Создание правила ICMP для входящего трафика Create an Inbound ICMP Rule
Область применения Applies to
- Windows 10 Windows10
- WindowsServer2016 Windows Server 2016
Чтобы разрешить входящий трафик по протоколу ICMP, используйте брандмауэр защитника Windows в разделе Advanced Security оснастки MMC «Управление групповыми политиками» для создания правил брандмауэра. To allow inbound Internet Control Message Protocol (ICMP) network traffic, use the Windows Defender Firewall with Advanced Security node in the Group Policy Management MMC snap-in to create firewall rules. Правила этого типа позволяют отправлять и принимать ICMP-запросы и ответы для компьютеров в сети. This type of rule allows ICMP requests and responses to be sent and received by computers on the network.
Учетные данные администратора Administrative credentials
Для выполнения описанных ниже действий необходимо быть членом группы администраторов домена или иным образом делегированными разрешениями для изменения объектов групповой политики. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.
В этой статье описано, как создать правило для порта, разрешающее входящий трафик по сети ICMP. This topic describes how to create a port rule that allows inbound ICMP network traffic. Другие типы правил портов для входящих сообщений можно найти в следующих случаях: For other inbound port rule types, see:
Создание правила ICMP для входящего трафика To create an inbound ICMP rule
В области навигации нажмите кнопку правила для входящих подключений. In the navigation pane, click Inbound Rules.
Нажмите кнопку действиеи выберите пункт создать правило. Click Action, and then click New rule.
На странице тип правила в мастере создания правила для нового входящего подключения выберите пункт Настраиваемаяи нажмите кнопку Далее. On the Rule Type page of the New Inbound Rule Wizard, click Custom, and then click Next.
На странице программы выберите пункт все программы, а затем нажмите кнопку Далее. On the Program page, click All programs, and then click Next.
На странице протокол и порты выберите ICMPv4 или ICMPv6 из списка тип протокола . On the Protocol and Ports page, select ICMPv4 or ICMPv6 from the Protocol type list. Если в сети используется как протокол IPv4, так и протокол IPv6, необходимо создать отдельное правило ICMP для каждого из них. If you use both IPv4 and IPv6 on your network, you must create a separate ICMP rule for each.
Нажмите кнопку настроить. Click Customize.
В диалоговом окне Настройка параметров ICMP выполните одно из указанных ниже действий. In the Customize ICMP Settings dialog box, do one of the following:
Чтобы разрешить весь сетевой трафик ICMP, выберите все типы ICMPи нажмите кнопку ОК. To allow all ICMP network traffic, click All ICMP types, and then click OK.
Чтобы выбрать один из предопределенных типов ICMP, щелкните определенные типы ICMPи выберите каждый тип в списке, который вы хотите разрешить. To select one of the predefined ICMP types, click Specific ICMP types, and then select each type in the list that you want to allow. Нажмите кнопку ОК. Click OK.
Чтобы выбрать тип ICMP, которого нет в списке, выберите пункт определенные типы ICMP, выберите в списке тип , а затем в списке выберите номер нужного кода , нажмите кнопку Добавитьи выберите только что созданный элемент в списке. To select an ICMP type that does not appear in the list, click Specific ICMP types, select the Type number from the list, select the Code number from the list, click Add, and then select the newly created entry from the list. Нажмите ОК Click OK
Нажмите Далее. Click Next.
На странице область вы можете указать, что правило применяется только к сетевому трафику с IP-адресами, указанными на этой странице. On the Scope page, you can specify that the rule applies only to network traffic to or from the IP addresses entered on this page. Настройте необходимые параметры для вашего проекта и нажмите кнопку Далее. Configure as appropriate for your design, and then click Next.
На странице действия выберите Разрешить подключение, а затем нажмите кнопку Далее. On the Action page, select Allow the connection, and then click Next.
На странице профиля выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее. On the Profile page, select the network location types to which this rule applies, and then click Next.
На странице имя введите имя и описание правила, а затем нажмите кнопку Готово. On the Name page, type a name and description for your rule, and then click Finish.
Включение ICMP
Часто в целях проверки работоспособности канала, а так же (что, скорее, является самым важным) для проверки качества связи, требуется разрешение «хождения» ICMP-пакетов. Чаще всего препятствием становится включенный встроенный брандмауэр WIndows XP. Все нижеприведенные действия относятся к ОС Windows XP с установленным Service Pack 2. Если у Вас все еще не установлен Service Pack 2 — мы настоятельно рекомендуем это сделать .
Для включения ICMP-пакетов требуется:
Брандамауэр Windows XP SP2
.gif)
Agnitum Outpost Firewall
Так же практически любой фаервол блокирует ICMP-пакеты. Ниже приведена инструкция по включения в фаерволе Agnutum Outpost:
Брандамауэр Windows VISTA
1. Для начала настройки ICMP Нажмите Пуск —> Панель управления
2.Найдите ярык Администрирование и кликните по нему мышкой.
3. Найдите ярык Брандмауэр Windows в режиме повышенной безопасности и кликните по нему мышкой.
4. В появившемся окне в левой части нажмите на Правила для входящих подключений Далее в правой части окна в Действиях — Новое правило.
5. В окне Тип правила отвечаем на вопрос Правило какого типа вы хотите создать№ — ставим точку напротив Для порта Жмём Далее
6. В окне: Протокол и порты указываем протокол: Протокол TCP, Применяем: Все локальные порты Жмём Далее.
7. В окне: Профиль применяем все правила. Жмём Далее.
8. В окне: Имя вводим имя: ICMP . Жмём Готово.
9. В консоле управлениями правил, появится новое правило с названием:: ICMP В правой части окна: Действие жмём на: Свойства.
10. В Свойствах:ICMP находим закладку: Протоколы и порты — Нажимаем.
11. В выплывающем меню выбираем Тип протокола: ICMPv4 . Всё! Настройка завершена можно нажать Применить и Ок
Если после нажатия Применить и Ок появилось такое сообщение:
Перейдите в окно ( Нажав на сообщение ) — Центр обеспечения безопастности Windows
И нажмите Включить сейчас Но после этого Вам придётся настроить всё заново.
Если такое сообщение будет появлятся, значит Вы на каком то шаге настройки не сделали всё правильно.
Рубрики: | Интернет | Безопасность | FAQ
Настройка firewall на mikrotik
Firewall на микротик состоит из следующих составляющих, это цепочки (chain) и действия в этих цепочках (Action), а также различные фильтры к трафику который обрабатывается в цепочках.
Firewall Chain
В Mikrotik существуют следующие цепочки
Input – цепочка для обработки пакетов поступающих на маршрутизатор, имеющих в качестве адреса назначение ip самого маршрутизатора.
Forward – в этой цепочки обрабатываются пакеты проходящие через маршрутизатор
Output – цепочка для обработки пакетов созданных маршрутизатором, например когда мы с маршрутизатора пингуем или подключаемся по telnet
Из описания понятно, что для защиты маршрутизатора нужно использовать цепочку input. А для обработки трафика от пользователей и к пользователям использовать chain forward. Использование Output мне не приходилось.
Firewall Action
В цепочках можно осуществлять следующие действия
| Параметр | Действие |
| Accept | Разрешить |
| add-dst-to-address-list | Добавить ip назначение в список адресов указанный в Address List |
| add-src-to-address-list | Добавить ip источника в список адресов указанный в Address List |
| Drop | запретить |
| fasttrack-connection | Обрабатывать пакеты включив FastTrack т.е пакеты будут проходить по самому быстрому маршруту, минуя остальные правила firewall и обработку в очередях |
| Jump | Прыжок, переход на другую цепочку заданную в Jump target |
| log | Запись в лог |
| passthrough | Перейти к следующему правилу не делая никаких действий(полезно для сбора статистики) |
| Reject | Отбить пакет с причиной указанной в Reject with |
| Return | Вернуть пакет в цепочку из который он пришел |
| tarpit | захватывает и поддерживает TCP-соединения (отвечает с SYN / ACK на входящий пакет TCP SYN) |
Фильтрация в firewall
Фильтрация пакетов которые могут попасть в цепочки может осуществляться по
Src.Address – адрес источника
Dst.Address – адрес назначения
Protocol – Протокол(TCP, UDP и т.д)
Src.Port – порт источника
Dst.Port –порт назначения
In.Interface –входящий интерфейс
Out.Interface – исходящий интерфейс
Packet.Mark – метка пакета
Connection.Mark –метка соединения
Routing Mark – метка маршрута
Roting table — адрес получателя которых разрешен в конкретной таблице маршрутизации
Connection Type – тип соединения
Connection State — состояние соединения (установлено, новое и т.д)
Connection NAT State – цепочка NAT (srcnat, dstnat)
Примеры настройки firewall
Рассмотрим некоторые примеры по настройки firewall на маршрутизаторе микротик.
Настройка безопасности Микротик
Для начала настроим безопасность на наше маршрутизаторе, Для этого сделаем следующие
1.Запретим пинговать наше устройство
2.Запретим доступ к микротику всем кроме локальной сети и разрешенных ip адресов
Для настройки подключаемся к роутеру с помощью утилиты winbox и идем в меню IP-Firewall. Вкладка Filter Rules и нажимаем добавить.
Запрещаем пинги на наше устройство, для этого, на вкладке general, chain выбираем input protocol icmp
На вкладке Action выбираем drop
Запрещаем доступ к управлению маршрутизатора. Для начала создаем лист с нашими разрешенными адресами, переходим в IP-Firewall, вкладка Address Lists, добавляем новый лист
Name – название нашего листа
Address – адреса относящиеся к этому листу, можно указывать как отдельные адреса так и сети.
Дальше создаем новое правило, снова переходим в Filter rules и добавляем его
Затем переходим на вкладку Advanced и в качестве Src. List выбираем созданный лист
В действии Action выбираем разрешить accept.
Можно было не создавать лист, а на вкладке General в параметре Src. Address прописать нашу сеть, просто мне удобнее работать со списками адресов, в будущем для добавления нового адреса нужно его просто добавить в лист allow_ip.
Следующим шагом запрещаем все входящие соединения. Добавляем правило на chain input, и в действии ставим drop. Должно получится следующие
Здесь следует отметить что обработка правил идет сверху вниз, т.е правило запрещающее все подключения должно находится внизу, иначе разрешающие правила не сработают.
Для того что бы поменять местами правило, нужно кликнуть по строке и с зажатой левой кнопкой мыши перетащить его на нужное место.
На самом деле, правило по запрете ping можно было не создавать, т.к последнее правило блокирует все попытки доступа к роутеру, в том числе и пинг.
Доступ пользователей в интернет
Допустим нам нужно дать доступ в интернет только для определенной сети. Для этого создаем два разрешающих правила в chain forward. Первое правило разрешает исходящий трафик из нашей сети
Action ставим accept. Можно как указать Src. Address, так и использовать Address Lists, как мы это делали выше. Следующим правилом разрешаем прохождение пакетов в нашу сеть.
B следующим правилом запрещаем все остальные сети,
Action выбираем drop. В результате получится следующее
Запрет доступа пользователя в интернет
Если нам нужно запретить доступ в интернет определенным пользователям, давайте сделаем это через Address Lists, что бы в дальнейшем проще было добавлять или удалять правила, переходим на вкладку address Lists и создаем список block в который добавим адреса для блокировки.
Создаем запрещающее правило firewall в chain forward, в котором на вкладке Advanced в Src. Address List выбираем наш список для блокировки
В Action выбираем Drop. Теперь, наше правило нужно поставить выше разрешающего правила, иначе оно не сработает, как это сделать я писал выше, в результате получится следующая картина
Аналогично можно запретить доступ к внешним ресурсам, так же создаем список для блокировки, но в настройка firewall уже указываем его в качестве Dst. Address List. Кроме ip адреса в список можно вносить и доменные имена, например если мы хотим запретить доступ пользователей в соцсети, одноклассники или вконтакте.
Доступ только к сайтам
В следующим примере рассмотрим как разрешить пользователям выход в интернет только по 80 и 443 порту и запретить все остальные, для этого создадим разрешающее правило в chain forward, Protocol выбираем tcp и в параметре Dst.Prort указываем разрешенные порты
Тоже самое можно сделать с помощью запрещающего правила, используя оператор отрицания «!», а Action установить drop
Это означает, запретит все порты кроме 80 и 443.
Конечно, все возможности firewall на микротик я показать не смогу, но основные параметры думаю понятны.
Внимание! при настройке firewall на MikroTIK, настоятельно рекомендую проводить их в «Safe Mode» как ее включить описано здесь, в противном случае вы рискуете потерять доступ к маршрутизатору.
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
