none
allow ip from xxxx to any брандмауэр windows RRS feed

  • Вопрос

  • Привет!

    Такое дело: надо разрешить стандартному файрволлу винды любую активность с конкретного IP. Т.е с данного IP можно все, а с других соответственно ограничение по портам сделано. Можно ли это как-то сделать не вбивая руками 65535 строчек в редактор политики?  Это делается для настройки клиентов домена: т.е с контроллера домена все разрешено, но с других IP (клиентов) только некоторые разрешения.

    Можно ли как-то решить мою проблему?

Ответы

  • не вижу проблем с IPSec. Правила будут выглядеть примерно так:
    All IP Traffic - block
    from DC_IP:any -> to My IP Address:any -> TCP/UDP - permit
    from any:any -> to My IP Address:specified_ports -> TCP/UDP -permit

    ну и клиентская часть правил:
    from My IP Address:any -> to DC_IP:any -> TCP/UDP -> permit
    from My IP Address:any -> to any:specified_ports -> TCP/UDP -permit

    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Помечено в качестве ответа Nikita PanovModerator 7 сентября 2009 г. 12:09
    2 июня 2009 г. 18:18

Все ответы

  • Могу предложить использовать полититки IP Sec.
    Если не касаться шифрования и авторизации - получатся нормальный встроенный фаервол.

    • Предложено в качестве ответа Vadims PodansMVP 2 июня 2009 г. 8:35
  • К сожалению, в исключения для брандмауэра Windows XP (о нем ведь речь?) нельзя указать для порта "*" (любые), как и диапазон, так что определить исключение вида "*:TCP:<IP address>:Enabled:Any TCP from IP address" не получится. IP Sec не решение проблемы. Скажите, а зачем Вам разрешать "все"?


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Дмитрий, а чем вас не устраивает IPSec?
    Требуемое правило создать можно.
    2 июня 2009 г. 13:15
  • Александр, приведите пример правил для решения задачи автора темы.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    2 июня 2009 г. 13:39
    Отвечающий
  • В одном правиле разрешаем все порты на один IP и нужные порты на все IP. В другом, запрещаем весь трафик

    2 июня 2009 г. 14:43
  • Александр, не догадываюсь, как именно Вы предлагаете это реализовать?


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    2 июня 2009 г. 16:40
    Отвечающий
  • не вижу проблем с IPSec. Правила будут выглядеть примерно так:
    All IP Traffic - block
    from DC_IP:any -> to My IP Address:any -> TCP/UDP - permit
    from any:any -> to My IP Address:specified_ports -> TCP/UDP -permit

    ну и клиентская часть правил:
    from My IP Address:any -> to DC_IP:any -> TCP/UDP -> permit
    from My IP Address:any -> to any:specified_ports -> TCP/UDP -permit

    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Помечено в качестве ответа Nikita PanovModerator 7 сентября 2009 г. 12:09
    2 июня 2009 г. 18:18
  • Александр, Вадим, что же, соглашусь. Признаюсь, никогда не использовал политики IPSec в качестве замены брандмауэру. :)
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    2 июня 2009 г. 18:38
    Отвечающий
  • Ребята все большое спасибо, попробую IPSec, ток работать с ним не приходилось. А нужно это мне для того, чтоб нормально работал клиент SMS 2003 и у юзеров не было проблем с сетью. Т.е разрешить хочу все от контроллеров домена так как политикой нашей компанией включен файрволл. А клиент с включенным файрволлом не работает. Не хотел заморачиваться с портами.