firewall 設定問題 - 資安

狀況： 區網中有P2P重度使用者，為了自己上網的權益，
私自設定該死的規則。

設備： CHT 640K/8M, D-link DI-704P
全部的 IP 皆是透過 704P 作 DHCP 來分配。

704P 設定：

特殊應用程式：

網域名稱 觸發器 公用服務埠
MSN 1863 6891-6900,6901,5190

firewall:

功能 名稱 來源 目的 協定
允許 MSN_others *,* *,* *,6891-6900
允許 MSN_voice *,* *,* UDP,5190
允許 MSN_main *,* *,* *,1863
rule 5 允許 Web_access *,* *,* *,1-1024
rule 4 拒絕 Block_all *,* *,* *,*
rule 3 允許 Ping WAN port WAN,* WAN,* ICMP,*
rule 2 拒絕 Default *,* LAN,* *,*
rule 1 允許 Default LAN,* *,* *,*
==========================================================================

施行結果報告：

失敗！

起初雖然大家都很高興，連自己的P2P都不能用了，只能乖乖的上網看網頁，
打ptt、 MSN。

但對方仍通行無阻。

只見它透過 port 22(UDP)，接下來透過某台機器的 port 12013，仍
然將 router 操翻掉。

當然，網路速度可想而知。

=======================================================================
解決方式：

找出來聊天；對方一直說自己網路也一直斷，只能用MSN和網頁，最多看看網路電視；
絕對不說自己有在使用p2p，
(研判是 foxy，port number 沒有連結邏輯，每個port都會被用)

上面的規則全部刪除，大家又回到蠻荒時代，看誰Layer高，誰的頻寬就搶得多。


結論及請教：

1. 防火牆設定有誤！？
2. 別想得太多，拳頭大的是老大；不承認的就會贏的最終的勝利。
3. 仍然不知道對方使用啥軟體來閃過防火牆的設定？

謝謝。

--