裸奔真的开心吗？（COMODO的设置心得，另附小红伞心得。绝对分享！）

Magis

lz幸苦了！个人觉得如果D+开到paranoid mode 的话，日志不能少，毕竟开这种模式是为了达到最大安全的目的，不用日志的话，怎么能发现并调整被block的程序必要行为？局域网部分的防火墙规则有点没看懂，lz能不能截个屏附个图什么的,直观形象。
PS:其实论坛里还是有不少MM用自己的照片做头像的注意下就能发现～～～～

[ 本帖最后由 magiscoldeye 于 2008-3-11 22:45 编辑 ]

抓抓

原帖由 rushmore 于 2008-3-11 22:08 发表

1.Comodo 是SPI引擎，不请自来的数据包自然会过滤，另外还具备端口隐形能力，需要使用这种规则吗?
2.如果有DHCP服务器在局域网内，要不要排除呢？
3.就算要Block, Block IP就可以，需要再Block TCP/UDP/IMC ...

1.COMODO中有专门的“隐藏端口向导”这一项设置，为什么会有这一项呢，我个人认为既然存在这一项设置，就有给人用来手动设置端口隐藏的必要。。另外，当局域网很不干净的情况下，特别是那些中了ARP的机器，或网卡有故障的机器，它们会以广播的形式发送大量的UDP包（通常是UDP包居多），大量的UDP包就会造成DoS攻击。。。而COMODO和OP都是默认允许（Allow）接收网内的UDP包的（在你没设置规则的情况下，那些毒机广播过来的UDP包全部都是默认允许入站（Allow）的，而这些UDP包并不是你请求的。。）。。当你设置了这些规则后，你就会马上看到，Allow已经变成了Block。。。
2.DHCP服务器（假设网关：192.168.1.1）分配的临时地址全都在IP Range（192.168.1.2--192.168.1.255）范围内的啊，这个范围内的地址都是要接收“双规”（阻止与自律）的呀，，这有什么不对吗？？。。。
3.其实你这个才问到了我的困惑点，，，记得那次是在OP2008中设置的，而且很幸运的是当时办公室局域网中就有两台机器在疯狂发送UDP包，给我提供了实验的天然条件，我当初也是像你这样认为的，只Block IP，，然后打开日志看，也记录了发过来的UDP被Block了，，但是在OP的“网络活动”的那个时时滚动显示的区域里显示那两台机器发来的UDP包居然不断地显示被“Allow all...”（允许入站）！！然后我就又马上加了一个Block UDP的规则，，再看了一下日志和“网络活动”区域，这次才全部显示那两台机器发来的UDP被“ *屏蔽 入站UDP”！！。。因为COMODO与OP的规则建立原理是一样的，，所以我在COMODO的规则里就多加了两个：Block TCP/UDP和Block ICMP。。。

[ 本帖最后由 抓抓 于 2008-3-12 00:09 编辑 ]

夏春秋

Comodo的SPI引擎和OP是不一样的，根本不需要这种规则

LZ的规则是本机只和网关通信这个意思吗？这样设置肯定阻挡DHCP通信

[ 本帖最后由 rushmore 于 2008-3-12 08:20 编辑 ]

抓抓

原帖由 rushmore 于 2008-3-12 07:46 发表
Comodo的SPI引擎和OP是不一样的，根本不需要这种规则

另外这样设置肯定阻挡DHCP通信

说真的，Comodo我用的时间并不长，直到今天可能还不到半个月吧，我不敢说我对它非常了解。。。但是，，先不要说什么引擎不引擎的，你有没有实践过？我敢肯定地说你没有遇到过这种情况，或者你遇到了却没有注意到。。在我没建立那规则前，日志显示那两台毒机发过来的UDP被“Allow...”意思就是允许入站，建立了规则后马上就变成“Block...”了。。。。你说到底需不需规则呢？。。。
另外，你说“这样设置会肯定会阻挡DHCP通信”，我就不明白了，你所说的“DHCP通信”是什么？DHCP服务每次随机分配的IP地地都跑不出我设置的IP Ranges，都在这个范围内啊。。。我猜你所说的“DHCP通信”可能就是说DHCP每次在给主机重新分配IP时会受到规则阻挡？是这样的吗？如果是这样理解的话（我想不出其它的理解方法），我想你可能错了，DHCP服务是根据子网内主机的网卡请求IP后才随机分配给这台主机IP的，也就是说通过这台主机网卡请求过的，也就是合法的，得到确认的，，不可能会受到阻止。。。再另外，，现在哪家的局域网中还在用DHCP随机分配地址啊？一般的局域网中都是每台机设定了固定的IP，，当然用了DHCP也不会有任何问题的。。。。
现在我用实践告诉你，我们的局域网现在就是在用这个规则，，一切通畅（不过我始终会保留两台中毒的机器，有利于搞来搞去的，，，，呵呵）。。

[ 本帖最后由 抓抓 于 2008-3-12 08:40 编辑 ]

夏春秋

你们的局域网一是不需要互访，二是DHCP服务器不在网内或者不用DHCP服务器
各人的实践不同，我也可以用实践告诉你，偶这里禁止0.0.0.0这些都会断网
另外，comodo最后一条block and log all unmatching requests,都是block IP而已，难道需要用4条规则分别block IP/TCP/UDP/IMCP?

抓抓

原帖由 rushmore 于 2008-3-12 08:46 发表
你们的局域网一是不需要互访，二是DHCP服务器不在网内或者不用DHCP服务器
各人的实践不同，我也可以用实践告诉你，偶这里禁止0.0.0.0这些都会断网
另外，comodo最后一条block and log all unmatching requests,都是 ...

呵呵，我想我没办法说服你了，我已经很明确地反复回复你这个问题很多次了：在我没设置规则前，日志显示“Allow”，设置规则后就变成了“Block”了
你的最后一条block and log all unmatching requests我不知道是什么(是不是修改了名称？)，，我的默认规则没有更改，没有删减，最后那一条是“block and log IP in Form IP Any Where Protocol Is Any”（规则（简单表示一下）：Block-IP-in  来源-目标：any-any）,看一下我们是否相同。。。
另外我再截一张0.0.0.0的设置图：
Source Address:


Destination Address:

夏春秋

安装comodo之后，全局规则里出现的默认规则和各人的网络环境有关，是不一样的
偶的是Block and log IP in/out from IP to IP Where Protocol Is Any

block and log all unmatching requests只是举个例子，官方预置应用规则最后一条一般都是这一条，就是Block IP in/out而已，至于为什么会出现你这样的情况(你是用OP试的吧，comodo的日志不在规则里勾选LOG，不会显示Allow的内容)，的确不明白。

[ 本帖最后由 rushmore 于 2008-3-12 09:45 编辑 ]

抓抓

结合这句“LZ的规则是本机只和网关通信这个意思吗？这样设置肯定阻挡DHCP通信”
我基本上已经明白你的意思了。。。为了安全，只和网关通信就够了，局域网内机器所有与英特网的通信其实都是跟网关通信，，，这些规则会让局域网内部通信（比如内部共享）就会受到阻止，就算一定要通信，这时也会被规则逼着去走英特网（通过英特网访问“内部”共享，，有点搞，呵呵），，，另外，像内部共享这种行为是非常危险的，你看看就连现在最烂的杀防软件都明确指示“你的机器存在安全隐患，原因：未关闭共享”。。。。
最后再强调一次，我这种规则目的就是阻止局域网内部干扰、洪水、碎片等等等的。。。
如果一定与某台机访问的话（比如共享打印室的打印机），可以用单一IP规则来指定你与打印室机器的互访规则，并设优先级别。。。
我的规则设置：


拦截日志（注：我的局域网内有20多台机在同时线，却老是有这么几台机器（192.168.1.189、192.168.1.98）发送未经请求的UDP包）：

夏春秋

1.偶的意思是如果需要使用DHCP，除了网关，还需要和DHCP服务器通信
2。28楼.第二张截图偶认为windows operating system那些拦截日志是SPI引擎在工作，而不是你的那些规则在起作用，这就是偶说的和OP不一样的地方。

抓抓

原帖由 rushmore 于 2008-3-12 10:51 发表
1.偶的意思是如果需要使用DHCP，除了网关，还需要和DHCP服务器通信
2。28楼.第二张截图偶认为windows operating system那些拦截日志是SPI引擎在工作，而不是你的那些规则在起作用，这就是偶说的和OP不一样的地方。

如果不是规则在起作用，那为什么我在没设规则前，那日志显示“Allow...”呢？为什么当我置了规则后就可以“Block”了呢？
另外，SPI引擎也不可能默认拦截对方的UDP请求，因为在默认状态下如果对方请求共享，这时候就会发送TCP、UDP，除非COMODO本身就默认拒绝共享，，我想这是不可能的。。。。