comodo能不能设置拦截所有udp

shery0000

上网的时候常常跳出一些拦截udp的东西,很麻烦,想设置为block any udp in/out

这样会不会影响什么?

Magis

可以做到，不过DNS协议要求出站访问53端口，emule有固定端口的UDP数据，etc. 不用制定那么严厉的规则吧 lz说的拦截udp的事件是windows operate system进行的吗？可以不用管它。

shery0000

听你这么一说确实有点严,就是几个小时偶尔截到一下,这墙实在太强了

既然这样就不管了,应该不会有事,最多就ghost

sean666

选择不要记录日志就行了

抓抓

在global rules默认规则的最后一个IP Block :any IP to IP规则可以拒绝UDP，但是这是在UDP已经进来后才被确认身份后拒绝的，，，所以最好在global rules的最上层建一个TCP/UDP Block，但是注意，这个规则不是any to any，否则你可能会断网，，要用IP Range，，假设你的网关是192.168.1.1，Source就设：192.168.1.2-192.168.1.255;Destination和Source的一样。。。。但是你这样设了之后就不能内部共享了，需要共享的话就要在最最上层再建一个TCP/UDP Allow规则，Direction：in/out，再分别设置Source、Destination 的Single IP。。。。当完成共享后不用删除这个Allow规则，你只要再将Allow改为Block就OK了。。。


[ 本帖最后由 抓抓 于 2008-3-12 17:27 编辑 ]

shery0000

楼上很详细,谢谢,我基本知道我该怎么做了

夏春秋

过滤垃圾数据包交给SPI引擎就可以了
global rules默认许出不许进，不需要这么多规则

[ 本帖最后由 rushmore 于 2008-3-12 17:50 编辑 ]

抓抓

原帖由 rushmore 于 2008-3-12 17:42 发表
过滤垃圾数据包交给SPI引擎就可以了
global rules默认许出不许进，不需要这么多规则

呵呵，大哥，又遇到你了，，看来我们要换到这个地方来继续争论上次的这个问题了。。。。

还记得我们争论的问题吧，就是关于局域网要不要设置(IP、TCP/UDP、ICMP)Block IP Range规则，，
你的观点是COMODO的SPI引擎已经挡住了那些未经请求的UDP包，无需再设规则。。。
你说的对，就算不设规则也能挡住，确实在日志里可以看到。。
但这让我想起冰盾在7.0版之前的版本中存在的困扰，就是在DDos攻击面前，冰盾是在DDos入站之后才对其身份进行判断然后再拒绝的，既然冰盾官方承认这是个困扰，说明“先入站，再进行判断最后才拒绝”的这种防御方式可能会存在隐患。。。
再来看看COMODO在没有设规则前是不是也是这样的防御方式，，在Global列表中前面几项都是Allow规则，其中一个是IP Allow：any to any，可以理解为允许任何，，最后才是刚才阻挡了UDP包的IP Block规则（any to any），，，由于Global列表存在执行的先后顺序（否则Move UP和Move Down就没意义了），所以放在最上层优先执行，也就是说那些未经请求的UDP包已经被IP Allow all规则允许入站了，只是后来才被IP Block all规则拒绝掉。。。。是不是和冰盾之前的困扰有相同之处？（当然COMODO不存在这种所谓的困扰，只是默认的设置挡截方式与冰盾的那个困扰相似罢了），，
如果你认为我这样分析得有道理的话，建议你还是在上层建Block规则吧。。而且设为in/out后不仅可以在第一时间防止不明UDP入站，而还会自律！（不去干扰别人）在局域网中这很文明。。。
（呵，大哥。。。我一眼就看出来你很专业，经验又比我多，向你学习，，，共同进步！）



[ 本帖最后由 抓抓 于 2008-3-12 19:01 编辑 ]

Magis

终于版区的气氛又活跃起来了，希望能从各位身上学到更多东西 ，也期待U版主早日归来～～

shery0000

楼上都这么强,万分荣幸 ,认真学习