请完成以下验证码
查看: 17628|回复: 79
Phant0m`s-v8规则解释与讨论。
头像被屏蔽
　　这个是PhantOm'SV8原版规则包，好像不是2版，不知道，反正我安装后就是这样，我把所有规则列出来并加上了自己的理解，但是好多还是不明白，大家来讨论讨论 。
注：以下“＆”是规则中的等于字段和掩码 之间的分隔符，即“逻辑与”的符号。“≠*～*”即规则中的在某某范围之外。
01。+Multicast Filters
描述：Multicast group addresses: 224.0.0.0/24
规则：拦截，目的地址＝224.0.0.0＆240.0.0.0的数据发出。
解释：地址224＝，掩码240＝，比照结果为1110 ????，即101111，翻译出来IP地址范围为：224.*.*.*～239.*.*.*。此范围的IP地址为组播地址。
02。+Ingress Filters
描述：Internal host Loopback addresses,They should never appear from outside a host.
0，ETH，12，12＝2048：表示为IPV4
1，IP，12，12＝127.0.0.0＆255.0.0.0：IP12位置为来源地址，其值＝127.*.*.*。127开头的地址为环回地址（表示自己），不会出现在互联网上。
2：169.254.*.*是当计算机没有获得IP地址时系统自动分配的IP地址，为私有地址，和192.168这种类似，不会出现在互联网上。
3，172.16.0.0＆255.240.0.0：地址第二段比照后结果为0001 ????，即172.16.*.*～172.31.*.*，这是和192.168类似的B类大网站的局网地址。
4：192.0.2.*是例子IP地址。
5：224.*.*.*～239.*.*.*组播地址
6：240.*.*.*～247.*.*.*组播地址
7：255.0.0.0广播地址，不能作为来源地址。
8：255.255.0.0广播地址，不能作为来源地址。
9：255.255.255.0广播地址，不能作为来源地址。
10：255.255.255.255广播地址，不能作为来源地址。
11：192.168.*.*这是C类局网地址。
12：10.*.*.*这是A类特大网站的计算机用的局网地址。注意某些ADSL路由器会用这类地址作为自己的IP地址。
13：≠192.168.1.*
规则：拦截，来源地址等于以上所列1～12中任意一个地址并且不在13字段地址中的数据进入。
解释：第13字段用于排除本机局网所在范围，需要根据自身情况更改。
03。+Anti-MAC Addr Spoofing
描述：Incoming packets should never contain an MAC addr source identical to the receiving machine's MAC addr.
规则：拦截，来源MAC＝本机MAC的数据进入本机。
解释：不可能有相同的MAC地址存在，因此本机MAC地址决不可能出现在来源地址上。
04。+Anti-IP Addr Spoofing.
描述：IP spoof-based attacks (like 'Land') where the source and destination addresses are the same. ... crashes some TCP/IP implementations.
规则：拦截，来源IP地址等于本机地址的数据进入本机。
解释：本网络内决不能有相同的IP地址存在，不然会造成IP地址冲突，因此本机IP地址决不可能出现在来源地址上。
05。+Anti-IP Addr Spoofing..
描述：External IP
规则：未启用，拦截，来源IP地址＝设定地址的数据进入本机。
解释：需手动更改此地址，用于拦截此地址发过来的一切数据。
06。+IP: fragment out of boundary
描述：Value of the Offset flag combined with the total packet length exceeds the maximum datagram length of 65535 bytes.
1，IP，6，6，2字节≠0＆8191：即0……0＆1 11，结果为：偏移值≠0
2，IP，6，6，1字节＝32＆32：即0000，结果为：MF标志＝1
3，IP，2，2，2字节≠0～1500：即IP数据包总长度大于1500
规则：拦截，总长度大于1500的数据进入本机。
解释：以太网中规定IP数据包总长度最大1500，不明白为啥这里需要同时确定有偏移值与数据有更多分片标志。
07。+IP: First fragment too small
描述：MF flag set to 1, the Offset value is at 0 and total length smaller than 120 bytes (maximum combined header length)
1，IP，6，6，2字节＝：即10 00＆10 11，结果为：偏移等于0？（为何掩码不用16383），MF等于1。
2，IP，2，2，2字节＝0～119：即IP数据包总长度小于120字节。
规则：拦截，总长度小于120字节的数据进入本机。
解释：不明白。
08。+IP: fragment offset too small
描述：A non zero Offset flag with a value that is smaller than 60 bytes (8 actually in the field).
1，IP，7，7，1字节＝0～7
2，IP，6，6，1字节＝31＆0
解释：不明白。
09。+IP: fragment header-exceeded
描述：A packet with a total length smaller than the IP header length (20 bytes).
1，IP，2，2，2字节＝0～19
规则：拦截，IP数据包总长度比IP报头长度还小的数据进入本机。
解释：IPV4协议中IP报头长度（就是数据包结构中那些数据）为20字节，比此还小肯定报头数据不完整或损坏了。
10。+IP: DF & Offset Fragments
描述：- Invalid fragmentation flags/offset -DF flag set to 1 and an Offset value different than 0
规则：拦截，含有碎片标志DF以及碎片偏移≠0的数据进入本机。
解释：DF表示不分片，那在数据中就不应有碎片偏移，因为碎片偏移值用于系统确定组合分片数据时的位置，不分片数据偏移就应等于0。
11。+IP: DF&MF & Fragments
描述：- Invalid fragmentation flags/offset -DF and MF flag set to 1
规则：拦截，含有碎片标志DF和MF的数据进入本机。
解释：DF表示数据不要分片，MF表示数据有更多分片，两个不可能同时存在。
12。+IP: Offset Fragments
描述：- fragmentation offset - Offset value different than 0
规则：拦截，碎片偏移≠0的数据进入本机。
解释：不明白～，可能是拦截所有分片数据进入。
13。+IP: MF Fragments
描述：- fragmentation flags - MF flags in the IP header are set to 1
规则：拦截，含有碎片标志MF的数据进入本机。
解释：不明白～，可能是拦截所有分片数据进入。
14。+Invalid/reserved src.port
描述：TCP & UDP packets should not contain port 0 for a source port.
规则：拦截，TCP/UDP，来源端口＝0的数据进入本机。
解释：来源端口和目的端口不能等于0。
15。+Invalid/reserved dst.port
描述：TCP & UDP packets should not contain port 0 for destination port.
规则：拦截，TCP/UDP，目的端口＝0的数据进入本机。
解释：来源端口和目的端口不能等于0。
16。Domain Name System (DNS)
描述：This rule allows your system to ask your DNS server to translate a name to an IP address. This is neccessary for web browsing and most other services.
1，IP，9，9＝17：表示UDP协议。
2，IP，16，12＝本机IP
3，IP，12，16＝DNS服务器的IP地址：需要自己更改。
4，TCP，2，0＝系统常用端口
5，TCP，0，2＝53
规则：允许，UDP，本机IP:常用←→DNS:53
解释：此规则必须。DNS用于将类似解析成IP地址，因为计算机只能依靠IP地址访问网站，一般来说DNS为电信DNS服务器IP地址或路由器IP地址，这条规则可以使用普通规则代替，除非有3个及以上的DNS服务器IP地址需要填写时才使用RAW模式。
17。DHCP Discover/Request
描述：This rule allows necessary BOOTP traffic that is used in cable modem and DSL setups.
1，IP，9，9＝17
2，IP，12，16＝255.255.255.255
3，TCP，2，0＝68
4，TCP，0，2＝67
5，IP，16，12＝0.0.0.0 或
6，IP，16，12＝本机IP
规则：允许，UDP，本机IP或0.0.0.0:68←→255.255.255.255:67。
解释：自动获取IP地址的可能需要此规则。255为广播地址，当本机想获取IP地址时就广播发出请求信息，网关收到后回应给本机。因在未获取IP地址前本机是没有IP地址的，所以为0.0.0.0，但有IP地址重新获取时是本机IP发出的。
18。DHCP Offer/Ack
描述：This rule allows necessary BOOTP traffic that is used in cable modem and DSL setups.
1，IP，9，9＝17
2，IP，12，16＝网关IP地址
3，TCP，2，0＝68
4，IP，16，12＝255.255.255.255 或
5，IP，16，12＝本机IP
规则：允许，UDP，本机IP或255.255.255.255:68←→网关IP。
解释：这里没有设置67端口，不知道为啥。当网关收到本机请求信息时因本机还没有IP，所以网关是广播发出的，本机收到后才有IP地址，而重新获取时本机是有IP地址的。
19。+Ingress Filters..
描述：0.0.0.0/255.0.0.0 Internal host Loopback addresses,They should never appear from outside a host.
规则：拦截，来源地址＝0.*.*.*的数据进入本机。
解释：IP地址不能是0开头，除非对方没有IP地址。
20。+Master-BLOCK
描述：Everything else but the DNS and BOOTP / DHCP packets are blocked...
规则：未启用，拦截，所有数据进出。
解释：用于手动断开网络。
21。+IP: TCP packet too short
描述：Packets with total length smaller than the IP header length .
1，IP，9，9，1字节＝6：表示TCP。
2，IP，2，2，2字节＝0～24：表示IP数据包总长度小于25。
解释：不明白～
22。+illegal TCP packet
描述：Only older style of UDP broadcast has been seen using IP-addr mask *.*.*.0, AND only UDP broadcasts should be seen using IP-addr mask *.*.*.255&&...
1，IP，9，9＝6：表示TCP
2，IP，12，12＝0.0.0.0＆0.0.0.255，或，：来源地址＝*.*.*.0或
3，IP，12，12＝0.0.0.255＆0.0.0.255：来源地址＝*.*.*.255
规则：拦截，TCP，来源地址＝*.*.*.0或*.*.*.255的数据进入本机。
解释：IP地址末尾段不能为0，这种地址决不可能出现，255为广播，一般只在目的地址中出现。
23。+ECE/CWR
描述：This is part of the reserved bits,additional TCP Flags (aka Control bits)
1，IP，9，9＝6：表示TCP。
2，TCP，13，13，1字节＝192＆192
描述：This is part of the reserved bits
2，TCP，13，13＝128＆128
描述：This is part of the reserved bits
3，TCP，13，13＝64＆64
26。+NULL: Stealth Scan
描述：No Flags - illegal packet, Scanning technology
规则：拦截，TCP，没有标志只有掩码的数据进入本机。
解释：都是非法标志的数据包。
27。+FIN: Stealth Scan
描述：illegal flag usage, Scanning technology
规则：拦截，TCP，只有FIN标志以及所有掩码的数据进入本机。
28。+XMAS: Stealth Scan
描述：illegal flag combination, Scanning technology
规则：拦截，TCP，有URG、PSH、FIN标志以及所有掩码的数据进入本机。
29。+Full-Xmas: Stealth Scan
描述：illegal flag combination, Scanning technology
规则：拦截，TCP，含有全部标志以及掩码的数据进入本机。
30。+FIN&29
描述：FIN & 29 Variants / illegal flag combinations
3，TCP，13，13＝1＆1
4，TCP，13，13≠17＆63
5，TCP，13，13≠25＆63
31。+SYN-PSH&1
描述：SYN+PSH & 1 Variants / illegal flag combination
规则：拦截，TCP，含有PSH、SYN标志以及除了URG所有掩码的数据进入本机。
32。+SYN-RST&3
描述：SYN+RST & 3 Variants / illegal flag combination
规则：拦截，TCP，含有 RST、SYN标志以及ACK、RST、SYN、FIN掩码的数据进入。
33。+SYN-URG&1
描述：SYN+URG & 1 Variants / illegal flag combination
规则：拦截，TCP，含有URG、SYN以及所有掩码除了ACK的数据进入。
34。+TCP Reserved Flags
描述：reserved bits of TCP Flags.CWR & ECE Flags included.
2，TCP，12，12，2字节≠0＆4032：即0……0＆00，意思是保留位≠0。
规则：拦截，TCP，保留位≠0的数据进入。
解释：保留位不应被使用，应等于0。奇怪的是我访问淘宝网主页竟然发现有这类数据～～～。
35。+ACK value, No ACK flag set
描述：The ACK value set without an ACK flag set
2，TCP，13，13，1字节＝0＆20：即0，意思是ACK、RST标志＝0。
3，TCP，8，8，4字节≠0：确认序列号位置≠0
规则：拦截，TCP，无ACK、RST标志却有ACK值的数据进入本机。
解释：RST用于在一个连接请求发给对方时，对方如果没有开放此端口，就发送一个含有RST标志的数据出去。是不是RST（重置标志）为1时，确认序列号位也是有值的？。
36。+Acknowledgment number
描述：The acknowledgment number should never be set to 0 when the ACK flag is set
2，TCP，13，13，1字节＝16＆63：即1111，意思是第5位为1，即ACK＝1。
3，TCP，8，8，4字节＝0：即确认序列号位置为0
规则：拦截，TCP，有ACK标志却无ACK值的数据进入本机。
解释：当ACK为1时表示确认序列号位有效，则该位置应有确认序列号值，而不应等于0。
37。+Messenger SPAM
描述：Typical Messenger SPAM ports
规则：UDP ←
解释：好像是WINDOWS的MESSENGER消息服务需要，不清楚，反倒是XP中的MESSENGER服务常被广告商利用来到处散播垃圾广告。
38。File and Printer Sharing.
规则：未启用，TCP，本机:139←→局网:
解释：其它计算机访问自己的文件共享需要。139和445一样，提供局网共享最基本的文件访问功能，UDP的137、138只是提供允许使用计算机名来访问共享，实际复制文件时必须要139或445端口，而只要单独开放139则可直接使用IP地址访问共享并复制文件或打印。
39。Remote Desktop Connection
描述：Remote Desktop Connection (Terminal Services Client)
规则：当远程桌面程序启动时允许，TCP，本机:3389←→:常用
解释：这条规则好像是错误的。本机如果想允许别人利用远程桌面访问自己的时候开启3389端口，但本机并不需要启用远程桌面程序，只有本机访问其它计算机的远程桌面以控制其它人的计算机时才需要启动远程桌面程序。另外，远程桌面也并不一定使用的是常用端口。
40。Identification (ident) Service
规则：未启用，允许，TCP，本机:113←→:
解释：身份验证服务。好像是安装了网络服务组件中的IAS（Internet Authentication Service）需要。
41。[p2p]-BLOCKS
描述：+uTorrent / BitTorrent | Gnutella1
1，IP，9，9，1字节≠6＆18：即0，结果为：2～15
2，TCP，2，2＝
3，TCP，2，2＝6346
解释：拦截P2P程序。应该是当BT下载完毕后启用该规则用于拦截数据并且减少日志用的，只是不明白为什么IP值不直接用等于TCP或UDP来代替。
42。+TCP: Block Incoming connections
描述：Attacks, Scans, Invalids, Malformed, Traffic [unsolicited packets]
规则：拦截，TCP传入连接，带SYN标志。
解释：当本机开启一个服务类型的功能时（比如允许远程桌面、WEB网站服务、BT等），即，允许其它计算机主动访问本机，其它计算机发出的数据带SYN标志，本机收到后会与该计算机连接并收发数据。本规则作用在于拦截未允许所有从外面发起的主动连接请求，也因此，需要允许的主动连接应放在本规则之上。
43。TCP : Auth. communications
描述：Allows programs to communicate to remote servers.
规则：允许，TCP，本机:常用←→
解释：这条规则允许的范围有点宽啊～～～，不过如果没有其它允许的TCP规则，则此规则必须，除非连看网页、QQ等这些常用的都不用。
44。NetBIOS_Broadcasts
规则：未启用，允许，UDP，本机IP:137、138→192.168.1.255:137、138；本机MAC→FF
解释：允许本机广播的作用是在局网共享中，当需要别人访问自己共享时，其它计算机收到本机的广播才可能在局网共享中看见自己的计算机。由于其下方一条规则会拦截137\138的数据，所以想共享的必须允许这些规则。
45。NetBIOS_Broadcasts.
规则：未启用，允许，UDP，192.168.1.*:137、138→192.168.1.255:137、138；全部MAC地址→FF
解释：局网共享需要开启并允许。局网共享中本机想访问局网共享时需要137、138来发现哪些计算机开了共享并解析其计算机名。
46。File and Printer Sharing
规则：未启用，允许，UDP，本机:137、138←→192.168.1.*:137、138
解释：局网共享需要开启并允许。
47。+NetBIOS
规则：拦截，UDP，137、138←→
解释：作用是不允许共享。这条规则的作用可能是用于警告非法的共享请求。
48。UPnP-Device Host
规则：未启用，UDP，本机:1900←→:常用
解释：如果允许本机使用UPNP功能需要此规则，比如在BT软件中开启了UPNP。
49。Network Time Protocol
描述：Network Time Protocol (NTP) - Allows Windows Time Synchronization.
规则：允许，UDP，本机:123←→时间服务器IP地址:123
解释：如果启用了时间选项中的自动同步时间（自动校正时间）则需要此规则，并根据自己的情况更改其中的时间服务器IP地址。
50。+Stop UDP broadcasts.
描述：Stops UDP broadcasts to *.*.*.255.
规则：拦截，UDP，来源地址＝*.*.*.255的数据进入本机。
解释：来源地址不能是广播地址。
51。UDP : Auth. Out-Only
规则：未启用，允许，UDP，本机→
解释：可能只是临时使用，很奇怪为什么只允许发出～～。
52。UDP : Auth. communications
描述：Allows programs to communicate to remote servers.
规则：拦截，UDP，本机:常用←→
解释：本规则拦截了由本机常用端口发出的所有数据。
53。+WinFreeze-based Attacks
描述：Only a Router meant to handle redirect messages...
规则：拦截，ICMP类型5的数据进入本机。
解释：ICMP5为重定向。
54。+Multicast MBONE broadcasts
规则：拦截，ICMP类型10代码10，←→244.0.0.2。
解释：ICMP10,10为路由选择，在有多个路由器时本机可使用此数据进行路由选择。244.0.0.2地址为子网内（即本局网内）所有路由器，可以看成是局网内所有路由器的广播地址。
55。+Stop ICMP broadcasts.
描述：Stops ICMP broadcasts to *.*.*.255.
规则：拦截，ICMP，来源地址＝*.*.*.255的数据进入本机。
解释：来源地址不能是广播地址。
56。ICMP : Ping other (Req)
描述：[Out] - PING Requests
规则：允许，ICMP类型8，本机发出。
解释：PING一个地址时本机发出一个ICMP类型8的数据，对方收到后回应一个ICMP类型0的数据，本机收到后即知道目标在线，同时根据间隔时间也可知道与目标之间的连接建康状况。
57。ICMP : Ping other (Rsp)
描述：[In] - PING Replies
规则：允许，ICMP类型0，进入本机。
解释：只有同时允许此两条规则才可完成PING命令。如果想让对方PING自己则是允许类型8进入，类型0发出，由此可知，即使PING显示不能连接也并不代表对方就不在线。
58。ICMP : Tracert
描述：[In] - Time Exceeded
规则：当UTORRENT.EXE启动时允许，ICMP类型11代码0的数据进入本机。
解释：ICMP11,0为超时，传送超时。UTORRENT.EXE是一个小巧的BT程序。姑计使用该软件可能要用到ICMP协议，如果没有使用可全部删除以下规则。
59。ICMP : Comm.Administratively Prohibited
描述：[In] - Communication Administratively Prohibited
规则：当UTORRENT.EXE启动时允许，ICMP类型3代码13的数据进入本机。
解释：ICMP3,13为目标不可达之管理信息被禁用。
60。ICMP : Net unreachable
描述：[In] - Net unreachable
规则：当UTORRENT.EXE启动时允许，ICMP类型3代码0的数据进入本机。
解释：ICMP3,0为目标不可达之网络不可达。即某地址无法访问。
61。ICMP : Port unreachable
描述：[In/Out] - Port unreachable
规则：当UTORRENT.EXE启动时允许，ICMP类型3代码3，发出进入。
解释：ICMP3,3为目标不可达之端口不可达。即某个端口无法访问。
62。ICMP : Host unreachable
描述：[In] - Host unreachable
规则：当UTORRENT.EXE启动时允许，ICMP类型3代码1的数据进入本机。
解释：ICMP3,1为目标不可达之主机不可达。即某计算机无法访问。
63。ICMP : Frag reassembly time exceeded
描述：[Out] - fragmentation reassembly time exceeded
规则：当UTORRENT.EXE启动时允许，ICMP类型11代码1的数据发出。
解释：ICMP11,1为超时之碎片重组超时。
64。ICMP : Frag needed and DF set
描述：[In/Out] - fragmentation needed and DF set
规则：当UTORRENT.EXE启动时允许，ICMP类型3代码4，发出进入。
解释：ICMP3,4为目标不可达之数据需要分片。
65。IGMP: Membership Query
1，IP，9，9，1字节＝2
2，IP，16，12＝224.0.0.0或224.0.0.2
3，TCP，0，0，1字节＝17
4，IP，12，16＝192.168.1.1
5，IP，12，16＝本机IP 或
解释：这里应该设置有误，4字段设置成“或”。
66。IGMP: Membership Report
描述：IGMP V1/V2 Membership Report
2，IP，6，6，1字节＝2
3，ETH，6，6＝本机MAC
4，ETH，0，0＝01.00.5E.7F.FF.FA
5，IP，12，12＝本机IP
6，IP，8，8＝本机IP
7，IP，16，16＝239.255.255.250
8，IP，24，24＝
9，TCP，0，0，1字节＝22或23
67。WiFi WPA: Auth.
描述：Allows WiFi Wireless Protected Access (WPA) - Disable if WPA feature isn't enabled on the Router.
规则：拦截，EAPoL-802.1x协议，本机MAC←→
解释：EAPOL为无线网络协议，如果使用无线网络，则启用并允许。
68。ARP : Authorize all ARP packets
描述：This rule allows your system to know how to reach others.
规则：允许，ARP协议，进出。
解释：因为上面没有规则允许与网关的通迅，所以必须启用并允许。除非有单独的规则允许与ARP协议与网关通迅。
69。Block : All other packets
描述：[DO NOT EDIT, DISABLE OR DELETE RULE]
规则：拦截，所有协议，进出。
解释：本规则必须。前面的规则没有允许放行的数据全部由本规则拦截。
[ 本帖最后由 airayuu 于
23:05 编辑 ]
我最多才能加5分。。555555
&06。+IP: fragment out of boundary.&、&07。+IP: fragment out of boundary&及&08。+IP: fragment offset too small&相信有參考CHX-I的SPI。
· Invalid fragmentation flags/offset - this event is triggered when either the DF and MF flags in the IP header are set to 1 OR if a header contains the DF flag set to 1 and an Offset value different than 0.  
· First fragment too small - event triggered when a packet with the MF flag set to 1, the Offset value is at 0 and has total length smaller than 120 bytes. (maximum combined header length)  
· IP fragment out of boundary - event occurs if the value of the Offset flag combined with the total packet length exceeds the maximum datagram length of 65535 bytes.  
· IP fragment offset too small - a non zero Offset flag with a value that is smaller than 60 bytes.  
个人认为其中&08。+IP: fragment offset too small&规则根本在设置上错误。
K兄很强大，瓦哈哈
头像被屏蔽
K大如果清楚的话能不能解释一下为何07＃中带偏移的IP数据报长度不能小于120字节？
原帖由 airayuu 于
21:00 发表
K大如果清楚的话能不能解释一下为何07＃中带偏移的IP数据报长度不能小于120字节？
抱歉airayuu兄，我在网上找了很久也找不到为什麽要如此设置，也想不通为什麽如此。
头像被屏蔽
回复 4楼 ktango 的帖子
我觉的21＃规则好像也有问题，如果是一个TCP数据没有分片，那应该至少20字节的IP包头＋20字节的TCP包头，那这里是否应该设置成0～39？如果说数据有分片，那应该是20字节IP包头＋最小4字节的数据，那这是是否应该设置成0～23？
非常感谢了
回复 5楼 airayuu 的帖子
谢谢airayuu 兄的提醒，这条规则是有问题。
IP=9：表示协议；1字节＝6：表示TCP。
P=2：2，2字节＝0～24：表示IP数据包总长度小于25。
如果指定是TCP包头最少应该有40个字节。
规则应该修改为
P=2：总长度；2字节＝0～24：表示IP数据包总长度小于25。
这样才能正确表示IP的总长度不能少於24字节，因为ICMP有四个字节。
06。+IP: fragment out of boundary
描述：Value of the Offset flag combined with the total packet length exceeds the maximum datagram length of 65535 bytes.
1，IP，6，6，2字节≠0＆8191：即0……0＆1 11，结果为：偏移值≠0
2，IP，6，6，1字节＝32＆32：即0000，结果为：MF标志＝1
3，IP，2，2，2字节≠0～1500：即IP数据包总长度大于1500
规则：拦截，总长度大于1500的数据进入本机。
解释：以太网中规定IP数据包总长度最大1500，不明白为啥这里需要同时确定有偏移值与数据有更多分片标志。
规则这样设置就能确保数据包重组後不会超过65535？是否将规设置为总包头长度最大为1500是否更佳？
头像被屏蔽
回复 8楼 ktango 的帖子
我觉的这条规则中关于分片的两个字段有点多余，在以太网中规定了最大只能是1500字节，那何必需要确定是否数据被分片？一个没有被分片的大于1500字节的数据难道就能传入到本机里面？
另外，K兄，如果在局网间互相传输共享数据时是否也受1500大小的限制呢？
[ 本帖最后由 airayuu 于
12:41 编辑 ]
回复 9楼 airayuu 的帖子
1)如果&06。+IP: fragment out of boundary&这条规则不能促确保IPv4数据包重组後不会超过65535，就如airayuu兄所说一样，为什麽不将它变成将它限制为所有1500字节不能传入的规则。
2)没有局城网的经验但以大网的MTU是1500，所以局域网间互相传输共享数据时应该不能太於1500。
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,