none
Помогите разобраться со встроенным Firewall! RRS feed

  • Общие обсуждения

  •  

    Помогите разобраться со встроенным в Windows 2003 Server Wirewall.

    Итак ситуация.
    Для машинки, работающей в качестве шлюза в интернет закупили Windows 2003 Server R2 Standard Edition.

    На нем поднят VPN-сервер для связи с удаленым филиалом, почтовый сервак, и еще всякие сервисы по мелочам - управление KAV, WSUS и т.д.

    В сервер воткнуты 2 сетевухи, одна из которых смотрит в локалку с адресом 192.168.1.205 и одна в интернет, с адресом 10.10.128.128. Интернет получаем через PPPoE. В сети работают внутренние DNS и DHCP. Адреса клиенты получают естественно динамически.

    Проблема номер раз.
    Если в свойствах сетевой карты, которая смотрит в инет для вящей секурности полностью отключить протокол TCP/IP, то не поднимается вызов по требованию (Постоянное подключение) интерфейса удаленного доступа. Соответственно после обрыва связи с интернетом после ее появления подключение не восстанавливается. В т.ч. и после перезагрузки сервера :-(
    В принципе решил проблему путем включения встроенного Firewall на этом интерфейсе, по максимуму все запретив, указав в оснастке "Маршрутизация и удаленный доступ" в ветке
    NAT\Простой брандмауэр, свойства интерфейса,
    "Общий интерфейс подключен к интернету", пул адресов 127.0.0.1 и сняв все галки  во вкладках "Службы и порты" и "ICMP"


    Проблема номер два.
    После некоторого времени начальству захотелось поконтролировать трафик юзеров, кое-что позапрещать, кое-куда не пускать, все как обычно в общем.
    На использование платного софта лимиты закончились, поэтому нужно делать все имеющимся и фриварным.

    Поэтому на проксю был установлен Free Proxy 4 на порт 3128, прописаны группы доступа и авторизация через NTLM. Теперь дело встало за тем, чтобы пускать юзеров в инет только через него, и не пускать в обход. Указать в политиках домена для IE параметры прокси-сервера я конечно могу. Но так как многие юзеры работают с ноутами, у них возникнет большая проблема при работе с инетом в других местах. А если дать им возможность самим указывать прокси, то ходить они естественно будут в обход.
    К тому же в последнее время развелось до черта портабельных опер и лисиц, политики домена которым не указ...

    Поэтому вижу решение в закрытии портов на сетевухе, которая смотрит в локалку.
    Ставлю в свойствах интерфейса "Только простой брандмауэр"
    Указываю пул адресов 192.168.1.0 - 192.168.1.256
    На внутренннем интерфейсе (192.168.1.205) в службах и портах указываю для начала:
    Служба     Протокол  Вх.Порт  Исх.Порт  Коммент.
    DNS      - TCP        53       53     ну это понятно, зачем...
    DNS      - UDP        53       53
    SMTP     - TCP        25       25     Чтобы работала почта
    POP3     - TCP       110      110
    RDP      - TCP      3389     3389       Чтобы я мог лазить на проксю удаленно.
    PPTP     - TCP      1723     1723      VPN нужен всяко
    Proxy    - TCP      3128     3128        Через вот это все и должны ходить
    TimeSync - UDP       123      123       Синхрим часики с USA Naval Observatory :-)
    Kerberos - UPD        88       88          Авторизуемся...
    Kerberos - TCP        88       88

    ICMP разрешаю полностью

    Жму "Применить" и ничего не происходит. То есть и через прокси-сервер и в обход него по дефолту все ходят куда ни попадя :-(
    То бишь фаер мягко говоря не работает.

    Подскажите плиз, в чем косяк?

    25 июня 2008 г. 16:10

Все ответы

  • Не понял в чем первая проблема, а по поводу 2-й - брандмауэр тут не причем, я так понимаю у тебя поднят NAT и отдельно Free Proxy 4, соответственно либо удалять NAT и писать перенаправления портов в проксе под почту и прочее, либо все таки купить прогу нормальную, сам пользую юзергейт претензий нет. ЗЫ Брандмауэром NAT не запретишь

    25 июня 2008 г. 18:35
  • Первая проблема в том, что когда в свойствах сетевой карты отключаю TCP/IP не поднимается подключение по PPPoE.

     

    "Брандмауэром NAT не запретишь"

    Весьма сомнительное утвержение :-)

    В общем-то я уже немного разобрался. Еще надо включать фильтры статических пакетов. Но какие именно - ХЗ... Приходится экспериментировать.

    открыл на внутреннем интерфейсе: (отбрасывать все пакеты, кроме следующих)

    фильтры входа:

    адрес источника 192.168.1.0/255,255,255,0

    адрес назначения: любой  

    порты назначения:

    7 TCP/UDP ###Echo

    25 TCP ###SMTP

    53 TCP/UDP ###DNS

    88 TCP/UDP ### Kerberos

    110 TCP ### POP3

    135 TCP/UDP ### RPC Locator

    137 TCP/UDP ### NETBIOS

    138 TCP/UDP ### NETBIOS

    139 TCP/UDP ### NETBIOS

    3128 TCP ### PROXY

    3389 TCP ### RDP

    порты источника любые

     

    фильтры выхода (аналогично):

    адрес источника любой

    адрес назначения: 192.168.1.0/255,255,255,0

    порты источника:

    порты назначения любые

    7 TCP/UDP ###Echo

    25 TCP ###SMTP

    53 TCP/UDP ###DNS

    88 TCP/UDP ### Kerberos

    110 TCP ### POP3

    135 TCP/UDP ### RPC Locator

    137 TCP/UDP ### NETBIOS

    138 TCP/UDP ### NETBIOS

    139 TCP/UDP ### NETBIOS

    3128 TCP ### PROXY

    3389 TCP ### RDP

    порты назначения любые

     

    Однако при таких установках ничего не работает :-(

    Машина в сети не пингуется, мало того с нее пинги в сеть 192.168.1.0 не уходят

    Зайти по RDP на нее с внутренней сети также невозможно.

     

    Причем установки "Только простой брандмауэр" включена и в Службах и портах а также на вкладке ICMP нужные галочки установлены.

    26 июня 2008 г. 6:58