PF防火墙规则设置参考

柯林

防火墙规则，有时候令人有点困惑，好在智能墙有例可参，我们就做个文抄公炒下用用。
以下规则摘录自PF防火墙的自动设置，可能包括了客户端与服务器两部分的规则，某些特殊场合使用的规则未必适用于普通上网的客户端用户，所以仅供参考，请结合自己的实情和需要，有选择地加以采用。
以下资料主要适用于XP，win7用户局域网共享规则可能还需参照相关资料适当补充。
system
1、PPTP GRE   IP协议（47号协议）  方向出/入  【VPN所用】
2、PPTP Call Control  TCP协议  本地端口1024-65535   远程端口1723  方向出
3、RDP  TCP协议  本地端口3389   远程端口1024-65535  方向入  【远程桌面登录】
4、Low level settings for outgoing ICMP messages ICMP协议（类型32） 方向出
5、Low level settings for incoming ICMP messages ICMP协议（类型32） 方向入
6、Netbios Sessions (Client)  TCP协议 本地端口1024-65535   远程端口139  方向出【局域网共享他机】
7、Netbios Sessions (Server) TCP协议 本地端口139   远程端口1024-65535  方向入【局域网共享本机】
8、Microsoft DS (Server) TCP协议 本地端口445   远程端口1024-65535  方向入【局域网共享本机】
9、Microsoft DS (Client) TCP协议 本地端口1024-65535   远程端口445  方向出【局域网共享他机】
10、Netbios Datagrams UDP协议 本地端口137-138   远程端口137-138  方向出/入【局域网相互共享】
【如果仅需局域网共享他机，最后一条，本机UDP137-138端口与远程UDP137-138端口相连的规则，方向出即可】
【4、5两条的作用，可能是支持移动手持设备用的，类型32为 Mobile Host Redirect】

c:\windows\system32\svchost.exe
1、DHCP Services UDP协议 本地端口67-68   远程端口67-68  方向出/入
2、Domain Name Resolution UDP协议  本地端口1024-65535   远程端口53  方向出
3、Location Service(UDP) UDP协议  本地端口1024-65535   远程端口135  方向出
4、Location Service(TCP) TCP协议  本地端口1024-65535   远程端口135  方向出
5、UPnP DoS UDP协议 本地端口1900   远程端口1024-65535  方向入
6、UPnP Service UDP协议 本地端口1024-65535   远程端口1900  方向出
7、LLMNR UDP协议 本地端口1024-65535   远程端口5355  方向出
8、Web Services Discovery UDP协议 本地端口1024-65535   远程端口3702  方向出
9、NTP Windows Time UDP协议 本地端口123   远程端口123  方向出
【svchost的规则，开头第一条是允许远程1024-65535的端口连入本机的TCP135端口，这个RPC服务用的规则，正确的写法应该是指明远程地址为本地网络，如果不指明，那就是一个大大的漏洞。不用该条并不影响上网，所以没有录入，有必要的请自行掌握】
【如果要使用自动更新windows的功能，svchost中还应加入允许访问远程TCP80与TCP443端口的规则】

C:\WINDOWS\system32\ftp.exe
1、Ftp Data Connection TCP协议  本地端口1024-65535   远程端口20  方向出
2、Ftp Command Connection TCP协议  本地端口1024-65535   远程端口21  方向出

C:\WINDOWS\system32\lsass.exe
1、LDAP(UDP) UDP协议 本地端口389   远程端口1024-65535  方向入
2、LDAP(UDP) UDP协议 本地端口1024-65535   远程端口389  方向出
3、Dynamic RPC TCP协议 本地端口1024-65535   远程端口1026  方向出
4、Location Service(UDP) UDP协议 本地端口1024-65535   远程端口135  方向出
5、Location Service(TCP) TCP协议 本地端口1024-65535   远程端口135  方向出
6、Kerberos TCP TCP协议 本地端口1024-65535   远程端口88  方向出
7、Kerberos TCP TCP协议 本地端口88   远程端口1024-65535  方向入
8、Kerberos UDP UDP协议 本地端口1024-65535   远程端口88  方向出
9、Kerberos UDP UDP协议 本地端口88   远程端口1024-65535  方向入
10、Domain Name Resolution TCP协议 本地端口1024-65535   远程端口53  方向出

C:\WINDOWS\system32\telnet.exe
1、Telnet Connection TCP协议 本地端口1024-65535   远程端口123  方向出

c:\windows\system32\services.exe
1、Network Time Protocol(Server, UDP) UDP协议 本地端口123   远程端口1024-65535  方向入
2、Network Time Protocol(Client, UDP)  UDP协议 本地端口1024-65535   远程端口123  方向出
3、Network Time Protocol(Server, TCP) TCP协议 本地端口123   远程端口1024-65535  方向出
4、Network Time Protocol(Client, TCP)  TCP协议 本地端口1024-65535   远程端口123  方向出
5、Domain Name Resolution TCP协议 本地端口1024-65535   远程端口53  方向出

c:\windows\explorer.exe
1、Typical Proxy Connection 1 TCP TCP协议 本地端口1024-65535   远程端口3128  方向出
2、Secure HTTP Connection TCP TCP协议 本地端口1024-65535   远程端口443  方向出
3、Alternative HTTP Connection 2 TCP协议 本地端口1024-65535   远程端口8080-8088  方向出
4、Alternative HTTP Connection 1 TCP协议 本地端口1024-65535   远程端口8000-8008  方向出
5、Primary HTTP Connections TCP协议 本地端口1024-65535   远程端口80-88  方向出

C:\Program Files\Outlook Express\msimn.exe
1、Primary HTTP Connections TCP协议 本地端口1024-65535   远程端口80-88  方向出
2、Secure IMAP Connection TCP协议 本地端口1024-65535   远程端口993  方向出
3、IMAP Connection  TCP协议 本地端口1024-65535   远程端口143  方向出
4、Secure POP3 Connection  TCP协议 本地端口1024-65535   远程端口995  方向出
5、POP3 Connection  TCP协议 本地端口1024-65535   远程端口110  方向出
6、Secure SMTP Connection  TCP协议 本地端口1024-65535   远程端口465  方向出
7、SMTP Connection  TCP协议 本地端口1024-65535   远程端口25  方向出

c:\program files\internet explorer\iexplore.exe
1、Ftp Data Connection TCP协议  本地端口1024-65535   远程端口20  方向出
2、Ftp Command ConnectionTCP协议  本地端口1024-65535   远程端口20  方向出
3、Typical Proxy Connection 1TCP协议  本地端口1024-65535   远程端口3128  方向出
4、Secure HTTP Connection TCP协议  本地端口1024-65535   远程端口443  方向出
5、Alternative HTTP Connection 2  TCP协议  本地端口1024-65535   远程端口8080-8088 方向出
6、Alternative HTTP Connection 1  TCP协议  本地端口1024-65535   远程端口8000-8008 方向出
7、Primary HTTP Connections TCP协议 本地端口1024-65535   远程端口80-88  方向出

c:\program files\mozilla firefox\firefox.exe
1、Ftp Data Connection TCP协议  本地端口1024-65535   远程端口20  方向出
2、Ftp Command ConnectionTCP协议  本地端口1024-65535   远程端口20  方向出
3、Typical Proxy Connection 1TCP协议  本地端口1024-65535   远程端口3128  方向出
4、Secure HTTP Connection TCP协议  本地端口1024-65535   远程端口443  方向出
5、Alternative HTTP Connection 2  TCP协议  本地端口1024-65535   远程端口8080-8088 方向出
6、Alternative HTTP Connection 1  TCP协议  本地端口1024-65535   远程端口8000-8008 方向出
7、Primary HTTP Connections TCP协议 本地端口1024-65535   远程端口80-88  方向出

注意，在以上这些规则中，对于只须明确指明客户端与服务端即可的所谓单向连接的防火墙而言，方向只需管出与入即可；对于LNS等需要写上数据双向往来的防火墙而言，除了全局规则之外，上述应用程序规则的方向一定是出站与入站双向都必须有的。对于毛豆用家而言，只须参考前一种情况按上述规则所示的指明单向即可。
对于explorer与services的联网问题，一般认为是没必要访问网络的。但是PCT等防火墙中却也有规定允许其联网，究竟有无必要和起啥作用，本菜鸟也搞不清。个人意见是，在不影响上网的情况下，能不允许就不允许。

以上规则参用到毛豆上时，请注意，对于comodo来说，
方向出时，来源端口是本地端口，目标端口是远程端口
方向入时，来源端口是远程端口，目标端口是本地端口

heroa

默认规则很好的

柯林

回复 2# heroa
ALL APPLICATION允许外连，万能通用，“很好”！[:27:]

捌佰666

默认规则好用!

liaoxin

收藏了，感谢分享！希望楼主整个WIN7的……

angelfish

学习下，比较复杂。。。。

chncwk

PF是Pctool吗？

lixiang1977

不错，收藏备用！

e4500

对我来说太难学了！

柯林

回复 7# chncwk
Privatefirewall