细致，如果有木马寄存在svchost里进行网络活动，发出的数据包将被拦截（理论上没毛病，实际上你可能很少遇到这中马而不知的情况）

如果嫌麻烦，简单两条就可以
1、允许IP协议出
2、拦截IP协议出入
这样设置简单省事，但是安全性上，肯定比上面的麻烦规则少了一大截

christina7358

柯林 发表于 2019-3-25 08:27
毛豆的防火墙规则，大致遵循三块结构：
1、全局规则过滤（拦截高危端口，拦截不好的ICMP消息等）【目的 ...

请问柯大 如果把svchost禁止了呢？木马就应该起不了作用了吧？大不了不升级

柯林

christina7358 发表于 2019-3-25 21:30
请问柯大 如果把svchost禁止了呢？木马就应该起不了作用了吧？大不了不升级

这样就因噎废食了，系统一大堆服务，交付在svchost上，网络上比如DHCP服务等
如果禁用了svchost的域名代{过}{滤}理解析功能，需要打开每个程序自身的DNS服务，否则连不上网
没必要这么紧张，木马利用svchost只是少数情况，正常开启杀毒软件的情况下，木马都会被拦截或杀掉的，没马又何必去纠缠“中马”的后续问题

胡小龙军

svchost.exe规则只允许六个回旋地址访问，其余阻止。全局规则阻止。