none
Доступ на сервер (Firewall, Local Security Policy) RRS feed

  • Вопрос

  • В наличии server 2008 R2 standart (без домена)

    1. Разрешающее входящее правило в фаерволе на 21порт для определенных удаленных ip.

    В итоге вход по 21 порту возможен с любого ip.

    Аналогичное правило для rdp (3389) для тех же определенных удаленных ip работает! То есть доступ разрешает только на указанный список ip.

    2. Local Security Policy

    Создал политику с блокировкой по аналогии с этим материалом(http://www.mywebhostingblog.net/aspnet-web-hosting/how-to-block-ip-on-windows/)

    Для теста запретил доступ с ***.***.***.*** (Any port). Делаю пробный коннект с этого ip и получаю доступ!

    С чем может быть связано игнорирование правил и политики?

    В целом задача довольно тривиальная: разрешить доступ к серверу только с определенного списка белых ip (внешних)

    Спасибо!


    • Изменено shustro 15 февраля 2013 г. 8:49
    15 февраля 2013 г. 8:46

Ответы

  • Разрешать подключение по 21 порту для указанного списка ip.

    Других разрешающих правил нет.
    http://i.piccy.info/i7/27e811869541b7095ca36def0cac6914/4-55-1909/12222609/1212.png

    Тестовое правило с новым фтп узлом. В итоге оно разрешает коннект с любого адреса, хотя указано только для одного ip


    15 февраля 2013 г. 10:56

Все ответы

  • Ваша проблема в том, что Вы пользовались устаревшим Howto для старых версий Windows. Начиная с Windows Vista/Server 2008 брандмауэр был сильно переработан и IPSec интегрирован в него.

    Почему не работает старый способ, я сейчас не скажу, но это и не важно. В новых версиях Windows тривиальная задача решается действительно тривиально: отключается, если оно включено (а оно включается при установке службы FTP роли Веб-сервер ) стандартное правило для доступа по FTP, после чего создается (лучше всего - по аналогии со стандартным) свое правило, разрешающее доступ не со всех IP, а с указанного их списка.


    Слава России!


    • Изменено M.V.V. _ 15 февраля 2013 г. 10:06
    15 февраля 2013 г. 10:05
  • Стандартное правило было удалено и создано новое, сразу после установки ftp.

    Если в том правиле запретить доступ, в таком случае оно сработает. Почему тогда не работает на allow?

    То есть запрещено с указанного списка, с остальных ip пускает.

    PS: Создал новый узел ftp на 221 порт.

    Добавил правило в фаервол с разрешением подключения только для 1 ip. Опять таки оно не сработало, пускает и с других адресов.

    • Изменено shustro 15 февраля 2013 г. 10:46
    15 февраля 2013 г. 10:33
  • Как настроен брандмауэр Windows - на разрешение не указанных в правилах подключений или на их запрет?

    Если на запрет, то внимательно просмотрите включенные правила - не разрешают ли они подключений по FTP. Имейте в виду, что правила могут быть не только для проктолов/портов но и для служб и программ.


    Слава России!

    15 февраля 2013 г. 10:51
  • Разрешать подключение по 21 порту для указанного списка ip.

    Других разрешающих правил нет.
    http://i.piccy.info/i7/27e811869541b7095ca36def0cac6914/4-55-1909/12222609/1212.png

    Тестовое правило с новым фтп узлом. В итоге оно разрешает коннект с любого адреса, хотя указано только для одного ip


    15 февраля 2013 г. 10:56