Мой ИТ-отдел только что перешел с брандмауэра F-Secure на встроенный брандмауэр Windows Defender (Windows 10). И он работает вполне корректно, обеспечивается групповой политикой, так что его не отключают.
Однако у меня есть несколько виртуальных машин, работающих на моем ноутбуке (используя VirtualBox). У каждой есть виртуальный сетевой адаптер «Host-Only», который подключается только между хостом (моим ноутбуком) и виртуальной машиной. Мне нужны службы, работающие на виртуальной машине, чтобы вызывать те, которые я запускаю на хосте. С помощью F-Secure я мог бы просто указать брандмауэру игнорировать эти соединения. Теперь, поскольку это контролирует групповая политика, я не могу.
Я могу создавать собственные правила брандмауэра. Но могу ли я создать правило, которое будет применяться только к определенным адаптерам/интерфейсам? Я вижу только, как применить его к типу интерфейса (публичный/частный/доменный), который на самом деле не покрывает этот вариант использования. (Плюс Windows делает так чертовски сложным определение типа, что это становится головной болью).
решение1
Это возможно сNew-NetFirewallRule. Например, я использовал эту команду, чтобы разрешить все входящие соединения, исходящие из WSL2 (источник):
New-NetFirewallRule -DisplayName "WSL" -Direction Inbound -InterfaceAlias "vEthernet (WSL)" -Action Allow
Мне не удалось найти фильтр интерфейса в графическом интерфейсе брандмауэра Защитника Windows (ближайшим вариантом является тип интерфейса), но я проверил это с помощью этого:
>> Get-NetFirewallRule -DisplayName "WSL" | Get-NetFirewallInterfaceFilter
InterfaceAlias : vEthernet (WSL)
и путем проверки того, что локальные сети по-прежнему блокируются брандмауэром.
решение2
Я думаю, что этого можно добиться в брандмауэре повышенной безопасности, установив локальный IP-адрес в пользовательском правиле.
Если вы создаете новое правило и выбираете «Пользовательское» в качестве типа правила, нажмите «Далее».
Оставьте «Все» программы, нажмите «Далее».
Выберите необходимые протоколы/порты, нажмите «Далее».
Следующий экран 'Scope' - это то место, где вы должны иметь возможность сделать это. Установите локальный IP как тот, который на адаптере, который вы хотите разрешить.
на следующей странице выберите «разрешить» или «разрешить, если безопасно»
Выберите профиль (вы, вероятно, можете оставить все три отмеченными, если не уверены, какой это профиль, но лучше выяснить — он должен быть в сетевых подключениях)
Дайте ему имя, и он будет готов к использованию.
Примечание: пожалуйста, проверьте это, так как я этого не делал :P
P.S. Не выбирая строго адаптер, вы можете выбрать все IP-адреса на этом адаптере, что по сути одно и то же.