刚才我好像发现了一个Comodo规则中关于状态检测的bug～～

显示全部楼层 · 发表于 2009-12-23 10:26:13

我刚才实验制作这么一套规则：

不允许一个程序接收传入到私有端口的连接（阻止TCP/UDP出、入站，目标端口-私有端口范围）
允许其他的TCP和UDP连接（允许TCP/UDP出、入站）
允许ICMP的出入（允许ICMP出入站）
阻止所有其他协议的数据包（阻止IP协议，出、入站，记录）

结果我就发现一个特别奇怪的现象，我给迅雷指定端口1100-1103，但是竟然这些端口的入站连接全都被阻止了，很明显是被最后一条阻止的。

我就纳闷。。。按照状态检测原理，传入连接在第一条规则不被过滤，而到了第二条，因为他符合TCP连接，入站的特征，此时应该对这个连接开始状态检测机制，理应允许这个入站连接。

后来我实验，将第二条改为：
允许TCP/UDP入站
允许TCP/UDP出站

结果就没有这个问题了，comodo就不再阻拦我的传入连接了

这我就想不太明白了～难道这是个comodo状态检测机制的bug？

显示全部楼层 · 发表于 2009-12-23 10:58:33

这个现象很诡异啊。
会不会是毛豆那个规则应用滞后的原因？能不能麻烦下，每次修改规则后注销，然后再测试~

显示全部楼层 · 发表于 2009-12-23 11:20:14

谢谢Lorchid，刚才我试了下。。。规则应用的很迅速，改回去以后重新启动迅雷的任务，立马就拦截我的端口的入站～然后再改回来就又好了

显示全部楼层 · 发表于 2009-12-23 13:20:55

本帖最后由 lorchid 于 2009-12-23 13:24 编辑

谢谢Lorchid，刚才我试了下。。。规则应用的很迅速，改回去以后重新启动迅雷的任务，立马就拦截我的端口的入 ...
guohouzuo 发表于 2009-12-23 11:20

对了楼主设置的是应用程序规则还是全局规则，我用应用程序规则试了下重现不了~comodo3.12，thunder5.8.14，迅雷开放的端口是9002和12002 （现在上传图片怎么这么慢~--）

显示全部楼层 · 发表于 2009-12-23 16:17:03

新版的这个贴图真不太会用。。呵呵～
右边的是规则的照片～
左边是迅雷运行的时候拦截的日志。。我的端口范围是1100-1103，下载的是个emule任务。。。

win7 ult
comodo3.13
迅雷去广告版～

显示全部楼层 · 发表于 2009-12-23 16:24:35

云里雾里
学习中O__O"…

显示全部楼层 · 发表于 2009-12-23 17:04:49

回复 5# guohouzuo

图中的那个日志好像是迅雷关闭后或者全局规则产生的吧。看下当前连接里面，如果存在任何一个你指定端口的入站连接，那就不是bug了，更可能是迅雷下载机制的问题

显示全部楼层 · 发表于 2009-12-23 19:33:45

哈！感谢Lorchid
我发现了。。即使是修改后的规则依然会产生这个日志。。真的很奇怪，好像确实是迅雷在关闭的时候产生的～可能是迅雷的问题了

[讨论] 刚才我好像发现了一个Comodo规则中关于状态检测的bug～～

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块