查看: 6856|回复: 43
收起左侧

[求助] 毛豆3 局域网防火墙规则安全吗

[复制链接]
wsf123
发表于 2008-6-12 16:34:04 | 显示全部楼层 |阅读模式
在单位局域网上装了毛豆3,发现和不用局域网有几点区别:全局规则里多了2条:1、Allow All Outgoing Requests If The Target Is  In [Local Area Network #1],这个倒没有问题,是说允许所有出站,如果目标机在局域网里,我这么理解对吧 。2、Allow All Incoming Requests If The Sender Is  In [Local Area Network #1],这点我有点疑问,这是不是允许局域网的机器进入我的机器阿,是不是相当于一个入站连接了,不需要用户名和密码就可以进入我的电脑吗?如果有同事要攻击我的电脑是不是就很容易了?
另外应用程序规则里system也多了2项:1、Allow System To Send Requests If The Target Is  In [Local Area Network #1],第一项我也这么理解,允许系统向局域网发送请求。2、Allow System To Receive Requests If The Sender Is   In [Local Area Network #1],第二项我也有点疑惑,是不是允许系统接受局域网的请求阿,这样会不会不安全啊,是不是也相当于一个入站连接阿, 同事可以借机攻击我吗?

我尝试把上面那2个类似入站的规则都blocked之后,无法看到局域网内的机器了,也就是说无法局域网共享了。我以前用别的防火墙局域网共享的时候好像没这样,没有什么入站的提示阿?

补充一点:这里的 [Local Area Network #1]是一个固定的Ip地址,就是我局域网的IP地址,是不是不代表别人的机器阿,只代表我自己的机器阿,但我自己的机器怎么还进入自己的机器阿,第二条的 incoming 的源地址是[Local Area Network #1],目标地址是any ,这个any 才代表自己的机器阿。有点糊涂了。

[ 本帖最后由 wsf123 于 2008-6-12 16:45 编辑 ]
wsf123
 楼主| 发表于 2008-6-12 19:12:59 | 显示全部楼层
没人知道吗,自己顶一下,手动提升主题。
周勃
发表于 2008-6-12 19:59:02 | 显示全部楼层
没看明白你是什么意思也,你到底是想共享,还是不想共享?
huai168an
发表于 2008-6-12 19:59:02 | 显示全部楼层
你可以参考下抓抓的局域网规则,很好好强大的。这个我不大清楚,是针对局域网共享的规则,自己可以做调整的
某某猫
发表于 2008-6-12 20:28:41 | 显示全部楼层
system被BLOCK掉当然局域网无法共享了
应该用OUTGOING
wsf123
 楼主| 发表于 2008-6-12 21:09:23 | 显示全部楼层
原帖由 某某猫 于 2008-6-12 20:28 发表
system被BLOCK掉当然局域网无法共享了
应该用OUTGOING

我没有全阻止,只是阻止了进入的,我只想用进入到领导的共享里取文件,而不需要别人进入我的共享,我机器里也没有共享文件夹,但没想到阻止了第二条,就无法显示共享里的计算机了,另外,抓抓的规则我都看过了,很不错,但都是在默认的规则基础上增加的或者修改的专门针对某台计算机的:例如
局域网需要共享访问的话须在最上层添加两条:
1:访问对方:
allow udp out from 自己 to 对方........
allow tcp out from 自己 to 对方........
2:允许对方访问自己:
allow udp in from 对方 to 自己........
allow tcp in from 对方 to 自己........

他的规则里也有体现出如果要想允许对方访问自己就得有允许进入的,但我不允许别人访问我,我只想访问别人,但也不能光允许Out,不允许In,如果这样,还是不能实现访问别人机子的目的,因为连局域网里有多少机子都不能显示出来,只有在全局规则里和应用程序里system里采用毛豆3 的默认规则,才可以访问到别人的机器,才能正常显示局域网内计算机名称,抓抓的规则只是强化的,我想问的是这样允许in的规则安全吗?谢谢各位支持。
huai168an
发表于 2008-6-12 21:15:03 | 显示全部楼层
楼主很谨慎啊,没有共享的话就不用担心,如果担心的话就可以开着comodo的Traffic时刻看着是否有人in,没共享的也不会有人in的啊(也有可能其它机器的某些软件会有in),有的就断开与其连接就可以的啊。前提是没有任何的共享文件。
wsf123
 楼主| 发表于 2008-6-12 21:48:02 | 显示全部楼层
原帖由 huai168an 于 2008-6-12 21:15 发表
楼主很谨慎啊,没有共享的话就不用担心,如果担心的话就可以开着comodo的Traffic时刻看着是否有人in,没共享的也不会有人in的啊(也有可能其它机器的某些软件会有in),有的就断开与其连接就可以的啊。前提是没有任何 ...


我机器没有共享文件夹,但我今天设置这些规则的时候,发现局域网内有一Ip 的138端口联上我机器了,不知道怎么回事,后来我重启几次,发现有时该机器In我机器,有时没有,而且还么有任何提示,不知道怎么回事,其实就算我机器没有共享文件夹,也能看到一个打印机文件夹的阿,另外就算进入我的共享,也要输入密码阿,没人知道我的密码阿,不知道怎么联上的,很奇怪,所以我才担心这个问题啊,可能我有点洁癖吧,没经过批准的联入,我很讨厌,尤其是危险端口的,还好看Ip是局域网内的。我也不知道默认规则是怎么回事啊,允许联入的规则是这样的:Allow All Incoming Requests If The Sender Is  In [Local Area Network #1],源地址是我的局域网地址阿,不是一个网段阿,实际上相当于源地址和目标地址都是我自己的机器,如果我允许的是个网段联入我的机器还有情可原,不知道那个Ip怎么联入的我的机器?
491866227
发表于 2008-6-12 22:40:59 | 显示全部楼层
楼主还是直接贴图比较好一点。
小小龙
发表于 2008-6-12 23:25:43 | 显示全部楼层
有点笼统。。。LZ的局域网有多少台电脑呀?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-3 05:33 , Processed in 0.172630 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表