IP协议控制的BUG

fei126

在IP协议控制禁用3389端口时。如果服务器上有类似FRP的内网穿透软件开启了3389则火绒无法禁止其对3389端口的连接。
因为frp内网穿透类软件访问IP均是记录的本机127.0.0.1，火绒并未对127.0.0.1:3389端口进行拦截，已在多台服务器进行测试确认有此BUG希望修复

火绒运营专员

您好，您的系统版本和火绒版本分别是多少，麻烦您将ip协议控制的相关规则导出上传到论坛，我们确认下。

fei126

火绒运营专员 发表于 2025-3-10 16:27
您好，您的系统版本和火绒版本分别是多少，麻烦您将ip协议控制的相关规则导出上传到论坛，我们确认下。 ...

我在win7 win10 win11 winServer08R2 winSerVer2012 WinServer2016上都测试过均有次情况的，且被勒索基本都是内网穿透这一点未能拦截是一个大漏洞 以下是我的规则
{
    "ver":"6.0",
    "tag":"ipproto",
    "data":[
        {
            "rport":"*",
            "recname":"禁用3389",
            "priority":2,
            "laddr":"*",
            "direction":1,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "tmp_field_desc_detail":"本地IP：任意IP 本地端口：3389 远程IP：任意IP 远程端口：任意端口 ",
            "log":true,
            "block":1,
            "icmp_type":0,
            "lport":"3389",
            "raddr":"*",
            "notlog":false,
            "tmp_field_desc_overview":"操作：阻止 方向：入站 协议：TCP/UDP",
            "id":1
        },
        {
            "rport":"*",
            "priority":1,
            "recname":"允许",
            "laddr":"*",
            "direction":0,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "block":0,
            "log":true,
            "tmp_field_desc_detail":"本地IP：任意IP 本地端口：3389 远程IP：192.168.202.0/24 远程端口：任意端口 ",
            "lport":"3389",
            "icmp_type":0,
            "raddr":"192.168.202.0/24",
            "notlog":false,
            "tmp_field_desc_overview":"操作：放行 方向：所有 协议：TCP/UDP",
            "id":2
        }
    ]
}

火绒运营专员

fei126 发表于 2025-3-10 16:32
我在win7 win10 win11 winServer08R2 winSerVer2012 WinServer2016上都测试过均有次情况的，且被勒索基本 ...

好的，本地确认下您反馈的问题。

火绒运营专员

您好，您能单独导出一份ip协议控制规则上传至论坛吗？

Dzrjks6606

火绒对于环回都是内置白名单放过的，可能没法解决此问题。因为你这是反向代理。



参考帖子：https://bbs.huorong.cn/thread-79780-1-1.html

fei126

火绒运营专员 发表于 2025-3-10 16:55
您好，您能单独导出一份ip协议控制规则上传至论坛吗？

{
    "ver":"6.0",
    "tag":"ipproto",
    "data":[
        {
            "rport":"*",
            "recname":"禁用3389",
            "priority":2,
            "laddr":"*",
            "direction":1,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "tmp_field_desc_detail":"本地IP：任意IP 本地端口：3389 远程IP：任意IP 远程端口：任意端口 ",
            "log":true,
            "block":1,
            "icmp_type":0,
            "lport":"3389",
            "raddr":"*",
            "notlog":false,
            "tmp_field_desc_overview":"操作：阻止 方向：入站 协议：TCP/UDP",
            "id":1
        },
        {
            "rport":"*",
            "priority":1,
            "recname":"允许",
            "laddr":"*",
            "direction":0,
            "tmp_field_sel":true,
            "enabled":true,
            "protocol":260,
            "procname":"*",
            "block":0,
            "log":true,
            "tmp_field_desc_detail":"本地IP：任意IP 本地端口：3389 远程IP：192.168.202.0/24 远程端口：任意端口 ",
            "lport":"3389",
            "icmp_type":0,
            "raddr":"192.168.202.0/24",
            "notlog":false,
            "tmp_field_desc_overview":"操作：放行 方向：所有 协议：TCP/UDP",
            "id":2
        }
    ]
}
这个就是单独导出的ip控制协议呢

火绒运营专员

fei126 发表于 2025-3-10 17:18
{
    "ver":"6.0",
    "tag":"ipproto",

您好，导出是.json后缀格式的呢，方便提供下吗

fei126

Dzrjks6606 发表于 2025-3-10 17:06
火绒对于环回都是内置白名单放过的，可能没法解决此问题。因为你这是反向代理。

其实只要是手动设置的比如3389这种危险端口我既然设置禁止了，那么就不管是代理还是远程只要访问都禁止，我觉得这个在逻辑上和是否是回环没关系的，如果IP不设置那么可以默认不禁用127.0.0.1如果我手动加上了就可以禁用，现在是问题是火绒及时设置了也并未禁用

fei126

火绒运营专员 发表于 2025-3-10 17:21
您好，导出是.json后缀格式的呢，方便提供下吗

这个就是.json里面的内容，好像这个不能上传附件所以我就打开复制里面的内容了
你复制我发的那个json串 新建文本文档 后缀名改为.json就可以了。主要是论坛上我看不能上传附件

fei126

已上传json

火绒运营专员

fei126 发表于 2025-3-10 17:29
已上传json

收到，我们看下。

fei126

fei126 发表于 2025-3-10 17:27
这个就是.json里面的内容，好像这个不能上传附件所以我就打开复制里面的内容了
你复制我发的那个json串  ...

已经打压缩包上传导出的json了哦

火绒运营专员

fei126 发表于 2025-3-10 17:31
已经打压缩包上传导出的json了哦

收到，这边看到了哈

火绒运营专员

您好，由于这类地址经常作为本地运行的服务之间的数据传输，如果不加白可能会造成误拦截，目前设计如此，感谢您的反馈。