Jetico in ubuntu Way 之:牛刀小試
作者:ubuntu
版權聲明:本文采用GNU Free Documentation License 簡稱GFDL,在遵守GFDL,非商用以及保留作者和版權聲明的前提下,你可以任意轉載本文。將本文用於商業用途請先聯繫作者,以獲得授權。作者不對讀者使用本文中軟件造成的損失承擔任何責任。
本文作者保留對違反本聲明的行為進行法律訴訟的權利。
附加聲明:在互相尊重的前提下,歡迎任何人指正及討論,本人願意回答力所能及的問題。對於不調查,不舉證,一概憑主觀臆測的評論,本人一律不予回復,以免口舌之爭。本人誓死捍衛您的言論自由,但前提是您要拿出令人信服的證據。
Jetico Personal Firewall 以後簡稱JPF。在我看來,它的規則設置並不複雜。無非是把已經公認的Network Rules和Aplication Rules用JPF自己的設置方式,重新設一遍而已。前提是你對TCP/IP協議和防火牆有點瞭解,對服務,對連接阜,對常用的程式有點認識。起碼,你對照JPF的log能寫出對應的應用程式規則。
嘿,看你說的那麼容易,不能光說不練是吧。 那好,你看我怎麼折騰的。
基本設置
設置JPF需要時間,耐心和細心,不具備以上條件的暫時不要裝JPF啦。
安裝之前的準備:
1.斷開Internet。
2.卸載現有的防火牆,關閉XP自帶防火牆。
3.全盤掃瞄病毒,或者至少掃瞄系統盤和訪問網絡的軟件。
4.reboot
5.安裝JPF。最後一步,一定要選擇設置Trust Zone和Block Zone。
6.reboot
重啟,看到有JPF的彈出視窗,說明你安裝算是正常。JPF管這些彈出視窗叫學習模式,在我看來不是學習模式,是折騰模式,折磨模式。面對這一大堆視窗,好人也要掛掉。當然了,在沒有規則模板,在不能由Log直接產生規則的情況下,那東西還是有用的。目前的情況是很多人只看排名,不看手冊,只好用折磨模式,然後得出結論:JPF很煩,視窗N多。
我要做的第一件事,就是任務欄右下角JPF圖示,把Security policy 設成Allow all,然後升級殺毒軟件,開個瀏覽器如:Opera,把和JPF設置有關的網頁打開。然後,改成Block all。插一句,使用非IE內核瀏覽器是個好習慣。
老有人說JPF記不住規則,那是你不會用,Option表菜單和圖裡一樣就可以啦。
我下面要做的是新增幾條規則,阻止對135和445連接阜的訪問。為什麼? 因為,有人說JPF預定開放135和445連接阜,這是不對的。JPF的預定規則寫的很專業,嚴謹且簡潔。經過我在Shields Up和
SMB 使用下列連接阜:
TCP/139
TCP/445
在Root-->Application Table-->Ask User 最上面加一條屏蔽inbound connection 445連接阜的規則,如圖:
Description:Block System port 445
Condition:
Application:System
Event:inbound connection
Protocol:TCP/IP
Local address:any
Local Port : single port 445
Remote address:any
Remote Port:any
Action:reject
Block System inbound 139
Block System inbound 445
我為什麼這樣寫規則。因為JPF手冊裡規則由Condition和Action組成,並且我加入了Description。
我建議以後其它人回答有關規則問題的時候,也使用相同的格式或者附圖。
有興趣的可以把上面的幾條規則clone一下,將Event改為receive datagrams ,可以Block receive datagrams。
以上,只是展示下,Jetico怎麼寫規則,這叫第一印象。只是給新人看看而已,關於這些連接阜,還有更高效的組織規則的方式,那是以後的事。
Table入門篇
Jetico一個很重要的特點是:Rule Table。下面的很多內容都是圍繞Table展開的。
接下來是瀏覽器Opera
用Opera的有福咯,不用Opera的也不要擔心,規則是一樣的。
JPF難得有幾個預設規則,包括瀏覽器Web Browser和郵件客戶端Mail Client。Opera強吧,又是瀏覽器,又是郵件客戶端,還能BT。。。 其它IE,FF只能是瀏覽器。
直接修改Web Browser
如圖:加一條允許瀏覽器ftp下載的規則,不喜歡的可以不加。你還可以加入81-83,3128,8080之類的。
要避免彈出提示視窗,加一條reject規則,可以不加。
Root-->Application Table-->Ask User 右邊規則區 右鍵-->New Application rule加入Opera的規則,使用預設的Web Browser Table 如圖:
那些沒有Mail Client的瀏覽器就不用設置Mail Client啦。或者選擇自己的Mail Client設置。記住要加到ask前面。
所以呀,要避免彈啊彈的,就要先設置模板規則,或者匯入別人的設置,最好的辦法就是參考以前防火牆的規則來設啦,比如OP論壇有一篇文章不錯,我以後就參考它設置。
當然啦學習模式,無法避免,我們接下來看看通過對話框設置規則。
把Security policy 設成Optimal Protection,升級下殺毒軟件,比如NOD32,首先,彈出如下視窗。兩部分,一個是對事件的描述,程式名,事件,協議,規則所在的Table,是否記錄日誌,程式Hash;一個是如何處理事件,允許,阻止,用預設的規則處理,自定義規則,記住我的選擇。
記住啦,要JPF記住規則的話,Remember my answer的勾要打上。 第一個事件,access to network如圖處理。
第二個事件是outbound connection 到升級服務器的80連接阜,如圖處理。
NOD32規則完成。
Table實戰篇
那我的殺毒軟件是KAV,Ewido,瑞X,金X或者其它的話,難到還要一個一個視窗和程式的去新增嘛?有沒有偷懶的辦法。當然有。
我們需要建立一個AntiVirus的Table,就像預設的Web Browser一樣,不過是殺毒軟件的通用規則而已。
右鍵Root-->Insert table,右鍵New table-->rename-->AntiVirus
左鍵AntiVirus,發現只有一條預定規則 continue。
Root-->Application Table-->Ask User,把NOD32的兩條規則拖到Antivirus,記住左鍵拖是移動,右鍵拖是複製,我們用左鍵移動。
如圖修改規則,把Application留空,這樣就變成了通用規則。如果升級要用到ftp的話加一條Allow ftp的規則。
下面就可以到Ask User裡新增一條NOD32規則
或者重新升級NOD32,在對話框裡如圖操作。
接下來,重複把其它殺毒軟件都加進去。
通過學習模式設置IE
一般用下圖:
使用Table的話是這樣的:
小結:
為什麼要用Table呢? 我直接在學習模式裡一個一個設置,不是也挺好的。
我們可以假設一下:如果一個AntiVirus程式有10條規則,如果有10個這樣類型的程式,就要100條規則。還不累死你。如果用了Antivirus Table的話,只需要20條規則,工作量是1:5。另外,JPF搜索規則的速度顯然也會加快。還有,好多人說,一旦程式升級,JPF會讓你把所有規則重新設置一遍,太麻煩了。顯然,這些人還沒入門,根本不懂得Table是幹什麼的。比如我的Opera升級啦,因為我使用了Web Browser Table,我當然不用把什麼80,443,8080之類的再設一遍,我只要把Ask User裡的那條Opera的規則裡的Application重設一下,讓它用新的Hash就可以了。
=823) window.open('
');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\">
JPF規則包的最高境界就是規則基本上由通用的Table組成,並且盡量不使用Trusted Zone。
再加個QQ,算是完成了一個自己的基本JPF 規則。
=823) window.open('
');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\">
要想繼續折騰的,自己多摸索吧。
It's Jetico in Ubuntu Way!
本文所有規則僅供參考,由於個人情況不同,切勿完全模仿。
Jetico 個人防火牆 v1.0.1.61版
http://www.slime2.com.tw/forums/show...ghlight=Jetico
決Jetico Personal Firewall1.0.1.61漢化後不能啟動問題
COPY漢化文件的時候,下面兩個文件不要考,然後重新啟動Jetico Personal Firewall就可以。
fwsetup.exe
fwsrv.exe