[2.0] Guardian - Reactive Firewall v2.1

-- ماذا تقدم هذه الاضافة --

تقوم بتلقي التحذيرات من Snort ثم صد الايبي المهاجم أو المخترقين أو الايبهات الضارة بالشبكة .. ويمكنك اضافة الايبهات أو تعديلها يدويا

-- تثبيت الاضافة --

يمكنك تنزيل الاضافة من هنا
ثم ارفع الملف لمجلد tmp ببرنامج winscp ثم انتقل لمجلد tmp ببرنامج putty واكتب أمر فك ضغط الارشيف التالي :

الكود:

tar -xzvf Guardian-2.1.tgz -C /

الآن اذهب للمسار التالي ببرنامج winscp :

الكود:

/var/smoothwall/langs/base.pl

ثم ابحث عما يلي :

الكود:

# ids.cgi
'snort is enabled' => 'Snort is enabled',
'snort is disabled' => 'Snort is disabled',

ثم اضف ما يلي بعد هذه الاسطر :

الكود:

'guardian' => 'Guardian Active Response:',
'guardiand' => 'Guardian Active Response',

# ipblock.cgi
'number' => '#',
'guardadd' => 'Guardian Added',
'resolve name' => 'Resolve Name:',
'ipblock settings' => 'IP block settings:',
'switch to manual' => 'Guardian -> Manual',
'can not switch to manual' => 'You can not perform a "Guardian -> Manual" switch on an already manual IP',

** اذا أردت أن تعمل الاضافة تلقائيا عند اعادة تشغيل سمووثي فاذهب للمسار التالي :

الكود:

etc/rc.d/rc.sysinit

وقبل الاسطر التالية :

الكود:

echo "Silencing kernel, syslog output on tty12"
echo >/proc/sys/kernel/printk "1 4 1 7"

أضف :

الكود:

if [ -e "/etc/guardian.conf" ]; then
echo "Starting Guardian (if enabled)"
/usr/local/bin/restartguardian

fi

** اعمل ملف جديد وسميه /etc/guardian.ignore وأضف فيه الايبهات التي لا تريدها أن تحظر مثل ايبي الكارت الأخضر والبرتقالي مثلا كل في سطر
** غير اعدادات Interface في ملف /etc/guardian.conf إلى مسمى الكارت الأحمر عندك مثلا eth0, eth1, eth2 .. وفي حالة اذا اردت أن تكون الحماية من برامج السبوف فتختار الكارت الأخضر .. راجع الموضوع في قسم الدعم الفني لمزيد من التوضيح
** الآن اذهب لصفحة سمووثي ثم اذهب لـ Snort واوقفه ثم شغله مرة أخرى لتظهر اضافة Guardian
** اذا اردت أن تظهر الاضافة في صفحة الحالة بسمووثي يمكنك التعديل في المسار /home/httpd/cgi-bin/status.cgi بتغيير :

الكود:

$tr{'web proxy'} => 'squid'
);

الى :

الكود:

$tr{'web proxy'} => 'squid',
$tr{'guardiand'} => 'guardian.pl'
);

وكذلك غير :

الكود:

if (open(FILE, "/var/run/${cmd}.pid"))
{
$pid = <FILE>; chop $pid;
close FILE;

إلى :

الكود:

if (open(FILE, "/var/run/${cmd}.pid"))
{
$pid = <FILE>; chomp $pid;
close FILE;

** الآن يمكنك ازالة الايبهات المحظورة من Guardian .. وسيتم حظرهم مرة أخرى اذا Snort حذر منهم ثانية

-- ازالة الاضافة --

أزل الملف guardian.pl من المسار /usr/local/sbin/
أزل المجلد /var/log/guardian
وأزل السطور التي أضفتها في /etc/rc.d/rc.sysinit

** جميع الأمور تتم اوتوماتيكيا في جارديان .. ويمكنك فقط التعديل في snort alert للتأثير على جارديان بتعطيل تحذيرات معينة مثلا

-- اعدادات حظر برامج P2P --

اذهب للمسار /etc/snort.conf ثم أزل علامة # قبل السطر التالي :

الكود:

# include $RULE_PATH/p2p.rules

ثم احفظ .. واكتب الأمر التالي في putty :

الكود:

restartsnort

الآن سيبدأ Snort في التحذير من P2P traffic وسيقوم جارديان بحظر هذه الايبهات

** اذا كان عندك mail server ووجدت أن بريدك الاليكتروني يتم صده .. فاذهب للسطر 138 في الملف /etc/snort.conf وازل علامة #

الكود:

# Stop Alerts on T/TCP
config disable_ttcp_alerts

ثم شغل هذا الأمر في putty لاعادة تشغيل snort :

الكود:

restartsnort

** هناك سطر في snort.conf في هذه الاضافة يتعارض مع الاصدارات Snort 2.2.x والأحدث .. ويجب عليك ازالة علامة # من السطر http_decode وكل شئ سيسير على ما يرام
** ينصح بتنزيل اضافة [2.0] Updatesnort PACK - one-click Snort rule updating لتحديث snort

جميلة جدا الاضافة دى بس فيها عيب واحد اللى مش مركب مكافح على جهاز بيقف النت عنده خالص ههههههههههههههههههههههههههه

أكيد