Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Windows 7: Firewall и маршрутизация  (Прочитано 14704 раз)
0 Пользователей и 3 Гостей смотрят эту тему.
sss
Специалист

ru
Offline Offline

« : 30-10-2012 14:35 » 

Привет.

Помогите ! Есть компьютер с Win7 и двумя сетевыми. Относительно одной сетевой стоит галочка "Разрешить доступ".
В общем всё хорошо. Но вот тут я  влип.  Как настроить элементарную фильтрацию? Допустим этому хосту разрешено
использовать маршрутизацию, а этому нет? Вначале я думал - настрою входящее правило доступа брандмауэра - не тут
то было.. Там все правила относительно локальной системы и даже если создать правило запрещающее входящий TCP
порт 80 оно не запретит воспользоваться маршрутизацией и достичь внешний 80 порт.

Вопрос вообще вот в чём - как построена маршрутизация в Win7 ? NAT ?

Стандартный ответ - Используется служба "Общий доступ к подключению к Интернету (ICS)".  
Вот её описание в SCM: "Предоставляет службы трансляции сетевых адресов, адресации, разрешения имен и службы
предотвращения вторжения для домашней сети или сети небольшого офиса."

Ok. При включении галочки "Разрешить доступ" в свойствах с етевого адаптера даже автоматически появляются
входящие и исходящие правила доступа  относительно этой службы (SharedAccess). Но они никак (!) не влияют на
прохождение пакетов из сети в сеть если они не касаются локальной системы. Более того, у меня автоматически создано  
исходящее запрещающее правило для всего трафика этой службы. При этом всё равно внутренние компьютеры легко
достигают web серверов внешней сети! Чёрт возьми - я даже не нашёл элементарную фильтрацию. Но тут сейчас хитро -
надо (наверное) какую то службу  запустить  и появиться эта вкладка... Как, например, вкладка "Проверка подлинности"
появляется только при запущенной службе "Проводная автонастройка". Бред..

Помогите. Споткнулся и идеи кончились..  Сидел удалённо в той w7 системе дома и до того уже дошёл, что выключил вообще
все  правила, включая также и разрешение на подключение к рабочему столу  Жаль .
Теперь только утром продолжу, при этом пишу проект про NTFS и как назло всякий бред отвлекает... Неужели в такой
прекрасной системе это так ... сложно ?



« Последнее редактирование: 30-10-2012 14:40 от sss » Записан

while (8==8)
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 30-10-2012 15:07 » 

Ой, не доверяю я этой винде...
Лучше какой-либо специализированный софт применить поверх. А еще лучше — построить сеть на простом бытовом роутере, где и фильтрация будет и псе прочее.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
sss
Специалист

ru
Offline Offline

« Ответ #2 : 30-10-2012 15:57 » 

RXL, ага, подумываю уже об роутере (~700 руб.)... Наверное самый лучший вариант будет. Хотя жаль что нет в системе такой функциональности.
Или есть?
Записан

while (8==8)
Dimka
Деятель
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #3 : 30-10-2012 16:28 » 

Там в брандмауере в любом правиле есть вкладка "Дополнительно", где, во-первых, указываются профили применения правила - стоит выбрать "Общие", во вторых в разделе "Обход узлов" определить политику применения правила применительно к NAT и маршрутизатору.
Записан

Программировать - значит понимать (К. Нюгард)
Невывернутое лучше, чем вправленное (М. Аврелий)
Многие готовы скорее умереть, чем подумать (Б. Рассел)
sss
Специалист

ru
Offline Offline

« Ответ #4 : 30-10-2012 16:45 » 

Там в брандмауере в любом правиле есть вкладка "Дополнительно", где, во-первых, указываются профили применения правила - стоит выбрать "Общие", во вторых в разделе "Обход узлов" определить политику применения правила применительно к NAT и маршрутизатору.

Видел.
1) Где выбрать профиль общий? Доменный, частный, публичный?
2) Можете рассказать толком - что это за зверь такой - обход узлов? В общем дёргал вроде - никак не повлияло.

Я тут увидел в: Локальная политика безопасности -> Политика IP-безопасности

Добавлено через 11 минут и 30 секунд:
Да, думаю "Политика IP безопасности" это то что нужно! Завтра попробую отпишусь..

Добавлено через 11 часов, 19 минут и 10 секунд:
В общем политика IP безопасности работает, но использование оной жутко неудобно, т.к. она тоже заточена на локальный компьютер.
Примерно так - чтобы разрешить доступ только одному компьютеру из подсети с 255 машинами надо создать 254 запрещающих фильтра.
« Последнее редактирование: 31-10-2012 04:22 от sss » Записан

while (8==8)
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #5 : 31-10-2012 05:41 » 

Вот по этому лучше использовать специализированные инструменты.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
sss
Специалист

ru
Offline Offline

« Ответ #6 : 31-10-2012 06:57 » 

Вот по этому лучше использовать специализированные инструменты.

Это конечно понятно, но всё же непонятно... Есть правила брандмауэра.  Однако служба ICS работает в обход брандмауэра, т.е.
как бы "снимает" пакеты до брандмауэра, создаёт NAT сопоставление и пересылает их ( после брандмауэра (?) - не знаю, не до этого пока).
Так вот у меня сложилось ощущение что вообще нет ни одной возможности воздействовать на входящий в ICS внутренний трафик.
Причём входящий внешний хоть как-то можно ограничивать в свойствах адаптера.






Записан

while (8==8)
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #7 : 31-10-2012 07:08 » 

О вещах подобных не рассуждай, не то сойдешь с ума. (с) леди Макбет
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Dimka
Деятель
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #8 : 31-10-2012 07:10 » 

sss, я могу сказать лишь за Windows Server 2008. Там есть и ICS, и полноценный маршрутизатор, причём они взаимоисключающие друг друга: если запускается одно, принудительно останавливается другое. ICS не пользовался, а с маршрутизатором firewall работает нормально... (кроме одного непонятного феномена с NAT, когда собственный внешний адрес сервера не виден с адресов локальной сети).

Не уверен, что Win 7, как ОС для workstation, содержит в себе возможности серверных решений. ICS вообще-то для всяких домашних сетей и временных решений - пустить в интернет через себя. А для полноценного администрирования нужна и соответствующая версия ОС.
Записан

Программировать - значит понимать (К. Нюгард)
Невывернутое лучше, чем вправленное (М. Аврелий)
Многие готовы скорее умереть, чем подумать (Б. Рассел)
sss
Специалист

ru
Offline Offline

« Ответ #9 : 31-10-2012 08:14 » new

Dimka, вот вот. Я только в серверных системах маршрутизацию и настраивал (службу "Маршрутизация и удаленный доступ"). И впервые настраиваю клиентскую ОС. Ужас.
В общем сдаюсь - куплю роутер за 1247 руб.

Добавлено через 12 минут и 8 секунд:
(кроме одного непонятного феномена с NAT, когда собственный внешний адрес сервера не виден с адресов локальной сети).

Думаю NAT не применяется в случае доступа к локальной внешней карте. Скорее всего необходимо доп. правило доступа брандмауэра..
« Последнее редактирование: 31-10-2012 08:26 от sss » Записан

while (8==8)
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines