Настройка брандмауэра Windows Server 2016
Ноутбук и сервер находятся в одной локальной сети (просто соединены сетевым кабелем и настроены на общую подсеть).
На сервере настроен rdp и с ноутбука отлично подключается на сервер.
Сеть находится в общем профиле доступа брандмауера с правилами:
- входящие подключения, не соответствующие ни одному правилу, запрещены;
- исходящие подключения, не соответствующие ни одному правилу, разрешены.
В правилах входящих подключений есть стандартные правила для разрешения подключения к удаленному рабочему столу, которые естественно работают и благодаря которым стена брандмауэра пропускает подключения к удаленному рабочему столу.
Для своего спокойствия (теста ради) пытаюсь добавить во входящие подключение правило, которое запрещает входящие подключения к любым портам TCP и после этого удаленный рабочий стол перестает работать...
Получается что мое правило запрещает все порты, а стандартные правила открывают только порты удаленного стола. По логике из запрещенных должны стать разрешенными порты удаленного стола, но почему то такое не происходит. Почему?
На сервере настроен rdp и с ноутбука отлично подключается на сервер.
Сеть находится в общем профиле доступа брандмауера с правилами:
- входящие подключения, не соответствующие ни одному правилу, запрещены;
- исходящие подключения, не соответствующие ни одному правилу, разрешены.
В правилах входящих подключений есть стандартные правила для разрешения подключения к удаленному рабочему столу, которые естественно работают и благодаря которым стена брандмауэра пропускает подключения к удаленному рабочему столу.
Для своего спокойствия (теста ради) пытаюсь добавить во входящие подключение правило, которое запрещает входящие подключения к любым портам TCP и после этого удаленный рабочий стол перестает работать...
Получается что мое правило запрещает все порты, а стандартные правила открывают только порты удаленного стола. По логике из запрещенных должны стать разрешенными порты удаленного стола, но почему то такое не происходит. Почему?
По теме из базы знаний
Найденные решения
(8)перешел по ссылке прочитал, да это локальный профиль.
Если вы первым правилом блокируете все порты дальше ваши правила ниже стоящие не будут учитываться, так как пакет входящий/исходящий уже встретил "своё" правило, остальные правила этот пакет уже не будут волновать. Почитайте общую теорию по файерволам, принцип отработки цепочки везде одинаков вне зависимости от производителя.
вот вам пример с оборудования cisco^
R1(config-ext-nacl)# deny tcp host 10.0.3.2 host 192.168.3.10 eq 3389 - запретили от хоста к хосту доступ по RDP
R1(config-ext-nacl)# deny tcp host 10.0.3.1 any eq 80 - запретили хосту куда ибо доступ по 80 порту
R1(config-ext-nacl)# permit ip 10.0.3.0 0.0.0.255 any - разрешили подсети всё везде (кроме отработавших запрещающих правил выше)
R1(config-ext-nacl)# deny ip any any - запретили всё всем (исключение отработавшие правило выше разрешения)
Если вы первым правилом блокируете все порты дальше ваши правила ниже стоящие не будут учитываться, так как пакет входящий/исходящий уже встретил "своё" правило, остальные правила этот пакет уже не будут волновать. Почитайте общую теорию по файерволам, принцип отработки цепочки везде одинаков вне зависимости от производителя.
вот вам пример с оборудования cisco^
R1(config-ext-nacl)# deny tcp host 10.0.3.2 host 192.168.3.10 eq 3389 - запретили от хоста к хосту доступ по RDP
R1(config-ext-nacl)# deny tcp host 10.0.3.1 any eq 80 - запретили хосту куда ибо доступ по 80 порту
R1(config-ext-nacl)# permit ip 10.0.3.0 0.0.0.255 any - разрешили подсети всё везде (кроме отработавших запрещающих правил выше)
R1(config-ext-nacl)# deny ip any any - запретили всё всем (исключение отработавшие правило выше разрешения)
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
Потому, что нужно прочитать документацию на тему того, какие приоритеты применения правил для входящих соединений имеются у штатного фаервола MS Windows Server 2016.
Есть вероятность, что запрещающие правила должны располагаться строго после/перед разрешающими.
Есть вероятность, что запрещающие правила должны располагаться строго после/перед разрешающими.
(3)
Почему разрешающие одновременно и блокируются запрещающими и разрешают (1 и 3 позиции). Все зависит от порядка строк правил?
На официальном сайте microsoft нашел картинку (прикреплю ниже) и описание того, что сначала все правила сортируются согласно типу и далее применяются поочередно, как показано на рисунке. Судя с рисунка получается что, например, запрещающее правило для всех портов сначала запрещает все порты, а потом выполняется, к примеру, разрешающее правило на 13214 порт, который в итоге должен быть открыт.
Я видимо что то не допонимаю?) Ведь такая логика у меня и на практике не работает :)
разрешающее что то конкретное
Почему разрешающие одновременно и блокируются запрещающими и разрешают (1 и 3 позиции). Все зависит от порядка строк правил?
На официальном сайте microsoft нашел картинку (прикреплю ниже) и описание того, что сначала все правила сортируются согласно типу и далее применяются поочередно, как показано на рисунке. Судя с рисунка получается что, например, запрещающее правило для всех портов сначала запрещает все порты, а потом выполняется, к примеру, разрешающее правило на 13214 порт, который в итоге должен быть открыт.
Я видимо что то не допонимаю?) Ведь такая логика у меня и на практике не работает :)
Прикрепленные файлы:
(4)Логика здесь вполне ясная и простая, на ней идёт Запретить всё в Default rules, что укладывается в рамки логики для всех брендмауэров, проще сказать: первым ставим правило Блокировать всё, цепочка отработки правил заканчивается на первом правиле, так как условия были выполнены.
При этом не забывайте, если ваш сервер в домене, то изменять правила брэндмауэра строго рекомендованно только через Групповые политики.
При этом не забывайте, если ваш сервер в домене, то изменять правила брэндмауэра строго рекомендованно только через Групповые политики.
(7) Default rules это ведь не правила, а настройки самого профиля, к примеру:
- входящие подключения, не соответствующие ни одному правилу, запрещены;
- исходящие подключения, не соответствующие ни одному правилу, разрешены.
Блокировать все порты для входящих соединений это Block Rules, а открыть порт 13214 это Allow Rules.
В итоге результат должен быть в таком порядке для входящих соединений:
- блокируются все порты;
- разблокируется порт 13214;
- поскольку "входящие подключения, не соответствующие ни одному правилу, запрещены", то все что не описано правилами блокируется (хотя, с учётом выполнения первого правила(блокируются все порты) - данное правило ни на что не повлияет...
- входящие подключения, не соответствующие ни одному правилу, запрещены;
- исходящие подключения, не соответствующие ни одному правилу, разрешены.
Блокировать все порты для входящих соединений это Block Rules, а открыть порт 13214 это Allow Rules.
В итоге результат должен быть в таком порядке для входящих соединений:
- блокируются все порты;
- разблокируется порт 13214;
- поскольку "входящие подключения, не соответствующие ни одному правилу, запрещены", то все что не описано правилами блокируется (хотя, с учётом выполнения первого правила(блокируются все порты) - данное правило ни на что не повлияет...
(8)перешел по ссылке прочитал, да это локальный профиль.
Если вы первым правилом блокируете все порты дальше ваши правила ниже стоящие не будут учитываться, так как пакет входящий/исходящий уже встретил "своё" правило, остальные правила этот пакет уже не будут волновать. Почитайте общую теорию по файерволам, принцип отработки цепочки везде одинаков вне зависимости от производителя.
вот вам пример с оборудования cisco^
R1(config-ext-nacl)# deny tcp host 10.0.3.2 host 192.168.3.10 eq 3389 - запретили от хоста к хосту доступ по RDP
R1(config-ext-nacl)# deny tcp host 10.0.3.1 any eq 80 - запретили хосту куда ибо доступ по 80 порту
R1(config-ext-nacl)# permit ip 10.0.3.0 0.0.0.255 any - разрешили подсети всё везде (кроме отработавших запрещающих правил выше)
R1(config-ext-nacl)# deny ip any any - запретили всё всем (исключение отработавшие правило выше разрешения)
Если вы первым правилом блокируете все порты дальше ваши правила ниже стоящие не будут учитываться, так как пакет входящий/исходящий уже встретил "своё" правило, остальные правила этот пакет уже не будут волновать. Почитайте общую теорию по файерволам, принцип отработки цепочки везде одинаков вне зависимости от производителя.
вот вам пример с оборудования cisco^
R1(config-ext-nacl)# deny tcp host 10.0.3.2 host 192.168.3.10 eq 3389 - запретили от хоста к хосту доступ по RDP
R1(config-ext-nacl)# deny tcp host 10.0.3.1 any eq 80 - запретили хосту куда ибо доступ по 80 порту
R1(config-ext-nacl)# permit ip 10.0.3.0 0.0.0.255 any - разрешили подсети всё везде (кроме отработавших запрещающих правил выше)
R1(config-ext-nacl)# deny ip any any - запретили всё всем (исключение отработавшие правило выше разрешения)
(9) Спасибо Вам большое что вместе со мной углубились в суть вопроса. Читаю.
По вашему сообщению все действительно так и работает, только вот почему на официальном сайте звучит фраза:
Перевод:
Получается что правило полной блокировки должно отсортироваться и выполнится в любом случае первее разрешающих. А дальше уже разрешающее правило выполняется, но оно....не имеет приоритета перед предыдущими правилами? Я думал что последующие правила можно настраивать на разрешения для более тонкой настройки....
По вашему сообщению все действительно так и работает, только вот почему на официальном сайте звучит фраза:
Rules, including those from Group Policy, are sorted and then applied. Windows Service Hardening rules are not configurable via Group Policy. Domain administrators can allow or deny local administrators the permission to create new rules.
Перевод:
Правила, в том числе из групповой политики, сортируются и затем применяются. Правила упрочнения служб Windows не настраиваются с помощью групповой политики. Администраторы домена могут разрешить или запретить локальным администраторам создавать новые правила
Получается что правило полной блокировки должно отсортироваться и выполнится в любом случае первее разрешающих. А дальше уже разрешающее правило выполняется, но оно....не имеет приоритета перед предыдущими правилами? Я думал что последующие правила можно настраивать на разрешения для более тонкой настройки....
(10)тут нет противоречий, всё верно, вы хотите точечно запретит от хоста Васи к серверу доступ по RDP, запрещаете, дальше общее разрешение на подсеть, последнее дефолтное запрещающее всё всем, цепочка отработает нормально, все сидят в RDP, Вася наказан и доступа не имеет, остальное отсекается что явно не разрешено выше.
По механизмам применения доменных настроек файерволов отдельная песня, лучше смотреть лучшие рекомендации от макросафака и придерживаться их.
По механизмам применения доменных настроек файерволов отдельная песня, лучше смотреть лучшие рекомендации от макросафака и придерживаться их.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот