楼主: 抓抓
收起左侧

[讨论] 裸奔真的开心吗?(COMODO的设置心得,另附小红伞心得。绝对分享!)

[复制链接]
Magis
头像被屏蔽
发表于 2008-3-11 22:37:42 | 显示全部楼层
lz幸苦了!个人觉得如果D+开到paranoid mode 的话,日志不能少,毕竟开这种模式是为了达到最大安全的目的,不用日志的话,怎么能发现并调整被block的程序必要行为?局域网部分的防火墙规则有点没看懂,lz能不能截个屏附个图什么的,直观形象。
PS:其实论坛里还是有不少MM用自己的照片做头像的注意下就能发现~~~~

[ 本帖最后由 magiscoldeye 于 2008-3-11 22:45 编辑 ]
抓抓
 楼主| 发表于 2008-3-11 23:53:13 | 显示全部楼层
原帖由 rushmore 于 2008-3-11 22:08 发表

1.Comodo 是SPI引擎,不请自来的数据包自然会过滤,另外还具备端口隐形能力,需要使用这种规则吗?
2.如果有DHCP服务器在局域网内,要不要排除呢?
3.就算要Block, Block IP就可以,需要再Block TCP/UDP/IMC ...

1.COMODO中有专门的“隐藏端口向导”这一项设置,为什么会有这一项呢,我个人认为既然存在这一项设置,就有给人用来手动设置端口隐藏的必要。。另外,当局域网很不干净的情况下,特别是那些中了ARP的机器,或网卡有故障的机器,它们会以广播的形式发送大量的UDP包(通常是UDP包居多),大量的UDP包就会造成DoS攻击。。。而COMODO和OP都是默认允许(Allow)接收网内的UDP包的(在你没设置规则的情况下,那些毒机广播过来的UDP包全部都是默认允许入站(Allow)的,而这些UDP包并不是你请求的。。)。。当你设置了这些规则后,你就会马上看到,Allow已经变成了Block。。。
2.DHCP服务器(假设网关:192.168.1.1)分配的临时地址全都在IP Range(192.168.1.2--192.168.1.255)范围内的啊,这个范围内的地址都是要接收“双规”(阻止与自律)的呀,,这有什么不对吗??。。。
3.其实你这个才问到了我的困惑点,,,记得那次是在OP2008中设置的,而且很幸运的是当时办公室局域网中就有两台机器在疯狂发送UDP包,给我提供了实验的天然条件,我当初也是像你这样认为的,只Block IP,,然后打开日志看,也记录了发过来的UDP被Block了,,但是在OP的“网络活动”的那个时时滚动显示的区域里显示那两台机器发来的UDP包居然不断地显示被“Allow all...”(允许入站)!!然后我就又马上加了一个Block UDP的规则,,再看了一下日志和“网络活动”区域,这次才全部显示那两台机器发来的UDP被“ *屏蔽 入站UDP”!!。。因为COMODO与OP的规则建立原理是一样的,,所以我在COMODO的规则里就多加了两个:Block TCP/UDP和Block ICMP。。。

[ 本帖最后由 抓抓 于 2008-3-12 00:09 编辑 ]
夏春秋
发表于 2008-3-12 07:46:41 | 显示全部楼层
Comodo的SPI引擎和OP是不一样的,根本不需要这种规则

LZ的规则是本机只和网关通信这个意思吗?这样设置肯定阻挡DHCP通信

[ 本帖最后由 rushmore 于 2008-3-12 08:20 编辑 ]
抓抓
 楼主| 发表于 2008-3-12 08:36:55 | 显示全部楼层
原帖由 rushmore 于 2008-3-12 07:46 发表
Comodo的SPI引擎和OP是不一样的,根本不需要这种规则

另外这样设置肯定阻挡DHCP通信

说真的,Comodo我用的时间并不长,直到今天可能还不到半个月吧,我不敢说我对它非常了解。。。但是,,先不要说什么引擎不引擎的,你有没有实践过?我敢肯定地说你没有遇到过这种情况,或者你遇到了却没有注意到。。在我没建立那规则前,日志显示那两台毒机发过来的UDP被“Allow...”意思就是允许入站,建立了规则后马上就变成“Block...”了。。。。你说到底需不需规则呢?。。。
另外,你说“这样设置会肯定会阻挡DHCP通信”,我就不明白了,你所说的“DHCP通信”是什么?DHCP服务每次随机分配的IP地地都跑不出我设置的IP Ranges,都在这个范围内啊。。。我猜你所说的“DHCP通信”可能就是说DHCP每次在给主机重新分配IP时会受到规则阻挡?是这样的吗?如果是这样理解的话(我想不出其它的理解方法),我想你可能错了,DHCP服务是根据子网内主机的网卡请求IP后才随机分配给这台主机IP的,也就是说通过这台主机网卡请求过的,也就是合法的,得到确认的,,不可能会受到阻止。。。再另外,,现在哪家的局域网中还在用DHCP随机分配地址啊?一般的局域网中都是每台机设定了固定的IP,,当然用了DHCP也不会有任何问题的。。。。
现在我用实践告诉你,我们的局域网现在就是在用这个规则,,一切通畅(不过我始终会保留两台中毒的机器,有利于搞来搞去的,,,,呵呵)。。

[ 本帖最后由 抓抓 于 2008-3-12 08:40 编辑 ]
夏春秋
发表于 2008-3-12 08:46:26 | 显示全部楼层
你们的局域网一是不需要互访,二是DHCP服务器不在网内或者不用DHCP服务器
各人的实践不同,我也可以用实践告诉你,偶这里禁止0.0.0.0这些都会断网
另外,comodo最后一条block and log all unmatching requests,都是block IP而已,难道需要用4条规则分别block IP/TCP/UDP/IMCP?
抓抓
 楼主| 发表于 2008-3-12 09:15:44 | 显示全部楼层
原帖由 rushmore 于 2008-3-12 08:46 发表
你们的局域网一是不需要互访,二是DHCP服务器不在网内或者不用DHCP服务器
各人的实践不同,我也可以用实践告诉你,偶这里禁止0.0.0.0这些都会断网
另外,comodo最后一条block and log all unmatching requests,都是 ...

呵呵,我想我没办法说服你了,我已经很明确地反复回复你这个问题很多次了:在我没设置规则前,日志显示“Allow”,设置规则后就变成了“Block”了
你的最后一条block and log all unmatching requests我不知道是什么(是不是修改了名称?),,我的默认规则没有更改,没有删减,最后那一条是“block and log IP in Form IP Any Where Protocol Is Any”(规则(简单表示一下):Block-IP-in  来源-目标:any-any),看一下我们是否相同。。。
另外我再截一张0.0.0.0的设置图:
Source Address:


Destination Address:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
夏春秋
发表于 2008-3-12 09:41:24 | 显示全部楼层
安装comodo之后,全局规则里出现的默认规则和各人的网络环境有关,是不一样的
偶的是Block and log IP in/out from IP to IP Where Protocol Is Any

block and log all unmatching requests只是举个例子,官方预置应用规则最后一条一般都是这一条,就是Block IP in/out而已,至于为什么会出现你这样的情况(你是用OP试的吧,comodo的日志不在规则里勾选LOG,不会显示Allow的内容),的确不明白。

[ 本帖最后由 rushmore 于 2008-3-12 09:45 编辑 ]
抓抓
 楼主| 发表于 2008-3-12 10:31:45 | 显示全部楼层
结合这句“LZ的规则是本机只和网关通信这个意思吗?这样设置肯定阻挡DHCP通信”
我基本上已经明白你的意思了。。。为了安全,只和网关通信就够了,局域网内机器所有与英特网的通信其实都是跟网关通信,,,这些规则会让局域网内部通信(比如内部共享)就会受到阻止,就算一定要通信,这时也会被规则逼着去走英特网(通过英特网访问“内部”共享,,有点搞,呵呵),,,另外,像内部共享这种行为是非常危险的,你看看就连现在最烂的杀防软件都明确指示“你的机器存在安全隐患,原因:未关闭共享”。。。。
最后再强调一次,我这种规则目的就是阻止局域网内部干扰、洪水、碎片等等等的。。。
如果一定与某台机访问的话(比如共享打印室的打印机),可以用单一IP规则来指定你与打印室机器的互访规则,并设优先级别。。。
我的规则设置:


拦截日志(注:我的局域网内有20多台机在同时线,却老是有这么几台机器(192.168.1.189、192.168.1.98)发送未经请求的UDP包):

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
夏春秋
发表于 2008-3-12 10:51:49 | 显示全部楼层
1.偶的意思是如果需要使用DHCP,除了网关,还需要和DHCP服务器通信
2。28楼.第二张截图偶认为windows operating system那些拦截日志是SPI引擎在工作,而不是你的那些规则在起作用,这就是偶说的和OP不一样的地方。
抓抓
 楼主| 发表于 2008-3-12 11:10:08 | 显示全部楼层
原帖由 rushmore 于 2008-3-12 10:51 发表
1.偶的意思是如果需要使用DHCP,除了网关,还需要和DHCP服务器通信
2。28楼.第二张截图偶认为windows operating system那些拦截日志是SPI引擎在工作,而不是你的那些规则在起作用,这就是偶说的和OP不一样的地方。

如果不是规则在起作用,那为什么我在没设规则前,那日志显示“Allow...”呢?为什么当我置了规则后就可以“Block”了呢?
另外,SPI引擎也不可能默认拦截对方的UDP请求,因为在默认状态下如果对方请求共享,这时候就会发送TCP、UDP,除非COMODO本身就默认拒绝共享,,我想这是不可能的。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-2 11:28 , Processed in 0.098973 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表