关于V2.4拦截端口的规则应该放在哪个位置？

iceboybatman

本论坛有个帖子详细介绍了一些容易被木马利用的端口，
拦截进入UDP 67, 80, 137, 161, 4000-8080

拦截外出UDP 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015, 1024, 1025, 1026, 1027, 1028, 1029, 1030, 1042, 1045, 1090, 1234, 1492, 1600, 1807, 1981, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2115, 2140, 2565, 2583, 2773, 2774, 2801, 3024, 3129, 3150, 3700, 4092, 4267, 4567, 5000, 5001, 5321, 5400, 5401, 5402, 5555, 5556, 5557, 5569, 5742, 6400, 6670, 6771, 6776, 6939, 6969, 6970, 7000, 7215, 7300, 7301, 7306, 7307, 7308, 7597, 7789, 9872, 9873, 9874, 9875, 9989, 10067, 10167, 10520, 50607, 11000, 11223, 12076, 12223, 12345, 12346, 12361, 12362, 12363, 12631, 13000, 16959, 20034, 21554, 22222, 23456, 23476, 23477, 26274, 27374, 30100, 30101, 30102, 31337, 31785, 31787, 31788, 31789, 31791, 31792, 40421, 40422, 40423, 40425, 40426, 54283, 54320, 54321, 60000

拦截进入TCP 21, 22, 23, 25, 53, 79, 80, 110, 113, 119, 135, 138, 139, 143, 443, 445, 1025, 1026, 1080, 1433, 1723, 3389, 4000, 4444, 5000, 5631, 5632-8080

拦截外出TCP 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015, 1024, 1025, 1026, 1027, 1028, 1029, 1030, 1042, 1045, 1090, 1234, 1492, 1600, 1807, 1981, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2115, 2140, 2565, 2583, 2773, 2774, 2801, 3024, 3129, 3150, 3700, 4092, 4267, 4567, 5000, 5001, 5321, 5400, 5401, 5402, 5555, 5556, 5557, 5569, 5742, 6400, 6670, 6771, 6776, 6939, 6969, 6970, 7000, 7215, 7300, 7301, 7306, 7307, 7308, 7597, 7789, 9872, 9873, 9874, 9875, 9989, 10067, 10167, 10520, 50607, 11000, 11223, 12076, 12223, 12345, 12346, 12361, 12362, 12363, 12631, 13000, 16959, 20034, 21554, 22222, 23456, 23476, 23477, 26274, 27374, 30100, 30101, 30102, 31337, 31785, 31787, 31788, 31789, 31791, 31792, 40421, 40422, 40423, 40425, 40426, 54283, 54320, 54321, 60000


我想根据以上的端口制定拦截规则，可问题是：我应该放在V2.4默认的最后一条拦截规则的上面还是下面？
V2.4最后一条默认规则是
[localimg=700,233]1[/localimg]
请朋友多多指教

iceboybatman

顺便再问一句，网络规则起作用是由上至下的。是不是当外界UDP/TCP数据进来时，规则就开始一条条地审核。符合规则（也就是我开放的端口）的UDP/TCP数据才能最终进入到应用程序里面去，不符合的是不是都直接被拦住了，如果那样，那一楼我要制定的拦截规则还用得着制定吗？
   默认的拦截规则也就是禁止任意的IP出入，它到底是拦截什么的？和UDP/TCP数据有什么关系？我想不可能是拦截所有的UDP和TCP数据吧，否则就根本不能上网了。有哪位专业人士简单地介绍下。不要笑我 我不是学计算机的，对一些基本知识不大了解。不过我挺感兴趣的。这也为下面我自己制定规则铺平道路。

夏春秋

1.是否需要拦截这么多端口见仁见智，如果LZ想设这种拦截规则放在最上面即可
2.最后一条规则Block all不要孤立理解，如图，是匹配了LZ的前面13条允许规则之后，对“13条规则之外”的数据包进行拦截，是这个意思.所以这条规则永远放在最下面作为最后一条，也不可以删除。

[ 本帖最后由 rushmore 于 2008-3-13 10:01 编辑 ]

iceboybatman

谢谢楼上的朋友的解答。我有点明白了，也就是说最后的block all规则就好比是个门卫，当一股数据流进来时，他会根据前面的13条规则进行检查，符合条件的就放行，不符合的就直接拒之门外。如果前面没有任何规则，光剩下一个block all规则，他就"无法可依",是不是默认拦截所有的数据？
有件事我很奇怪，刚装上毛豆2.4时，网络规则是默认的，之前我要求开放的一些P2P端口都还没有设，光有个TCP/UDP随便出站和几个ICMP的出入及IP出站，如果按照上面的说法，因为我没有开放端口，那数据流是如何进来的？我当时很多程序上网正常，我是在应用程序规则里开放了任意的端口。外界数据进来时，不是网络规则优先起作用，然后才是应用程序规则起作用吗？网络规则没有开端口，那应用程序里开放的端口需要接受的数据也应该进不来啊？

iceboybatman

是不是毛豆安装好后，默认地就开放了一些常用的端口，只是没有在网络规则里体现出来？

夏春秋

只有两种可能会允许外部的数据包通过：
1. 由本机发起的连接，你主动连接别人，会产生应答数据包，Comodo会允许外部传入的正常回应的数据包通过，在这里 Comodo的 TCP SPI / UDP Pseudo SPI 会起作用，它可以判断哪些数据包是属于目前存在的已经建立好的本地连接。简单的说是“许出不许进，或者有条件的进 ”
2. 通过添加规则，强行允许外部连接，允许数据包通过某些特定的端口。简单的说“我的眼里只有你”

假定你的浏览器开本机4000端口连接卡饭服务器80端口，本机主动连接别人，正常的应答数据包允许从卡饭服务器80端口进入本机4000端口，这属于第一种情况
P2P下载，要保证速度，必须允许他人主动连接本机，就需要修改网络规则，开放P2P端口，这属于第二种情况。

[ 本帖最后由 rushmore 于 2008-3-13 14:12 编辑 ]

iceboybatman

谢谢了，我终于明白了

sean666

在防火墙规则那边的设定：
你自己连出去→例如你的浏览器到别人的网站是左边那一页规则优先
别人主动连到你的电脑请求数据→例如p2p程式要抓你的档是右边的规则优先
也就是说…连出 out 是以 Application Rules 规则优先找匹配
连入 in 是以 Global Rules 规则优先找匹配。
还有…
你实在没必要设几十条规则去阻挡 udp in 的那一大堆端口 ports
UDP 等于是几乎没有 in 的连入连接的，只有内部网卡的port 53  123 67.68（自动获取ip）你只要设定许这几个端口的out 就行了，另在再设一条全部阻挡udp in＆out放底下就行了！
另在…ICMP 的设定…我提供我对防火墙的设定思维给你参考！
先封锁全部该类通讯协定的连接，然后观察它的连接情况，再设立允许和阻挡的规则。

我是建议你用v.3  2.4虽有中文版但是使用上感觉没3.0来得直观，我一开始也是用2.4
但总是觉得哪边怪怪的,总觉得有些地方似懂非懂，再者…2.4中文路径的bug至今仍未解决
会不断的问你，它的日志也是设定无效，关了不记录，它还是会记录，设定全部记录日志，它却秀逗，又不记录了！它的日志也没3.0来得易懂以及可作各项分类显示。

深度扫描

跟贴学习。。。。。。。。。。。。。

问得清楚，答的详细。。。。