查看單個文章
舊 2006-06-05, 01:42 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 jetico ip黑名單的製作

jetico ip黑名單的製作 by tonyshek2000

jetico 的 ip 黑名單的製作有兩種辦法
1. 通過 jetico 的 configuration wizard (在start->program->jetico 裡可以找到), 用戶可以手動新增要block 的ip, 但是這種方法很麻煩,特別是在新增大量ip的時候。
2. 通過修改設置文件(C:\Program Files\Jetico\Jetico Personal Firewall\Config\setting.xml). 用記事本打開它,可以看到以下的代碼:
<?xml version="1.0" ?>
<?xml-stylesheet href='settings.xsl' type='text/xsl'?>
<settings>

<group id="IP_ADDRESS">
<var id="Trusted Zone">

</var>
<var id="Blocked Zone">

</var>
</group>
</settings>
比如要把123.45.67.89加入黑名單,只要在<var id="Blocked Zone">與</var>之間加入<value>123.45.67.89</value>即可。注意要每個ip單獨一行。白名單(trusted zone)的新增方式也類似。

另外,要保證ip 黑名單被jetico使用,在system ip table 裡一定要有兩條ip規則:
Action log level Source Address Destination Address
reject alert Blocked Zone any
reject alert any Blocked Zone

log level---alert 是為了便於在jetico的log當中察看(所有alert 顯示為紅色)

白名單的規則類似。


下面介紹ip 黑名單的取得
http://www.bluetack.co.uk/converter/index.php

上面這個鏈接是ip格式文件的轉換器,包括很多防火牆的ip文件格式
轉換方法:
1. 在options中選擇output format為CIDR Notation
2. 選擇source lists,比如ad tracker ,然後點擊open,最後點擊convert. 在output當中可以看到結果。
3. 把結果複製到一個臨時的txt 文件裡。
4. 如果需要,可以重複上述步驟,選擇其他list,我個人感興趣的除了ad tracker, 還有hijacked ip blocks, spyware list, trojan and portscanners
三步就是把那個臨時文件裡的ip地址轉換成jetico可以識別的格式。
比如 123.45.67.89 變成<value>123.45.67.89</value>,由於一個ip地址為一行,所以我們需要一個具有批量轉換的文本編輯器。但是為了照顧不同的用戶,我選擇了一個比較通用的ms excel, 它也可以完成上述的工作。

轉換步驟
1. 用excel 打開txt 文件。由於不是表格文件,所以excel會有詢問視窗。你只要一路next,最後finish 就可以了。
2.

對column B 的其他單元格複製B1的公式,只要拉動B1黑框的右下角就可以了。
3.複製整個column B到jetico設置文件的相應位置(參見第一帖)
最後儲存設置文件。

我的設置文件: settings.zip


http://img227.imageshack.us/img227/7296/22149694519cfe597ede2f28gu.jpg

最後的一點說明:在黑名單中你可能發現有這樣的一個ip,比如12.3.249.0/24,他意味著12.3.249.0-12.3.249.255整個區段被列入黑名單。如果你發現12.3.249.12不應該被block, 很簡單只要在白名單裡加入該ip即可(具體方法見帖一)。這也就是設置文件裡白名單(trusted zone)位置在黑名單(blocked zone)之上的原因。
再附帶說兩句:
1. 使用ip 黑名單的原因是防止惡意網站更改網址以逃過hosts文件對他們的屏蔽。

2. 雖然偶得設置文件裡包含的ip 估計有十幾萬個,但是在實際使用過程,網路速度並沒有影響,jetico的記憶體佔用也沒有怎麼升高,一切正常。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次