web-dev-qa-db-fra.com

Configurer le pare-feu Windows pour bloquer tout sauf pour un trafic spécifique

J'essaie de configurer le pare-feu Windows sur le serveur 2008 R2 pour bloquer tout sauf pour le trafic que j'ajoute à la liste des règles.

Je vois qu'il y a trois politiques - publique/privé/domaine. J'ai fait le même paramètre de réglage à chacun de chacun, bien que je n'ai qu'un seul NIC et sa politique de domaine attribuée.

Dans les propriétés de la stratégie de domaine, j'ai défini les connexions entrantes sur "Bloquer (par défaut)" mais cela allait toujours passer par l'ICMP. Je l'ai changé pour "bloquer toutes les connexions" et crée une règle entrante qui permet à ICMP des trois profils, pour tous les programmes de toutes les interfaces, mais cela a fait tomber le trafic ICMP du pare-feu même si j'ai une règle autorisée pour cela.

Selon cela Documentation Les règles autorisées sont censées prendre une priorité sur les règles par défaut. Je souhaite définir ma règle par défaut pour bloquer tout le trafic et autoriser uniquement certains trafics avec autorisez les règles.

J'ai créé deux règles d'autorisation personnalisées:

  1. Autoriser le trafic ICMPV4 entrant pour tous les programmes/adresses IP.
  2. Autoriser le trafic ICMPV6 entrant pour tous les programmes/adresses IP.

Avec la stratégie de connexion entrante définie pour bloquer toutes les connexions et que les règles ci-dessus permettent activé, il bloque toujours mes pings à distance.

Comment configurer Windows Firewall pour faire cela?

Mise à jour - Il s'avère que j'utilisais la mauvaise interface graphique (embarrassant). Au lieu d'utiliser l'interface graphique dans les outils administratifs, j'utilisais celui de l'éditeur de stratégies de groupe (qui a l'air identique). Il y avait déjà des règles fixées sur le pare-feu que je ne pouvais pas voir dans l'éditeur de stratégie de groupe. Ces règles prenaient effet sans que je me rendais compte que cela a causé ma confusion. Pour faire ce que je voulais, je devais simplement définir la stratégie sur "bloquer (par défaut)" (avec le bon outil bien sûr). Après avoir supprimé toutes les règles préexistantes (que je n'ai pas vu avec l'éditeur de stratégie de groupe), j'ai pu uniquement permettre au trafic que je voulais en créant des règles d'autorisation spécifiques.

5
Andy Arismendi

Lorsque vous avez plus d'une règle correspondant à votre trafic, le bloc 1 aura la priorité.

Sauf si vous sélectionnez Remplacement des règles de blocage Option dans votre règle d'autorisation.

En outre, lorsque vous utilisez un bloc , une règle de connexion , l'option de remplacement ne fonctionnera pas.

Désolé, je viens de relire la documentation.

En bref, je crois ce que vous sautez à atteindre n'est pas tout à fait possible avec le pare-feu Windows.

Malheureusement, cela ne fonctionne pas comme des pare-feu de réseau. C'est à dire. Lisez des règles de haut en bas et utilisez la première correspondance.

Vous avez des règles avec les deux autorisations et bloquées qui correspondront à la circulation, alors elle bloquera.

Règles d'action expliquée

W ici pour trouver des règles de bloc de remplacement

4
Alex