请教一个防火墙设置问题

decen

楼主在用finalshell这个软件，它在运行的时候会持续ping服务器地址，这个特性我很不喜欢并且没有开关，于是想用卡巴的防火墙阻止这个行为。设置了如下的防火墙规则：

多数情况下在软件里确实看不见ping的行为，但有时候软件挂着一段时间又突然有延迟数据显示了，此时如果关闭软件重新打开则又恢复不显示延迟的状态，感觉像是防火墙规则会突然失灵，请教各位是我的设置不当还是卡巴的防火墙会抽风？

Jirehlov1234

不一定是ping，可能是通过其他方式获取的延迟，比如走的tcp
或者发起主体可能是其他程序
或者ping的是v6

decen

Jirehlov1234 发表于 2024-10-6 14:52
不一定是ping，可能是通过其他方式获取的延迟，比如走的tcp
或者发起主体可能是其他程序
或者ping的是v6
...

走ICMP协议应该没问题，因为这个方法是在网络上其他帖子学到的，他们使用windows的防火墙只屏蔽ICMP就完成了。
ping的也不会是ipv6，因为我填的地址是ipv4地址，软件不可能得知服务器的ipv6地址，而且我在网卡禁用了ipv6也能显示延迟
发起主体这个倒有可能，这个软件是Java写的，我看看还有没有其他进程。不过既然大多数时候都能正常屏蔽，感觉可能也不是主体问题，除非软件做了主体ping失败一段时间后自动切换其他主体ping的逻辑？

Jirehlov1234

decen 发表于 2024-10-6 07:12
走ICMP协议应该没问题，因为这个方法是在网络上其他帖子学到的，他们使用windows的防火墙只屏蔽ICMP就完 ...

可以全局ICMP记录，然后看看谁ping的

decen

Jirehlov1234 发表于 2024-10-6 15:30
可以全局ICMP记录，然后看看谁ping的

好主意，确实这样比自己找更省事，感谢提供思路~

decen

Jirehlov1234 发表于 2024-10-6 15:30
可以全局ICMP记录，然后看看谁ping的

我彻底晕了。
我首先在防火墙的包规则里添加了这样的规则并设为活动，等到finalshell里开始显示ping值的时候打开日志，进入防火墙部分

结果我发现，所有以我的服务器ip为目标地址的ICMP请求居然全部显示是avp.exe发出的；如果把操作改成拒绝，立刻就可以阻止ping。


但这显然不可能是卡巴发起的请求
我又重新做了测试，把上面这条包规则设置为非活动，然后把之前给finalshell设置的应用程序规则从禁止改成了允许，重新启动finalshell后软件会正常显示ping值，改回禁止后再次重启软件，又无法显示ping值，直到闲置一段时间后突然又开始显示ping值。我不理解为什么日志里会把卡巴记录为出站ICMP的发起者，它自己接管了防火墙，流量哪里来的它不清楚？
但是非常诡异的是，我给avp.exe的ICMP出站屏蔽了服务器的ip后，好像真的就不会挂着一段时间出来延迟数据了，我再挂机一段时间观察一下

satellite288

开了加密流量检测闹的吧，那东西一开，似乎所有东西都会解包转发来着

decen

satellite288 发表于 2024-10-9 11:00
开了加密流量检测闹的吧，那东西一开，似乎所有东西都会解包转发来着

和这个没关系吧，你说的是扫https流量，我这是ICMP