Ip安全策略支持WIN7系统

此功能在网吧当中经常用到，喜欢玩技术的人可以研究一下

“netsh“是Windows 2000/XP/2003操作系统自身提供的命令行脚本实用工具。经过测试是不支持XP的。但是支持WIN7系统.

XP下可以使用ipseccmd命令操作,教程在最下面。

文章来源于网络，做个记录。

netsh IP策略教程

‘建立一个名字叫XBLUE的安全策略先
netsh ipsec static add policy name=XBLUE
‘建立一个ip筛选器，指定192.168.1.2
netsh ipsec static add filterlist name=denyip
netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=Me dstport=3389 protocol=TCP
‘建立一个筛选器操作
netsh ipsec static ad

d filteraction name=denyact action=block
‘加入规则到安全策略XBLUE
netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip filteraction=denyact
‘激活这个策略
netsh ipsec static set policy name=XBLUE assign=y
把安全策略导出
netsh ipsec static exportpolicy d:\ip.ipsec
删除所有安全策略
netsh ipsec static del all
把安全策略导入
netsh ipsec static importpolicy d:\ip.ipsec
激活这个策略
netsh ipsec static set policy name=策略名称 assign=y
入侵灵活运用
得到了61.90.227.136的sa权限。不过有策略限制，访问不到他的3389。我想用他的3389。
netsh ipsec static add filterlist name=welcomexblue
netsh ipsec static add filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=7892 protocol=TCP
netsh ipsec static add rule name=letxblue policy=ConnRest filterlist=welcomexblue filteraction=Permit
访问结果
可以访问了。
netsh ipsec static del rule name=letxblue policy=ConnRest
更改
netsh ipsec static set filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=3389 protocol=TCP
删除
netsh ipsec static del rule name=letxblue policy=ConnRest
netsh ipsec static del filterlist name=welcomexblue

 

REM =================开始================
netsh ipsec static ^
add policy name=bim

REM 添加2个动作，block和permit
netsh ipsec static ^
add filteraction name=Permit action=permit
netsh ipsec static ^
add filteraction name=Block action=block

REM 首先禁止所有访问
netsh ipsec static ^
add filterlist name=AllAccess
netsh ipsec static ^
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any
netsh ipsec static ^
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block

REM 开放某些IP无限制访问
netsh ipsec static ^
add filterlist name=UnLimitedIP
netsh ipsec static ^
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me
netsh ipsec static ^
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit

REM 开放某些端口
netsh ipsec static ^
add filterlist name=OpenSomePort
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP
netsh ipsec static ^
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit

REM 开放某些ip可以访问某些端口
netsh ipsec static ^
add filterlist name=SomeIPSomePort
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP
netsh ipsec static ^
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit

ipseccmd命令教程

ipseccmd：

例子：ipseccmd -w REG -p “DDosBanIP” -r “%%i” -f %%i/255.255.255.255=0/255.255.255.255:: -n BLOCK -x

作用：禁止某个IP访问本机。

实例操作：

1.禁止本机IE浏览器访问任何网站

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 0/255.255.255.255=*/255.255.255.255:80:tcp -n BLOCK -x

2.禁止本机任何端口访问网络

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 0/255.255.255.255=*/255.255.255.255:: -n BLOCK -x

3.禁止某IP对某IP服务器任何端口的访问(可以屏蔽发动CC攻击的IP)

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 61.152.144.75/255.255.255.255=0/255.255.255.255:: -n BLOCK -x

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 换成攻击者的IP/255.255.255.255=0/255.255.255.255:: -n BLOCK -x

4.屏蔽一个特定的IP子网

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 202.152.7.0/255.255.255.0=0/255.255.255.255:: -n BLOCK -x

ipseccmd -w REG -p “CCstop” -r “disable connect ip” -f 202.152.0.0/255.255.0.0=0/255.255.255.255:: -n BLOCK -x

5.批量封IP

@for /f %%i in (1.txt) do (ipseccmd -w REG -p “CCstop” -r “%%i” -f %%i/255.255.255.255=0/255.255.255.255:: -n BLOCK -x)

把要封的IP放到1.txt中

—————————————————————————————————-

ipseccmd 可以理解为ip安全策略的命令行版。可以使用命令参数来设置各种各样的ip安全策略。

常用参数

-w reg 表明将配置写入注册表，重启后仍有效。

-p 指定策略名称，如果名称存在，则将该规则加入此策略，否则创建一个。

-r 指定规则名称。

-n 指定操作，可以是block、pass或者inpass，必须大写。

-x 激活该策略。

-y 使之无效。

-o 删除-p指定的策略。

高级参数

-f 设置过滤规则。格式为

a.b.c.d/mask:port=a.b.c.d/mask:port:protocol。

其中=前面的是源地址，后面是目的地址。如果使用+，则表明此规则是双向的。

ip地址中用*代表任何ip地址，0代表我自己的ip地址。还可以使用通配符，比如144.92.*.* 等效于144.92.0.0/255.255.0.0。

-lan 指定规则应用为局域网。

-dialup 指定规则应用为广域网。

+   表示双向。

*   表示所有ip

0   表示自己的ip

4.1禁止以任何协议访问某ip的任何端口

ipseccmd -w reg -p “clxp safe policy” -r “disable connect ip” -f 0/255.255.255.255=202.108.22.5/255.255.255.255:: -n block -x

此段代码的含义：设置名为“clxp safe policy”的ip安全策略，添加名为”disable connect ip”的规则。

筛选对象为：我的ip和202.108.22.5这个ip（255.255.255.255的意思就是单独一个ip。）

筛选操作为：禁止访问

端口：所有

协议：所有

测试是否生效：此规则为我以任何ip任何端口都无法访问202.108.22.5这个ip，这个ip是百度的。

直接以http访问，应该是访问不到的，用的是tcp协议。目标端口80

直接ping 202.108.22.5，应该是ping不通的，用的是icmp协议。

4.2禁止访问某ip的某端口

ipseccmd -w reg -p “clxp safe policy” -r “disable connect ip” -f 0/255.255.255.255=202.108.22.5/255.255.255.255:80:tcp -n block -x

此段代码的含义：设置名为“clxp safe policy”的ip安全策略，添加名为”disable connect ip”的规则。

筛选对象为：我的ip和202.108.22.5这个ip（255.255.255.255的意思就是单独一个ip。）

筛选操作为：禁止访问

端口：80

协议：tcp(必须指定端口.感谢易拉罐提出错误.)

测试是否生效：http无法访问80端口。但是可以访问其他端口。因为协议选的是tcp，ping是可以通的。

4.3禁止使用tcp协议访问某ip的某端口

ipseccmd -w reg -p “clxp safe policy” -r “disable connect ip” -f 0/255.255.255.255=202.108.22.5/255.255.255.255:80:tcp -n block -x

此段代码的含义：设置名为“clxp safe policy”的ip安全策略，添加名为”disable connect ip”的规则。

筛选对象为：我的ip和202.108.22.5这个ip（255.255.255.255的意思就是单独一个ip。）

筛选操作为：禁止访问

端口：80

协议：tcp

测试是否生效：无法使用http访问，但是可以ping通。

4.4双向限制。

什么是双向限制呢？就是我不能用tcp协议访问你，你也不能用tcp协议访问我。

我不能用访问你的80端口，你也不能访问我的80端口。

要实现这个就简单了。只要把上面代码里的“=”等号，换为“+”加号就可以了。

4.5禁止所有人访问我的某的端口。

ipseccmd -w reg -p “clxp safe policy” -r “block tcp/135” -f *=0:135:tcp -n block -x

4.6禁止ping。

针对任何网络都禁止ping入和ping出。

ipseccmd -w reg -p “clxp safe policy” -r “disable out ping” -f *=0::icmp -n block -x

局域网禁止ping入。

ipseccmd -w reg -p “clxp safe policy” -r “disable out ping” -f *=0::icmp -n block -x -lan