2

У меня несколько трудностей с настройкой офисных компьютеров. Я пытаюсь заблокировать доступ всех программ к Интернету, за некоторыми исключениями:

1) Веб-браузеры должны иметь доступ только к нескольким веб-сайтам.

2) TeamViewer должен работать правильно.

Я попытался установить правила по умолчанию для исходящих правил, чтобы блокировать все подключения, и после этого я добавил "разрешить" правила для TeamViewer и для браузеров, чтобы иметь возможность доступа к определенным веб-сайтам (добавлены IP-адреса веб-сайтов с использованием пользовательского правила).

Тем не менее, правила "Разрешить", похоже, не работают, поэтому я вообще не имею доступа к Интернету. В чем здесь проблема?

РЕДАКТИРОВАТЬ: я хотел бы знать, почему разрешение программы, такой как TeamViewer стандартным способом (Добавить исходящее правило => Правило для программы => выбрать путь к программе) не обеспечивает доступ к программе в Интернет, но добавление пользовательское правило с разблокировкой порта TCP/UDP для него работает. Там не должно быть никакой разницы?

1 ответ1

0

Пара моментов:

Не используйте TCP 80 для teamviewer

Порт TCP/UDP 5938: TeamViewer предпочитает устанавливать исходящие соединения TCP и UDP через порт 5938 - это основной порт, который он использует, и TeamViewer лучше всего использует этот порт. Ваш брандмауэр должен позволить это как минимум.

Видеть это.

Было бы лучше установить все это на одном центральном брандмауэре, чем использовать брандмауэр Windows на каждой рабочей станции.

Я думаю, что вы можете настроить протоколы http и https, используя одно разрешающее правило. Но правило брандмауэра Windows позволит / запретить IP-адрес, а не имя хоста. Вы можете добиться лучших результатов, используя файл HOSTS. Опять же, брандмауэр Windows - не лучший инструмент для решения этой задачи. Смотрите эту ссылку.

Это не достаточно , чтобы позволить teamviewer.exe через межсетевой экран, минимум это:

New-NetFirewallRule -DisplayName "!Allow Outbound 5938 UDP TeamViewer.exe Local Port" -Enabled True -Direction Outbound -Profile ANY -LocalPort 5938 -RemotePort ANY -Protocol UDP -Program "C:\Program Files (x86)\TeamViewer\TeamViewer.exe" -Action Allow -Description "Allows Outbound TeamViewer.exe communication via 5938 UDP."
New-NetFirewallRule -DisplayName "!Allow Outbound UDP svchost.exe" -Enabled True -Direction Outbound -Profile ANY -Protocol UDP -Program "C:\WINDOWS\system32\svchost.exe" -Action Allow -Description "Allows Outbound UDP svchost.exe."
New-NetFirewallRule -DisplayName "!Allow Outbound TCP TeamViewer.exe" -Enabled True -Direction Outbound -Profile ANY -Protocol TCP -Program "C:\Program Files (x86)\TeamViewer\TeamViewer.exe" -Action Allow -Description "Allows Outbound TCP TeamViewer.exe."

Teamviewer.exe - не единственный процесс общения по сети. Могут быть другие процессы, такие как TeamViewer_Service.exe или svchost.exe которые должны устанавливать исходящие TCP-соединения. Смотрите TcpView для получения дополнительной информации.

В случае, если 5938 заблокирован на любом другом межсетевом экране, вы все равно можете использовать 443 для TeamViewer.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .