这些设置主要旨在阻止局域网内的广播风暴(如最常见的UDP广播)..Global Rules（全局规则）简单设置如下：（注：这些规则一定要放在全局的最上层才有效，，最好在建立后删除全局中的其它所有规则）（假设你的网关是192.168.1.1；掩码：255.255.255.0）block 1:Action：BlockProtocol：IPDirection：inSource Address：anyDestination Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) IP Details：anyblock 1（DHCP用户）:Action：BlockProtocol：IPDirection：inSource Address：选择Exclude(.....)，Single IP:192.168.1.1Destination Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) IP Details：anyblock 2:Action：BlockProtocol：ICMPDirection：inSource Address：any （DHCP用户：192.168.1.2-192.168.1.254）Destination Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any)ICMP Details：anyblock 3:Action：BlockProtocol：ICMPDirection：outSource Address：anyDestination Address：IP Range：192.168.1.1-192.168.1.255（DHCP用户：192.168.1.2-192.168.1.255）ICMP Details：anyblock 4:Action：BlockProtocol：IPDirection：outSource Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any)Destination Address：IP Range:(192.168.1.1-192.168.1.255)（DHCP用户：192.168.1.2-192.168.1.255）IP Details：anyblock 5:(。

)Action：BlockProtocol：IPDirection：outSource Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) Destination Address：255.255.255.255IP Details:：anyblock 6:Action：BlockProtocol：IPDirection：outSource Address：any(或自己的网卡、MAC address。

不是特殊网络最好用any) Destination Address：IP Range：224.0.0.0-239.255.255.255IP Details:：anyblock7:Action：BlockProtocol：IPDirection：outSource Address：zone：any(或自己的网卡、MAC address。

不是特殊网络最好用any)Destination Address：IP Range：240.0.0.0-254.255.255.255IP Details:：any另外，还可以在“my blocked network zones”里添加“192.168.1.1-192.168.1.255”-------------------------------------------------------------------注：使用DHCP自动获取IP的用户在上述规则中不要block网关。

另外使用Upnp服务的也不要block网关、不要阻止路由ICMP传入。

（自行修改。

）局域网需要共享访问的话须在最上层添加如下规则：1：只访问对方：allow udp/tcp out from 自己 to 对方........2：允许对方访问自己：allow udp/tcp in from 对方 to 自己........注：共享时，还要确认system中没有block对方、my blocked network zones里不能有block对方。

QQ局域网内相互传输时，还需要在QQ应用程序规则里同时添加上述2条(或其中1条)。

（否则QQ 将自动被迫更改TCP连接，逼走internet网路）（下续2楼：P2P）原帖由370341844于 2008-10-6 20:54 发表会不会导致没办法局域网联机玩游戏？原帖由joshua于 2008-10-14 13:45 发表再请教抓抓兄下' 使用DHCP自动获取IP的用户在上述规则中不要block网关'貌似一开始没小心就用了BLOCK 3 结果网络被禁了 - - 后来删掉BLOCK 3就没事了那如果用不了BLOCK 3了需不需要其他的规则替代. ...IP地址 202.203.204.190掩码 255.255.255.128默认网关202.203,204,129那就把范围改成：202.203.204.130-202.203.204.254原帖由joshua于 2008-10-14 12:11 发表请教下抓抓兄我是照你说的改的有两个小白问题EMULE 是否也与迅雷设置类似？ PPLIVE一类的就是不用“ICMP”那一项，其它和迅雷的设置相同？Destination Address 那里选ZONE还是MAC地址搞不清楚。

我直接填的MAC地址应该可以吧？.........好像这个贴子到现还有人在关注啊，呵呵。

既然这样，那我就再剪修剪修一下。

p2p...首先，发表一下个人对p2p的一些看法：p2p类装载方式本来都是一样的，，只是有些软件加了一些强制手段，，比如“电驴”“电骡”“电猪”“电狗”（按照国人一惯的“创新”思维，以后很可能会有这些软件出现,,,,）之类所谓的“高ID”的东西，这个“高ID”其实就是一种强制用户分享资源的手段（允许未知入站），，当你设好了“高ID”之后，你会发现你违背了防火墙的宗旨，防火墙最根本的一条就是阻止未知入站，，成功设置“高ID”正好破坏了这个根本。

而迅雷不同，这里不得不提到迅雷，个人认为这些p2p下载软件中，迅雷做得最好（别误会，不是给迅雷作广告哈），无论是它资源下载的设计方式还是在搜索运用上，迅雷都要远远超过“电X”之类，，，它有它自己的资源共享方式（有些人说它流氓，在这里给迅雷正名一下，其实它的目的就是希望用户达到最好的下载环境（有点拍马屁的感觉？），，尽管它的行为表面看上去有点猥琐）。

然后，其实还有。

，省略，，，也没有什么非讲不可的东西。

下面是我对几个p2p软件的设置方式，共享一下，看看大家的都有什么不同：（为了更详细一些，首先对端口、网络划分添加设置一下）：（新手提示：你的MAC地址肯定和我的不同，IP可能也不同，子网划分可能也不同；按照上面的几组添加，根据自己的网络修改一下就好。

）(上图中的这个8080端口重复了，可以省去)我的P2P规则（迅雷、pps、pplive、kugou、QQLive、QQ音乐...）：----------------------------------------------------(要按顺序，允许的在前，阻止的在最后)1:允许 IP 出站；来源：any；目的：Loopback Zone；any。

2:允许 icmp 出站；来源地址为any；icmp选择 echo request。

：3:允许 udp 出站；来源地址为any，目的地址为“open_dns”；来源端口为“dynamic port allocation”，目的端口为“53”。

4:允许 tcp/udp 出站；来源地址为any，目的地址为“非local_area_range”（即："not in [local_area_range]"）；来源端口和目的端口都设为“dynamic port allocation”。

5:允许 tcp/udp 出站；来源地址为any，目的地址为“非local_area_range”（即："not in [local_area_range]"）；来源端口为“dynamic port allocation”，目的端口为“p2p other ports”。

6:阻止所有icmp进出。

7:阻止所有IP进出。

----------------------------------------------------即：看一看下载速度是否正常（电信ADSL/2M/局域网）：基本维持在200KB/以上应该算很正常了。

注：第2行解析设置中的“来源端口”最好设置为“dynamic port allocation”，即1024-65535；如果设为49152-65535的话，有时候会阻止迅雷的一部分资源连接解析,如图：（如果嫌设置p2p规则麻烦的话，那就用“Outgoing Only”吧，，这样更省事，，其实也用不着老是为下载时的安全隐患担心，整天挖空心思想着怎么去限制端口、牺牲功能来换取些许的安全感，也不是个可靠的办法，毕竟那样也解决不了多少安全隐患上的问题，，举个最简单的例子：80端口基本上算是上网必须的端口吧，但是现在很多入侵都可以成功地利用80端口完成，，难道你也要关闭80端口？？那跟直接拔掉网线有多大区别？！。

(有些朋友需要这样安慰一下。

)）另外，以上的设置方式不适合放在“电X”里，，，我这里没有“电X”的设置，，一直没正式用过“电X”，，因为与迅雷相比较，我一直没找到用“电X”的理由（抛开安全不说，，就算“电X”获得“高ID”，它的下载速度无论是理论还是实际上，也不会超过迅雷）。

最后要讲的是，（1楼）那几条局域网设置其实是最基本的，，也可以用其它更简单的方式实现。

它的原则是不信任局域网中的其它所有主机（就目前复杂的局域网网络环境来看，个人认为最好不要搞信任，更重要的是自律，就是说自己也不要干扰局域网；至少要阻止UDP在局域网中疯狂互发吧，，除非需要共享），说它是个规则，倒不如说它是个主张。

另外，在玩局域网联机游戏时就需要针对性地添加共享设置才行。

（下续3楼：ARP）（续1楼）：移动用户在使用时只要根据所处的不同的网络环境更改一下block3就可以了。

比如你现在身处的C类网网关是192.168.88.1，掩码是255.255.255.0，那么你只要把block3中的IP Range改为：192.168.88.1-192.168.88.255就行了。