軟體 - Jetico in ubuntu Way 之：牛刀小試

psac · 2006-05-29, 01:52 PM

Jetico in ubuntu Way 之：牛刀小試
作者：ubuntu
版權聲明：本文采用GNU Free Documentation License 簡稱GFDL，在遵守GFDL，非商用以及保留作者和版權聲明的前提下，你可以任意轉載本文。將本文用於商業用途請先聯繫作者，以獲得授權。作者不對讀者使用本文中軟件造成的損失承擔任何責任。
本文作者保留對違反本聲明的行為進行法律訴訟的權利。

附加聲明：在互相尊重的前提下，歡迎任何人指正及討論，本人願意回答力所能及的問題。對於不調查，不舉證，一概憑主觀臆測的評論，本人一律不予回復，以免口舌之爭。本人誓死捍衛您的言論自由，但前提是您要拿出令人信服的證據。

Jetico Personal Firewall 以後簡稱JPF。在我看來，它的規則設置並不複雜。無非是把已經公認的Network Rules和Aplication Rules用JPF自己的設置方式，重新設一遍而已。前提是你對TCP/IP協議和防火牆有點瞭解，對服務，對連接阜，對常用的程式有點認識。起碼，你對照JPF的log能寫出對應的應用程式規則。
嘿，看你說的那麼容易，不能光說不練是吧。那好，你看我怎麼折騰的。

基本設置

設置JPF需要時間，耐心和細心，不具備以上條件的暫時不要裝JPF啦。

安裝之前的準備：
1.斷開Internet。
2.卸載現有的防火牆，關閉XP自帶防火牆。
3.全盤掃瞄病毒，或者至少掃瞄系統盤和訪問網絡的軟件。
4.reboot
5.安裝JPF。最後一步，一定要選擇設置Trust Zone和Block Zone。
6.reboot

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/TrustZone.jpg

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/BlockZone.jpg

重啟，看到有JPF的彈出視窗，說明你安裝算是正常。JPF管這些彈出視窗叫學習模式，在我看來不是學習模式，是折騰模式，折磨模式。面對這一大堆視窗，好人也要掛掉。當然了，在沒有規則模板，在不能由Log直接產生規則的情況下，那東西還是有用的。目前的情況是很多人只看排名，不看手冊，只好用折磨模式，然後得出結論：JPF很煩，視窗N多。
我要做的第一件事，就是任務欄右下角JPF圖示，把Security policy 設成Allow all，然後升級殺毒軟件，開個瀏覽器如：Opera，把和JPF設置有關的網頁打開。然後，改成Block all。插一句，使用非IE內核瀏覽器是個好習慣。

老有人說JPF記不住規則，那是你不會用，Option表菜單和圖裡一樣就可以啦。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/Option01.jpg

我下面要做的是新增幾條規則，阻止對135和445連接阜的訪問。為什麼？因為，有人說JPF預定開放135和445連接阜，這是不對的。JPF的預定規則寫的很專業，嚴謹且簡潔。經過我在Shields Up和 $http://scan.sygate.com的測試，這兩個連接阜是Block/Stealth的，只要是預定規則。對於135和445的TCP訪問，在JPF中是用ask，而不是用reject，所以會有對話框彈出，並且無論你是允許還是阻止都能通過測試。JPF同樣處理的連接阜還有137－139。所以用不到上述連接阜的人，可以和我一樣處理，加幾條reject規則，避免視窗的騷擾。關於這幾個連接阜的作用，大家可以谷歌。 不需要DCOM-RPC服務的，可以關閉135連接阜。撥號上網，不使用局域網的可以像我這樣關閉137-139，445。局域網要使用NetBios服務，如果要訪問的網段在Trusted Zone應該也可以關閉上述連接阜。 NetBIOS 使用下列連接阜協議功能： UDP/137（NetBIOS 名稱服務） UDP/138（NetBIOS 資料回報服務） TCP/139（NetBIOS 交談服務） 137，138是udp連接阜。當通過網絡鄰居傳輸文件的時候就是通過這個2個連接阜.139連接阜是netbios提供服務的tcp連接阜。 在Root-->Application Table-->Ask User 加一條屏蔽inbound connection 135-139連接阜的規則，如圖： Description：Block svchost port 135-139 Condition： Application：c:\windows\system32\svchost.exe Event：inbound connection Protocol：TCP/IP Local address：any Local Port: from 135:139 Remote address：any Remote Port：any Action：reject [img]http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/block135.jpg$

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/Block135t.jpg

SMB 使用下列連接阜：
TCP/139
TCP/445

在Root-->Application Table-->Ask User 最上面加一條屏蔽inbound connection 445連接阜的規則，如圖：

Description：Block System port 445
Condition：
Application：System
Event：inbound connection
Protocol：TCP/IP
Local address：any
Local Port : single port 445
Remote address：any
Remote Port：any
Action：reject

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/block139.jpg

Block System inbound 139

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/block445.jpg

Block System inbound 445

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/block139445.jpg

我為什麼這樣寫規則。因為JPF手冊裡規則由Condition和Action組成，並且我加入了Description。
我建議以後其它人回答有關規則問題的時候，也使用相同的格式或者附圖。
有興趣的可以把上面的幾條規則clone一下，將Event改為receive datagrams ，可以Block receive datagrams。
以上，只是展示下，Jetico怎麼寫規則，這叫第一印象。只是給新人看看而已，關於這些連接阜，還有更高效的組織規則的方式，那是以後的事。

Table入門篇

Jetico一個很重要的特點是：Rule Table。下面的很多內容都是圍繞Table展開的。

接下來是瀏覽器Opera
用Opera的有福咯，不用Opera的也不要擔心，規則是一樣的。
JPF難得有幾個預設規則，包括瀏覽器Web Browser和郵件客戶端Mail Client。Opera強吧，又是瀏覽器，又是郵件客戶端，還能BT。。。其它IE，FF只能是瀏覽器。
直接修改Web Browser
如圖：加一條允許瀏覽器ftp下載的規則，不喜歡的可以不加。你還可以加入81-83,3128，8080之類的。
要避免彈出提示視窗，加一條reject規則，可以不加。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/Allowftp.jpg

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/Browser.jpg

Root-->Application Table-->Ask User 右邊規則區右鍵-->New Application rule加入Opera的規則，使用預設的Web Browser Table 如圖：
那些沒有Mail Client的瀏覽器就不用設置Mail Client啦。或者選擇自己的Mail Client設置。記住要加到ask前面。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/Opera02.jpg

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/OperaMail.jpg

所以呀，要避免彈啊彈的，就要先設置模板規則，或者匯入別人的設置，最好的辦法就是參考以前防火牆的規則來設啦，比如OP論壇有一篇文章不錯，我以後就參考它設置。

當然啦學習模式，無法避免，我們接下來看看通過對話框設置規則。

把Security policy 設成Optimal Protection，升級下殺毒軟件，比如NOD32，首先，彈出如下視窗。兩部分，一個是對事件的描述，程式名，事件，協議，規則所在的Table，是否記錄日誌，程式Hash；一個是如何處理事件，允許，阻止，用預設的規則處理，自定義規則，記住我的選擇。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/NOD3203.jpg

記住啦，要JPF記住規則的話，Remember my answer的勾要打上。第一個事件，access to network如圖處理。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/NOD3201.jpg

第二個事件是outbound connection 到升級服務器的80連接阜，如圖處理。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/NOD3202.jpg

NOD32規則完成。

Table實戰篇

那我的殺毒軟件是KAV，Ewido，瑞X，金X或者其它的話，難到還要一個一個視窗和程式的去新增嘛？有沒有偷懶的辦法。當然有。

我們需要建立一個AntiVirus的Table，就像預設的Web Browser一樣，不過是殺毒軟件的通用規則而已。
右鍵Root-->Insert table，右鍵New table-->rename-->AntiVirus

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/RenameTable.jpg

左鍵AntiVirus，發現只有一條預定規則 continue。
Root-->Application Table-->Ask User，把NOD32的兩條規則拖到Antivirus，記住左鍵拖是移動，右鍵拖是複製，我們用左鍵移動。
如圖修改規則，把Application留空，這樣就變成了通用規則。如果升級要用到ftp的話加一條Allow ftp的規則。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/Antivirus.jpg

下面就可以到Ask User裡新增一條NOD32規則

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/NOD3204.jpg

或者重新升級NOD32，在對話框裡如圖操作。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/NOD3205.jpg

接下來，重複把其它殺毒軟件都加進去。

通過學習模式設置IE
一般用下圖：

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/IE01.jpg

使用Table的話是這樣的：

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/IE02.jpg

小結：

為什麼要用Table呢？我直接在學習模式裡一個一個設置，不是也挺好的。
我們可以假設一下：如果一個AntiVirus程式有10條規則，如果有10個這樣類型的程式，就要100條規則。還不累死你。如果用了Antivirus Table的話，只需要20條規則，工作量是1:5。另外，JPF搜索規則的速度顯然也會加快。還有，好多人說，一旦程式升級，JPF會讓你把所有規則重新設置一遍，太麻煩了。顯然，這些人還沒入門，根本不懂得Table是幹什麼的。比如我的Opera升級啦，因為我使用了Web Browser Table，我當然不用把什麼80，443,8080之類的再設一遍，我只要把Ask User裡的那條Opera的規則裡的Application重設一下，讓它用新的Hash就可以了。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/Table01.jpg

=823) window.open('

');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\">

JPF規則包的最高境界就是規則基本上由通用的Table組成，並且盡量不使用Trusted Zone。

再加個QQ，算是完成了一個自己的基本JPF 規則。

http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/QQ.jpg

=823) window.open('

');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\">

要想繼續折騰的，自己多摸索吧。

It's Jetico in Ubuntu Way!

本文所有規則僅供參考，由於個人情況不同，切勿完全模仿。

Jetico 個人防火牆 v1.0.1.61版

http://www.slime2.com.tw/forums/show...ghlight=Jetico

決Jetico Personal Firewall1.0.1.61漢化後不能啟動問題

COPY漢化文件的時候，下面兩個文件不要考，然後重新啟動Jetico Personal Firewall就可以。

fwsetup.exe
fwsrv.exe

2006-05-29, 01:52 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	軟體 - Jetico in ubuntu Way 之：牛刀小試 Jetico in ubuntu Way 之：牛刀小試作者：ubuntu 版權聲明：本文采用GNU Free Documentation License 簡稱GFDL，在遵守GFDL，非商用以及保留作者和版權聲明的前提下，你可以任意轉載本文。將本文用於商業用途請先聯繫作者，以獲得授權。作者不對讀者使用本文中軟件造成的損失承擔任何責任。本文作者保留對違反本聲明的行為進行法律訴訟的權利。附加聲明：在互相尊重的前提下，歡迎任何人指正及討論，本人願意回答力所能及的問題。對於不調查，不舉證，一概憑主觀臆測的評論，本人一律不予回復，以免口舌之爭。本人誓死捍衛您的言論自由，但前提是您要拿出令人信服的證據。 Jetico Personal Firewall 以後簡稱JPF。在我看來，它的規則設置並不複雜。無非是把已經公認的Network Rules和Aplication Rules用JPF自己的設置方式，重新設一遍而已。前提是你對TCP/IP協議和防火牆有點瞭解，對服務，對連接阜，對常用的程式有點認識。起碼，你對照JPF的log能寫出對應的應用程式規則。嘿，看你說的那麼容易，不能光說不練是吧。那好，你看我怎麼折騰的。基本設置設置JPF需要時間，耐心和細心，不具備以上條件的暫時不要裝JPF啦。安裝之前的準備： 1.斷開Internet。 2.卸載現有的防火牆，關閉XP自帶防火牆。 3.全盤掃瞄病毒，或者至少掃瞄系統盤和訪問網絡的軟件。 4.reboot 5.安裝JPF。最後一步，一定要選擇設置Trust Zone和Block Zone。 6.reboot 重啟，看到有JPF的彈出視窗，說明你安裝算是正常。JPF管這些彈出視窗叫學習模式，在我看來不是學習模式，是折騰模式，折磨模式。面對這一大堆視窗，好人也要掛掉。當然了，在沒有規則模板，在不能由Log直接產生規則的情況下，那東西還是有用的。目前的情況是很多人只看排名，不看手冊，只好用折磨模式，然後得出結論：JPF很煩，視窗N多。我要做的第一件事，就是任務欄右下角JPF圖示，把Security policy 設成Allow all，然後升級殺毒軟件，開個瀏覽器如：Opera，把和JPF設置有關的網頁打開。然後，改成Block all。插一句，使用非IE內核瀏覽器是個好習慣。老有人說JPF記不住規則，那是你不會用，Option表菜單和圖裡一樣就可以啦。我下面要做的是新增幾條規則，阻止對135和445連接阜的訪問。為什麼？因為，有人說JPF預定開放135和445連接阜，這是不對的。JPF的預定規則寫的很專業，嚴謹且簡潔。經過我在Shields Up和 $http://scan.sygate.com的測試，這兩個連接阜是Block/Stealth的，只要是預定規則。對於135和445的TCP訪問，在JPF中是用ask，而不是用reject，所以會有對話框彈出，並且無論你是允許還是阻止都能通過測試。JPF同樣處理的連接阜還有137－139。所以用不到上述連接阜的人，可以和我一樣處理，加幾條reject規則，避免視窗的騷擾。關於這幾個連接阜的作用，大家可以谷歌。<br /> <br /> 不需要DCOM-RPC服務的，可以關閉135連接阜。撥號上網，不使用局域網的可以像我這樣關閉137-139，445。局域網要使用NetBios服務，如果要訪問的網段在Trusted Zone應該也可以關閉上述連接阜。<br /> <br /> NetBIOS 使用下列連接阜協議功能：<br /> UDP/137（NetBIOS 名稱服務）<br /> UDP/138（NetBIOS 資料回報服務）<br /> TCP/139（NetBIOS 交談服務）<br /> 137，138是udp連接阜。當通過網絡鄰居傳輸文件的時候就是通過這個2個連接阜.139連接阜是netbios提供服務的tcp連接阜。<br /> <br /> 在Root-->Application Table-->Ask User 加一條屏蔽inbound connection 135-139連接阜的規則，如圖：<br /> <br /> Description：Block svchost port 135-139<br /> Condition：<br /> Application：c:\windows\system32\svchost.exe<br /> Event：inbound connection<br /> Protocol：TCP/IP<br /> Local address：any<br /> Local Port: from 135:139<br /> Remote address：any<br /> Remote Port：any<br /> Action：reject<br /> [img]http://i81.photobucket.com/albums/j205/ubuntu6/Jetico/block135.jpg$ SMB 使用下列連接阜： TCP/139 TCP/445 在Root-->Application Table-->Ask User 最上面加一條屏蔽inbound connection 445連接阜的規則，如圖： Description：Block System port 445 Condition： Application：System Event：inbound connection Protocol：TCP/IP Local address：any Local Port : single port 445 Remote address：any Remote Port：any Action：reject Block System inbound 139 Block System inbound 445 我為什麼這樣寫規則。因為JPF手冊裡規則由Condition和Action組成，並且我加入了Description。我建議以後其它人回答有關規則問題的時候，也使用相同的格式或者附圖。有興趣的可以把上面的幾條規則clone一下，將Event改為receive datagrams ，可以Block receive datagrams。以上，只是展示下，Jetico怎麼寫規則，這叫第一印象。只是給新人看看而已，關於這些連接阜，還有更高效的組織規則的方式，那是以後的事。 Table入門篇 Jetico一個很重要的特點是：Rule Table。下面的很多內容都是圍繞Table展開的。接下來是瀏覽器Opera 用Opera的有福咯，不用Opera的也不要擔心，規則是一樣的。 JPF難得有幾個預設規則，包括瀏覽器Web Browser和郵件客戶端Mail Client。Opera強吧，又是瀏覽器，又是郵件客戶端，還能BT。。。其它IE，FF只能是瀏覽器。直接修改Web Browser 如圖：加一條允許瀏覽器ftp下載的規則，不喜歡的可以不加。你還可以加入81-83,3128，8080之類的。要避免彈出提示視窗，加一條reject規則，可以不加。 Root-->Application Table-->Ask User 右邊規則區右鍵-->New Application rule加入Opera的規則，使用預設的Web Browser Table 如圖：那些沒有Mail Client的瀏覽器就不用設置Mail Client啦。或者選擇自己的Mail Client設置。記住要加到ask前面。所以呀，要避免彈啊彈的，就要先設置模板規則，或者匯入別人的設置，最好的辦法就是參考以前防火牆的規則來設啦，比如OP論壇有一篇文章不錯，我以後就參考它設置。當然啦學習模式，無法避免，我們接下來看看通過對話框設置規則。把Security policy 設成Optimal Protection，升級下殺毒軟件，比如NOD32，首先，彈出如下視窗。兩部分，一個是對事件的描述，程式名，事件，協議，規則所在的Table，是否記錄日誌，程式Hash；一個是如何處理事件，允許，阻止，用預設的規則處理，自定義規則，記住我的選擇。記住啦，要JPF記住規則的話，Remember my answer的勾要打上。第一個事件，access to network如圖處理。第二個事件是outbound connection 到升級服務器的80連接阜，如圖處理。 NOD32規則完成。 Table實戰篇那我的殺毒軟件是KAV，Ewido，瑞X，金X或者其它的話，難到還要一個一個視窗和程式的去新增嘛？有沒有偷懶的辦法。當然有。我們需要建立一個AntiVirus的Table，就像預設的Web Browser一樣，不過是殺毒軟件的通用規則而已。右鍵Root-->Insert table，右鍵New table-->rename-->AntiVirus 左鍵AntiVirus，發現只有一條預定規則 continue。 Root-->Application Table-->Ask User，把NOD32的兩條規則拖到Antivirus，記住左鍵拖是移動，右鍵拖是複製，我們用左鍵移動。如圖修改規則，把Application留空，這樣就變成了通用規則。如果升級要用到ftp的話加一條Allow ftp的規則。下面就可以到Ask User裡新增一條NOD32規則或者重新升級NOD32，在對話框裡如圖操作。接下來，重複把其它殺毒軟件都加進去。通過學習模式設置IE 一般用下圖：使用Table的話是這樣的：小結：為什麼要用Table呢？我直接在學習模式裡一個一個設置，不是也挺好的。我們可以假設一下：如果一個AntiVirus程式有10條規則，如果有10個這樣類型的程式，就要100條規則。還不累死你。如果用了Antivirus Table的話，只需要20條規則，工作量是1:5。另外，JPF搜索規則的速度顯然也會加快。還有，好多人說，一旦程式升級，JPF會讓你把所有規則重新設置一遍，太麻煩了。顯然，這些人還沒入門，根本不懂得Table是幹什麼的。比如我的Opera升級啦，因為我使用了Web Browser Table，我當然不用把什麼80，443,8080之類的再設一遍，我只要把Ask User裡的那條Opera的規則裡的Application重設一下，讓它用新的Hash就可以了。 =823) window.open('');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\"> JPF規則包的最高境界就是規則基本上由通用的Table組成，並且盡量不使用Trusted Zone。再加個QQ，算是完成了一個自己的基本JPF 規則。 =823) window.open('');\" onload=\"if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';\"> 要想繼續折騰的，自己多摸索吧。 It's Jetico in Ubuntu Way! 本文所有規則僅供參考，由於個人情況不同，切勿完全模仿。 Jetico 個人防火牆 v1.0.1.61版 http://www.slime2.com.tw/forums/show...ghlight=Jetico 決Jetico Personal Firewall1.0.1.61漢化後不能啟動問題 COPY漢化文件的時候，下面兩個文件不要考，然後重新啟動Jetico Personal Firewall就可以。 fwsetup.exe fwsrv.exe 此帖於 2006-06-02 08:01 AM 被 psac 編輯.

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告