none
firewall win server 2008 r2 RRS feed

  • Вопрос

  • День добрый.

    подскажите пожалуйста как в правиле firewall  задать область (удаленный узел) - "все ip кроме некоторых" - как такое можно реализовать?

    в Unix системах такое реализуется двумя правилами - сначало закрыть все и потом открыть нужное.

    почитав статьи и форумы , по результатам экспериментов получилось в win serv 2008 что могу заблокировать ВСЕ, могу заблокировать какието конкретные адреса IP, все нормально работает применяется. а вот  если создаю правило "заблокировать все" (галочка в "области" на пункте Любой IP в разделе удаленный узел) и - второе правило создаю "открыть нужные" (в области указываю нужные мне IP в разделе удаленные узлы) - то оно ничего не "открывает" из того что мне нужно.

    вроде задача банальная - а решение какой не тривиальное в голову лезет - сделать правило где блокировка будет действовать на всю область IP в которой не будут указаны мне ныжные  - но это же как то криво, не так ли? (типа 0,0,0,0-192,168,10,0 и следующая область 192,168,11,0-255,255,255,255, в таком случае разрешенные будут только адреса 192,168,10,1-192,168,10,255)

    29 августа 2012 г. 6:10

Ответы

  • Поведение by design: запрещающее правило побеждает аналогичные разрешающие, подробнее см.

    http://technet.microsoft.com/ru-RU/library/dd421709(WS.10).aspx#bkmk_Firewallrulepriority

    На самом деле, не вижу никакой "кривизны" в том, что вы сами предлагаете.


    29 августа 2012 г. 6:33
    Модератор
  • выше было написано - что любой запрет выше разрешений- если оно так - тогда правило по умолчанию - запрещает весь входящий трафик - т.е. если создать правило которое что-то открывает - то оно будет бесполезно раз весь трафик уже закрыт и дальше не обрабатывается - т.к. трафик ответил требованиям правила по умолчанию и перестал обрабатываться.

    Нет, это неправильно, посмотрите еще раз статью, ссылка на которую приведена выше, см. пункт 4 в статье. Default Rule имеет низший приоритет. Его нет как такового в списке, оно предписывает Windows Firewall выполнить действие, когда трафик не подпадает ни под одно из правил, и настраивается в свойствах Windows Firewall with Advanced Security (не в списках правил) для каждого сетевого профиля.

    29 августа 2012 г. 10:26
    Модератор
  • нашел виновника.
    сервер Exchange 2010 при инталяции создал в firewall 2 "интересных" (одинаковых правила отличающихся только именем и программой разрешенной, из одной группы и с одинаковым описанием) правила (из списка других своих правил).

    вот эти правила:
    1. SESWorker (GFW) (TCP-In)для любой программы протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    2. SESWorker (TCP-In) для программы путь/SESWorker.exe протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    и нафига тогда firewall в таком случае?  tcp протокол полностью открыт для всех и всего всего.

    исходя из этого еще один вопрос - в случае когда созданы 2 "одинаковых" правила одно из которых разрешает входящий трафик всем IP по всем портам для всех программ и всем профилям/пользователям/ПК допустим по протоколу TCP, а второе правило аналогичное - и открывает все но только лишь для пары IP адресов по тому же протоколу TCP - тогда получается 2ое правило будет покрываться первым и не будет работать?

    29 августа 2012 г. 14:57
  • нашел виновника.
    сервер Exchange 2010 при инталяции создал в firewall 2 "интересных" (одинаковых правила отличающихся только именем и программой разрешенной, из одной группы и с одинаковым описанием) правила (из списка других своих правил).

    вот эти правила:
    1. SESWorker (GFW) (TCP-In)для любой программы протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    2. SESWorker (TCP-In) для программы путь/SESWorker.exe протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    и нафига тогда firewall в таком случае?  tcp протокол полностью открыт для всех и всего всего.

    Согласен с вашим недоумением, пояснение содержится в следующей цитате:

    На серверах единой системы обмена сообщениями Exchange 2010 программа установки Exchange создает правила SESWorker (TCP-In) и SESWorker (GFW) (TCP-In), которые позволяют устанавливать входящую связь без каких-либо ограничений на TCP-порт. Мы рекомендуем отключать эти два правила после установки сервера единой системы обмена сообщениями и создавать новое правило, разрешающее только те порты, которые требуются для процесса SESWorker, среди которых 5065 и 5067 для TCP (незащищенные). Порты 5066 и 5068 для протокола MTLS (защищенные).

    Отсюда. Иными словами, так работает установщик роли Unified Messaging в Exchange 2010 (просто так его написали).


    29 августа 2012 г. 17:50
    Модератор

Все ответы

  • Поведение by design: запрещающее правило побеждает аналогичные разрешающие, подробнее см.

    http://technet.microsoft.com/ru-RU/library/dd421709(WS.10).aspx#bkmk_Firewallrulepriority

    На самом деле, не вижу никакой "кривизны" в том, что вы сами предлагаете.


    29 августа 2012 г. 6:33
    Модератор
  • получается это единственное решение - ограничить области "с верху" и "с низу" требуемых  IP?
    29 августа 2012 г. 6:56
  • Правило по умолчанию запрещает весь входящий сетевой трафик для выбранного профиля. Не переопределяйте его, не создавайте ваше запрещающее правило (с этой задачей справится правило по умолчанию), но создайте разрешающее правило для выбранных IP-адресов. В таком виде должно работать.

    29 августа 2012 г. 7:11
    Модератор
  • выше было написано - что любой запрет выше разрешений- если оно так - тогда правило по умолчанию - запрещает весь входящий трафик - т.е. если создать правило которое что-то открывает - то оно будет бесполезно раз весь трафик уже закрыт и дальше не обрабатывается - т.к. трафик ответил требованиям правила по умолчанию и перестал обрабатываться.
    29 августа 2012 г. 9:28
  • выше было написано - что любой запрет выше разрешений- если оно так - тогда правило по умолчанию - запрещает весь входящий трафик - т.е. если создать правило которое что-то открывает - то оно будет бесполезно раз весь трафик уже закрыт и дальше не обрабатывается - т.к. трафик ответил требованиям правила по умолчанию и перестал обрабатываться.

    Нет, это неправильно, посмотрите еще раз статью, ссылка на которую приведена выше, см. пункт 4 в статье. Default Rule имеет низший приоритет. Его нет как такового в списке, оно предписывает Windows Firewall выполнить действие, когда трафик не подпадает ни под одно из правил, и настраивается в свойствах Windows Firewall with Advanced Security (не в списках правил) для каждого сетевого профиля.

    29 августа 2012 г. 10:26
    Модератор
  • что не разрешено (принудельно не создано правило разрешающее трафик) правлом то запрещено по умолчанию если стоит "запрещено" в свойсвах fw настройка вх/исх трафика для 4х профилей?
    29 августа 2012 г. 12:44
  • В настройке Windows Firewall по умолчанию (если вы ничего здесь не меняли) Default Rule блокирует любой входящий трафик и разрешает любой исходящий трафик во всех профилях (Domail, Private, Public).
    29 августа 2012 г. 13:09
    Модератор
  • я про это и говорю.  понял , спасибо . разобрался . но есть одно но -

    на одном сервере , все так работает . разобрался . на втором увы чет не получается - делаю аналогично - доступы не закрываются (настройки по умолчанию - сверил для 2х этих машин - все одинаково - вх трафик блокируется).

     как узнать почему проходит трафик - какому правилу он удовлетваряет?

    29 августа 2012 г. 13:24
  • нашел виновника.
    сервер Exchange 2010 при инталяции создал в firewall 2 "интересных" (одинаковых правила отличающихся только именем и программой разрешенной, из одной группы и с одинаковым описанием) правила (из списка других своих правил).

    вот эти правила:
    1. SESWorker (GFW) (TCP-In)для любой программы протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    2. SESWorker (TCP-In) для программы путь/SESWorker.exe протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    и нафига тогда firewall в таком случае?  tcp протокол полностью открыт для всех и всего всего.

    исходя из этого еще один вопрос - в случае когда созданы 2 "одинаковых" правила одно из которых разрешает входящий трафик всем IP по всем портам для всех программ и всем профилям/пользователям/ПК допустим по протоколу TCP, а второе правило аналогичное - и открывает все но только лишь для пары IP адресов по тому же протоколу TCP - тогда получается 2ое правило будет покрываться первым и не будет работать?

    29 августа 2012 г. 14:57
  • нашел виновника.
    сервер Exchange 2010 при инталяции создал в firewall 2 "интересных" (одинаковых правила отличающихся только именем и программой разрешенной, из одной группы и с одинаковым описанием) правила (из списка других своих правил).

    вот эти правила:
    1. SESWorker (GFW) (TCP-In)для любой программы протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    2. SESWorker (TCP-In) для программы путь/SESWorker.exe протокол TCP для любого адреса/порта и профиля/пользователей/ПК .

    и нафига тогда firewall в таком случае?  tcp протокол полностью открыт для всех и всего всего.

    Согласен с вашим недоумением, пояснение содержится в следующей цитате:

    На серверах единой системы обмена сообщениями Exchange 2010 программа установки Exchange создает правила SESWorker (TCP-In) и SESWorker (GFW) (TCP-In), которые позволяют устанавливать входящую связь без каких-либо ограничений на TCP-порт. Мы рекомендуем отключать эти два правила после установки сервера единой системы обмена сообщениями и создавать новое правило, разрешающее только те порты, которые требуются для процесса SESWorker, среди которых 5065 и 5067 для TCP (незащищенные). Порты 5066 и 5068 для протокола MTLS (защищенные).

    Отсюда. Иными словами, так работает установщик роли Unified Messaging в Exchange 2010 (просто так его написали).


    29 августа 2012 г. 17:50
    Модератор
  • да, всего сразу не уследишь.

    хотя сервис единой системы обмена сообщений принудительно я не включал.

    себе все таки для уточнения:

    ------"в случае когда созданы 2 "одинаковых" правила одно из которых разрешает входящий трафик всем IP по всем портам для всех программ и всем профилям/пользователям/ПК допустим по протоколу TCP, а второе правило аналогичное - и открывает все но только лишь для пары IP адресов по тому же протоколу TCP - тогда получается 2ое правило будет покрываться первым и не будет работать?"--------

    в таком варианте - второе правило работать(в том смысле что от него требуется урезать область разрешенных адресов) не будет ?

    30 августа 2012 г. 6:53
  • в таком варианте - второе правило работать(в том смысле что от него требуется урезать область разрешенных адресов) не будет ?


    Да, в таком варианте второе правило фактически работать не будет.
    30 августа 2012 г. 6:59
    Модератор
  • в таком варианте - второе правило работать(в том смысле что от него требуется урезать область разрешенных адресов) не будет ?


    Да, в таком варианте второе правило фактически работать не будет.

    спасибо за полные ответы!

    Благодарю.

    30 августа 2012 г. 7:36