Я пытался сделать это последние несколько часов, но пока не продвинулся далеко.
У меня есть сервер Windows Server 2008 и настроенный брандмауэр Local Security Policy, но "нет" входящих правил (пока). Мои домены выглядят так:
Domain Profile: Inbound = block(default), Outbound = Allow(Default)
Private Profile: Inbound = block(default), Outbound = Allow(Default)
Private Profile: Inbound = block(default), Outbound = Allow(Default)
Почти по умолчанию. Теперь то, чего я хочу добиться, это заблокировать все порты, кроме портов 80, 443, 53 и нескольких других. В iptables (на Linux) это просто достигается путем настройки правил ввода ALLOW для портов и, наконец, правила DROP для блокировки всего. Теперь Linux предпочитает правило ALLOW правилу DROP, и, насколько я понял, в Windows нет этой настройки. Так есть ли способ имитировать эту функцию?
решение1
Что вам нужно сделать, так это изменить политику брандмауэра так, чтобы в сети Untrusted (Public) единственными разрешенными портами были те, которые вы указали. Отключите все остальные входящие правила.
Вероятно, ваш публичный интерфейс помечен как таковой, да?
Если же, с другой стороны, он находится в доверенной внутренней сети, вы хотите выполнить фильтрацию на границе сети. Однако все равно хорошей идеей будет отключить входящие порты, которые вы не используете.