Я ищу ссылки на документацию или подсказки о том, как добавить правила в брандмауэр Windows, чтобы запретить любой доступ к Интернету с компьютеров, подключенных через ICS, а затем разрешить только минимальный набор портов TCP.

Это эквивалентно добавлению правил в iptables FORWARD в Linux. Я спрашиваю, потому что это не работает так, как можно было бы ожидать, поэтому, пожалуйста, ответы основаны на опыте, а не на предположениях.

Некоторый контекст:

Я использую 3G-соединение с ограниченной пропускной способностью через ICS, используя встроенную в Windows 7 SoftAP. Это дать доступ к Android-устройству Wi-Fi. Тем не менее, я хочу контролировать, что может сделать устройство Android.

Поиск ответов о брандмауэре Windows и ICS затруднен количеством результатов, касающихся комбинированной службы брандмауэр /ICS. Кроме того, в общем, я изо всех сил пытаюсь понять логику брандмауэра Windows с точки зрения iptables. Кажется, нет никакой концепции порядка правил. Я попытался создать правила, применимые к службе ICS. Я пытался использовать одинаковые и разные профили как для адаптера SoftAP, так и для соединения 3G. В целом ICS, кажется, обходит большинство правил брандмауэра.

|источник

2 ответа2

0

Извините за восстановление старого поста, но в случае, если кто-то все еще ищет это:

В Windows 7–10 брандмауэр Windows подходит только для локальных подключений (Входящие и исходящие эквивалентны входным и выходным в iptables. Сети, использующие ICS или Bridging, полностью обходят эти правила.

В ICS FORWARD iptables может быть выполнен в настройках совместного использования соединения:http://www.utilizewindows.com/internet-connection-sharing-ics-configuration-in-windows-7/

ПРОФИЛИРОВАНИЕ И РАЗМЕЩЕНИЕ Iptables не могут быть выполнены в Windows с помощью официальных пакетов Microsoft, по крайней мере, из тех, что я знаю.

Тем не мение:

Недавно я хотел защитить свой компьютер и сеть от "потенциально небезопасного" сервера, подключенного через ICS (например, веб-сервер RaspberryPi). Я достиг этого, НЕ используя ICS/ мостовое соединение, и вместо этого создав сеть, пересылающую только тот сервис, который мне нужен:

  • Настроил статические IP-адреса между вторым сетевым адаптером ПК и Raspberry.

  • Активированный маршрутизатор tcpip в сетевой карте каждого компьютера. https://technet.microsoft.com/en-us/library/cc962461.aspx?f=255&MSPPError=-2147217396

  • Настроил portproxy (перенаправление портов) с «общедоступного IP-адреса»:80 на внутренний Raspberry PI:80

  • Настроил брандмауэр ПК для блокировки всех (новых) соединений, поступающих от Raspberry Pi (для защиты ПК от взломанной малины)

  • Сделал это повторно в каждой загрузке, которая по некоторым причинам не делала это правильно. При загрузке было решено запустить .bat, который заставляет "netsh interface portproxy reset" + «netsh interface portproxy add v4tov4 ....»

Примечание: никакие соединения не будут приниматься от raspberryPi, только к нему с вашего ПК или через перенаправленный порт. Это также означает, что Raspberry Pi не будет подключен к Интернету.

|источник
0

Вы можете сделать это, установив "исходящие" правила в брандмауэре Windows в режиме повышенной безопасности. В разделе портов вы можете указать, какие порты вы хотите открыть - просто убедитесь, что вы указали IP-адрес устройства Android в разделе "Удаленный IP" области действия правила.

Для большей ясности о том, как брандмауэр определяет приоритеты правил (и как переопределить правило блокировки), см. Эту ссылку: http://technet.microsoft.com/en-us/library/dd421709(v=ws.10).aspx

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .