(原创)MDF8.5规则包修正版

star1258

这次更新，只增加了局域网的支持，阻止不受欢迎网站，因最近工作较忙，没及时发上来，偶不会合并帖子，还得请斑竹帮忙与原帖合并
   下面是本规则包的详细介绍
    参考了ZA等防火墙、小邪邪的MVE8.5超强版之端口部分、MDF设置之我见等的有关参数，（规则包还增加了3个取自LNS的规则）制定了MDF8.5的规则包，此为修正版本，现介绍如下：
    1、VPN（3条规则），组位置不能调整
    允许 IPsec ESP
    允许 IKE
    允许 GRE
    2、Ping和ICMP（8条规则）如不用ICMP，可以全部禁止，或者在启用最后一条规则前提下删除此规则组
    阻止传入的 Ping
    阻止 ICMP 时间戳
    阻止 ICMP 地址掩码
    阻止 ICMP 信息请求
    阻止 ICMP 路由器请求
    阻止 ICMP 重定向
    允许 ICMP不可达目标消息传入
    允许 ICMP源抑制
    3、网络协议组(4条规则)，如使用，需要允许，组位置不能调整
    阻止网络时间协议
    阻止IGMP通讯
    阻止BOOTP
    允许137通讯，是我的咖啡升级，如使用需要重新指定程序路径
    4、新增:NetBIOS组（7条规则），组位置不能调整，这个组是为了局域网使用而设置的，没有局域网的可以删除，不删除也不会影响安全效果（除非用户添加了信任区域）
局域网的用法：在可信对象里添加Ip地址范围为局域网的范围，如192.168.0.1-192.168.0.30，即可击活本规则组，不过在MDF中没发现ARP功能，有ARP攻击捆饶的用户最好使用其他的墙
    允许NetBIOS名称服务，网上邻居文件传输
    允许NetBIOS数据报，网上邻居文件传输
    允许NetBIOS会话传入，打印机端口
    允许NetBIOS会话传出，打印机端口
    允许NetBIOS TCP传入，网上邻居TCP通信
    阻止NetBIOS TCP传入，阻止非网上邻居TCP通信
    允许NetBIOS TCP传出，网上邻居TCP通信
    5、阻止连接策略(6条规则)，组位置不能调整
    新增：阻止不受欢迎网站，定义了七十多个不受欢迎的网站，如发现某些网站不能联网，请参看本条规则是否包含
    注：地址收集截止日期为 2007年1月，仅表明至收集时止验证有效。事后这些网址可能进行了内容或感染方式的修改，因此不能保证你参考使用时仍然有相同的表现，自己如发现不良网站可继续添加
    阻止TCP低端端口、阻止UDP低端端口，禁止了所有TCP、UDP对本机低端端口的访问，（因个人是ADSL上网，采用客户端方案，）如果要使用本机少数几个低端端口，请在此2个规则之上加入允许某个低端端口（如NetBIOS组）；如果是服务端，要使用本机多个低端端口，请取消阻止TCP低端端口、和阻止UDP低端端口这两条规则，加入以下规则：
拦截UDP传入连接： 135, 139, 445, 67, 80, 137, 161
拦截UDP传出连接： 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015
拦截TCP传入连接： 21, 22, 23, 25, 53, 79, 80, 110, 113, 119, 135, 137, 138, 139, 143, 443, 445, 593
拦截TCP传出连接： 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015
    +Invalid UDP packet，阻止UDP空连接
    +Loopback，阻止本地回显   
    6、拦截TCP传出连接，(27条规则)阻止了约27*4个TCP端口外联，主要作用是防止木马外联
    7、拦截UDP传出连接，(26条规则)阻止了约26*4个UDP端口外联，主要作用是防止木马外联
    8、拦截UDP传入连接，(1条规则)阻止UDP端口4000-8080的传入连接
    9、拦截TCP传入连接，(4条规则)阻止了一些TCP端口的传入连接
    10、允许 DNS，放在此位置，为了安全，（如果知道网络提供商的DNS地址，亦可填入地址拦）不可移动上下位置
    11、软件规则组，（使用PPLive作为P2P类软件规则示例，程序路径需要重新指定，便于大家自己制定程序规则，）存放大家所使用的软件规则，组位置不能调整
    11、阻止所有连接，放在最后，大家使用联网软件时，请先取消此规则，待网络软件规则制定好以后再启用，目的是减少连接提示
    另外，使用本规则，应用程序策略需要重新适配，windows的系统程序在使用本规则包后，第一次重新启动系统后会自动适配
    关于程序设置，因导入规则包包含程序设置，现说明：
    防火墙策略：起用防火墙，启用传出和传入，可信对象无
    应用程序策略（咖啡的AD功能）：全部启用
    活动日志：记录阻止连接通讯和入侵
    入侵签名全部勾选，受到入侵显示消息

pamier2001

支持下，非常喜欢mdf,非常简洁
就是p2p，比如电驴的规则，除了全部选any，还有其他的好方法么？

star1258

原帖由 pamier2001 于 2007-2-2 13:02 发表
支持下，非常喜欢mdf,非常简洁
就是p2p，比如电驴的规则，除了全部选any，还有其他的好方法么？

呵呵，我也同样喜欢MDF
P2P在MDF上偶目前没有发现其他更好的方法，如果有，还请分享一下，共同学习

最近发现规则包有一处错误，在此处占个地方做个更正，如下
http://bbs.kafan.cn/viewthread.php?tid=64849&extra=page%3D1
解决办法也在此帖子当中，希望使用规则包的朋友做下更正，谢谢
在此向使用我的规则包的朋友说声歉意

[ 本帖最后由 star1258 于 2007-4-16 22:50 编辑 ]

拖鞋

先顶再看！

tonylu000

我还是喜欢自己编，毕竟我没用BT、电驴……

star1258

原帖由 tonylu000 于 2007-2-2 15:26 发表
我还是喜欢自己编，毕竟我没用BT、电驴……

惭愧，我的说明文件没说清楚，在此说明一下，软件规则组只有一组（三条）规则，就是使用PPLive作为P2P类软件规则示例，其他程序规则是需要根据个人不同情况去编写的，完全可以参照PPLive的编写方法，即便松散点也没不会有安全问题，因为在软件规则组上面做了足够的规则限制，请大家放心使用，如出现错误我将及时修正

tonylu000

不过还是要感谢LZ啊，以后要用的话就直接可以用LZ编好的规则了

wweir

下了学习一下！感谢分享！

小邪邪

不错，多谢分享

dwh

谢谢楼主,编写规则费了你很多时间,衷心感谢.