令人费解的端口隐藏规则

FWPilgrim

毛豆的三种端口隐藏模式和相应的全局规则如下：

1,Define a new trusted network - stealth my ports to EVERYONE else
允许，IP, 本机------>trust zone
允许，IP, 本机<-------trust zone

2,Alert me to incoming connections - stealth my ports on a per-case basis
阻止,ICMP之ping request, 本机<-------any

3,Block all incoming connections - stealth my ports to everyone
允许，IP, 本机----->any
允许，ICMP之fragmentation needed, 本机<--------any
允许，ICMP之time exceeded, 本机<--------any
禁止，IP, 本机<---------any

疑问：
1，按照第一种模式来说，如果要使描述成立，就必须这样理解：
默认情况下（没有全局规则），主动入站是被禁止的（因为第2条规则允许trust zone 入站）。
但为何要多此一举建一条出站到trust zone的规则？

2，按第三种模式来说：
也是这个问题：为何要多此一举建一条出站到任何地址的规则？
另外，第3条规则禁止主动连入，与上面的推测（主动入站是被禁止的）相矛盾，不过也可能是“多此一举”

3，而第二种模式更是费解。
   1）禁止ping入可以达到什么效果？
   2）似乎又与那个推测（主动入站是被禁止的）相矛盾，不过也可能是“多此一举”。

4，现在假设默认下，入站也是被允许的。那么第三种模式的最后一条规则可以理解。
但第一种模式stealth my ports to EVERYONE else就说不通了。
==============================================================
总之，狂晕~~~


[ 本帖最后由 FWPilgrim 于 2008-10-10 16:36 编辑 ]

Magis

请问lz这个防火墙三模式的规则来自哪？ 个人总结吗？

FWPilgrim

在stealth port wizard中任选一个，会自动在global rule中添加相应的规则

491866227

这个隐藏功能是傻瓜式的。
懂一点防火墙常识的人可以自己弄规则，可以完全不用这个功能。

FWPilgrim

还不太理解毛豆隐藏端口的机制
能否指点一二？

491866227

原帖由 FWPilgrim 于 2008-10-10 16:34 发表
在stealth port wizard中任选一个，会自动在global rule中添加相应的规则

基本和你知道的差不多。
你的问题在于你把comodo的隐藏端口的技术和这个名称叫做“隐藏端口”的功能挂钩了。

FWPilgrim

毛豆默认情况下是不允许主动入站的，还是必须加上阻止入站的规则？

491866227

默认是p2p规则啊，没有阻止连入。
置顶贴都有说明，好好找找。

补充一点：包过滤没有阻止连入，还有程序控制可以阻止。
p2p规则也不是说就不安全，不过还是建议加入阻止连入的规则。

[ 本帖最后由 491866227 于 2008-10-11 09:17 编辑 ]

FWPilgrim

原帖由 491866227 于 2008-10-11 09:13 发表
默认是p2p规则啊，没有阻止连入。
置顶贴都有说明，好好找找。

补充一点：包过滤没有阻止连入，还有程序控制可以阻止。
p2p规则也不是说就不安全，不过还是建议加入阻止连入的规则。

默认没有阻止连入的话，第一种模式没有加上阻止连入的规则，怎么达到 stealth my ports to EVERYONE else的目的？

491866227

端口隐藏是防火墙内在支持的。跟规则没什么直接联系。
不过comodo这样描述的话，我会以为只要不直接或间接阻止icmp请求。comodo就不会隐藏端口。
以上言论没有经过验证。有空的话你可以验证一下。其实我知道的不多，希望楼主帮忙指正。