查看: 6140|回复: 41
收起左侧

[讨论] 关于全局允许规则的问题

[复制链接]
XMAN4
发表于 2008-6-25 19:22:59 | 显示全部楼层 |阅读模式
-------------------
有些朋友用allow来允许某些连接或某些端口,,这个根本没必要,你可以在应用程序规则中添加,,比如迅雷,你可以在程序规则中添加它允许的某些端口,,当迅雷退出时,它的一切数据请求就会自动被阻止。。而全局规则是全局性的,就算你退出了迅雷,但是由于在全局规则里那些端口还是呈打开的状态,在这个通道上数据是被认为可以接收的,这就像局域网内两台机共享设置一样,你在其中一台主机中设置了信任对方后,那么另一台主机里单方面进入你的主机。。。
关于全局允许规则的问题
---------------------
能不能在说的明白一些,对与一般家用全局规则应该设置那几条,抓抓同学说的这种情况能不能再详细一些,比如BT软件下载开始,关闭前后的情况,没太明白
伯夷叔齐
发表于 2008-6-25 19:36:48 | 显示全部楼层
这个说法是不对的,程序规则里有规则,全局还要不得阻止才行;全局规则即使在隐藏模式下,阻止了程序需要连入的连出连入端口,出站,必须放行才行,如站。。看实际需要。全局规则相当于小区大门,程序规则相当于每个家庭的门户,程序就是住户,是出是进,由程序控制而不是全局规则,即使退出程序后,有一些连接,其实那仅仅是结束“握手协议”的一个交待,是一些标志信息的包,而不是带数据包信息的数据包。当然,除非防火墙已经无法正常过滤。。。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 19:42 编辑 ]
抓抓
发表于 2008-6-25 19:39:00 | 显示全部楼层
“你在其中一台主机中设置了信任对方后,那么另一台主机可以单方面进入你的主机。。。”
---------比如你在全局规则中加了“allow tcp in from 对方 to 自己.....allow udp in from 对方 to 自己.....”两条允许共享后(当然你既然需要与人共享,那么其它地方比如system也肯定同样要放行),那么对方就可以随时随地几乎不加限制地进入你的系统,(如果在局域网内,当然也就包括无条件接收对方的广播包等等)。。。
伯夷叔齐
发表于 2008-6-25 19:44:57 | 显示全部楼层
原帖由 抓抓 于 2008-6-25 19:39 发表
“你在其中一台主机中设置了信任对方后,那么另一台主机可以单方面进入你的主机。。。”
---------比如你在全局规则中加了“allow tcp in from 对方 to 自己.....allow udp in from 对方 to 自己.....”两条允许共享 ...
当然,那是共享得条件下,既然都允许了共享了,而且SYSTEM又不可能随便乱关闭,那当然就。。。至少,原则上对于有问题得包,COMODO还是要阻止的。。除非防火墙已经失去过滤能力,或者防火墙本身不优秀。
XMAN4
 楼主| 发表于 2008-6-25 19:45:25 | 显示全部楼层
还是不明白,比如全局规则中的那条允许P2P 监听端口规则,

Allow TCP In Ip From Any to Any   Port From Any To [P2P Port]

同时在全局规则和相应的P2软件规则设置上,您的意思是说,如果程序关了,但是全局规则还有,那么别人还和你 P2P

COmodo 不是双层过滤吗,关闭哪一扇门都等于切断连接?
伯夷叔齐
发表于 2008-6-25 19:48:46 | 显示全部楼层
原帖由 XMAN4 于 2008-6-25 19:45 发表
还是不明白,比如全局规则中的那条允许P2P 监听端口规则,

Allow TCP In Ip From Any to Any   Port From Any To [P2P Port]

同时在全局规则和相应的P2软件规则设置上,您的意思是说,如果程序关了,但是全局规 ...
你去看看通讯量有多大,持续多久,什么状态。。你就明白我上面所述了。。

比如电骡退出,连接状态表里电骡的通讯一下就没有了————接下来,电骡又出来了————而且还有少量几十字节的流入量————接着就停止,这个连接就再也没有通讯量了————接着又出现其他连接————又是同样得特征。

其实这个过程,当你关闭程序时,系统就发给对方一个FIN包,之所以又出现连接,而且还有数据量,那是因为对方接到你得FIN信息后,发出的一个FIN+ACK(确认结束连接)得信息。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 19:51 编辑 ]
XMAN4
 楼主| 发表于 2008-6-25 19:53:03 | 显示全部楼层
兄弟,话能不能在说明白些?还是不懂

仿佛试过这两种情况设置规则,BT关闭后没什么区别,流量没了或者很小,但是连接数会持续一段时间,除非断网。

U版曾经提到双层过滤得问题,关了哪一个都等于关了。

我以前曾经问过相关人员,包过滤和基于程序防火墙端口方面的不同,http://bbs.kafan.cn/viewthread.php?tid=268457&extra=page%3D1

如果 Comodo 是双层过滤体制,两种设置端口都会在程序关闭后关闭。

基于程序,程序关闭,端口随之关闭

包过滤,允许协议的服务关闭,端口关闭

关了哪一个,端口都不会呈现开放

[ 本帖最后由 XMAN4 于 2008-6-25 20:01 编辑 ]
抓抓
发表于 2008-6-25 20:02:54 | 显示全部楼层
原帖由 伯夷叔齐 于 2008-6-25 19:44 发表
当然,那是共享得条件下,既然都允许了共享了,而且SYSTEM又不可能随便乱关闭,那当然就。。。至少,原则上对于有问题得包,COMODO还是要阻止的。。除非防火墙已经失去过滤能力,或者防火墙本身不优秀。


在某种意义上来讲,allow就是一种共享,允许别人访问(共享)自己的资源(或允许自己访问别人)。。无论是局域网还是公网基本可以说都一样。。。。

“而且SYSTEM又不可能随便乱关闭,那当然就。。。”--------难道你要共享时不同时设置允许SYSTEM....吗?
“至少,原则上对于有问题得包,COMODO还是要阻止的。。除非防火墙已经失去过滤能力,或者防火墙本身不优秀。 ”---------这句话单独拿出来讲讲还可以,,,如果结合前面的allow(共享)的话题,,这句话就有点不知所谓了。。你都已经allow别人进入你的系统访问了,还谈什么阻止、过滤。。。。“有问题得包”------广播包算不算有问题?(UDP洪水算不算有问题?),,当然还并不止这些。。。。
XMAN4
 楼主| 发表于 2008-6-25 20:08:37 | 显示全部楼层
你都已经allow别人进入你的系统访问了,还谈什么阻止、过滤。。。。“有问题得包”------广播包算不算有问题?(UDP洪水算不算有问题?),,当然还并不止这些。。。。

Comodo 好像是程序和全局双层过滤吧,记得U版说过,全局规则开启一个允许,没有允许程序执行,端口还是关闭或者隐藏的。按您的说法,程序规则和全局规则岂不是又一个是多余?Allow 别人,没有相应的服务或者程序开启,或者程序规则不允许,门还是没开。两道门,必须都开了。

而关了其中一个,就会关闭相应端口。比如全局阻止某些端口外联,程序开了也没用。程序关闭某些端口,全局开了也没用


另外您说的 Allow 别人共享到底是什么,能不能具体举个例子。

[ 本帖最后由 XMAN4 于 2008-6-25 20:11 编辑 ]
伯夷叔齐
发表于 2008-6-25 20:17:48 | 显示全部楼层
原帖由 抓抓 于 2008-6-25 20:02 发表


在某种意义上来讲,allow就是一种共享,允许别人访问(共享)自己的资源(或允许自己访问别人)。。无论是局域网还是公网基本可以说都一样。。。。

“而且SYSTEM又不可能随便乱关闭,那当然就。。。”------- ...
那就是过滤,如果过滤不了,那就没有办法了,那只有像你的规则那样阻止本机和局域网的通讯了。据说局域网下,所有防火墙要在共享环境下过滤ARP攻击,都有点勉为其难。。。纠正你一点,记得以前你说过开端口就意味着不安全,对吧?!那么我试问,网页访问的服务器开HTTP端口,是不是不安全,我只能说,过滤能力差的防火墙在这个情况下才不安全,防火墙要做的最重要的工作就是过滤。。。这是防火墙好与次的最基本。。。当然,作为HTTP服务器时,专业防火墙过滤这些应用层的协议是长项。。。

我们还是点到为止吧,其实你心里应该明白,谁在防火墙问题上出现了很低级得错误。。。我想再争论下去,谁都无法说服谁,自然有高手会明白谁对谁错。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 20:25 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-3 05:50 , Processed in 0.130272 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表