一些写防火墙规则的帮助材料

显示全部楼层 · 发表于 2019-4-17 19:35:09

本帖最后由 paink 于 2019-6-7 12:00 编辑

不知各位的日志里是否有这种记录：

如果有的话，写具体的规则时可能会遇到如下情况：

对于不太专业的网友来说，有点捉鸡了啊！
而类似的还有ip协议号（懂的、会用的豆油应该不太多）：

------------------------------------------------------------------------------------------------------------------------

如果查找第三方资料，会发现大多数不全，或者和毛豆墙的这种形式不太一样。
这里分享IETF的RFC文件链接，资料是英文的，但是十分简洁易懂（上过初中成绩不太差的，简单查几个关键词，就可以使用了）。
十分权威，和毛豆墙的定义十分统一。

所有文件编号列表：
https://www.rfc-editor.org/rfc-index.html

使用时在页面中“查找”你想要的关键词就行了。如查“icmp”，这个词是几个单词的首字母组合，那么就会有以下几种结果：
1256ICMP Router Discovery Messages（单词的首字母组合，这个显然不符合）
1885Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6)（这个就是ICMPv6）
2463Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification（ICMPv6的详细）

这三条结果就提示我们去查“Internet Control Message Protocol”关键词，就可以直接找到ICMPv4的定义了。结果就是：
0792Internet Control Message Protocol

点击前面的“编号”，就能够跳转到具体的协议文件介绍页面。这个页面一般提拱了Plain Text和PDF两种格式，点击“Plain Text”可以直接在线查看。PDF可以下载下来慢慢看。

------------------------------------------------------------------------------------------------------------------------

接下来直接贴出ICMPv4和ICMPv6协议文件的在线链接：
ICMPv4： https://www.rfc-editor.org/rfc/rfc792.txt
ICMPv6： https://www.rfc-editor.org/rfc/rfc1885.txt

需要其他网络协议资料的朋友，可以自己动手在这个网站上查找。

------------------------------------------------------------------------------------------------------------------------

本帖版权：
   允许自由粘贴、复制、再编辑、传播，不必注明作者。
   这种类型的贴子，虽然没什么技术含量，但是却能帮助我们很多。看起来不必汇总，然而，假如版块里能够多一些这种帖子，并能被不断汇总、更新，久而久之的，我们就能从此获取极大便利，学到许多关于毛豆的“成体系”的知识，而不是“碎片化”的知识。

一点个人感想：
   discuz有上面说的这种先天缺陷，许多分享帖被锁定，无法更新；无人回复，沉了下去……卡饭虽然有优秀贴汇总，但我觉得这种形式还不太理想，有待发展和改进。我只暂时性的发一些这种类型的帖子，但是不会太多，毕竟写帖不容易，没有什么回报不说，最后连这些帖子本身都沉下去然后淡化消失，很让人丧气啊。（恐怕，也就那么一点隔着网路的人与人之间的交互，略能打发一些人生的空寂。论坛没落是大势所趋！）

显示全部楼层 · 发表于 2019-4-18 10:28:32

支持楼主
需要IP协议、数据报结构等信息的，可以查看RFC文档，都有很详细的说明

玩墙人喜欢定制的ICMP等协议，一般可参考：
ICMP TYPE NUMBERS

The Internet Control Message Protocol (ICMP) has many messages that
are identified by a "type" field.

Type Name Reference
---- ------------------------- ---------
  0 Echo Reply  [RFC792]
  1 Unassigned    [JBP]
  2 Unassigned    [JBP]
  3 Destination Unreachable  [RFC792]
  4 Source Quench [RFC792]
  5 Redirect  [RFC792]
  6 Alternate Host Address    [JBP]
  7 Unassigned    [JBP]
  8 Echo  [RFC792]
  9 Router Advertisement [RFC1256]
10 Router Selection [RFC1256]
11 Time Exceeded  [RFC792]
12 Parameter Problem  [RFC792]
13 Timestamp  [RFC792]
14 Timestamp Reply  [RFC792]
15 Information Request  [RFC792]
16 Information Reply  [RFC792]
17 Address Mask Request                   [RFC950]
18 Address Mask Reply  [RFC950]
19 Reserved (for Security) [Solo]
20-29 Reserved (for Robustness Experiment)    [ZSu]
30 Traceroute [RFC1393]
31 Datagram Conversion Error [RFC1475]
32    Mobile Host Redirect             [David Johnson]
33    IPv6 Where-Are-You                [Bill Simpson]
34    IPv6 I-Am-Here                   [Bill Simpson]
35    Mobile Registration Request       [Bill Simpson]
36    Mobile Registration Reply       [Bill Simpson]
37    Domain Name Request                   [Simpson]
38    Domain Name Reply                      [Simpson]
39    SKIP                                  [Markson]
40    Photuris                               [Simpson]
41-255 Reserved    [JBP]

Many of these ICMP types have a "code" field.  Here we list the types
again with their assigned code fields.

Type Name                                  Reference
---- -------------------------             ---------
  0    Echo Reply                            [RFC792]

      Codes
         0  No Code

  1    Unassigned                               [JBP]

  2    Unassigned                               [JBP]

  3    Destination Unreachable                [RFC792]

Codes
0  Net Unreachable
1  Host Unreachable
         2  Protocol Unreachable
         3  Port Unreachable
         4  Fragmentation Needed and Don't Fragment was Set
         5  Source Route Failed
         6  Destination Network Unknown
         7  Destination Host Unknown
         8  Source Host Isolated
         9  Communication with Destination Network is
            Administratively Prohibited
         10  Communication with Destination Host is
            Administratively Prohibited
         11  Destination Network Unreachable for Type of Service
         12  Destination Host Unreachable for Type of Service
         13  Communication Administratively Prohibited    [RFC1812]
         14  Host Precedence Violation                   [RFC1812]
         15  Precedence cutoff in effect                   [RFC1812]

  4    Source Quench                         [RFC792]
      Codes
         0  No Code

  5    Redirect                               [RFC792]

      Codes
         0  Redirect Datagram for the Network (or subnet)
         1  Redirect Datagram for the Host
         2  Redirect Datagram for the Type of Service and Network
         3  Redirect Datagram for the Type of Service and Host

  6    Alternate Host Address                   [JBP]

      Codes
         0  Alternate Address for Host

  7    Unassigned                               [JBP]

  8    Echo                                  [RFC792]

      Codes
         0  No Code

  9    Router Advertisement                   [RFC1256]

      Codes
         0  No Code

10    Router Selection                      [RFC1256]

      Codes
         0  No Code

11    Time Exceeded                         [RFC792]

      Codes
         0  Time to Live exceeded in Transit
         1  Fragment Reassembly Time Exceeded

12    Parameter Problem                      [RFC792]

      Codes
         0  Pointer indicates the error
         1  Missing a Required Option       [RFC1108]
         2  Bad Length

13    Timestamp                               [RFC792]

      Codes
         0  No Code

14    Timestamp Reply                         [RFC792]

      Codes
         0  No Code

15    Information Request                   [RFC792]

      Codes
         0  No Code

16    Information Reply                      [RFC792]

      Codes
         0  No Code

17    Address Mask Request                   [RFC950]

      Codes
         0  No Code

18    Address Mask Reply                      [RFC950]

      Codes
         0  No Code

19    Reserved (for Security)                   [Solo]

20-29  Reserved (for Robustness Experiment)       [ZSu]

30    Traceroute                            [RFC1393]

31    Datagram Conversion Error             [RFC1475]

32    Mobile Host Redirect             [David Johnson]

33    IPv6 Where-Are-You                [Bill Simpson]

34    IPv6 I-Am-Here                   [Bill Simpson]

35    Mobile Registration Request       [Bill Simpson]

36    Mobile Registration Reply       [Bill Simpson]

39    SKIP                                  [Markson]

40    Photuris                               [Simpson]

Code

0 Reserved
1 unknown security parameters index
2 valid security parameters, but authentication failed
3  valid security parameters, but decryption failed

相关问题：
REFERENCES

[RFC792] Postel, J., "Internet Control Message Protocol", STD 5,
      RFC 792, USC/Information Sciences Institute, September 1981.

[RFC950] Mogul, J., and J. Postel, "Internet Standard Subnetting
      Procedure", STD 5, RFC 950, Stanford, USC/Information
      Sciences Institute, August 1985.

[RFC1108] Kent, S., "U.S. Department of Defense Security Options for
      the Internet Protocol", RFC 1108, November 1991.

[RFC1256] Deering, S., Editor, "ICMP Router Discovery Messages", RFC
      1256, Xerox PARC, September 1991.

[RFC1393] Malkin, G., "Traceroute Using an IP Option", RFC 1393,
      Xylogics, Inc., January 1993.

[RFC1475] Ullmann, R., "TP/IX: The Next Internet", RFC 1475, Process
      Software Corporation, June 1993.

[RFC1812] Baker, F., "Requirements for IP Version 4 Routers", RFC
      1812, Cisco Systems, June 1995.

显示全部楼层 · 发表于 2019-4-17 19:59:04

太好了，没看懂。

显示全部楼层 · 发表于 2019-4-17 20:28:06

zgj_lz 发表于 2019-4-17 19:59
太好了，没看懂。

就是icmp协议的rfc文档，找了其他的资料很不详细。这里的rfc文档则和毛豆的icmp协议规则的编写方式最匹配。

显示全部楼层 · 发表于 2019-4-17 21:52:06

虽然不主动写规则，但是给楼主延缓一下锁贴的时间

显示全部楼层 · 发表于 2019-4-17 22:46:16

上大学的时候学的都快还给老师了，看来仔细用毛豆有好处，但希望毛豆能在防火墙询问时增加一个详细设置，设置ip和端口

显示全部楼层 · 发表于 2019-4-17 22:49:09

本帖最后由 paink 于 2019-4-17 23:22 编辑

tg123321 发表于 2019-4-17 21:52
虽然不主动写规则，但是给楼主延缓一下锁贴的时间

其实无所谓了，反正是早晚的，discuz本身就是这样的。
对于某些可以“持久存在”的内容，discuz的处理方式十分弊陋，以前也有好多网友发的贴，其实放到现在仍然还很有价值，但现在找起来很麻烦，甚至无从找起。

这点就是我对disuz论坛程序十分不满的地方，太打击论坛“最基本要素”——“发帖人”的行为价值和积极性了。
只有严肃性、规范性、氛围比某吧好；帖子内容在一定时限内可以反复编辑。
但这两点远远比不上上面这点，这是平台存在的价值底线和根本，是生存之道。
其他的就没什么能比得上某吧了（看看人家的平台有多热，discuz只会说自己很规范严肃，然而结果呢？结果就是有价值的东西它也不去抓紧，被csdn这种博客类平台挤得喘气），虽然说这话很泄大家的气，但是实话，论坛制度需要更好的“长内容”处理方式，优质“长内容”的存在形式需要变革。discuz似乎从无此打算。

显示全部楼层 · 发表于 2019-4-17 22:53:48

本帖最后由 paink 于 2019-4-17 22:56 编辑

万里云天发表于 2019-4-17 22:46
上大学的时候学的都快还给老师了，看来仔细用毛豆有好处，但希望毛豆能在防火墙询问时增加一个详细设置，设 ...

弹窗变成那样就太细了，不太适合大多数人。而且只有tcp/UDP协议使用端口号，较低层的协议用不到，那怎么弄啊！

显示全部楼层 · 发表于 2019-4-17 23:03:48

就像eset的那样，显示的时候可以折叠，对需要的用户点开就行，没有端口号的协议就不显示端口号选项啊

显示全部楼层 · 发表于 2019-4-17 23:11:12

万里云天发表于 2019-4-17 23:03
就像eset的那样，显示的时候可以折叠，对需要的用户点开就行，没有端口号的协议就不显示端口号选项啊

那为啥不直接用eset？有hips、防火墙，杀毒也强，找码似乎也不难，板块也活跃……

显示全部楼层 · 发表于 2019-4-17 23:22:54

comodo的hips和防火墙口碑不错，貌似比eset的要强大，只是希望能更易用点

[分享] 一些写防火墙规则的帮助材料

本帖子中包含更多资源

评分

评分