荣大售后:bloodmelon - Jetico in ubuntu Way 之：牛刀小试

Jetico in ubuntu Way 之：牛刀小试

Sunday, 4. June 2006, 22:39

firewall, Jetico

主题：Jetico in ubuntu Way 之：牛刀小试
作者：ubuntu
版权声明：本文采用GNU Free Documentation License 简称GFDL，在遵守GFDL，非商用以及保留作者和版权声明的前提下，你可以任意转载本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。
本文作者保留对违反本声明的行为进行法律诉讼的权利。


Jetico Personal Firewall 以后简称JPF。在我看来，它的规则设置并不复杂。无非是把已经公认的Network Rules和Aplication Rules用JPF自己的设置方式，重新设一遍而已。前提是你对TCP/IP协议和防火墙有点了解，对服务，对端口，对常用的程序有点认识。起码，你对照JPF的log能写出对应的应用程序规则。
嘿，看你说的那么容易，不能光说不练是吧。 那好，你看我怎么折腾的。

基本设置

设置JPF需要时间，耐心和细心，不具备以上条件的暂时不要装JPF啦。

安装之前的准备：
1.断开Internet。
2.卸载现有的防火墙，关闭XP自带防火墙。
3.全盘扫描病毒，或者至少扫描系统盘和访问网络的软件。
4.reboot
5.安装JPF。最后一步，一定要选择设置Trust Zone和Block Zone。
6.reboot



重启，看到有JPF的弹出窗口，说明你安装算是正常。JPF管这些弹出窗口叫学习模式，在我看来不是学习模式，是折腾模式，折磨模式。面对这一大堆窗口，好人也要挂掉。当然了，在没有规则模板，在不能由Log直接生成规则的情况下，那东西还是有用的。目前的情况是很多人只看排名，不看手册，只好用折磨模式，然后得出结论：JPF很烦，窗口N多。
我要做的第一件事，就是任务栏右下角JPF图标，把Security policy 设成Allow all，然后升级杀毒软件，开个浏览器如：Opera，把和JPF设置有关的网页打开。然后，改成Block all。插一句，使用非IE内核浏览器是个好习惯。

老有人说JPF记不住规则，那是你不会用，Option菜单和图里一样就可以啦。

我下面要做的是添加几条规则，阻止对135和445端口的访问。为什么？ 因为，有人说JPF默认开放135和445端口，这是不对的。JPF的默认规则写的很专业，严谨且简洁。经过我在Shields Up和[url]http://scan.sygate.com的测试，这两个端口是Block/Stealth的，只要是默认规则。对于135和445的TCP访问，在JPF中是用ask，而不是用reject，所以会有对话框弹出，并且无论你是允许还是阻止都能通过测试。JPF同样处理的端口还有137－139。所以用不到上述端口的人，可以和我一样处理，加几条reject规则，避免窗口的骚扰。关于这几个端口的作用，大家可以谷歌。

不需要DCOM-RPC服务的，可以关闭135端口。拨号上网，不使用局域网的可以像我这样关闭137-139，445。局域网要使用NetBios服务，如果要访问的网段在Trusted Zone应该也可以关闭上述端口。

NetBIOS 使用下列端口：
UDP/137（NetBIOS 名称服务）    
UDP/138（NetBIOS 数据报服务）
TCP/139（NetBIOS 会话服务）
137，138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。

在Root-->Application Table-->Ask User 加一条屏蔽inbound connection 135-139端口的规则，如图：

Description：Block svchost port 135-139
Condition：
Application：c:\windows\system32\svchost.exe
Event：inbound connection
Protocol：TCP/IP
Local address：any
Local Port: from 135:139
Remote address：any
Remote Port：any
Action：reject

SMB 使用下列端口：
TCP/139
TCP/445

在Root-->Application Table-->Ask User 最上面加一条屏蔽inbound connection 445端口的规则，如图：

Description：Block System port 445
Condition：
Application：System
Event：inbound connection
Protocol：TCP/IP
Local address：any
Local Port : single port 445
Remote address：any
Remote Port：any
Action：reject

Block System inbound 139

Block System inbound 445

我为什么这样写规则。因为JPF手册里规则由Condition和Action组成，并且我加入了Description。
我建议以后其它人回答有关规则问题的时候，也使用相同的格式或者附图。
有兴趣的可以把上面的几条规则clone一下，将Event改为receive datagrams ，可以Block receive datagrams。
以上，只是展示下，Jetico怎么写规则，这叫第一印象。只是给新人看看而已，关于这些端口，还有更高效的组织规则的方式，那是以后的事。

Table入门篇

Jetico一个很重要的特点是：Rule Table。下面的很多内容都是围绕Table展开的。

接下来是浏览器Opera
用Opera的有福咯，不用Opera的也不要担心，规则是一样的。
JPF难得有几个预设规则，包括浏览器Web Browser和邮件客户端Mail Client。Opera强吧，又是浏览器，又是邮件客户端，还能BT。。。 其它IE，FF只能是浏览器。
直接修改Web Browser
如图：加一条允许浏览器ftp下载的规则，不喜欢的可以不加。你还可以加入81-83,3128，8080之类的。
要避免弹出提示窗口，加一条reject规则，可以不加。

Root-->Application Table-->Ask User 右边规则区 右键-->New Application rule加入Opera的规则，使用预设的Web Browser Table 如图：
那些没有Mail Client的浏览器就不用设置Mail Client啦。或者选择自己的Mail Client设置。记住要加到ask前面。

所以呀，要避免弹啊弹的，就要先设置模板规则，或者导入别人的设置，最好的办法就是参考以前防火墙的规则来设啦，比如OP论坛有一篇文章不错，我以后就参考它设置。

当然啦学习模式，无法避免，我们接下来看看通过对话框设置规则。

把Security policy 设成Optimal Protection，升级下杀毒软件，比如NOD32，首先，弹出如下窗口。两部分，一个是对事件的描述，程序名，事件，协议，规则所在的Table，是否记录日志，程序Hash；一个是如何处理事件，允许，阻止，用预设的规则处理，自定义规则，记住我的选择。

记住啦，要JPF记住规则的话，Remember my answer的勾要打上。 第一个事件，access to network如图处理。

第二个事件是outbound connection 到升级服务器的80端口，如图处理。

NOD32规则完成。

Table实战篇

那我的杀毒软件是KAV，Ewido，瑞X，金X或者其它的话，难到还要一个一个窗口和程序的去添加嘛？有没有偷懒的办法。当然有。

我们需要建立一个AntiVirus的Table，就像预设的Web Browser一样，不过是杀毒软件的通用规则而已。
右键Root-->Insert table，右键New table-->rename-->AntiVirus

左键AntiVirus，发现只有一条默认规则 continue。
Root-->Application Table-->Ask User，把NOD32的两条规则拖到Antivirus，记住左键拖是移动，右键拖是复制，我们用左键移动。
如图修改规则，把Application留空，这样就变成了通用规则。如果升级要用到ftp的话加一条Allow ftp的规则。

下面就可以到Ask User里添加一条NOD32规则

或者重新升级NOD32，在对话框里如图操作。

接下来，重复把其它杀毒软件都加进去。

通过学习模式设置IE
一般用下图：

使用Table的话是这样的：

小结：

为什么要用Table呢？ 我直接在学习模式里一个一个设置，不是也挺好的。
我们可以假设一下：如果一个AntiVirus程序有10条规则，如果有10个这样类型的程序，就要100条规则。还不累死你。如果用了Antivirus Table的话，只需要20条规则，工作量是1:5。另外，JPF搜索规则的速度显然也会加快。还有，好多人说，一旦程序升级，JPF会让你把所有规则重新设置一遍，太麻烦了。显然，这些人还没入门，根本不懂得Table是干什么的。比如我的Opera升级啦，因为我使用了Web Browser Table，我当然不用把什么80，443,8080之类的再设一遍，我只要把Ask User里的那条Opera的规则里的Application重设一下，让它用新的Hash就可以了。

JPF规则包的最高境界就是规则基本上由通用的Table组成，并且尽量不使用Trusted Zone。

再加个QQ，算是完成了一个自己的基本JPF 规则。

要想继续折腾的，自己多摸索吧。

It's Jetico in Ubuntu Way!

本文所有规则仅供参考，由于个人情况不同，切勿完全模仿。

本文系作者原创，转载请保留原文地址：
http://my.opera.com/bloodmelon/blog/show.dml/284354