Я пытаюсь настроить брандмауэр Windows на Server 2008 R2, чтобы блокировать все, кроме трафика, который я добавляю в список правил.
Я вижу, что есть три политики - публичная / частная / доменная. Я делал одинаковые изменения настроек для каждого из них, хотя у меня только одна сетевая карта и ей назначена политика домена.
В свойствах политики домена я установил для входящих подключений значение «Блокировать (по умолчанию)», но это все равно пропускает ICMP. Я изменил его на «блокировать все соединения» и создал правило для входящего трафика, которое разрешает ICMP из всех трех профилей для всех программ на всех интерфейсах, но это заставило брандмауэр отбрасывать трафик ICMP, хотя у меня есть разрешающее правило, созданное для него.
Согласно этому документация разрешающие правила должны иметь преимущество перед правилами по умолчанию. Я хочу установить правило по умолчанию, чтобы блокировать весь трафик и разрешать только определенный трафик с разрешающими правилами.
Я создал два настраиваемых правила разрешения:
С политикой входящих подключений, настроенной на блокировку всех подключений, и включенными указанными выше правилами разрешения, она по-прежнему блокирует мои удаленные эхо-запросы.
Как мне настроить брандмауэр Windows для этого?
Обновление. Оказывается, я использовал неправильный графический интерфейс (смущает). Вместо использования графического интерфейса в административных инструментах я использовал тот, который находится в редакторе групповой политики (который выглядит идентично). На брандмауэре уже были установлены правила, которые я не видел в редакторе групповой политики. Эти правила вступали в силу, но я этого не осознавал, что и привело меня в замешательство. Чтобы сделать то, что я хотел, мне просто нужно было установить политику «Блокировать (по умолчанию)» (конечно, с помощью правильного инструмента). После удаления всех ранее существовавших правил (которые я не видел с помощью редактора групповой политики) я смог разрешить только тот трафик, который мне нужен, создав определенные разрешающие правила.
Если у вас есть несколько правил, соответствующих вашему трафику, приоритет будет иметь правило блокировки.
Если вы не выберете Отменить правила блокировки в правиле разрешения.
Кроме того, при использовании Блокировать все подключения правило, опция Override не работает.
Извините, я просто перечитал документацию.
Короче говоря, я считаю, что то, чего вы хотите достичь, не совсем возможно с брандмауэром Windows.
К сожалению, он не работает как сетевые брандмауэры. Т.е. прочитайте правила сверху вниз и используйте первое, что соответствует.
Если у вас есть правила с разрешениями и блокировками, которые будут соответствовать трафику, тогда они будут заблокированы.
Я вижу, что есть три политики - публичная / частная / доменная. Я делал одинаковые изменения настроек для каждого из них, хотя у меня только одна сетевая карта и ей назначена политика домена.
Кроме того, внесение изменений в политики брандмауэра для общедоступных и частных не будет иметь никакого эффекта, пока ваш сетевой адаптер все еще использует сетевой профиль домена.
Согласно этой документации разрешающие правила должны иметь приоритет над правилами по умолчанию. Я хочу установить правило по умолчанию, чтобы блокировать весь трафик и разрешать только определенный трафик с разрешающими правилами.
Вы делаете это нелегко. Политика по умолчанию профиля домена реализует политику запрета на вход по умолчанию и разрешающую исходящую политику по умолчанию (т. Е. Входящие подключения заблокированы, а исходящие подключения разрешены). Если вы изменили эти настройки по умолчанию, вы можете вернуть их в Свойства брандмауэра Windows диалог.
Затем, чтобы включить трафик ICMP, включите следующие два разрешающих правила:
File and Printer Sharing (Echo Request - ICMPv4-In)
File and Printer Sharing (Echo Request - ICMPv6-In)