1

Когда я нахожусь в общедоступном Wi-Fi (ноутбуке), я хочу настроить свой брандмауэр через его расширенные настройки, чтобы разрешить только веб-трафик HTTPS.

Моей первой попыткой было заблокировать входящие и исходящие по умолчанию, а затем разрешить UDP и TCP-порт 443 с любого компьютера на любой компьютер (как входящий, так и выходящий). Однако при использовании моих браузеров на любом веб-сайте SSL/443 возникает ошибка. Что я неправильно понимаю, что является причиной моей попытки потерпеть неудачу?

Ошибка браузера в Chrome:

Ошибка 10 (net::ERR_ACCESS_DENIED): неизвестная ошибка.

Firefox выдает общую ошибку, но когда я отслеживаю трафик HTTPS с помощью Fiddler, я получаю следующее:

(запрос)

ПОДКЛЮЧИТЕ mail.google.com:443 HTTP/1.1
Пользователь-агент: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv: 1.9.2.12) Gecko/20101026 Firefox/3.6.12 GTB7.1 (.NET CLR 3.5.30729; .NET4.0E)
Прокси-соединение: keep-alive
Хост: mail.google.com

(ответ)

HTTP/1.1 502 Ошибка подключения. Соединение: закрыть Отметка времени: 21: 57: 34.739

HTTPS соединение не удалось.

System.Net.Розетки.SocketException: была сделана попытка получить доступ к сокету способом, запрещенным его разрешениями на доступ xxx.xxx.xx.xx: 443
в Fiddler.ServerChatter.CreateConnectedSocket(IP-адрес [] arrDestIPs, Int32 iPort, Session _oSession)
в Fiddler.Session._handleHTTPSConnect()

Когда политика настроена правильно, я планирую экспортировать ее (сохранить) на будущее, когда вернусь к общедоступной сети Wi-Fi.

Примечание . Если другая версия Windows имеет похожие нюансы конфигурации, не стесняйтесь публиковать и эти ответы - если она близка, я, вероятно, могу экстраполировать.

2 ответа2

0

Для просмотра веб-страниц вам также потребуется разрешить DNS: порт UDP 53 (и TCP тоже, но не так много).

0

Когда вы переходите на веб-сайт, ваш браузер отправляет исходящий пакет TCP SYN для установки соединения. Удобно, что межсетевой экран автоматически пропускает весь трафик в обоих направлениях, который принадлежит этому соединению. Поэтому, пожалуйста , не разрешайте входящий трафик, если вы не используете веб-сервер и не хотите, чтобы люди инициировали TCP-соединения с вами.

Некоторым сайтам может потребоваться TCP/80 (HTTP) для установления соединения TCP/443 (HTTPS), поэтому попробуйте открыть 80, а также уже упомянутые порты DNS.

Windows 7 позволяет вам указывать программы по имени (например, ваш браузер) и контролировать доступ к / из конкретной программы / процесса. XP применяет правила ко всем программам / процессам. У меня нет Vista, чтобы проверить уровень контроля.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .