Брандмауэр Windows в режиме повышенной защиты
-
19 марта 2012 г. 6:09
Есть домен Windows 2008 в режиме Windows 2008. Создал групповую политику, управляющую брандмауэром на клиентах Windows 7. В политике указал, что во всех профилях брандмауэр включен, входящие подключения блокируются, исходящие блокируются, правила локального брандмауэра не объединяются.
Создал два правила:
1. Входящие соединения разрешены для всех протоколов всех программ, для любых локальных адресов, но с удалённых адресов только из моих внутренних сетей (перечислил все мои сети RFC1819 для IPv4 и fc::/7 для IPv6).
2. Исходящие соединения разрешены для всех протоколов всех программ, с любых локальных адресов, но только на удалённые адреса моих внутренних сетей.
В итоге, получил на клиенте, что брандмауэр включен в профиле "Домен", исходящие, входящие блокируются, и т.д., все пункты параметров брандмауэра серые, менять нельзя. Как и задумано. Но... вот с правилами проблема: не смотря на то, что я запретил объединение с локальными правилами (и это запрещение видно в свойствах брандмауэра), в списке правил есть кроме двух вышеуказанных правил ещё и всякие локальные правила, которые понавставляли всякие ранее установленные программы (ICQ, Java, Xming и т.д.). И эти правила с зелёными галочками, т.е., включены.
Пробую на клиенте сделать пинг на внешний адрес (не из моей сети), получаю вот так:
С:\>ping х.х.х.х Обмен пакетами с х.х.х.х по с 32 байтами данных: Ответ от 192.168.101.2: Заданная сеть недоступна. Ответ от 192.168.101.2: Заданная сеть недоступна. Ответ от 192.168.101.2: Заданная сеть недоступна. Ответ от 192.168.101.2: Заданная сеть недоступна. Статистика Ping для х.х.х.х: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь)
Т.е., пинги с машины таки уходят: 192.168.101.2 - это рутер во внешний мир, он и не пускает мои пинги наружу. А должен-то их резать (по моему замыслу) Брандмауэр Windows!
Что я сделал не так или понял не так?
Сергей Панченко
.png)
