一个简单的既能隐身又能保证p2p下载、游戏这些应用的规则设置方案

guohouzuo

额。。你用的什么防火墙啊，呵呵~不错，把你的在线状态都能隐藏起来了

你说的只有外连在哪个位置？待会儿去试试去

kafanfw111

设置程序规则
允许TCP/UDP out  any
禁止IP  any  in
禁止 icmp in/out any（前提是你不是局域网）
这样设置比较安全一些

全局规则也是这样设置

一力破十会

你在全局开放端口,并置于那条规则之上---说明你的理解就是---"block ip in...any"是阻止一切进入!否则有什么必要?!这显然是错的!

guohouzuo

允许TCP/UDP out  any
禁止IP  any  in
禁止 icmp in/out any（前提是你不是局域网）
这样设置比较安全一些

这个。。我感觉有点问题吧~
我如果把这套规则放在全局规则上，那么有两个问题，一个是冗余，一个是无法进行正常的icmp应用。
comodo对icmp实行状态检测，全局阻拦icmp in仍然可以通过ping.exe或者正确的返回值，但是你连icmp out都阻拦了，那ping什么用也没有了~
第一条规则和第二条规则合起来的意思是，阻止非tcp 和udp包的进出，首先这和第三条规则冗余，其次，还是无法保证ping的应用啊

guohouzuo

原帖由 一力破十会 于 2009-6-21 16:30 发表
你在全局开放端口,并置于那条规则之上---说明你的理解就是---"block ip in...any"是阻止一切进入!否则有什么必要?!这显然是错的!

sorry没太理解你说的什么意思~
不过我的意思其实就相当于开放了那些端口，让他们不再隐身，但是comodo内置的防扫描机制仍然可以很好的防护本机被扫描到。
我可从来没理解他是阻止一切进入！
就因为有些c/s程序客户端不会监听端口，所以我才那么写，开放个别端口，要不comodo维护的tcp连接列表里面干脆没有服务器端主动发来的连接的信息，那么客户端还怎么接受信息啊？魔兽就是很好的一个例子嘛！

一力破十会

原帖由 kafanfw111 于 2009-6-21 16:29 发表
设置程序规则
允许TCP/UDP out  any
禁止IP  any  in
禁止 icmp in/out any（前提是你不是局域网）
这样设置比较安全一些

全局规则也是这样设置

基本同意你的规则.
你的实际就是"允许外连"---看预置规则的详细就知道;

全局也是只有外连---我暂时持保留态度.

guohouzuo

我感觉是不是局域网也不应该阻止icmp出站，因为入站已经阻止了，没有任何一种icmp的request了，本机不会发出reply，所以阻止出站不仅是多余，没有带来任何安全性的提高，而且还会妨碍本机对tracert、ping这些的应用

kafanfw111

禁止IP IN 就是阻止了潜在的黑客连接
所以要这样设置

一力破十会

你开放端口应该在应用程序你开,比在全局里开好!

你那个允许规则---应该加到应用程序里去,

表面上看,你问题只是在规则的位置上,实际上时对"阻止"那条规则存在误解...

建议你多看看置顶贴,

特别是"抓抓"的局域网规则---http://bbs.kafan.cn/viewthread.php?tid=238874&extra=page%3D1

guohouzuo

恩，我看了一下，你说的真没错，一刀说的也对，你这套规则禁止了外部主动连入，我看了下comodo内置规则，感觉确实是差不多~
不过我还是感觉，如果阻止了icmp出站，那不谁都ping不了啦？ping外网也是很常用的功能啊，不论在不在局域网，还有tracert