V4版本关于svchost.exe连网的设置

tykerker

在V3版本设置隐身上网模式后并没有对svchost.exe有任何连网的设置就能
解析DNS上网以及进行微软更新，改用V4版本后发现svchost.exe需要设置
连网规则，找了以前相关帖子后有一些疑问:
1.UDP部分并须开放远程端口53以及本地68连接远程67端口，这个没有问题。
2.TCP部分必须开放本地端口1024-5000连接远程端口80和443来进行微软更新，
   开放80端口连外会不会造成安全上的问题??
3.小红伞进行更新为何svchost.exe需要连接"TCP"远程53端口???选择阻挡连接
  貌似也可以进行小红伞更新，我的小红伞更新采用默认的设置没有使用代理。

cucook520

不知还用着3呢

chncwk

这个我也出现了，第二条暂时阻止，不影响上网。

柯林

回复 1# tykerker
楼主似乎很少玩墙，概念没有搞对。
本机发起出站连接时，目标端口是远程计算机开放的端口，并非本机端口。
其它计算机发起入站连接时，目标端口才是本机开放的端口。
所以，当你访问远程计算机【例如卡饭论坛所在的服务器】的80端口时，并无本机危险一说。
默认规则允许svchost外连访问，仅仅是允许访问的目标端口范围太宽泛了，并不涉及开放本机端口一事，一般可以认为是基本安全的，充其量只是有潜在风险——授权太宽有可能被木马利用【本机无马特别是无注入svchost进程的马则无需讨论该问题】。

tykerker

回复 4# 柯林
感谢说明，我就是怕svchost.exe被恶意程式注入才会想
严格设置连网的规则。

sun2009

回复  tykerker
楼主似乎很少玩墙，概念没有搞对。
本机发起出站连接时，目标端口是远程计算机开放的端口 ...
柯林 发表于 2010-3-8 01:35

对，只要自己机子干净就好了

秋水西风落雁

这个我试过一些，阻止了好像有点影响网速，不知道为何，我就干脆弄成信任的了

柯林

回复 7# 秋水西风落雁
windows安装好后，除非特别设定，默认是启用DNS Client服务的——意味着本机所有DNS解析由svchost集中代劳，如果不允许它访问远程的53端口，那么除非你明确输入网站的IP地址，否则输入域名的话那是根本就打不开网页的。
对于adsl之类动态分配IP地址的用家来说，如果不允许DHCP服务，那么网络通讯是有问题的，所以要允许svchost启用本机UDP68端口访问DHCP服务器的UDP67端口【如果本机是DHCP服务器则相反】。

kafanfw111

建议svchost.exe设置成 自定义规则

只允许svchost.exe连接IP 192.168.1.1（路由器IP地址）
禁止任何IP 连入svchost.exe

然后把路由器IP添加入信任IP地址

chncwk

反正IP地址达到1000多的都禁止就对了。