娱乐新地带论坛 - 【转贴】8Signs Firewall应用

娱乐新地带论坛 (https://bbs.1819.net/index.php)

- 『网络家园』 (https://bbs.1819.net/forumdisplay.php?f=13)

- - 【转贴】8Signs Firewall应用 (https://bbs.1819.net/showthread.php?t=30417)

Tony	2006-04-19 02:55 PM

【转贴】8Signs Firewall应用

4 个附件

用于逃避内网使用arp欺骗原理网管软件的监视，如：网络执法官、聚生网管等。（不适用于网关型代理服务器或交换机Port Mirror的监控模式）：

一、原理就不说了，首先检查内网是否有人在使用此类网管软件。
运行 arp –a
如下图可看到本机arp表里有两个IP的MAC地址是一样的，192.168.2.1是网关IP。而192.168.2.23这个IP。正在使用此类网管软件，它正在进行ARP欺骗。
附件 6384
二、安装8Signs Firewall软件
附件 6385
附件 6386
三、安装好后重新启动计算机，将原来firewall默认的ARP规则禁止或删除掉，如下图所示：
附件 6387

Tony	2006-04-19 03:00 PM

5 个附件

四、然后在Rule菜单下建立可信任的IP Address Group，如下图：
附件 6388

五、建立组名：
附件 6389

六、加入网关的IP地址192.168.2.1：
附件 6390

七、在Rules菜单下建立可信任的MAC Group
附件 6391

八、建立MAC Group 名：
附件 6392

Tony	2006-04-19 03:05 PM

5 个附件

九、输入网关设备的真实MAC地址:
附件 6393

十、新建ARP规则：
附件 6394

十一、规则描述：

附件 6395

十二、选择前面已经设置好的Allow Lan IP Address：
附件 6396

十三、选择Allow：
附件 6397

Tony	2006-04-19 03:09 PM

4 个附件

十四、运行gpedit.msc ：
附件 6398

十五、添加计算机启动时运行的批处理文件，用于绑定网关的IP和MAC地址：
附件 6399

十六、建立“Allow Lan MAC List.bat”文件，内容如下图，并把文件放到
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup 目录下：
附件 6400

十七、重新启动计算机完成设置。被8Signs Firewall拦截到的ARP包,如下图，乖乖，你看那网管软件整网段狂发ARP包。
附件 6401

Tony	2006-04-19 03:12 PM

3 个附件

十八、设置取消Log日志：

所有时间均为北京时间。现在的时间是 03:31 PM。