一个简单的既能隐身又能保证p2p下载、游戏这些应用的规则设置方案

guohouzuo

-----------------------------PS-----------------------------------
经过回帖讨论，此方法可能引起一些安全性的问题，并
可能有更好的实现方法，可能原理上我还有些没弄明白
的地方，谢谢大家花这么长时间教我这方面的知识！
--------------------------------------------------------------------

comodo有个stealth ports wizard，中文版名子好像叫端口隐藏向导，可以让你的电脑变得隐身、很难被探测到。
（comodo本身其实就是防扫描的~不设置这个向导依然可以过pcflank)
但是这样有一个缺点，就是如果你选择stealth my ports to everyone（对所有人隐藏我的端口），那么他会自动添加一条规则到全局规则中：block ip inbound where source is any destinition is any（阻止ip入站，源任意，目标任意）这条规则太严厉了，阻止了主动的传入连接，而且comodo对于入站请求会先去globol rules（全局规则）里面匹配规则，然后再去application rules（应用程序规则）匹配应用程序规则，所以会导致很多p2p、游戏无法正常运行（我就感觉有了这条规则虽然隐身效果更好了，可是p2p下载的速度慢了不少，联网魔兽更是无法进行）
我使用的解决方法就是，去common tasks找my ports set（我的端口集），建立一个新的端口集，自己取个好听的名字就ok了，我的是叫My own safe ports
然后将所有的那些迅雷、魔兽、代理、电驴什么的，那些软件的设置页面里面讲的他使用的端口，全都填进去
然后在全局规则里面写一条：
允许，不记录，协议tcp or udp，方向入站，目标端口——端口集——然后选你的那个端口集的名字。
最后将这条规则放到全局规则最上方即可。

这样既能让stealth ports wizard自动填写的那条规则正常工作，也能保证咱们日常的应用了。并且请放心，这样开放了这些端口的入站，comodo内置的防端口扫描的机制依然可以正常工作，防止通过对这些端口的扫描发现主机的存在。

顺便提一句，有了这两条规则，你不必再过滤别的像是什么私有端口、危险端口、各种icmp一类的入站通讯了，因为他们都属于ip协议，block ip了就把他们都给block了，无论他们具体是什么协议~规则越少的防火墙效率才能越高嘛（怕有人质疑，那我写个出处：《防火墙、入侵检测与vpn》）

通过调整，这只有两条规则的全局规则，能保证咱们的电脑即隐身，还绝不会妨碍日常各种应用，只要你把端口查对了查全了·~一般这类软件的设置页面都会提到他们用到哪个端口，找找就ok了。

哪位朋友如果追求更佳的安全性，也可以写2个端口集，一个是安全的tcp端口，一个是udp端口，这样分着写就得在全局规则写3条规则。

以上在xp sp3 cn+comodo3.9.95下测试成功。

希望对大家能有帮助！谢谢！

[ 本帖最后由 guohouzuo 于 2009-6-21 17:24 编辑 ]

DoctorL

方法不错，cleanpc可以学习到么？既然本身已防端口扫描，又何需隐身，开放端口又易用又安全？

wuming1989

学习 学习!

guohouzuo

shinequan你开的那个帖子看来挺合适~

隐身和防扫描是两个概念，隐身的话，别的电脑无法通过你做隐身了的那个协议探测到你，例如要从arp协议的隐身，就是不发送广播arp数据包，不给非网关发送arp数据包，这样别人无法通过arp嗅探软件来发现你的存在，这叫隐身，而arp协议的防扫描是什么概念呢，是不响应非网关发来的arp请求，也就是说，别人无法通过arp请求找到你的机器的真实mac，但是却可以通过嗅探arp数据包发现你的电脑确实在局域网内。
从ip的tcp协议说，端口扫描就是通过发送数据包来探测某个端口是否是打开的，比如测试你的139端口是否是打开的，这类数据包通常是不正常的，很容易被像是comodo、pctools一类的状态检测防火墙发现。而如果你要正常的通过139端口使用netbios通讯，那么就不叫端口扫描了。对于隐身而言，就是阻止139端口的入站通讯，防止别的机器通过netbios的各种服务来探测你的计算机的信息，比如探测计算机、工作组名等等。

http://nmap.org/book/man-port-scanning-techniques.html
我刚找到的一个网址，是著名的扫描器nmap官网上的，讲了一些网络扫描的知识，有空去看看，估计会有帮助。
对了，你对局域网攻防感兴趣吗？感兴趣的话，+到这个：86552715qq群里咱们一起讨论

[ 本帖最后由 guohouzuo 于 2009-6-21 15:22 编辑 ]

DoctorL

作用，或者说结果有什么区别？都是让别人找不着你呗…

guohouzuo

还有哈~那个clean pc mode不会更改globol rules的规则，整个comodo只有stealth ports wizard才会更改全局规则

刚才那个帖子我更改了一些内容，怕另开回帖被扣经验，呵呵~

[ 本帖最后由 guohouzuo 于 2009-6-21 15:26 编辑 ]

minchaovip

顶 学习了之后真的能玩魔兽争霸了  O(∩_∩)O

一力破十会

LZ搞错了!

"block ip inbound where source is any destinition is any"---并不是阻止ip进入!

ip此时完全能进入!只不过需在应用程序发出求后...

这条规则的含义是,阻止任何未经本机应用程序发出请求,而主动要求连入的请求...这是应该被阻止的;

既然能进入,所以根本不需要另外再开放端口!

建议LZ仔细看看TCP/IP协议的"三次握手",简单转述一下"
在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。
　　第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；
　　第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；
　　三次握手协议第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。
　　完成三次握手，客户端与服务器开始传送数据。
主动连接出的连接的回应以及它的网络传输，在网络协议里不算是连入，因为它们是被动连接的。

所以老是有人问为什么规则里禁止了一切连入为什么还可以访问网页，就是因为这个。

所有P2P程序,你可以简单用"只有外连来代替"!

如果非要加,也最好在应用程序规则里开放对应端口,切切不要在"全局规则"里来放开...这样,就等于全局开放端口!

本人用这条规则很久(加其它若干规则,但绝对没有在其上加什么允许),P2P没有出现任何问题!

上次,我就在另一帖子里指明LZ没有搞清这条规则的含义...看来是真的没有搞清...

guohouzuo

我晕，我是一直很清楚好不好，我早就给你回帖了说我知道什么是tcp的状态检测，comodo是个状态检测防火墙，我早就写过很多关于状态检测防火墙的帖子了，不信你去看。
他程序工作的时候会存储每一条tcp连接的信息，就因为有了这个技术他才能很好的防护现今的端口扫描技术发送的异常状态字段的tcp数据包，当入站的时候当然要匹配全局规则，如果发现不是已经建立了的连接的ip数据包，才会允许他进入，否则就block ip。
可能是你用的p2p软件和我的不一样导致的结果的差异吧~我的迅雷的时候如果开着那条规则的日志，没有其他任何的规则，日志刷拉刷拉的，而且都是我迅雷设置中的端口阻止的数据包。
加上这条规则以后，有这么一大类程序都运行不了，就是只有服务器端主动和客户端进行通讯的程序，这类程序因为comodo没有在自己的维护tcp连接的列表中发现已建立连接的条目，所以他就会认为这是一个主动的传入连接而阻止他。魔兽争霸就是一例，选局域网之后他不会先listen自己的端口，这样comodo内没有关于魔兽在listen的tcp连接记录，所以在一个魔兽主机建立了房间之后，他发出的房间信息的数据包干脆直接被第一条那个规则block了。
只有在你建立一个房间的时候，他才会在监听自己的端口的同时，向外发送6112端口的udp数据包来发出自己房间的信息。所以对于魔兽争霸游戏这类的c/s程序，必须在comodo里面添加那条规则才行。

你在担心安全性的问题~我也曾担心过，不过后来我打消这个担心了，原因就是comodo保护开放的端口不被扫描技术扫描到，而且魔兽之类的程序端口作用很单一，不会被其他正常外来连接而引起安全性问题。就象我刚才说的，假如你开放了139，人家可以通过正常的连接探测你的计算机名，但是无法通过端口扫描而扫描到，对于魔兽之类的程序也一样，你开放了魔兽端口，可以用于游戏，但是你无法通过端口扫描技术发现这个端口是开着的（comodo内置的spi会防止端口扫描）。
所以安全性的问题不必担心，除非开放的是有可能泄露本机重要信息的端口，像是finger print，135-139等等这些。

[ 本帖最后由 guohouzuo 于 2009-6-21 16:26 编辑 ]

一力破十会

我的P2P,就是迅雷,快车,QQ,PPS等...还能特殊到哪里去?
开放全局端口?那你还不如直接用其他的模式,为什么用这极端的"第三种模式"呢?这个模式本来就是给那些不用P2P程序的人用的.
用事实说话,
建议你先全局不开端口,就用那一条规则,然后去迅雷那,选择"只有外连",或把你开放端口的规则加在这(既然要安全,就不应该全局开放,只开放个别程序好了)
你反复试试!
结果会出你意外的.