2

У меня есть сценарий Powershell, который добавляет IP-адреса, пытающиеся выполнить атаку методом подбора, на мой сервер, к правилу брандмауэра, которое блокирует им доступ к нему. Недавно он перестал работать и начал выдавать эту ошибку:

Параметр исключения "RemoteAddresses": «Границы массива недопустимы. (Исключение из HRESULT: 0x800706C6)

Существует ли ограничение на количество IP-адресов, которые можно указать в поле «Область действия брандмауэра Windows»? Это работает на Windows Server 2008 R2.

2 ответа2

3

Да - ограничение составляет всего 1000 записей. Один IP-адрес считается одной записью, если он введен сам по себе, или диапазон IP-адресов считается одной записью, если он введен как один диапазон.

В моем случае удаление одного из IP-адресов из области действия вышеприведенного правила позволит сценарию добавить его (или любой другой IP-адрес) обратно в область действия. Ошибки генерируются для каждой попытки входа более 1000.

В качестве обходного пути, как только вы получите 1000 записей в текущем правиле брандмауэра, вы можете просто создать подобное правило с другой областью действия. Это не элегантно, но это сделает работу.

-2

Это сбивает с толку, так как я знаю, что Server 2003 допускает тысячи и тысячи записей в одном правиле ipsec, и я глупо предположил, что 2008 и выше также сделали.

Я получил ту же ошибку и подумал, что это связано с перекрытием при добавлении подсети, когда я уже добавил один ip из подсети, и я потратил много времени на просмотр списка, пока не нашел перекрывающийся ip, но когда Я продолжал получать сообщения об ошибках в будущих ips и подсетях, которые я понял, что мне нужно копать еще.

Несколько лет назад я провел как можно больше исследований и обнаружил, что ряд статей, в которых говорится, что 2003 год не имеет ограничений. На самом деле у меня есть один рабочий сервер, который содержит более 20000 записей в правиле. (это не опечатка - потребовались годы, чтобы получить это число, добавляя в среднем сотни в месяц)

Я рад, что нашел эту статью, так как она сэкономит мне много времени. Я взял это предложение здесь и создал новое правило, и подсети, которые возвращали ошибку ранее, подходят для нового правила, поэтому суперпользователь снова отвечает на вопрос.

Жаль, что нет простого способа экспортировать и повторно импортировать отдельные правила, а оснастка, по-видимому, разрешает только все или ни одного.

Вероятно, способ сделать это с PowerShell, но я думаю, что это должен быть другой поток вопросов. Если есть какая-то тема, которая освещает это здесь, была бы признательна за искомую строку поиска или ссылку.

Отредактировано, чтобы добавить: Моя ОС - Server 2008 Standard x64 SP2

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .