想到 Comodo V3 规则设置和ICMP之间的一个问题。

XMAN4

目前 Comodo 的规则对于入站，全局规则优先起作用，出站程序规则优先起作用。对已设置 ICMP 入站规则，就带来问题。
P2P 软件，一般要允许入站的 ICMP Reply,Time Exceed, Port Unreachable 的请求。根据 Comodo 全局和应用程序规则之间的关系，就不能在全局规则里面添加一条阻止所有种类的 ICMP 请求，否则，全局规则优先起作用，应用程序设置了也没用。而 LnS 则可以在规则里面设置阻止所有种类的 ICMP 入站请求，仅对某几个程序开启相应种类的 ICMP 入站请求。

前面伯夷叔齐同学讲过，如果不在全局规则里面加上阻止入站的 ICMP请求的话，是不能防止别人 Ping自己的。那么像 Comodo 这种规则方式设置，就无法设置成仅对某几个程序开启 ICMP 入站请求，只能是，一种情况，在全局规则阻止所有 ICMP 入站请求，这样也就阻止了所有程序的 ICMP ;第二种情况，不再全局规则中添加，就会出现不开启这个程序，还会有人 Ping 你。第三种情况，仅在全局规则阻止应用程序用不到的几种  ICMP 入站请求。

chncwk

看了三遍——没看懂。

huai168an

我的理解就是全局规则只是隐藏了部分端口，当程序的运行调用相关规则或端口时就会提示或使用。就icmp来说全局规则设置了，如果有人ping它就阻止，不过当迅雷触发自己要使用的规则或端口时（如icmp）就会提示，这个不影响全局规则中的icmp，在日志你也会看到，拦截的源程序会不同（个人理解，FW这块还要我是要好好学了，复杂 ）

[ 本帖最后由 huai168an 于 2008-6-15 00:49 编辑 ]

伯夷叔齐

目前 Comodo 的规则对于入站，全局规则优先起作用，出站程序规则优先起作用。对已设置 ICMP 入站规则，就带来问题。

对于入站，全局规则肯定先过滤，更应该是一个顺序问题吧，回家是先入大门，再入家门，出去时是先出家门，再出大门；

基于NDIS层工作的SPI会在出站时，数据包会先由程序出站规则和全局出站规则进行匹配，对于因通过规则而连出访问远程而返回和接收的的第一个TCP的SYN位的数据包进行静态规则匹配，（UDP不详）如果接受，通过此包，建立状态监测表，随后的包如果符合状态监测表要求的就会被放行，不符合的就会被阻止；入站也同样，只不过看是规则在阻止，还是SPI在过滤的问题，当然这要看SPI的实现程度。在P2P友好模式下，比如P2P下载软件这样的程序，一旦程序报警，并被接受后，作为服务端，去开放自己用于特定服务的端口，这个时候，防火墙基于SPI的过滤机制同样生效，会过滤掉不符合的访问和通讯。SPI的检测范围很广，不仅仅是对出站后建立的入站通讯，也包括外部主动连入的过滤。

当然，现阶段COMODO还不能完全实现ICMP协议的SPI，因此需要规则。所以COMODO的P2P友好模式会有那条全局的ICMP echo request规则。这样的情况下，默认的那条规则就成为必然。看端口隐藏模式下的ICMP出站入站规则，以及它随多次大的升级而减少，可以了解到COMODO离ICMP的SPI实现，越来越近。

全局规则里即使没有任何对TCP UDP协议的阻止规则，这些端口在没有程序去开放端口服务的情况下，依然隐藏，我们可以这么理解，在隐藏模式下，COMODO在IP/TCP协议通讯环境下过滤时，那条BLOCK  IP  IN FROM IP ANY TO IP ANY 其实是特别针对ICMP协议入站的一种限制。当然，同时也可以理解为对TCP UDP的入站的加强吧，因为还牵涉到程序调用端口对外开放服务的问题，这样的情况下，如果不想让这些程序开放某某端口，那么排除在SPI之外的建立的硬性规则就起作用了，但只对主动入站的外部访问起阻止作用，而非出站时请求的数据包。

这也就好理解了，其实全局规则，有两部分在生效，一个是SPI，一个是规则。这相当于两个关卡。对于出入站，都是规则在前，SPI过滤在后；外部主动连入时，当规则开放了某端口并与外部建立通讯，那么接下来就是SPI的过滤机制生效；如果是对于出站数据包，通过出站规则的筛选，然后就是SPI全权负责；出站访问而返回的数据包，全局入站规则此时对于这样的数据包，不会“扮演任何角色”。实际角度看，默认的P2P友好模式规则下，除了必要的ICMP协议规则设置，TCP UDP部分，除开出站规则部分，也就是SPI在控制；默认隐藏模式下，外部主动连入就必须先通过规则，再由SPI过滤。而SPI完全控制出站访问后请求而来的入站通讯。

P2P 软件，一般要允许入站的 ICMP Reply,Time Exceed, Port Unreachable 的请求。根据 Comodo 全局和应用程序规则之间的关系，就不能在全局规则里面添加一条阻止所有种类的 ICMP 请求，否则，全局规则优先起作用，应用程序设置了也没用。而 LnS 则可以在规则里面设置阻止所有种类的 ICMP 入站请求，仅对某几个程序开启相应种类的 ICMP 入站请求。

对于主动入站访问的通讯，在P2P友好模式下，只阻止ECHO REQUEST入站，并没有阻止ICMP ECHO REPLY等其他三项ICMP协议入站；

前面伯夷叔齐同学讲过，如果不在全局规则里面加上阻止入站的 ICMP请求的话，是不能防止别人 Ping自己的。那么像 Comodo 这种规则方式设置，就无法设置成仅对某几个程序开启 ICMP 入站请求，只能是，一种情况，在全局规则阻止所有 ICMP 入站请求，这样也就阻止了所有程序的 ICMP ;第二种情况，不再全局规则中添加，就会出现不开启这个程序，还会有人 Ping 你。第三种情况，仅在全局规则阻止应用程序用不到的几种  ICMP 入站请求。

你没有说清楚，我仅仅是说不设置ICMP ECHO REQUEST的情况下，会被PING，这个P2P模式默认就有。

最后在引用U版以前说过的一句话：

看防火墙spi实现的多少，看全局IP规则的多少就知道了。

你提出了一个很尖锐的逻辑问题，很感谢你对COMODO的支持，以及对我的话的重视。再次感谢。

[ 本帖最后由 伯夷叔齐 于 2008-6-23 22:50 编辑 ]

夏春秋

LZ可以参考U版打磨贴的规则，
比如隐身模式的全局规则：
允许ICMP IN 的Reply,Time Exceed, Port Unreachable
最后一条全阻止
等于阻止其他ICMP

[ 本帖最后由 rushmore 于 2008-6-15 07:56 编辑 ]

491866227

楼主的主动入站icmp真的有需求吗？
楼主用的是什么软件啊？
我想客户端的软件应该不会这样吧？

ktango

原帖由 huai168an 于 2008-6-15 00:46 发表
我的理解就是全局规则只是隐藏了部分端口，当程序的运行调用相关规则或端口时就会提示或使用。就icmp来说全局规则设
置了，如果有人ping它就阻止，不过当迅雷触发自己要使用的规则或端口时（如icmp）就会提示，这个不 ...

在正常的情况下全局规则应该会隐藏了所有端口，否则本机就不能在互联网中隐藏，那条BLOCK  IP  IN FROM IP ANY TO IP ANY应该就是在互联网中隐藏自已的规则。