msgbartop
世界上没有老实人,所谓的老实人是用来欺骗像我这样老实的人!
msgbarbottom

29 4月 11 通过IPSec禁止IE浏览器访问任何网页

2011年4月29日发表于Int.Ru | 共有:0 人评论

看某个同事很不爽。自己岳父是当地的村长,嚣张的很。

她电脑坏了,没有电脑上网,天天追着找午夜客解决。

本来老板娘招她进来就因为她是当地村长的儿媳妇。因为厂房租用的事白给她薪水的。没有给事她做,天天让她闲坐着白领工资的,电脑也只是做个样子,她现在电脑坏了没有得玩了,跑午夜客这里来讲有多重要多重要的事情等着要她做。

大家心里都有明镜,有没有事让你做大家都知道。

看她非常不爽,所以午夜客决定禁止让她的电脑连网,只允许她的电脑在局域网内访问共享打印机之类的,不让她的电脑连接到互联网上访问网站。

IPSec 

首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec

IPSec叫做Internet协议安全。主要的作用是通过设置IPsec规则,提供网络数据 

包的加密和认证。不过这样高级的功能我无缘消受,只是用到了筛选功能罢了。通过设置规则进行数据包的筛选器,可以屏蔽不安全的端口连接。 

你可以运行gpedit.msc,在Windows设置>>计算机设置>>IP安全设置中进行手工设 

置。更加简单的方法是使用ipseccmd命令。 

ipseccmd在WindowsXP中没有默认安装,他在XP系统安装盘的 

SUPPORTTOOLSSUPPORT.CAB中。在Windows2000中它的名字叫做ipsecpol,默认 

应该也没有安装

1.禁止本机IE浏览器访问任何网站

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 0/255.255.255.255=*/255.255.255.255:80:tcp -n BLOCK -x

2.禁止本机任何端口访问网络

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 0/255.255.255.255=*/255.255.255.255:: -n BLOCK -x

3.禁止某IP对某IP服务器任何端口的访问(可以屏蔽发动CC攻击的IP)

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 61.152.144.75/255.255.255.255=0/255.255.255.255:: -n BLOCK -x

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 换成攻击者的IP/255.255.255.255=0/255.255.255.255:: -n BLOCK -x

4.屏蔽一个特定的IP子网

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 202.152.7.0/255.255.255.0=0/255.255.255.255:: -n BLOCK -x

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 202.152.0.0/255.255.0.0=0/255.255.255.255:: -n BLOCK -x

5.批量封IP

@for /f %%i in (1.txt) do (ipseccmd -w REG -p “CCstop” -r “%%i” -f %%i/255.255.255.255=0/255.255.255.255:: -n BLOCK -x)

把要封的IP放到1.txt中

IPsecCMD 是一个傻瓜化的命令行更改IP安全策略的安全小工具,从 ipseccmd /? 可以得到帮助. IPsecCMD是微软的安全工具,默认状态它不是系统自带的。

XP为ipseccmd

2000为ipsecpol

WIN2003为IPSEC

ipseccmd在xp系统安装盘的SUPPORTTOOLSSUPPORT.CAB 中,而且要正常使用pseccmd还必须保证IPSEC Services 服务开启和正常状态,否则引用命令时会出错,另外还必须保证有这两个文件:ipsecutil.dll和text2pol.dll。不然ipseccmd 也不能正常运行.  

下面是封闭TCP 135 危险端口名的例子:

ipseccmd  -w REG -p “关闭TCP 135” -o -x

ipseccmd  -w REG -p “关闭TCP 135” -x

ipseccmd  -w REG -p “关闭TCP 135” -r “Block TCP/135” -f *+0:135:TCP -n BLOCK -x

第一行中的命令是创建 关闭TCP 135 这个IPSec策略

第二行中的命令是激活 关闭TCP 135 这个策略

第三行中的命令是创建要禁止的端口

这里我们使用的是静态模式,常用的参数如下:  

-w reg 表明将配置写入注册表,重启后仍有效。 

-p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。 

-r 指定规则名称。 

-n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。 

-x 激活该策略。 

-y 使之无效。 

-o 删除-p指定的策略。

 

  其中最关键的是-f。它用来设置你的过滤规则,格式为

A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。其中=前面的是源地址,后面是目的地址。如果使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址,0代表我自己的IP地址。还可以使用通配符,比如144.92.*.* 等效于144.92.0.0/255.255.0.0。使用ipseccmd /?可以获得它的帮助。

如果希望将规则删除,需要先使用-y使之无效,否则删除后它还会持续一段时间。

禁止访问某IP的某端口

ipseccmd -w REG -p “wmzero safe policy” -r “disable connect ip” -f 0/255.255.255.255=202.108.22.5/255.255.255.255:80:tcp -n BLOCK -x

此段代码的含义:设置名为“wmzero safe policy”的IP安全策略,添加名为”disable connect ip”的规则。

筛选对象为:我的IP和202.108.22.5这个IP(255.255.255.255的意思就是单独一个IP。)

筛选操作为:禁止访问

端口:80

协议:TCP

测试是否生效:HTTP无法访问80端口。但是可以访问其他端口。因为协议选的是TCP,PING是可以通的。

禁止使用TCP协议访问某IP的某端口

ipseccmd -w REG -p “wmzero safe policy” -r “disable connect ip” -f 0/255.255.255.255=202.108.22.5/255.255.255.255:80:tcp -n BLOCK -x

此段代码的含义:设置名为“wmzero safe policy”的IP安全策略,添加名为”disable connect ip”的规则。

筛选对象为:我的IP和202.108.22.5这个IP(255.255.255.255的意思就是单独一个IP。)

筛选操作为:禁止访问

端口:80

协议:tcp

测试是否生效:无法使用HTTP访问,但是可以PING通。

在写规则的时候,应该特别小心,不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样,可以先用计划任务“留下后路”。例如: 

c:>net start schedule 

Task Scheduler 服务正在启动 .. 

Task Scheduler 服务已经启动成功。 

c:>time /t 

12:34 

c:>at 12:39 ipsecpol -p myfw -y -w reg 

新加了一项作业,其作业 ID = 1 

然后,你有5分钟时间设置一个myfw策略并测试它。5分钟后计划任务将停止该策略。 

如果测试结果不理想,就删除该策略。 

c:>ipsecpol -p myfw -o -w reg 

注意,删除策略前必须先确保它已停止。不停止它的话,即使删除也会在一段时间内继续生效。持续时间取决于策略的刷新时间,默认是180分钟。 

如果测试通过,那么就启用它。 

c:>ipsecpol -p myfw -x -w reg 

查看ipsec策略的命令是: 

netdiag /debug /test:ipsec 

然后是一长串输出信息。IPSec策略位于最后。 

下载地址:http://qwertyuiop123.free.fr/www.jingchu.org/hubei/soft/XP系统用ipseccmd.rar (请用迅雷下载,否则…)

怕有病毒的朋友可以访问: http://virscan.org/report/822ee0fe67bf42a7b21df95c4e01b320.html 查看在线杀毒扫描结果!

您的留言

*