火绒安全软件

标题: IP协议控制的BUG [打印本页]
作者: fei126    时间: 2025-3-10 16:25
标题: IP协议控制的BUG
在IP协议控制禁用3389端口时。如果服务器上有类似FRP的内网穿透软件开启了3389则火绒无法禁止其对3389端口的连接。
因为frp内网穿透类软件访问IP均是记录的本机127.0.0.1,火绒并未对127.0.0.1:3389端口进行拦截,已在多台服务器进行测试确认有此BUG希望修复

作者: 火绒运营专员    时间: 2025-3-10 16:27
您好,您的系统版本和火绒版本分别是多少,麻烦您将ip协议控制的相关规则导出上传到论坛,我们确认下。
作者: fei126    时间: 2025-3-10 16:32
火绒运营专员 发表于 2025-3-10 16:27
您好,您的系统版本和火绒版本分别是多少,麻烦您将ip协议控制的相关规则导出上传到论坛,我们确认下。 ...

我在win7 win10 win11 winServer08R2 winSerVer2012 WinServer2016上都测试过均有次情况的,且被勒索基本都是内网穿透这一点未能拦截是一个大漏洞 以下是我的规则
{
    "ver":"6.0",
    "tag":"ipproto",
    "data":[
        {
            "rport":"*",
            "recname":"禁用3389",
            "priority":2,
            "laddr":"*",
            "direction":1,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "tmp_field_desc_detail":"本地IP:任意IP 本地端口:3389 远程IP:任意IP 远程端口:任意端口 ",
            "log":true,
            "block":1,
            "icmp_type":0,
            "lport":"3389",
            "raddr":"*",
            "notlog":false,
            "tmp_field_desc_overview":"操作:阻止 方向:入站 协议:TCP/UDP",
            "id":1
        },
        {
            "rport":"*",
            "priority":1,
            "recname":"允许",
            "laddr":"*",
            "direction":0,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "block":0,
            "log":true,
            "tmp_field_desc_detail":"本地IP:任意IP 本地端口:3389 远程IP:192.168.202.0/24 远程端口:任意端口 ",
            "lport":"3389",
            "icmp_type":0,
            "raddr":"192.168.202.0/24",
            "notlog":false,
            "tmp_field_desc_overview":"操作:放行 方向:所有 协议:TCP/UDP",
            "id":2
        }
    ]
}
作者: 火绒运营专员    时间: 2025-3-10 16:37
fei126 发表于 2025-3-10 16:32
我在win7 win10 win11 winServer08R2 winSerVer2012 WinServer2016上都测试过均有次情况的,且被勒索基本 ...

好的,本地确认下您反馈的问题。
作者: 火绒运营专员    时间: 2025-3-10 16:55
您好,您能单独导出一份ip协议控制规则上传至论坛吗?

作者: Dzrjks6606    时间: 2025-3-10 17:06
火绒对于环回都是内置白名单放过的,可能没法解决此问题。因为你这是反向代理。



参考帖子:https://bbs.huorong.cn/thread-79780-1-1.html

作者: fei126    时间: 2025-3-10 17:18
火绒运营专员 发表于 2025-3-10 16:55
您好,您能单独导出一份ip协议控制规则上传至论坛吗?

{
    "ver":"6.0",
    "tag":"ipproto",
    "data":[
        {
            "rport":"*",
            "recname":"禁用3389",
            "priority":2,
            "laddr":"*",
            "direction":1,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "tmp_field_desc_detail":"本地IP:任意IP 本地端口:3389 远程IP:任意IP 远程端口:任意端口 ",
            "log":true,
            "block":1,
            "icmp_type":0,
            "lport":"3389",
            "raddr":"*",
            "notlog":false,
            "tmp_field_desc_overview":"操作:阻止 方向:入站 协议:TCP/UDP",
            "id":1
        },
        {
            "rport":"*",
            "priority":1,
            "recname":"允许",
            "laddr":"*",
            "direction":0,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "block":0,
            "log":true,
            "tmp_field_desc_detail":"本地IP:任意IP 本地端口:3389 远程IP:192.168.202.0/24 远程端口:任意端口 ",
            "lport":"3389",
            "icmp_type":0,
            "raddr":"192.168.202.0/24",
            "notlog":false,
            "tmp_field_desc_overview":"操作:放行 方向:所有 协议:TCP/UDP",
            "id":2
        }
    ]
}
这个就是单独导出的ip控制协议呢
作者: 火绒运营专员    时间: 2025-3-10 17:21
fei126 发表于 2025-3-10 17:18
{
    "ver":"6.0",
    "tag":"ipproto",

您好,导出是.json后缀格式的呢,方便提供下吗
作者: fei126    时间: 2025-3-10 17:22
Dzrjks6606 发表于 2025-3-10 17:06
火绒对于环回都是内置白名单放过的,可能没法解决此问题。因为你这是反向代理。

其实只要是手动设置的比如3389这种危险端口我既然设置禁止了,那么就不管是代理还是远程只要访问都禁止,我觉得这个在逻辑上和是否是回环没关系的,如果IP不设置那么可以默认不禁用127.0.0.1如果我手动加上了就可以禁用,现在是问题是火绒及时设置了也并未禁用
作者: fei126    时间: 2025-3-10 17:27
火绒运营专员 发表于 2025-3-10 17:21
您好,导出是.json后缀格式的呢,方便提供下吗

这个就是.json里面的内容,好像这个不能上传附件所以我就打开复制里面的内容了
你复制我发的那个json串 新建文本文档 后缀名改为.json就可以了。主要是论坛上我看不能上传附件
作者: fei126    时间: 2025-3-10 17:29
已上传json

规则设置.zip

644 Bytes, 下载次数: 3324
作者: 火绒运营专员    时间: 2025-3-10 17:30
fei126 发表于 2025-3-10 17:29
已上传json

收到,我们看下。
作者: fei126    时间: 2025-3-10 17:31
fei126 发表于 2025-3-10 17:27
这个就是.json里面的内容,好像这个不能上传附件所以我就打开复制里面的内容了
你复制我发的那个json串  ...

已经打压缩包上传导出的json了哦
作者: 火绒运营专员    时间: 2025-3-10 17:34
fei126 发表于 2025-3-10 17:31
已经打压缩包上传导出的json了哦

收到,这边看到了哈
作者: 火绒运营专员    时间: 2025-3-12 18:32
您好,由于这类地址经常作为本地运行的服务之间的数据传输,如果不加白可能会造成误拦截,目前设计如此,感谢您的反馈。



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4