COMODO·局域网规则·分享一下下下下下! (男女都适用)(11月23日)

这些设置主要旨在阻止局域网内的广播风暴(如最常见的UDP广播)..
Global Rules（全局规则）简单设置如下：
（注：这些规则一定要放在全局的最上层才有效，，最好在建立后删除全局中的其它所有规则）
（假设你的网关是192.168.1.1；掩码：255.255.255.0）
block 1:
Action：Block
Protocol：IP
Direction：in
Source Address：any
Destination Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) IP Details：any
block 1（DHCP用户）:
Action：Block
Protocol：IP
Direction：in
Source Address：选择Exclude(.....)，Single IP:192.168.1.1
Destination Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) IP Details：any
block 2:
Action：Block
Protocol：ICMP
Direction：in
Source Address：any （DHCP用户：192.168.1.2-192.168.1.254）
Destination Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any)
ICMP Details：any
block 3:
Action：Block
Protocol：ICMP
Direction：out
Source Address：any
Destination Address：IP Range：192.168.1.1-192.168.1.255（DHCP用户：192.168.1.2-192.168.1.255）
ICMP Details：any
block 4:
Action：Block
Protocol：IP
Direction：out
Source Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any)
Destination Address：IP Range:(192.168.1.1-192.168.1.255)（DHCP用户：192.168.1.2-192.168.1.255）
IP Details：any
block 5:(。

)
Action：Block
Protocol：IP
Direction：out
Source Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) Destination Address：255.255.255.255
IP Details:：any
block 6:
Action：Block
Protocol：IP
Direction：out
Source Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) Destination Address：IP Range：224.0.0.0-239.255.255.255
IP Details:：any
block7:
Action：Block
Protocol：IP
Direction：out
Source Address：zone：any(或自己的网卡、MAC address。

不是特殊网络最好用any)
Destination Address：IP Range：240.0.0.0-254.255.255.255
IP Details:：any
另外，还可以在“my blocked network zones”里添加“192.168.1.1-192.168.1.255”
-------------------------------------------------------------------
注：使用DHCP自动获取IP的用户在上述规则中不要block网关。

另外使用Upnp服务的也不要block网关、不要阻止路由ICMP传入。

（自行修改。

）
局域网需要共享访问的话须在最上层添加如下规则：
1：只访问对方：
allow udp/tcp out from 自己 to 对方........
2：允许对方访问自己：
allow udp/tcp in from 对方 to 自己........
注：共享时，还要确认system中没有block对方、my blocked network zones里不能有block对方。

QQ局域网内相互传输时，还需要在QQ应用程序规则里同时添加上述2条(或其中1条)。

（否则QQ 将自动被迫更改TCP连接，逼走internet网路）
（下续2楼：P2P）
原帖由370341844于 2008-10-6 20:54 发表
会不会导致没办法局域网联机玩游戏？
原帖由joshua于 2008-10-14 13:45 发表
再请教抓抓兄下
' 使用DHCP自动获取IP的用户在上述规则中不要block网关'
貌似一开始没小心就用了BLOCK 3 结果网络被禁了 - - 后来删掉BLOCK 3就没事了
那如果用不了BLOCK 3了需不需要其他的规则替代. ...
IP地址 202.203.204.190
掩码 255.255.255.128
默认网关202.203,204,129
那就把范围改成：202.203.204.130-202.203.204.254
原帖由joshua于 2008-10-14 12:11 发表
请教下抓抓兄我是照你说的改的有两个小白问题
EMULE 是否也与迅雷设置类似？ PPLIVE一类的就是不用“ICMP”那一项，其它和迅雷的设置相同？Destination Address 那里选ZONE还是MAC地址搞不清楚。

我直接填的MAC地址应该可以吧？
.........
好像这个贴子到现还有人在关注啊，呵呵。

既然这样，那我就再剪修剪修一下。

p2p...
首先，发表一下个人对p2p的一些看法：
p2p类装载方式本来都是一样的，，只是有些软件加了一些强制手段，，比如“电驴”“电骡”“电猪”“电狗”（按照国人一惯的“创新”思维，以后很可能会有这些软件出现,,,,）之类所谓的“高ID”的东西，
这个“高ID”其实就是一种强制用户分享资源的手段（允许未知入站），，当你设好了“高ID”之后，你会发现你违背了防火墙的宗旨，防火墙最根本的一条就是阻止未知入站，，成功设置“高ID”正好破坏了这个根本。

而迅雷不同，这里不得不提到迅雷，个人认为这些p2p下载软件中，迅雷做得最好（别误会，不是给迅雷作广告哈），无论是它资源下载的设计方式还是在搜索运用上，迅雷都要远远超过“电X”之类，，，它有它自己的资源共享方式（有
些人说它流氓，在这里给迅雷正名一下，其实它的目的就是希望用户达到最好的下载环境（有点拍马屁的感觉？），，尽管它的行为表面看上去有点猥琐）。

然后，其实还有。

，省略，，，也没有什么非讲不可的东西。

下面是我对几个p2p软件的设置方式，共享一下，看看大家的都有什么不同：（为了更详细一些，首先对端口、网络划分添加设置一下）：
（新手提示：你的MAC地址肯定和我的不同，IP可能也不同，子网划分可能也不同；按照上面的几组添加，根据自己的网络修改一下就好。

）
(上图中的这个8080端口重复了，可以省去)
我的P2P规则（迅雷、pps、pplive、kugou、QQLive、QQ音乐...）：
----------------------------------------------------
(要按顺序，允许的在前，阻止的在最后)
1:允许 IP 出站；来源：any；目的：Loopback Zone；any。

2:允许 icmp 出站；来源地址为any；icmp选择 echo request。

：
3:允许 udp 出站；来源地址为any，目的地址为“open_dns”；来源端口为“dynamic port allocation”，目的端口为“53”。

4:允许 tcp/udp 出站；来源地址为any，目的地址为“非local_area_range”（即："not in [local_area_range]"）；来源端口和目的端口都设为“dynamic port allocation”。

5:允许 tcp/udp 出站；来源地址为any，目的地址为“非local_area_range”（即："not in [local_area_range]"）；来源端口为“dynamic port allocation”，目的端口为“p2p other ports”。

6:阻止所有icmp进出。

7:阻止所有IP进出。

----------------------------------------------------
即：
看一看下载速度是否正常（电信ADSL/2M/局域网）：
基本维持在200KB/以上应该算很正常了。

注：第2行解析设置中的“来源端口”最好设置为“dynamic port allocation”，即1024-65535；如果设为49152-65535的话，有时候会阻止迅雷的一部分资源
连接解析,如图：
（如果嫌设置p2p规则麻烦的话，那就用“Outgoing Only”吧，，这样更省事，，其实也用不着老是为下载时的安全隐患担心，整天挖空心思想着怎么去限制端口、牺牲功能来换取些许的安全感，也不是个可靠的办法，毕竟那样也解决不了多少安全隐患上的问题，，举个最简单的例子：80端口基本上算是上网必须的端口吧，但是现在很多入侵都可以成功地利用80端口完成，，难道你也要关闭80端口？？那跟直接拔掉网线有多大区别？！。

(有些朋友需要这样安慰
一下。

)）
另外，以上的设置方式不适合放在“电X”里，，，我这里没有“电X”的设置，，一直没正式用过“电X”，，因为与迅雷相比较，我一直没找到用“电X”的理由（抛开安全不说，，就算“电X”获得“高ID”，它的下载速度无论是理论还是实际上，也不会超过迅雷）。

最后要讲的是，（1楼）那几条局域网设置其实是最基本的，，也可以用其它更简单的方式实现。

它的原则是不信任局域网中的其它所有主机（就目前复杂的局域网网络环境来看，个人认为最好不要搞信任，更重要的是自律，就是说自己也不要干扰局域网；至少要阻止UDP在局域网中疯狂互发吧，，除非需要共享），说它是个规则，倒不如说它是个主张。

另外，在玩局域网联机游戏时就需要针对性地添加共享设置才行。

（下续3楼：ARP）
（续1楼）：移动用户在使用时只要根据所处的不同的网络环境更改一下block3就可以了。

比
如你现在身处的C类网网关是192.168.88.1，掩码是255.255.255.0，那么你只要把block3中的IP Range改为：192.168.88.1-192.168.88.255就行了。

---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
--------------
ARP
睡觉了，明天再搞吧。

补充：
关于广播地址255.255.255.255，这个应该是作为目的地址而非源地址，请楼主更正
再补充一下，楼主这样设置并不能阻止arp广播包，arp发送的是arp数据包，协议是arp
原帖由Jelly于 2008-4-20 22:46 发表
再补充一下，楼主这样设置并不能阻止arp广播包，arp发送的是arp数据包，协议是arp
首先，ARP欺骗最初是靠广播IP地址请求并收到对方的应答后实现的，，，限制了最初的广播请求等于限制了它的源头。

ARP欺骗发作时，会广播大量的UDP包，这才是真正影响局域网网络质量的因素。

原帖由Jelly于 2008-4-20 22:41 发表
关于广播地址255.255.255.255，这个应该是作为目的地址而非源地址，请楼主更正
谢谢，已更正。