24-11-04 01:09
[MS Windows] Upravljanje Windows Firewallom NETSH komandnolinijskim sučeljem
piše IGOR HITREC
Ovaj put je veliki broj Windows Firewall funkcija upravljiv i preko komandnolinijskog sučelja. Izvrsno ako iz bilo kojega razloga imate potrebu upravljati tim servisom, a ne koristite Windows domenu (iz nekog samo vama poznatog razloga ). Ovdje ćemo opisati četrnaest raspoloživih naredbi koje koristimo pomoću sintakse
netsh firewall <naredba>
1. add allowedprogram - ovom naredbom osiguravamo da aplikacija A može primiti promet sa Interneta ili sa točno određenog subneta unutar određenog korisničkog profila. Primjerice, želite onemogućiti korištenje Shareaza Peer-To-Peer alata to bi išlo ovako:
netsh firewall add allowedprogram c:\Program Files\Shareaza\Shareaza.exe onemoguci_shareazu DISABLE
gdje poštujemo sintaksu
netsh firewall add allowedprogram <program> <name> <mode> <scope> <addresses> <profile>
2. set allowedprogram - mijenjamo pravila ponašanja aplikacijama koje smo već dozvolili. Na primjer
set allowedprogram c:\Program Files\FTPclient\ftpclient.exe enable CUSTOM 161.53.0.0
onemogućit će aplikaciji ftpclient.exe pristup računalima izvan 161.53.0.0 mreže.
3. delete allowedprogram - briše navedenu aplikaciju s popisa dopuštenih Windows Firewallom. Pojedinu apliakciju možemo obrisati iz trenutačno važećeg profila, domenskog profila, standardnoga profila, ili iz svih njih.
delete allowedprogram c:\Program Files\FTPclient\ftpclient.exe all
briše ftpclient.exe aplikaciju iz svih profila.
4. set icmpsetting - omogućuje upravljanje načinom rada sa ICMP paketima na biranom mrežnom sučelju, ili korisničkom profilu (ne može na oboje istodobno). Tip paketa ICMP i sučelje također ne može biti određeno istovremeno.
"set icmpsetting type=ALL mode=DISABLE" onemogućit će cjelokupan ICMP promet a ""set icmpsetting type=8 profile=DOMAIN ENABLE" će osigurati uporabu "ping" komande u domenskom profilu Windows Firewalla, dakle kada je računalo unutar domenskog okruženja.
5. set multicastbroadcastresponse - određuje način na koji će Windows Firewall obrađivati multicast i broadcast promet mrežom. On se može omogućiti ili onemogućiti u svim profilima rada, ili pojedinačno definirati za pojedine profile. Npr.
set multicastbroadcastresponse ENABLE ALL dozvoljava multicast/broadcast promet unutar svih profila.
6. set notifications - ako želite da korisnici na svojim zaslonima vide poruke Windows Firewalla ako kod kuće rade na prijenosnim računalima, to ćete postići naredbom
set notifications ENABLE STANDARD
no, ako ih dok su na poslu unutar domene ne želite zamarati tim informacijama, to ostvarujete naredbom
set notifications DISABLE DOMAIN
7. set logging - bilježiti aktivnost firewalla jest dobra praksa sistemskih inženjera koji ništa ne žele prepustiti slučaju. Ovdje nam je na raspolaganju određivanje mjesta gdje će se log datoteka spremati (filelocation), najveća veličina log datoteke (maxfilesize) i biranje praćenja odbijenih paketa (droppedpackets) i uspješnih konekcija (connections). Npr.
set logging %windir%\firewall_logs\firewall.log maxfilesize=4096 droppackets=ENABLE connections=ENABLE
osigurava bilježenje odbijenih konekcija i uspostavljenih veza na točno određenom mjestu u veličinama log datoteka od 4096 kilobajta.
8. set opmode - određuje primjenu Windows Firewall postavki na svim raspoloživim sučeljima (modem, ADSL, ISDN, NIC) ili specifične postavke za svako sučelje posebno. Određivanje profila i sučelja istovremeno nije podržano zajedno s istovremenim određivanjem iznimki (exceptions) i sučelja. Npr.
set opmode mode=ENABLE
9. add portopening - ovom komandom omogućujemo upravljanje otvaranjem pojedinih sistemskih portova određujući vrtsu protokola, broj porta, raspon adresnog prostora kojim će se preko navedenog porta komunicirati, profil unutar kojega će se primijeniti ovo pravilo, te preko kojega sučelja će ovo pravilo biti na snazi. Npr.
"add portopening UDP 500 ENABLE ALL" osigurava korištenje L2TP protokola preko svih sučelja. Ili "add portopening ALL 53 DNS ENABLE CUSTOM 192.168.1.0" osigurava pristup jedino DNS poslužiteljima koji se nalaze na 192.168.1.0 mreži.
10. set portopening - ovdje mijenjamo postavke zadane "add portopening" komandom pa tako "set portopening ALL 53 DNS ENABLE CUSTOM 192.168.2.0" dodaje mogućnost korištenja DNSa i na 192.168.2.0 mreži.
11. delete portopening - brišemo pravila zadana "add portopening" Komandom "delete oprtopening protocol =UDP port=500" zatvaramo port kojim se koristi L2TP portokol.
12. set service - ovime otvaramo ili zatvaramo portove nekoliko predhodno definiranih servisa tipa Terminal servis, file print&sharing, WMI i MMC administriranje računalom i sl.
"set service type=fileandprint" otvara TCP portove 137, 138, 139 i 445 "set service type=remotedesktop mode=enable scope=custom addresses = 192.168.1.0" otvara TCP port 3389 za Terminal servis konekciju sa 192.168.1.0 mreže
13. show naredba - prikazuje trenutačno važeće postavke, pa tom naredbom provjeravamo rezultat našega rada. Npr.
show allowedprogram -> prikazuje listu dozvoljenih apliakcija show portopening -> lista otvorenih portova show service -> lista dozvoljenih servisa show logging -> prikazuje aktualan način bilježenja informacija
14. reset - resetira postavke na zadane vrijednosti
I ne zaboravite: ispred svake od opisanih komandi sintaksa zahtjeva upis poziva "netsh firewall..."
|