Firewall

Dis74 · Отправлено: **03:45, 11-08-2011** | #2

да имено так.
если нет разрешающего правила - то оно запрещено. логичное поведение для брандмауэра.

gorill · Отправлено: **20:34, 12-08-2011** | #3

Цитата Dis74:

логичное поведение для брандмауэра »

Извините, уважаемый, но Вы вообще читали мой пост?

Цитата gorill:

включил встроенный брандмауэр, но совершенно не устраивает такой пункт: "Разрешены исходящие соединения, не соответствующие ни одному правилу" »

Это по-вашему логичное поведение?

Ксеноинженер · Отправлено: **13:46, 26-04-2013** | #4

Если ещё актуально,
так (CMD):

Код:

netsh advfirewall set currentprofile firewallpolicy blockinbound,blockoutbound

В XP ещё не было проработано управление исходящим трафиком. Именно в 2001-2006 годах, до появления Vista был ажиотаж на агнитум аутпост и прочее третьестороннее ПО, которое компенсировало этот недостаток безопасности XP. Сама MS усовершенствовала Брандмауэр лишь с выходом Vista (2006 год).

Dgene · Конфигурация компьютера

Виста считаю, второстепенной ОС... удивляет, то что есть люди, которые до сих пор так хвалят висту и пользуются только ей....

iskander-k · Конфигурация компьютера

Цитата gorill:

но совершенно не устраивает такой пункт: "Разрешены исходящие соединения, не соответствующие ни одному правилу" »

Есть стандартные наборы правил. Браузеры используют одни, антивирусы другие, а также есть программы для которых эти правила некорректны. Брандмауэр не допустит работу этого По с обычными правилами . Для таких случаев и есть такой пункт - Разрешены исходящие соединения, не соответствующие ни одному правилу"
При наличии этого пункта ваша система хуже не станет. Другое дело если бы были разрешены ВХОДЯЩИЕ соединения.

sergey888 · Конфигурация компьютера

Цитата Dgene:

Виста считаю, второстепенной ОС... удивляет, то что есть люди, которые до сих пор так хвалят висту и пользуются только ей.... »

Ну так некоторые еще и ХР пользуются, хотя это не второстепенная, а просто устаревшая ОС

gorill · Отправлено: **09:09, 18-05-2013** | #8

Цитата Ксеноинженер:

netsh advfirewall set currentprofile firewallpolicy blockinbound,blockoutbound »

Судя по тексту команды в текущем профиле блокируется ВЕСЬ трафик при такой политике? То что надо, но будут ли при таком раскладе работать разрешающие правила, созданные вручную?

Цитата iskander-k:

ваша система хуже не станет »

Станет, поскольку в Outpost у меня был очень короткий свод разрешающих правил и каждое правило содержало только порты, необходимые конкретному приложению. Наследие от тарифа с оплатой по трафику и от пойманного в то время зловреда, который постоянно висел в инете, а я два месяца платил за него. Встроенный же брандмауэр разрешает любому желающему, в т.ч. и вредоносному ПО, выходить в сеть за обновлениями, передачей сведений и т.д.

LehaMechanic · Отправлено: **10:05, 18-05-2013** | #9

gorill, а в чём проблема-то? Штатный брендмауер Windоws вполне можно настроить на работу по "белому" списку, я бы даже сказал, делается это запросто. Другое дело, что возможно у вас другая ОС? Ну так указывать надо сразу, а не играть в угадайку.

Ксеноинженер · Отправлено: **18:22, 18-05-2013** | #10

Цитата gorill:

Судя по тексту команды в текущем профиле блокируется ВЕСЬ трафик при такой политике? То что надо, но будут ли при таком раскладе работать разрешающие правила, созданные вручную? »

блокируется всё кроме разрешённого правилами; Будут:

Код:

Использование: firewallpolicy (действия для входящего трафика),
                              (действия для исходящего трафика)
   Действия для входящего трафика:
      blockinbound        - Блокировать входящие подключения, которые не
                            соответствуют правилу для входящего трафика.
      blockinboundalways  - Блокировать все входящие подключения, даже
                            если подключение соответствует правилу.
      allowinbound        - Разрешить входящие подключения, которые
                            не соответствуют правилу.
      notconfigured       - Возвращает значение в ненастроенное
                            состояние.
   Действия для исходящего трафика:
      allowoutbound       - Разрешить исходящие подключения, которые
                            не соответствуют правилу.
      blockoutbound       - Запретить исходящие подключения, которые
                            не соответствуют правилу.
      notconfigured       - Возвращает значение в ненастроенное
                            состояние.

некоторые правила, такие как "удалённое управление Windows" могут работать даже при политике "blockinboundalways" при включении проверки подлинности подключения, делается так:
Переопределить правила блокировки.png
P.S. Дальше читайте только если вам интересно.
Вы разберётесь сами, что на вашей машине к чему, когда отключите все имеющиеся правила и полностью выстроите свой трафик разрешающими правилами. Стандартные правила включайте, остальные правила создавайте "ручками", по одному, начните с исходящего трафика:

DHCP - стандартное правило (для статического локального IP не нужно)
DNS - стандартное правило
80, 443 порты (правило для интернет-сёрфинга, одно для всех браузеров).
...\windows\system32\w32tm.exe (синхронизация часов)
...\java.exe
...\mynetapp.exe и т.д.

Входящие правила не зависимы от исходящих.
Если вам нужно чтобы ваша машина домашняя просто заходила в интернет и только, то входящие правила можете отключить все - достаточно одних исходящих.