Angolier blogs (Thoughts in hearing)

Windows XP Firewall

Windows XP с Service Pack 2 включает в себя базовый файерволл (firewall), который защищает пользователей от атак разного рода. Функция Firewall в windows XP сделана для домашних пользователей и пользователей малого бизнеса (small business users). По умолчанию файервол в Windows XP включен.

Например, Windows XP с SP2 инсталлирован на компьютере A (IP адрес 192.168.7.113). Файервол включен.

Команда netsh

Команда netsh в Windows XP позволяет пользователям менять большинство параметров через командную строку.
Не будем рассматривать очень детально все возможности команды netsh, просто приступим к рассмотрению.
Откройте командное окно (Пуск-Выполнить, или Start-Run..).

C:\>netsh
netsh>

Как показано выше, Даная команда выведет консоль команды netsh «netsh>». Так мы получаем интерактивный доступ к оболочке, чтобы запускать команды и видеть результаты.
Чтобы изменять параметры файервола наберите в строке преглащения netsh> команду, как показано ниже::

netsh>firewall
netsh firewall>?

Команды:

? – Показывает список команд.
add – Добавляет настройку к конфигурации файервола.
delete - Удаляеи настройку с конфигурации файервола.
dump – Показывает скрипт конфигурации.
help - Показывает список команд.
reset – Сбрасывает настройки файервола до стандартных (default).
set – Устанавливает конфигурацию файервола
show – Показывает конфигурацию файервола.

Как показано выше, команда ? выводит на экран команды, доступные в контексте команды netsh.

Стандартные настройки запрещают:

-ICMP ECHO запросы к компьютеру, на котором запущен firewall. Пользователи не могут пинговать (ping) такой компьютер machine.
-Запрещены сетевые доступы к файлам и принтерам (File and print sharing). Пользователи не могут воспользоваться сетевыми принтерами и папками на компьютерах, где запущен файервол.

Давайте поменяем эти настройки через командную строку.

Разрешить входящие ICMP ECHO запросы

Чтобы разрешить входящие ICMP ECHO запросы введите такую команду:

netsh firewall>set icmpsetting 8 ENABLE
Ok.

Теперь пользователи сети смогут пропинговать (ping) IP адрес 192.168.7.113.
Чтобы запретить эту функцию, введите следующую команду:

netsh firewall>set icmpsetting 8 DISABLE
Ok.

Разрешить доступ к сетевым папкам и принетам (File and Printer sharing)

netsh firewall>set service
This command will show help for set service command.
netsh firewall>set service FILEANDPRINT ENABLE
Ok.

Эта команда разрешит пользователям сети использовать сетевые ресурсы (shared resources) на компьютере 192.168.7.113.
Если я хочу чтобы только пользователи подсети 192.168.7.0/24 имели доступ к сетевым ресурсам на 192.168.7.113 то надо прописать такую команду:

netsh firewall>set service FILEANDPRINT ENABLE CUSTOM 192.168.7.0/24
Ok.

Выключение файервола (Firewall)

Чтобы выключить файервол через командную строку, введите следующую команду в netsh:

netsh firewall>set opmode disable
Ok.

Эта команда отключит файервол. Вы можете проверить все это через панель управления(control panel).
Чтобы включить файервол опять, используйте команду:

netsh firewall>set opmode enable
Ok.


Запрет «не разрешать» исключений (Don’t Allow Exceptions)

В Windows XP Firewall мы можем указывать исключения, которые файервол будет разрешать.

Если в настройкай файервола в панели управления стоит отмечено «Не разрешать искллючения» (Don’t allow exceptions) тогда программы и порты, описанные в этих исключениях будут запрещены файерволом.

По умолчанию в XP Firewall параметры «Не разрешать искллючения» (don’t allow exceptions) не включены (тоесть исключения разрешены., прим. Перевод).

Давайте включим этот параметрчерез командную строку:


netsh firewall>set opmode enable disable
Ok.

А теперь отключим:

netsh firewall>set opmode enable enable
Ok.

Разрешить спец. программы

В настройках файервола в панели управления на закладке «Исключения»мы можем добавлять программы, которые будут разрешены файерволом.
Например, я хочу запустить на своем компьютере утилиту netcat, котиорую еще называют швейцарским перочинным ножом в области безопасности и используют ее для многих вещей.
Например, Я хочу, чтобы netcat слушал порт TCP 5000 на моем компьютере. Для этого я запускаю его командой:

C :> nc.exe –l –p 5000

Файервол сразу же покажет диалог, в котором спросит, разрешить ли эту программу или нет.
Давайте нажмем кнопку «Продолжать блокировать» (keep blocking). Это означает, что в следующий раз, когда я запушу nc.exe файервол заблокирует nc.exe от запуска.
Теперь давайте разрешим программу nc.exe через командную строку и добавим ее в список исключений (exceptions list).

netsh firewall>set allowedprogram
This command will show you usage for set allowedprogram.
netsh firewall>set allowedprogram c:\nc.exe allow_nc ENABLE
Ok.

Как показано выше, наша команда добавила allow_nc в список исключений для програм.
Теперь попробуйте присоединиться к порту 5000 с другого компьютера. Вы сможете это сделать.

Сброс настроек файервола до стандартных

Теперь, когда мы достаточно поиграли с настройками файервола, удалим все наши настройки и вернем их в исходное состояние


netsh firewall>reset
Ok.

Эта команда возвращает все настройки «по умолчанию». Все ваши изменения удалятся.

Оригинал