讨教comodo全局规则，比特精灵让我抓狂

运指如飞

原帖由 抓抓 于 2008-6-7 15:12 发表


这样设置也可以，仅在局域网内作限制。。
不过楼主的问题可能不是出现在这个地方。。。想看一下楼主应用程序规则（Application Rules）其它设置，比如svchost.exe

好的

运指如飞

图发了两次，晕

202.103.24.68 和202.103.0.117是我的DNS地址

是不是我svhost的阻止规则有问题

491866227

我也没说别的方法不可以，
比如可以在全局规则开p2p端口。
只是不懂你说p2p软件不需要主动连接。

抓抓

svchost.exe设置没问题，，你按照17楼伯夷叔齐提供的修改试一下吧。。。

可是我用这个规则没有p2p下载问题啊，我在办公装的机子上几乎全用这个规则，，p2p下载没问题，一般单台下载在200K以上。。。

其中在全局域规则中一个地方我没改，就是那个block ICMP in/out from any to 网卡。。。。其实应该改成block ICMP in from any to 网卡.........

抓抓

原帖由 491866227 于 2008-6-7 15:22 发表
我也没说别的方法不可以，
比如可以在全局规则开p2p端口。
只是不懂你说p2p软件不需要主动连接。

我说的是对方主动联接（不是p2p软件的请求。。），对方在没有经过网卡请求的情况下而主动联接，这个是要阻止的。。。
你一定没看清楚

491866227

哦，p2p软件请求，然后对方再主动连接？
那还可以叫主动连接吗？
如果是这样，那我又懂了一点。

伯夷叔齐

可是我用这个规则没有p2p下载问题啊，我在办公装的机子上几乎全用这个规则，，p2p下载没问题，一般单台下载在200K以上。。。

其中在全局域规则中一个地方我没改，就是那个block ICMP in/out from any to 网卡。。。。其实应该改成block ICMP in from any to 网卡.........

由于我没有局域网方面安全的知识，所以以下的说法还望指正：
我个人在想，可能他的问题就出在没有应用你这条规则。 MAC（Media Access Control, 介质访问控制）地址是识别LAN（局域网）节点的标识。所以这些阻止规则只局限于局域网，对外部远程的IP的主动连接，阻止规则可能无法生效，所以你才没有他这样的BT下载速度问题。
我之前也看过你的那篇帖子，我很佩服和赞叹，苦于我一直在单机的局限下使用，因此无法验证你的规则，如果真如我前面所言，那么你全局规则的安全隐患还是有点大的。局域网可能没有丝毫问题，加强了很大的安全性，特别是ARP防御上，但问题有可能出现在外部IP的访问上，包括PING你的电脑。如果真那样，你阻止一切连入到你的MAC，但恰好放过了外部的远程访问。

注明：上面的驳斥无效，抓抓说的是ZONE，而我理解为了MAC

我说的是对方主动联接（不是p2p软件的请求。。），对方在没有经过网卡请求的情况下而主动联接，这个是要阻止的。。。

同样说得不对还望大家指正：我想P2P的原理就是共享原则，这样的下载方式包括BT资源、被动FTP资源、HTTP资源等资源形式，P2P最大的一个优势，同样也是隐患，那就是下载终端都是客户端，但也都是服务端，服务端就意味着被动开放软件规定的监听端口，以让外部主动连入。当然，软件本身的下载机制无法了解，也许它对本机作为非服务端的下载，有一定特殊限定。

哦，p2p软件请求，然后对方再主动连接？
那还可以叫主动连接吗？
如果是这样，那我又懂了一点。

呵呵，我想你的观点是对的，其实此帖也仅仅是一个理论付诸实践的一个讨论贴，我想我们都是怀着一颗探索技术的心理在这里讨论这个问题。

我上面也许很多说法错误，请大家指正，当然，希望善意的批评。不是客套，我相信我的说法肯定有问题存在。
最后说一下，从防火墙INBOUND的理论知识和实践精神，我非常佩服抓抓的，也深感不如。人格也值得佩服，以前有一个针对抓抓的回帖，现在想来，我甚至自己都觉得自己有点小心眼，在这里我对抓抓表示我的歉意。

[ 本帖最后由 伯夷叔齐 于 2008-6-8 05:37 编辑 ]

运指如飞

化干戈为玉帛啊
呵呵

又学习了不少

谢谢各位了

491866227

问题解决了？
怎么弄的？

伯夷叔齐

原帖由 运指如飞 于 2008-6-7 16:26 发表
化干戈为玉帛啊
呵呵

又学习了不少

谢谢各位了

最重要的是你问题解决没有呀。有点“皇帝不急太监急”的意思哈。