Как поместить Брандмауэр Windows XP в конфигурацию порта" разрешить все " и блокировать только определенные порты?

Не вдаваясь в подробности о том, почему мне нужно это сделать, я пытаюсь поместить Брандмауэр Windows XP в конфигурацию allow all ports и только запретить определенные порты, которые у меня есть в списке.

Я написал сценарий это через командную строку пакета с netsh firewall добавить команды portopening. Из того, что я читал, если он активирован, брандмауэр запрещает весь трафик и разрешает только порты с исключениями, поэтому с помощью пакетных сценариев я открыл все 65 000+ портов как на TCP, так и на UDP, по существу Включение брандмауэра, но в конфигурации "разрешить все". Затем я запрещаю 100 или около того портов из моего списка, которые я хочу заблокировать после того, как они все открыты.

эта стратегия, кажется, работает, но проблема, которую я ожидал и сейчас вижу, что svchost.exe занимает 50% моего времени процессора, имея постоянно обрабатывать эти правила брандмауэра.

из того, что я видел на Windows XP, там есть брандмауэр и в "разрешить все" настройки", потому что Брандмауэр XP не может иметь определенные диапазоны портов, они должны быть определены один за другим. Похоже, Windows Vista или 7 будет намного проще, так как брандмауэр получил расширенные возможности re-vamp.

есть ли у кого-нибудь предложение о том, как достичь этой "разрешить все", отрицать определенную" стратегию? Я понимаю, что это странное использование брандмауэра Windows, но предполагая, что я должен был сделать это, возможно ли это?

1
задан electronsrock
10.04.2023 23:13 Количество просмотров материала 2913
Распечатать страницу

3 ответа

полностью согласен с afrazier комментарий...

насколько я знаю, нет приложения или службы, требующей открытия 65536 входящих портов!

для ясности, открытый порт-это порт, на котором запущена служба и в состоянии для ответа на sollicitation внешнего соединения. Например, порт 80 HTTP для веб-сервера с Apache (например).

входящие заверительное подключения пакетов TCP с флаг SYN и отсутствие данных к необходимому порту: Порт 80 для HTTP соединения, 119 NNTP, 21 FTP и так далее.

Если служба готова разрешить подключение к этому порту, сервер отправил TCP-пакет с флагами ACK, SYN клиенту, а клиент подтвердил sollicitation подключения TCP-пакетом с флагом ACK... и подключение введите в установленном состоянии. Это обычное рукопожатие.

Если служба на порту прослушивания is'NT в состоянии принять соединение он послал пакет TCP с флагами ACK, RST: это закрытый порт...

Хммм... чтобы сделать длинную историю короткой:

  • 1 - вам нужен сторонний firewal. Может быть посмотреть Н остановки что a управляемый брандмауэр.

  • 2 - настройка приложения, требующего, чтобы открыть эти большое количество порты и установить правило только для этого применение

  • 3 - поместить это правило перед правилом, блокирующим все остальные TCP входящие соединения sollicitations (с флагом SYN) и так далее...

надеюсь, что это поможет. Дайте нам знать. :)

1
отвечен climenole 2023-04-12 07:01

Мне любопытно, какой вариант использования для настройки брандмауэра таким образом. Открытые порты бесполезны, если что-то не слушает их, и если у вас есть одна программа, слушающая так много портов, просто сделайте исключение для самой программы, и это должно позаботиться обо всем.

Если это не сработает, то мне кажется, что брандмауэр, встроенный в XP, просто не может эффективно делать то, что вы хотите.

брандмауэр, встроенный в Vista и 7 позволяют диапазоны портов в правилах и должны значительно упростить перевод брандмауэра в нужное состояние.

в противном случае вам нужно будет оценить сторонние инструменты, чтобы увидеть, насколько хорошо они работают. Я не использовал сторонний брандмауэр с момента выпуска XP SP2, поэтому я не в состоянии давать какие-либо рекомендации.

2
отвечен afrazier 2023-04-12 09:18

Это старый \ нечетный вопрос,но я бы сказал, что лучшим решением было бы полностью отключить брандмауэр, а затем также отключить любые службы, к которым вы не хотите, чтобы удаленные пользователи могли получить доступ. Ты слишком много думаешь об этом, я думаю. Дополнительным бонусом является то, что это решение использует меньше нуля времени обработки.

0
отвечен krowe 2023-04-12 11:35

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх