卡巴防火墙包过滤设置详解与最强模式!(最新补充)

abcchinaxi

支持的挖。`

801953

学习了，虽然半懂不懂，但谢谢了

xqiafl

唉!!　　真是亲人啊！！

　　总算找到一个实货的．　　　
　

不过，卡巴默认的隐藏模式已经可以做到这点了。

　　是的．　如你所说，　如果，你所说的外网，指的是．　从外到内的，入站流！
　　那么，　卡巴自身，就可以做到．　我这个规则(封本地1-10000)，说实话，　是有点多

　　余．　卡巴默认就可以做的很好！

　　不过，　加进去，又没害处！

　

正如大家知道的那样，木马是随机端口的，其实很多浏览器和qq也是随机端口的，所以封闭一些比较高位的端口是没有关系的（ff/opera/qq/都可以自己找空闲端口开）。

在这里，本人要说明一下子．　虽然．本人封了本地所有端口．　但本地程序，在本地

开端口时．　并不会受到影响！　　这也是出站流的效果．　

不过，要真的做到有效率，外联才是重要的，这就要做单独程序的规则了，做完后开到高安全。这样就防止莫名其妙的程序访问外端口（钩子或注入获权的反弹木马可以用卡巴自带的主动防御和文件完整性弥补）

对于网站的一般扫描测试，其实这个规则只是把隐藏模式的内容量化，属于重复操作了

这个地方，　你跟本人，想的完全一样．　　本人在用卡巴时．

　防火墙就是开的最高级！　规则是死的．　人是活的．　

　要根据．每个人的情况，　设置好，　出站流规则包．

　本人．认为．　这个规则，要改也是改＂出站流＂　

81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999　

这个地方，　为了防止，木马的控制端，改端口．　所以把ＴＣＰ中的端口．几本上全封！

目的，很明确．　就是为了防止反弹木马．　　

为什么说，　要改也只需改出站流规则包？？

原因很简单！　　ＷＥＢ服务在远程，开的是多少？？　　８０端口吧！

如果，你在上面那个端口规则中，把８０加进去，效果会如何？？

很明显，　你将不能上网．　

而在本地．　入站流规则包！

[PacketRule]
Name=禁止本地UDP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=UDP
Direction=InboundStream
LocalPort=10000-65535

[PacketRule]
Name=禁止本地TCP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=TCP
Direction=InboundStream
LocalPort=1-10000

这个地方，之所以，本人不改．　是因为．根本不必要改．

因为．　　这个规则，对于本地运行的程序，是形同虚拟的．它不会对本地运行的任何程序造成，任何实质性影响．

换句话说．这个入站流规则包，看视，已把本地端口全封．　其实，这对于本地运行的程序而言．根本不起任何作用．

因为它是入站包．　不是出站包，　

而真正影响程序运行．是下面一些外网端口．　
也就是：

81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999

这些端口．才是影响程序运的关键！　所以，　本人所说，要根据自身实际情况，对于出站规则包，进行修改．

也是指，这些端口了．　因为．你本地运行的某些程序，也许，远程开放的端口．就在本人封杀范围之内！

这将导致你不能正常运行那个程序．　　所以．　要进行合适的修改！！

为什么，本人会说，这是最强的规则包呢？？

其实，这个规则包，从某种意义上来讲，并没太多东西．　总共加起来，也才四个规则，

可以说，少的可怜．　　但，为什么说最强？？　　强在哪里？？　　

本人制作这个规则包，出发点，就是＂远程控制软件＂．　我主要针对的就是这种工具．

而，这种工具，往往就是防火墙的死穴．　　基本上，从理论上来讲，是防不胜防的！

但，事实上．　你们也知道，　这种程序，它是分服务端，和控制端．

服务端：　也就是运行了木马的机子．

控制端：　也就是运行了鸽子这个主程序的机子．

而，这个里面，木马所谓的开端口．　改端口．　它是改的是什么端口？？

对了！！　它是改的相对于服务端而言的外网端口．　并非本地端口．　所以，

一般，防火墙，才防不胜防．　但，是不是就不能防？？

答案是否定的．　　我们在这里，已经知道，它的上线端口．　是开在了＂远程端口＂　这个上面！

那么，试问．　远程控制软件，还会是防火墙的死穴吗？？

显然从某种程序上来讲，　是不可能的．　虽不能百分之百封．　但也可封掉一大部份．

原理：　

数据流：出站流！

协议：　ＴＣＰ　阻止．

端口：　外网端口：８０００．

就这样一个简单的设置．　如果，对方的鸽子上线端口是８０００．　那么，你还会被控制吗？

答案是否定的．　不可能再被控制．　

试问：81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999

我把８０００，改成了．上面那些端口了．　

请问：　对方，控制你的可能性还会有多少？？？

有位兄弟，总是要我去看别人写的防火墙文章，什么，所有防火墙都很弱．之类的！

之所以，本人不去看，不是．本人装精．　而是，根本就没必要看．因为．使用本规则，

再配程序规则，那么．这将是史上最强大的防火墙！　　

相信，本人这样解释．大家应该都明白了吧！

[ 本帖最后由 xqiafl 于 2007-10-18 23:23 编辑 ]

金苑

利用反弹TCP80端口，将Executor、RingZero注入到IE 端口，就玩完了，呵呵！

xqiafl

注入到８０．　这个地方，没人能防的住的．

只能靠程序规则！　

金苑

现在利用反弹TCP80端口的东西多得要命，象楼主的所谓最强只能是等做肉鸡吧，呵呵。

xqiafl

这位兄弟！！

　程序规则不是吃大便的！！

　防火墙中默认开８０端口的程序，完全可以去掉它的所有外网端口．

　　另外，再将防火墙安全级别开到最高！这样，可以解决这一问题．

再说，一个程序想要通过卡７ＫＩＳ．　谈合容易．　只要做好时间保护．　

　基本上不可能被干掉．　

　　你也许，会说，　有木马可以干掉ＫＩＳ主动防卸．但不好意思，本人运行这种木马后．马上就蓝屏了！

实在不好意思．　本人的字典中，没有做别人肉鸡．这一概念．　你能够想到突破防火墙的东西，

本人基本上也想到了．

因为．本人．安全很强！　

[ 本帖最后由 xqiafl 于 2007-10-18 23:28 编辑 ]

金苑

原帖由 xqiafl 于 2007-10-18 23:25 发表
这位兄弟！！

　程序规则不是吃大便的！！

　

你才是吃大便的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

eden_cao

没想到还真会闹腾的如此热闹。。。

9楼我就说了，这种帖子54就是了

LZ分明就是井底中一个认死理的可爱青蛙

kk12

整帖收藏，谢谢搂主了。