关于全局允许规则的问题

XMAN4

-------------------
有些朋友用allow来允许某些连接或某些端口，，这个根本没必要，你可以在应用程序规则中添加，，比如迅雷，你可以在程序规则中添加它允许的某些端口，，当迅雷退出时，它的一切数据请求就会自动被阻止。。而全局规则是全局性的，就算你退出了迅雷，但是由于在全局规则里那些端口还是呈打开的状态，在这个通道上数据是被认为可以接收的，这就像局域网内两台机共享设置一样，你在其中一台主机中设置了信任对方后，那么另一台主机里单方面进入你的主机。。。
关于全局允许规则的问题
---------------------
能不能在说的明白一些，对与一般家用全局规则应该设置那几条，抓抓同学说的这种情况能不能再详细一些，比如BT软件下载开始，关闭前后的情况，没太明白

伯夷叔齐

这个说法是不对的，程序规则里有规则，全局还要不得阻止才行；全局规则即使在隐藏模式下，阻止了程序需要连入的连出连入端口，出站，必须放行才行，如站。。看实际需要。全局规则相当于小区大门，程序规则相当于每个家庭的门户，程序就是住户，是出是进，由程序控制而不是全局规则，即使退出程序后，有一些连接，其实那仅仅是结束“握手协议”的一个交待，是一些标志信息的包，而不是带数据包信息的数据包。当然，除非防火墙已经无法正常过滤。。。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 19:42 编辑 ]

抓抓

“你在其中一台主机中设置了信任对方后，那么另一台主机可以单方面进入你的主机。。。”
---------比如你在全局规则中加了“allow tcp in from 对方 to 自己.....allow udp in from 对方 to 自己.....”两条允许共享后（当然你既然需要与人共享，那么其它地方比如system也肯定同样要放行），那么对方就可以随时随地几乎不加限制地进入你的系统，（如果在局域网内，当然也就包括无条件接收对方的广播包等等）。。。

伯夷叔齐

原帖由 抓抓 于 2008-6-25 19:39 发表
“你在其中一台主机中设置了信任对方后，那么另一台主机可以单方面进入你的主机。。。”
---------比如你在全局规则中加了“allow tcp in from 对方 to 自己.....allow udp in from 对方 to 自己.....”两条允许共享 ...

当然，那是共享得条件下，既然都允许了共享了，而且SYSTEM又不可能随便乱关闭，那当然就。。。至少，原则上对于有问题得包，COMODO还是要阻止的。。除非防火墙已经失去过滤能力，或者防火墙本身不优秀。

XMAN4

还是不明白，比如全局规则中的那条允许P2P 监听端口规则，

Allow TCP In Ip From Any to Any   Port From Any To [P2P Port]

同时在全局规则和相应的P2软件规则设置上，您的意思是说，如果程序关了，但是全局规则还有，那么别人还和你 P2P

COmodo 不是双层过滤吗，关闭哪一扇门都等于切断连接？

伯夷叔齐

原帖由 XMAN4 于 2008-6-25 19:45 发表
还是不明白，比如全局规则中的那条允许P2P 监听端口规则，

Allow TCP In Ip From Any to Any   Port From Any To [P2P Port]

同时在全局规则和相应的P2软件规则设置上，您的意思是说，如果程序关了，但是全局规 ...

你去看看通讯量有多大，持续多久，什么状态。。你就明白我上面所述了。。

比如电骡退出，连接状态表里电骡的通讯一下就没有了————接下来，电骡又出来了————而且还有少量几十字节的流入量————接着就停止，这个连接就再也没有通讯量了————接着又出现其他连接————又是同样得特征。

其实这个过程，当你关闭程序时，系统就发给对方一个FIN包，之所以又出现连接，而且还有数据量，那是因为对方接到你得FIN信息后，发出的一个FIN+ACK（确认结束连接）得信息。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 19:51 编辑 ]

XMAN4

兄弟，话能不能在说明白些？还是不懂

仿佛试过这两种情况设置规则，BT关闭后没什么区别，流量没了或者很小，但是连接数会持续一段时间，除非断网。

U版曾经提到双层过滤得问题，关了哪一个都等于关了。

我以前曾经问过相关人员，包过滤和基于程序防火墙端口方面的不同，http://bbs.kafan.cn/viewthread.php?tid=268457&extra=page%3D1

如果 Comodo 是双层过滤体制，两种设置端口都会在程序关闭后关闭。

基于程序，程序关闭，端口随之关闭

包过滤，允许协议的服务关闭，端口关闭

关了哪一个，端口都不会呈现开放

[ 本帖最后由 XMAN4 于 2008-6-25 20:01 编辑 ]

抓抓

原帖由 伯夷叔齐 于 2008-6-25 19:44 发表
当然，那是共享得条件下，既然都允许了共享了，而且SYSTEM又不可能随便乱关闭，那当然就。。。至少，原则上对于有问题得包，COMODO还是要阻止的。。除非防火墙已经失去过滤能力，或者防火墙本身不优秀。

在某种意义上来讲，allow就是一种共享，允许别人访问（共享）自己的资源（或允许自己访问别人）。。无论是局域网还是公网基本可以说都一样。。。。

“而且SYSTEM又不可能随便乱关闭，那当然就。。。”--------难道你要共享时不同时设置允许SYSTEM....吗？
“至少，原则上对于有问题得包，COMODO还是要阻止的。。除非防火墙已经失去过滤能力，或者防火墙本身不优秀。 ”---------这句话单独拿出来讲讲还可以，，，如果结合前面的allow(共享)的话题，，这句话就有点不知所谓了。。你都已经allow别人进入你的系统访问了，还谈什么阻止、过滤。。。。“有问题得包”------广播包算不算有问题？（UDP洪水算不算有问题？），，当然还并不止这些。。。。

XMAN4

你都已经allow别人进入你的系统访问了，还谈什么阻止、过滤。。。。“有问题得包”------广播包算不算有问题？（UDP洪水算不算有问题？），，当然还并不止这些。。。。

Comodo 好像是程序和全局双层过滤吧，记得U版说过，全局规则开启一个允许，没有允许程序执行，端口还是关闭或者隐藏的。按您的说法，程序规则和全局规则岂不是又一个是多余？Allow 别人，没有相应的服务或者程序开启，或者程序规则不允许，门还是没开。两道门，必须都开了。

而关了其中一个，就会关闭相应端口。比如全局阻止某些端口外联，程序开了也没用。程序关闭某些端口，全局开了也没用


另外您说的 Allow 别人共享到底是什么，能不能具体举个例子。

[ 本帖最后由 XMAN4 于 2008-6-25 20:11 编辑 ]

伯夷叔齐

原帖由 抓抓 于 2008-6-25 20:02 发表


在某种意义上来讲，allow就是一种共享，允许别人访问（共享）自己的资源（或允许自己访问别人）。。无论是局域网还是公网基本可以说都一样。。。。

“而且SYSTEM又不可能随便乱关闭，那当然就。。。”------- ...

那就是过滤，如果过滤不了，那就没有办法了，那只有像你的规则那样阻止本机和局域网的通讯了。据说局域网下，所有防火墙要在共享环境下过滤ARP攻击，都有点勉为其难。。。纠正你一点，记得以前你说过开端口就意味着不安全，对吧？！那么我试问，网页访问的服务器开HTTP端口，是不是不安全，我只能说，过滤能力差的防火墙在这个情况下才不安全，防火墙要做的最重要的工作就是过滤。。。这是防火墙好与次的最基本。。。当然，作为HTTP服务器时，专业防火墙过滤这些应用层的协议是长项。。。

我们还是点到为止吧，其实你心里应该明白，谁在防火墙问题上出现了很低级得错误。。。我想再争论下去，谁都无法说服谁，自然有高手会明白谁对谁错。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 20:25 编辑 ]