菜鸟学用防火墙(1)

randywong

刚装上comodo,我把emule设为
allow ip in/out from ip any to ip any where protocol is any
all tcp in from ip any to ip any where source port is any and desination port is XXX
all udp in from ip any to ip any where source port is any and desination port is YYY
bitcomet设为
allow ip in/out from ip any to ip any where protocol is any
all tcp or udp in from ip any to ip any where source port is any and desination port is ZZZ
是不是这样设？望指教，还有没有更安全的？
另，怎么在application system activity control里设置emule的access rights和protectio settings?
问题陆续有来，望各位大虾多多关照。

randywong

希望不吝赐教

[ 本帖最后由 randywong 于 2008-3-26 18:28 编辑 ]

pastport

如果你的第一条规则是那个的话
那么后面两条规则就多余的

我一般
ALLOW UDP/TCP OUT IP ANY TO IP ANY
ALLOW TCP/UDP IN  IP ANY TO IP P2P软件监听端口
P2P软件 全局钩子 修改内存 什么的都可以禁掉 注意FD弄好就可以了

randywong

能不能具体点阿,我是小菜鸟,我现在用的是3.0.21.329,哪里有

ALLOW TCP/UDP IN  IP ANY TO IP P2P软件监听端口

这种写法阿?

关于D+能不能具体点阿。

wolfmei

allow ip in/out from ip any to ip any where protocol is any

这条EMULE规则有错误，应该删除。你这样做就等于没有规则。

all tcp in from ip any to ip any where source port is any and desination port is XXX
all udp in from ip any to ip any where source port is any and desination port is YYY

然后在上面两条规则之后再跟上一条：
allow TCP OR UDP out from ip any to ip any where source port is in 1025-65535 and destination port is in 1025-65535

然后再跟：
Allow ICMP Out From IP Any to IP Any Where ICMP Message Is ECHO REQUEST
Allow And Log TCP Out From IP Any To IP Any Where Source Port Is In  1025-5000 And Destination Port Is 80

最后是一条BLOCK ALL的规则。
Block And Log IP In/Out From IP Any to IP Any Where Protocol is Any

这样你的EMULE规则就基本完成了。

randywong

原帖由 wolfmei 于 2008-3-29 00:29 发表


这条EMULE规则有错误，应该删除。你这样做就等于没有规则。



然后在上面两条规则之后再跟上一条：
allow TCP OR UDP out from ip any to ip any where source port is in 1025-65535 and destination por ...

非常感谢!!!
我要的就是这样的答案,尽管到目前为止我还不知道之所以这样设的原理。我按LS这位大虾给出的事例做成下图，请问上下次序是这样么？
另我按照这样设法设了一下bitcomet，还望大虾过目，赐教，先感谢了。

wolfmei

次序无措，其实好简单，第一二条你自己都会写了就是端口打开允许数据进来，第三条就是允许数据出去，第四条就是允许PING，下一条就是允许HTTP,最后一条不用我说了吧。  

PS: BT没用过，不知道具体怎么设置，但是估计是跟EMULE差不多。

distance0

为什么不直接把它设置为信任程序，这么做会有什么潜在危险吗？

randywong

其实不单我,很多人都无法举一反三吗谁能帮我看看我的bitcomet有没有错？先此谢过

[ 本帖最后由 randywong 于 2008-3-29 21:42 编辑 ]

wolfmei

原帖由 distance0 于 2008-3-29 21:37 发表
为什么不直接把它设置为信任程序，这么做会有什么潜在危险吗？

借助于 Comodo 的强大数据包过滤，是的强大。第一种情况，我们通常只需要添加Application Rules，而不需要改动Global Rules。但是，当碰到一些作为服务运行的程序和P2P程序、某些网络游戏时，必须允许外部主动连接我们，只设置 Applications Rules 是不行滴，我们要修改 Global Rules，和端口映射很像。