none
Фаервол в режиме повышенной безопастности RRS feed

  • Общие обсуждения

  • В системе две сетевухи, одна смотрит в интернет, другая в сеть. В сети необходимо видеть расшаренные папки (в т.ч. для гостей), а вот в инете не надо. (Компьютер настроен как контроллер домена)

    Данная ситуация такова, в брандмауере блокирую исходящий порт 445 для всех, а расшаренные папки видны как через интернет, так и с локалки - в логах ничего нормального, только вот такого вида строчка

    2012-08-03 10:36:25 ALLOW TCP ::1 ::1 49279 445 0 - 0 0 0 - - - SEND
    2012-08-03 10:36:25 ALLOW TCP ::1 ::1 49279 445 0 - 0 0 0 - - - RECEIVE
    2012-08-03 10:36:25 ALLOW TCP ::1 ::1 49280 135 0 - 0 0 0 - - - SEND
    2012-08-03 10:36:25 ALLOW TCP ::1 ::1 49280 135 0 - 0 0 0 - - - RECEIVE

    хотя подключения из интернета идёт с конретного ип адреса.

    3 августа 2012 г. 7:00

Все ответы

  • на внешней сетевухе обычно отключают службы клиента микрософт сетей, файл и принт шаринга, обнаружения и прочее

    и если нужна запретить 445 для подключений из интернета на сервер то все таки наверное входящий надо закрывать

    3 августа 2012 г. 8:18
    Модератор
  • не поверите - отключены, входящие тоже толком не могу настроить, тут вопрос не что нужно, а почему не блочит

     
    3 августа 2012 г. 9:07
  • ну видимо потому что направление запрета стоит неправильное. еще надо проверить другие правила, один и тот же протокол может быт mhfphtity разными правилами
    3 августа 2012 г. 9:14
    Модератор
  • распишу более подробно, сетевуха которая смотрит в интернет имеет серый ip (10.36...) у провайдера NAT меняет на реальный ip 109.172....

    В брандмауэре правила настроены (пока не пойму как этот фаер работает) следующим образом:

    Входящие подключения блокировать, кроме тех которые прописаны в правилах,

    Исходящие разрешить, кроме тех которые прописаны в правилах

     

    Дабы понять как пакеты проходят интерфейсы включаю журнал, но там половина пакетов не видна, следовательно у меня и возникает такой вопрос, как именно пакеты проходят через фаервол?

    ЗЫ. Ещё не могу понять, как именно настроить что бы пакеты из локальной сети по порту 445 приходил, а из интернета блокировались. Локальный адрес на инетовский интерфейс прописывал на блокировку - всё равно игнорирует, а удаляю все правила, тогда блочит и локалку

    3 августа 2012 г. 9:49
  • Конечно не видна - у вас включена галочка Log dropped packets (перевод тут подкачал, корректно будет "отброшенные пакеты"). Соответственно, в журналах вы видите пакеты, которые брандмауэр отбрасывает, а не пропускает.

    После настройки правил, с какого компьютера вы выполняете проверку? С находящегося вне сети предприятия? И еще - у вас вторая сетевая карта (что для контроллера есть вообще очень плохо) регистрируется в DNS? Если да, запретите эту регистрацию и удалите соответсвующие записи.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    8 августа 2012 г. 12:19
  • а так же Вы показываете настройки для доменного профиля Фаервола, а на второй (внешней) сетевой карте у Вас общий должен быть по идее, который больше пакетов фильтрует.
    9 августа 2012 г. 8:50
  • а так же Вы показываете настройки для доменного профиля Фаервола, а на второй (внешней) сетевой карте у Вас общий должен быть по идее, который больше пакетов фильтрует.

    > по идее да, но судя по логам только доменная сеть

    Vinokurov Yuriy

    >После настройки правил, с какого компьютера вы выполняете проверку?

    и с локалького 192.168 и с интернетовского 2ip.ru 

    >И еще - у вас вторая сетевая карта (что для контроллера есть вообще очень плохо) регистрируется в DNS?

    отключил - ничего не изменилось

    вопрос так и остаётся, пример блокирую входящий порт 445 на все сети(доменные и др)

    скрин

    я думаю он должен никого не пускать, т.к. сначало обрабатывает блокирующие правила, а потом разрешающие, однако вот что вижу


    10 августа 2012 г. 7:23
  • Сайт может и врать. Особенно, если у вас серый IP и в интернет вы попадаете через сеть провайдера - в этом случае сайт показывает информацию о портах провайдерского оборудования.

    netstat -an на вашем сервер после настройки правил что показывает?

    Не поднята ли увас роль файл-сервера?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    15 августа 2012 г. 10:14
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    20 августа 2012 г. 7:59
  • Тема переведена в разряд обсуждений по причине отсутствия активности


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    22 августа 2012 г. 9:07