通过路由上网如何设置comodo

wpdcc

我刚用上comodo，单位通过路由上网，已经将路由IP加为信任，也可以PING通路由，但上网提示“已找到网站，正在等待回应”，始终打不开网页，还有什么是需要设置的？是不是还要添加什么端口，怎么知道路由的返回端口？comodo并没有什么提示框弹出。

［已解决］
终于被我找到路由不能上网的原因：在"攻击检测与防护设置“中将“拦截IP数据包分段“取消勾选就可以上网了。
comodo中注释为：拦截所有接收／发送分片的IP包（个人计算机很少需要发送或者接收分片的IP包，这些类型的数据包对路由器更有用，一般情况下，此选项不应该被禁用。（comodoV3中默认是选中的，也就是说默认设置是针对个人用户的）
comodo的帮助文档对此项的说明是：当连接在两台计算机间建立时，它们必须使用一个“块传输单位“（MTU）。当数据通过一台MTU小于您使用值的路由器时，便产生了IP数据包碎片，比如说，数据报比网络支持的MTU要大而它必须被发送，它会被切割成小的“碎片”分开发送。分片的IP包可能造成类似DOS攻击的威胁。此外，需要比单个包加倍的时间来处理这些碎片，这将导致你的下载速度减慢。默认情况下，comodo防火墙会阻断碎片，也就是说，阻断IP碎片的默认是勾选上的。
附：一、什么是IP数据包分段？
1、链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500，你可以用netstat -i命令查看这个值。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片（fragmentation）操作，使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包，以太网的MTU为1500字节，一般IP首部为20字节，UDP首部为8字节，数据的净荷（payload）部分预留是1500-20-8=1472字节。如果数据部分大于1472字节，就会出现分片现象。

IP首部包含了分片和重组所需的信息：

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|       Identification     |R|DF|MF|   Fragment Offset   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|<-------------16-------------->|<--3-->|<---------13---------->|

Identification：发送端发送的IP数据包标识字段都是一个唯一值，该值在分片时被复制到每个片中。

二、什么是IP包分片攻击?
Fragment Overlap 攻击。比起Tiny fragment攻击，fragmentOverlap是更为精巧的攻击。攻击者为了发动攻击将攻击IP包分为两个分片。第一个分片中包含包过滤设备允许的 http(TCP 80)等端口。在第二个分片中通过极小的偏移量造成第二个分片覆盖第一个分片的一部分内容。通常攻击者覆盖包含端口内容的部分。 　　由于在第一个分片中包含防火墙中允许的端口，因此第一个分片将会被通过。而第二个分片中具有允许通过的第一个分片ID，因此也被允许通过。但是当这两个分片到达目标主机进行重组之后，由于第一个分片的端口号被第二个分片的端口号覆盖，因此将会访问第二个分片中指定的端口。也就是绕过防火墙访问了未被授权的端口。 　　 基于IP分片的拒绝服务攻击 　　 IP分片不仅用于绕过防火墙或者IDS，而且也用于发动拒绝服务攻击。常见的Ping ofDeath 或者Teardrop属于这种攻击。 　　 Ping of Death、Jolt的攻击。这些攻击是通过发送超过RFC规范所规定IP报文而使操作系统无法正常工作的拒绝服务攻击。根据RFC-791 “InternetProtocol”规定，包含报头的IP 报文的最大长度为65,535，在很多系统在处理IP报文时将其最大值假定为该值。通常可通过ping程序发起简单的攻击。一般情况下IP报头为20字节，而ICMP报头为8字节，因此实际数据的最大长度为65535-20-8=65507字节。因此不限制ping报文最大长度的系统中，可通过如下命令发起攻击。 　　ping -l 65510 victim.host.ip.address 　　 WindowsNT系统中曾经允许类似命令，但是最近的系统不允许发送这种异常的数据报文。但是可通过jolt工具发送异常大的报文发起攻击。

[ 本帖最后由 wpdcc 于 2009-8-17 09:32 编辑 ]

ddd243346081

不明白你要说什么？我现在也是路由器上网，不是好好的吗。

wpdcc

请问你是怎么设置防火墙规则和路由器的?

guohouzuo

我前天用cis的时候，自从装了cis，防火墙一直没做什么特殊的配置，我也在路由器环境下，可是一切正常，不需要特殊的配置就能上网。
lz检查下tcp/ip协议的设置，网关，子网掩码，dns什么的

491866227

路由不用特别设置。

[ 本帖最后由 491866227 于 2009-8-15 09:49 编辑 ]