|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-05-29, 01:52 PM | #1 |
榮譽會員
|
軟體 - Jetico in ubuntu Way 之:牛刀小試
Jetico in ubuntu Way 之:牛刀小試
作者:ubuntu 版權聲明:本文采用GNU Free Documentation License 簡稱GFDL,在遵守GFDL,非商用以及保留作者和版權聲明的前提下,你可以任意轉載本文。將本文用於商業用途請先聯繫作者,以獲得授權。作者不對讀者使用本文中軟件造成的損失承擔任何責任。 本文作者保留對違反本聲明的行為進行法律訴訟的權利。 附加聲明:在互相尊重的前提下,歡迎任何人指正及討論,本人願意回答力所能及的問題。對於不調查,不舉證,一概憑主觀臆測的評論,本人一律不予回復,以免口舌之爭。本人誓死捍衛您的言論自由,但前提是您要拿出令人信服的證據。 Jetico Personal Firewall 以後簡稱JPF。在我看來,它的規則設置並不複雜。無非是把已經公認的Network Rules和Aplication Rules用JPF自己的設置方式,重新設一遍而已。前提是你對TCP/IP協議和防火牆有點瞭解,對服務,對連接阜,對常用的程式有點認識。起碼,你對照JPF的log能寫出對應的應用程式規則。 嘿,看你說的那麼容易,不能光說不練是吧。 那好,你看我怎麼折騰的。 基本設置 設置JPF需要時間,耐心和細心,不具備以上條件的暫時不要裝JPF啦。 安裝之前的準備: 1.斷開Internet。 2.卸載現有的防火牆,關閉XP自帶防火牆。 3.全盤掃瞄病毒,或者至少掃瞄系統盤和訪問網絡的軟件。 4.reboot 5.安裝JPF。最後一步,一定要選擇設置Trust Zone和Block Zone。 6.reboot 重啟,看到有JPF的彈出視窗,說明你安裝算是正常。JPF管這些彈出視窗叫學習模式,在我看來不是學習模式,是折騰模式,折磨模式。面對這一大堆視窗,好人也要掛掉。當然了,在沒有規則模板,在不能由Log直接產生規則的情況下,那東西還是有用的。目前的情況是很多人只看排名,不看手冊,只好用折磨模式,然後得出結論:JPF很煩,視窗N多。 我要做的第一件事,就是任務欄右下角JPF圖示,把Security policy 設成Allow all,然後升級殺毒軟件,開個瀏覽器如:Opera,把和JPF設置有關的網頁打開。然後,改成Block all。插一句,使用非IE內核瀏覽器是個好習慣。 老有人說JPF記不住規則,那是你不會用,Option表菜單和圖裡一樣就可以啦。 我下面要做的是新增幾條規則,阻止對135和445連接阜的訪問。為什麼? 因為,有人說JPF預定開放135和445連接阜,這是不對的。JPF的預定規則寫的很專業,嚴謹且簡潔。經過我在Shields Up和 SMB 使用下列連接阜: TCP/139 TCP/445 在Root-->Application Table-->Ask User 最上面加一條屏蔽inbound connection 445連接阜的規則,如圖: Description:Block System port 445 Condition: Application:System Event:inbound connection Protocol:TCP/IP Local address:any Local Port : single port 445 Remote address:any Remote Port:any Action:reject Block System inbound 139 Block System inbound 445 我為什麼這樣寫規則。因為JPF手冊裡規則由Condition和Action組成,並且我加入了Description。 我建議以後其它人回答有關規則問題的時候,也使用相同的格式或者附圖。 有興趣的可以把上面的幾條規則clone一下,將Event改為receive datagrams ,可以Block receive datagrams。 以上,只是展示下,Jetico怎麼寫規則,這叫第一印象。只是給新人看看而已,關於這些連接阜,還有更高效的組織規則的方式,那是以後的事。 Table入門篇 Jetico一個很重要的特點是:Rule Table。下面的很多內容都是圍繞Table展開的。 接下來是瀏覽器Opera 用Opera的有福咯,不用Opera的也不要擔心,規則是一樣的。 JPF難得有幾個預設規則,包括瀏覽器Web Browser和郵件客戶端Mail Client。Opera強吧,又是瀏覽器,又是郵件客戶端,還能BT。。。 其它IE,FF只能是瀏覽器。 直接修改Web Browser 如圖:加一條允許瀏覽器ftp下載的規則,不喜歡的可以不加。你還可以加入81-83,3128,8080之類的。 要避免彈出提示視窗,加一條reject規則,可以不加。 Root-->Application Table-->Ask User 右邊規則區 右鍵-->New Application rule加入Opera的規則,使用預設的Web Browser Table 如圖: 那些沒有Mail Client的瀏覽器就不用設置Mail Client啦。或者選擇自己的Mail Client設置。記住要加到ask前面。 所以呀,要避免彈啊彈的,就要先設置模板規則,或者匯入別人的設置,最好的辦法就是參考以前防火牆的規則來設啦,比如OP論壇有一篇文章不錯,我以後就參考它設置。 當然啦學習模式,無法避免,我們接下來看看通過對話框設置規則。 把Security policy 設成Optimal Protection,升級下殺毒軟件,比如NOD32,首先,彈出如下視窗。兩部分,一個是對事件的描述,程式名,事件,協議,規則所在的Table,是否記錄日誌,程式Hash;一個是如何處理事件,允許,阻止,用預設的規則處理,自定義規則,記住我的選擇。 記住啦,要JPF記住規則的話,Remember my answer的勾要打上。 第一個事件,access to network如圖處理。 第二個事件是outbound connection 到升級服務器的80連接阜,如圖處理。 NOD32規則完成。 Table實戰篇 那我的殺毒軟件是KAV,Ewido,瑞X,金X或者其它的話,難到還要一個一個視窗和程式的去新增嘛?有沒有偷懶的辦法。當然有。 我們需要建立一個AntiVirus的Table,就像預設的Web Browser一樣,不過是殺毒軟件的通用規則而已。 右鍵Root-->Insert table,右鍵New table-->rename-->AntiVirus 左鍵AntiVirus,發現只有一條預定規則 continue。 Root-->Application Table-->Ask User,把NOD32的兩條規則拖到Antivirus,記住左鍵拖是移動,右鍵拖是複製,我們用左鍵移動。 如圖修改規則,把Application留空,這樣就變成了通用規則。如果升級要用到ftp的話加一條Allow ftp的規則。 下面就可以到Ask User裡新增一條NOD32規則 或者重新升級NOD32,在對話框裡如圖操作。 接下來,重複把其它殺毒軟件都加進去。 通過學習模式設置IE 一般用下圖: 使用Table的話是這樣的: 小結: 為什麼要用Table呢? 我直接在學習模式裡一個一個設置,不是也挺好的。 我們可以假設一下:如果一個AntiVirus程式有10條規則,如果有10個這樣類型的程式,就要100條規則。還不累死你。如果用了Antivirus Table的話,只需要20條規則,工作量是1:5。另外,JPF搜索規則的速度顯然也會加快。還有,好多人說,一旦程式升級,JPF會讓你把所有規則重新設置一遍,太麻煩了。顯然,這些人還沒入門,根本不懂得Table是幹什麼的。比如我的Opera升級啦,因為我使用了Web Browser Table,我當然不用把什麼80,443,8080之類的再設一遍,我只要把Ask User裡的那條Opera的規則裡的Application重設一下,讓它用新的Hash就可以了。 =823) window.open('');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\"> JPF規則包的最高境界就是規則基本上由通用的Table組成,並且盡量不使用Trusted Zone。 再加個QQ,算是完成了一個自己的基本JPF 規則。 =823) window.open('');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\"> 要想繼續折騰的,自己多摸索吧。 It's Jetico in Ubuntu Way! 本文所有規則僅供參考,由於個人情況不同,切勿完全模仿。 Jetico 個人防火牆 v1.0.1.61版 http://www.slime2.com.tw/forums/show...ghlight=Jetico 決Jetico Personal Firewall1.0.1.61漢化後不能啟動問題 COPY漢化文件的時候,下面兩個文件不要考,然後重新啟動Jetico Personal Firewall就可以。 fwsetup.exe fwsrv.exe 此帖於 2006-06-02 08:01 AM 被 psac 編輯. |
送花文章: 3,
|