Управление Windows XP Firewall через командную строку.
Windows XP Firewall
Windows XP с Service Pack 2 включает в себя базовый файерволл (firewall), который защищает пользователей от атак разного рода. Функция Firewall в windows XP сделана для домашних пользователей и пользователей малого бизнеса (small business users). По умолчанию файервол в Windows XP включен.
Например, Windows XP с SP2 инсталлирован на компьютере A (IP адрес 192.168.7.113). Файервол включен.
Команда netsh
Команда netsh в Windows XP позволяет пользователям менять большинство параметров через командную строку. Не будем рассматривать очень детально все возможности команды netsh, просто приступим к рассмотрению. Откройте командное окно (Пуск-Выполнить, или Start-Run..).
C:\>netsh netsh>
Как показано выше, Даная команда выведет консоль команды netsh «netsh>». Так мы получаем интерактивный доступ к оболочке, чтобы запускать команды и видеть результаты. Чтобы изменять параметры файервола наберите в строке преглащения netsh> команду, как показано ниже::
netsh>firewall netsh firewall>?
Команды:
? – Показывает список команд. add – Добавляет настройку к конфигурации файервола. delete - Удаляеи настройку с конфигурации файервола. dump – Показывает скрипт конфигурации. help - Показывает список команд. reset – Сбрасывает настройки файервола до стандартных (default). set – Устанавливает конфигурацию файервола show – Показывает конфигурацию файервола.
Как показано выше, команда ? выводит на экран команды, доступные в контексте команды netsh.
Стандартные настройки запрещают:
-ICMP ECHO запросы к компьютеру, на котором запущен firewall. Пользователи не могут пинговать (ping) такой компьютер machine. -Запрещены сетевые доступы к файлам и принтерам (File and print sharing). Пользователи не могут воспользоваться сетевыми принтерами и папками на компьютерах, где запущен файервол.
Давайте поменяем эти настройки через командную строку.
Разрешить входящие ICMP ECHO запросы
Чтобы разрешить входящие ICMP ECHO запросы введите такую команду:
netsh firewall>set icmpsetting 8 ENABLE Ok.
Теперь пользователи сети смогут пропинговать (ping) IP адрес 192.168.7.113. Чтобы запретить эту функцию, введите следующую команду:
netsh firewall>set icmpsetting 8 DISABLE Ok.
Разрешить доступ к сетевым папкам и принетам (File and Printer sharing)
netsh firewall>set service This command will show help for set service command. netsh firewall>set service FILEANDPRINT ENABLE Ok.
Эта команда разрешит пользователям сети использовать сетевые ресурсы (shared resources) на компьютере 192.168.7.113. Если я хочу чтобы только пользователи подсети 192.168.7.0/24 имели доступ к сетевым ресурсам на 192.168.7.113 то надо прописать такую команду:
netsh firewall>set service FILEANDPRINT ENABLE CUSTOM 192.168.7.0/24 Ok.
Выключение файервола (Firewall)
Чтобы выключить файервол через командную строку, введите следующую команду в netsh:
netsh firewall>set opmode disable Ok.
Эта команда отключит файервол. Вы можете проверить все это через панель управления(control panel). Чтобы включить файервол опять, используйте команду:
В Windows XP Firewall мы можем указывать исключения, которые файервол будет разрешать.
Если в настройкай файервола в панели управления стоит отмечено «Не разрешать искллючения» (Don’t allow exceptions) тогда программы и порты, описанные в этих исключениях будут запрещены файерволом.
По умолчанию в XP Firewall параметры «Не разрешать искллючения» (don’t allow exceptions) не включены (тоесть исключения разрешены., прим. Перевод).
Давайте включим этот параметрчерез командную строку:
netsh firewall>set opmode enable disable Ok.
А теперь отключим:
netsh firewall>set opmode enable enable Ok.
Разрешить спец. программы
В настройках файервола в панели управления на закладке «Исключения»мы можем добавлять программы, которые будут разрешены файерволом. Например, я хочу запустить на своем компьютере утилиту netcat, котиорую еще называют швейцарским перочинным ножом в области безопасности и используют ее для многих вещей. Например, Я хочу, чтобы netcat слушал порт TCP 5000 на моем компьютере. Для этого я запускаю его командой:
C :> nc.exe –l –p 5000
Файервол сразу же покажет диалог, в котором спросит, разрешить ли эту программу или нет. Давайте нажмем кнопку «Продолжать блокировать» (keep blocking). Это означает, что в следующий раз, когда я запушу nc.exe файервол заблокирует nc.exe от запуска. Теперь давайте разрешим программу nc.exe через командную строку и добавим ее в список исключений (exceptions list).
netsh firewall>set allowedprogram This command will show you usage for set allowedprogram. netsh firewall>set allowedprogram c:\nc.exe allow_nc ENABLE Ok.
Как показано выше, наша команда добавила allow_nc в список исключений для програм. Теперь попробуйте присоединиться к порту 5000 с другого компьютера. Вы сможете это сделать.
Сброс настроек файервола до стандартных
Теперь, когда мы достаточно поиграли с настройками файервола, удалим все наши настройки и вернем их в исходное состояние
netsh firewall>reset Ok.
Эта команда возвращает все настройки «по умолчанию». Все ваши изменения удалятся.
