一些写防火墙规则的帮助材料

paink

万里云天 发表于 2019-4-17 23:22
comodo的hips和防火墙口碑不错，貌似比eset的要强大，只是希望能更易用点

嗯，那只能在心里为豆子祈祷了。

柯林

支持楼主
需要IP协议、数据报结构等信息的，可以查看RFC文档，都有很详细的说明

玩墙人喜欢定制的ICMP等协议，一般可参考：
ICMP TYPE NUMBERS

The Internet Control Message Protocol (ICMP) has many messages that
are identified by a "type" field.

Type Name Reference
---- ------------------------- ---------
  0 Echo Reply  [RFC792]
  1 Unassigned     [JBP]
  2 Unassigned     [JBP]
  3 Destination Unreachable  [RFC792]
  4 Source Quench    [RFC792]
  5 Redirect  [RFC792]
  6 Alternate Host Address     [JBP]
  7 Unassigned     [JBP]
  8 Echo  [RFC792]
  9 Router Advertisement [RFC1256]
10 Router Selection [RFC1256]
11 Time Exceeded  [RFC792]
12 Parameter Problem  [RFC792]
13 Timestamp  [RFC792]
14 Timestamp Reply  [RFC792]
15 Information Request  [RFC792]
16 Information Reply  [RFC792]
17 Address Mask Request                     [RFC950]
18 Address Mask Reply  [RFC950]
19 Reserved (for Security)    [Solo]
20-29 Reserved (for Robustness Experiment)     [ZSu]
30 Traceroute [RFC1393]
31 Datagram Conversion Error [RFC1475]
32     Mobile Host Redirect              [David Johnson]
33     IPv6 Where-Are-You                 [Bill Simpson]
34     IPv6 I-Am-Here                     [Bill Simpson]
35     Mobile Registration Request        [Bill Simpson]
36     Mobile Registration Reply          [Bill Simpson]
37     Domain Name Request                     [Simpson]
38     Domain Name Reply                       [Simpson]
39     SKIP                                    [Markson]
40     Photuris                                [Simpson]
41-255 Reserved     [JBP]

Many of these ICMP types have a "code" field.  Here we list the types
again with their assigned code fields.

Type    Name                                    Reference
----    -------------------------               ---------
  0     Echo Reply                               [RFC792]

        Codes
            0  No Code

  1     Unassigned                                  [JBP]

  2     Unassigned                                  [JBP]

  3     Destination Unreachable                  [RFC792]

Codes
    0  Net Unreachable
    1  Host Unreachable
            2  Protocol Unreachable
            3  Port Unreachable
            4  Fragmentation Needed and Don't Fragment was Set
            5  Source Route Failed
            6  Destination Network Unknown
            7  Destination Host Unknown
            8  Source Host Isolated
            9  Communication with Destination Network is
               Administratively Prohibited
           10  Communication with Destination Host is
               Administratively Prohibited
           11  Destination Network Unreachable for Type of Service
           12  Destination Host Unreachable for Type of Service
           13  Communication Administratively Prohibited      [RFC1812]
           14  Host Precedence Violation                      [RFC1812]
           15  Precedence cutoff in effect                    [RFC1812]


  4     Source Quench                            [RFC792]
        Codes
            0  No Code

  5     Redirect                                 [RFC792]

        Codes
            0  Redirect Datagram for the Network (or subnet)
            1  Redirect Datagram for the Host
            2  Redirect Datagram for the Type of Service and Network
            3  Redirect Datagram for the Type of Service and Host

  6     Alternate Host Address                      [JBP]

        Codes
            0  Alternate Address for Host

  7     Unassigned                                  [JBP]

  8     Echo                                     [RFC792]

        Codes
            0  No Code

  9     Router Advertisement                    [RFC1256]

        Codes
            0  No Code

10     Router Selection                        [RFC1256]

        Codes
            0  No Code

11     Time Exceeded                            [RFC792]

        Codes
            0  Time to Live exceeded in Transit
            1  Fragment Reassembly Time Exceeded

12     Parameter Problem                        [RFC792]

        Codes
            0  Pointer indicates the error
            1  Missing a Required Option        [RFC1108]
            2  Bad Length


13     Timestamp                                [RFC792]

        Codes
            0  No Code

14     Timestamp Reply                          [RFC792]

        Codes
            0  No Code

15     Information Request                      [RFC792]

        Codes
            0  No Code

16     Information Reply                        [RFC792]

        Codes
            0  No Code

17     Address Mask Request                     [RFC950]

        Codes
            0  No Code

18     Address Mask Reply                       [RFC950]

        Codes
            0  No Code

19     Reserved (for Security)                    [Solo]

20-29  Reserved (for Robustness Experiment)        [ZSu]

30     Traceroute                              [RFC1393]

31     Datagram Conversion Error               [RFC1475]

32     Mobile Host Redirect              [David Johnson]

33     IPv6 Where-Are-You                 [Bill Simpson]

34     IPv6 I-Am-Here                     [Bill Simpson]

35     Mobile Registration Request        [Bill Simpson]

36     Mobile Registration Reply          [Bill Simpson]

39     SKIP                                    [Markson]

40     Photuris                                [Simpson]

Code

0 Reserved
1 unknown security parameters index
2 valid security parameters, but authentication failed
3  valid security parameters, but decryption failed

相关问题：
REFERENCES

[RFC792] Postel, J., "Internet Control Message Protocol", STD 5,
         RFC 792, USC/Information Sciences Institute, September 1981.

[RFC950] Mogul, J., and J. Postel, "Internet Standard Subnetting
         Procedure", STD 5, RFC 950, Stanford, USC/Information
         Sciences Institute, August 1985.  

[RFC1108] Kent, S., "U.S. Department of Defense Security Options for
          the Internet Protocol", RFC 1108, November 1991.

[RFC1256] Deering, S., Editor, "ICMP Router Discovery Messages", RFC
          1256, Xerox PARC, September 1991.

[RFC1393] Malkin, G., "Traceroute Using an IP Option", RFC 1393,
          Xylogics, Inc., January 1993.

[RFC1475] Ullmann, R., "TP/IX: The Next Internet", RFC 1475, Process
          Software Corporation, June 1993.

[RFC1812] Baker, F., "Requirements for IP Version 4 Routers", RFC
          1812, Cisco Systems, June 1995.

柯林

再灌一水，一般常见的协议有：
ARP(Address Resolution Protocol)地址解析协议
DHCP(Dynamic Host Configuration Protocol)动态主机配置协议
ICMP(Internet Control Message Protocol)Internet控制信息协议
TCP/IP(Transmission Control Protocol/Internet Protocol)传输控制协议/Internet协议
UDP(User Datagram Protocol)用户数据报协议
用于支持主机和路由器进行多播的Internet组管理协议（IGMP）
一般就这些

KK院长

万里云天 发表于 2019-4-17 23:22
comodo的hips和防火墙口碑不错，貌似比eset的要强大，只是希望能更易用点

我当时学3.14的时候需要6个月, eset 这样的3 天就上手了,但现在comodo已经很智能了,一般普通用户一个星期就会搞定的.不难.

万里云天

现在都向智能化发展，但还是希望能给手动爱好者留一片天地

daerer

收藏学习，累啊

paink

柯林 发表于 2019-4-18 10:36
再灌一水，一般常见的协议有：
ARP(Address Resolution Protocol)地址解析协议
DHCP(Dynamic Host Confi ...

很好，请把两层楼的内容适当合并一下，我置下顶，方便大家浏览。

paink

KK院长 发表于 2019-4-18 11:15
我当时学3.14的时候需要6个月, eset 这样的3 天就上手了,但现在comodo已经很智能了,一般普通用户一个星期 ...

毛豆如果不开hips的话，现在基本上是开箱即用了。如果防火墙规则也适当写死一点，基本就无弹窗运行。（不过这样就有些偏离毛豆的市场定位了）

柯林

paink 发表于 2019-4-18 12:19
很好，请把两层楼的内容适当合并一下，我置下顶，方便大家浏览。

网上搜一下，就有，比如ICMP的http://www.cnblogs.com/embedded-linux/p/7068130.html
其实一般不需要怎么设置，选个隐身模式就可以了，即使设置得很详细，实际效果也不见得有多大
比如说：禁止来源地址127.0.0.1，保留地址如192.168.0.0/16之类的IP数据包进入本机，禁止目标地址是广播地址、多播（组播）地址的IP数据包进入本机等，应该没多大显著作用（身在大局域网内，又不是服务器，哪有那么多的网络外部攻击？）；又比如说隐身模式相关的ICMP协议设置（只允许本机ping出，只允许接受ping回应，只允许接收超时、目标不可达的消息，其它的全毙了，也不见得效果就有多好--会不会比预设的隐身模式好，可能差不多（毛豆的消息控制很粗糙，只能选大的类型，具体的ICMP消息细则，没法设置）

防火墙，个人所用，全局IP规则设置，通常涉及的协议只有ARP协议，IP协议（包括了ICMP\IGMP\TCP\UDP等），TCP协议，UDP协议，基本就这几个，其它很多事杂碎，比如DHCP协议，实际上是UDP协议里使用67-68端口，Upnp协议实际上是用UDP端口1900（目标地址有特殊要求是239.255.255.250），甚至445端口，139端口，137端口，3389端口也有个协议号，弄得好像很神秘似的，其实它就是个端口，属于TCP或UDP协议的范畴
局域网ARP攻击相关的设置，其实没什么卵用，ARP协议的设计缺陷导致了它无法解决，要解决，只能静态绑定MAC地址与IP地址，但是没卵用，有人一发欺骗包，计算机就自动更新ARP缓存，把正确的改成错误的了，一样上当受骗被劫持，要想不被劫持，只有再次刷新成正确的，结果就演变成攻击者与防御者互相比试谁的发包速度快，谁能更快地刷新ARP缓存，两个都成了病毒，没多大意义。这事情的完美解决，可能需要ARP协议发展新版本，或者windows设计个锁定ARP缓存表的功能才行，这都不是个人能够主导的事情。

总之个人意见，一般人，就用官方预设的隐身方案就可以了（默认两个：警告连入与禁止连入）

khaos_chow

ICMP 的类型和代码维基百科上也有，互联网控制消息协议，虽然不是太详细但很直观。