顶级防火墙LooknStop的配置详解(10)

右侧的“碎片偏移”和“碎片标志”分别用于更详细的检测过滤IP头部的偏移位和标志位，可以用于防止特定标志位的碎片数据报攻击，不过对于普通用户来说，我们并不需要特别指定这里的内容，一般选择“全部”即可。

然后到“TCP标识”区，这里其实不是只有一个功能设定的，它还可以变为“ICMP”区或“IGMP”区，视前一个“IP”区的协议类型而定，用户只有选择了TCP协议以后才能进入TCP标识里设置要具体控制的TCP标志位，里面一共有URG、ACK、PSH、RST、SYN和FIN这6种标志位供用户选择，主要针对一些有特殊TCP要求的用户，例如某台机器被用作Internet网关时，如果想阻止局域网内的某台机器通过TCP协议连接某个外部端口，则可把TCP标志位设置为ACK，阻止远程连接传回的应答请求，该连接自然就无法成功建立，最终达到拦截的目的。

现在到“来源”区，许多人觉得LooknStop难以配置，除了“以太网类型”难以理解以外，最容易混淆的就是“来源”区和旁边的“目标”区，要成功配置LooknStop，首先要弄清楚一件事情：在LooknStop的规则设置里，“来源”完全表示本地，“目标”则表示远程，而不管实际的连接请求或者数据包方向是从哪里发出的。所有与本机网络有关的设置如开放本地某个端口、允许或阻止本地网络的某个IP，都是在“来源”里设置的，这里通常是和“目标”区搭配使用的，例如配置开放本机的80端口，那么就不应该去管“目标”区的任何设置，除非你要限制对方IP范围或端口范围那就另当别论。要开放本机80端口，首先应该在“来源”区的“IP:地址”里选择“等于本机在”，“TCP/UDP:端口”里选择“等于”，下面的第一个选项里输入端口80，第二个选项置空即可。如果要开放一段连续的端口，则在第二个选项里填入另一个数字，然后把“全部”改为“在A:B范围内”即可，需要提醒一点，普通的开放本机端口操作在“目标”区里不用填写任何东西！其他更多的选项可以根据这个举一反三。