В базовом варианте команда New-NetFirewallRule выглядит следующим образом: new-netfirewallrule -displayname Mtest Обязательным для указания является только имя, так как параметры, определяющие действие, направление и критерий, по умолчанию принимают значения Allow («Разрешить»), Inbound («Входящие») и Everything («Дня всех»), то есть реализуют инструкцию «разрешить все входящие пакеты». New- NetFirewallRule немедленно включает новое правило, которое вступает в силу сразу же после нажатия ктавиши Enter. Этого можно избежать, добавив параметр -Enabled False: new-netfirewallrule -displayname Mtest -Enabled False
Опечатки здесь нет: параметр -Enabled действительно принимает в качестве значения символьную строку False, а не встроенную переменную PowerShell Sfalse (очевидно, автор этой команды так и не разобрался в «переменных-переключателях»).
Мы уже знаем, что атрибуты правила брандмауэра можно вывести с помощью следующей команды: get-netfirewallrule -displayname Mtest Выполнив эту команду, вы заметите, что правило брандмауэра, помимо удобного для восприятия отображаемого имени DisplayName, имеет подобный глобальному идентификатору GUID параметр Name, значение которого выглядит примерно так: «{b7072342-7f9a-493c- abf6-43dcde98a41e}». Можно убедиться, что команда NetFirewallRule, помимо отображаемого имени с параметром -DisplayNanie, воспринимает и атрибут Name без параметра: get-netfirewallrule "{b7072342-7f9a-493c-abf6-43dcde98a41e}'' Можно заметить, что в списке правил брандмауэра на панели управления появилось правило Mtest, как подтверждение выполненного действия.
Для удаления правила воспользуйтесь командой remove- netfirewallrule: remove-netfirewallrule -displayname mtest Так как это правило не имело видимого эффекта, попробуем создать другое, с применением параметров-Action и -Direction, блокирующее весь исходящий трафик. Эта команда выглядит так: new-netfirewallrule -displayname Mtest -direction outbound -action block Попытка обмена пакетами с помощью команды окончится общим сбоем. Напоминаю: для отмены изменений выполните remove-netfirewallrule -displayname mtest.
Добавление критериев: блокировка одного порта Третий компонент правила брандмауэра наиболее емкий, так что ему придется посвятить отдельную статью. Впрочем, здесь остается место для небольшого примера. Из правила «блокировать весь исходящий трафик» сделаем правило «блокировать весь исходящий трафик через порт TCP 3389». Для блокировки данного порта TCP добавим два параметра: -Protocol TCP и -RemotePort. Новое правило выглядит так: new-netfirewallrule -displayname Mtest -direction outbound -action block -protocol tcp -RemotePort 3389 Испытайте его на любом компьютере, где включен доступ к удаленным рабочим столам, и выполните проверку сетевого подключения с помощью команды Test- NetConnection (в данном примере проверка проводится для Sl.bigfirm.com): test-netconnection s1.bigfirm.com -Port 3389 Итак, я представил основные средства создания правил. В следующий раз мы продолжим изучение инструментов точной настройки.
Опубликовал katy
May 14 2015 22:52:11 ·
0 Комментариев ·
2767 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
