Windows Firewall: создание правила, привязанному к сетевой карте
 

Возможно ли создать правило, которое бы «висело» на определенной сетевой карте??
В мастере создания нового правила и в свойствах существующих правил нигде нет опций выбора определенного сетевого интерфейса.

свойства правила-дополнительно-настроить

Это про свойства самого фаирвола? Там, где выбираются интерфейсы, на которых активен фаирвол?

Мне нужно немного другое. Что-то типа --in-interface/--out-interface у iptables.

Т.е. как сделать так, чтобы на разных сетевых интерфейсах были разные наборы правил?

тогда попытайтесь сформулировать вопрос ещё раз.

попробуйте сделать то, что я написала.

cameron, он достаточно подробно описал. Представьте себе - в компьютере ДВА сетевых интерфейса (грубо и утрировано - две сетевые карты с разными IP-адресами), например от двух разных провайдеров или один интернет, а второй - локальная сеть района, где проживает ТС. Пусть будут Интерфейс1 и Интерфейс2. Есть некая программа NNN.EXE, для которой есть разрешающее правило для выхода во внешний относительно компьютера мир. Так вот сделать это правило так, чтобы программа могла выходить через интерфейс1, но не могла через интерфейс2. Это просто пример, поясняющий суть вопроса.

нужно сделать так, как я написала.
там есть опция выбора интерфейса для правила.

Там нет опции выбора интерфейса. Там есть опция выбора ТИПА интерфейса.
А у меня, например, есть два интерфейса одинакового типа.
И мне нужно сделать два разных набора правил для двух разных интерфейсов одинакового типа.

Если нажать на ссылку справки в том окне, то прочитаем это:

теперь ясно.
а профиль у интерфейсов тоже одинаковый?

фактически да.
проблема в том, что искусственный интеллект файрвола Windows NT 6.x может самолично переключать профили файрвола в зависимости от ряда внешних условий (доступности/недоступности неких внешних узлов - шлюзов сети).
В случае, если мне нужно однозначное, не зависимое от внешних факторов, срабатывание правил, то придется во все профили записать одинаковые правила и разруливать все в зависимости от интерфейса, а не от текущего местоположения компа (например какой смысл иметь различные профили на сервере? я не не буду таскать севрер в интернет-кафе, где мне активизируется публичный профиль).

Mike33,
тогда я не представляю, как раскорячить WF в таком варианте.
скорее всего вам требуется сторонее решение.

Mike33, почему бы не воспользоваться сторонним файерволом, например wipfw?

Я им и пользовался, но его нет под 64-разряда. И под 32-разряда он только в статусе beta.

Правда? А как же вот это:
И девяти лет не прошло... ;)

Правда.
Раздел закачки - http://sourceforge.net/projects/wipfw/files/stable/
Там файл: wipfw-0.2.8_W2K_XP_2003x64.zip
Для Windows 7 ничего нет.

Mike33, то есть вы по названию файла судите о работоспособности программы? А, ну тогда оно конечно да, НЕ РАБОТАЕТ :) Фигею...

фигеть не надо - там внутри неподписанные драйверы kernel-mode.
впрочем, если вы почитате комменты (прямо на первой странице) или на местном форуме, вы убедитесь, что увы и ах.

Mike33,
Agnitum Outpost?

Mike33, вообще в расширенном режиме настройки правил есть возможность явно указать "локальный IP адрес". Можно попробовать "поиграть" на этом.

По крайней мере в своей домашней сети (роутер) вы вольны сменить "типовой" 192.168.х.х/24 на менее распространённый 172.16.х.х - 172.31. х.х/24
Если выбрать выбрать "заковыристый" вариант, то шанс нарваться на такой же адрес сети в кафе стремится к нулю.

Нееее..... Ну нафиг.... Пихать драйвера от Windows NT 5.x на Windows NT 6.x... Не хочу экспериментировать.

Что-то у меня к нему несколько предвзятое отношение после того, как несколько лет назад пытался безуспешно вычистить компы после него.
Да и хочется некий файерволл с возможностью управления через командную строку, чтобы можно было все правила едиообразным образом загружать через скрипт.

Да, я думал об этом, но это как-то похоже на костыли. Хотелось бы максимально правильного решения.
Пока рою тему, а там посмотрим...

На юзерской винде Всё будет "костылями".
Не вижу препятствий в смене адресации в домашней сетке.
В своей вообще никогда не использовал 192.168.х.х
Родной виндовый WF.msc вполне годен. Просто надо к нему привыкнуть.
И не будет проблем ни со скоростью сети, ни с bsod'ами, как это вошло в моду у Outpost. После версии 6.хз я от него отказался в пользу виндового.

И, кажется, что-то удалось нарыть.

Идем сюда:

Windows Firewall with Advanced Security

Потом сюда:
Windows Firewall with Advanced Security Reference
Windows Firewall with Advanced Security Interfaces
INetFwRule interface

И видим, что у COM-интерфейса INetFwRule, наряду с обсуждаемым выше свойством:
Есть свойство:
И есть пример, как это использовать:
Adding a Per Interface Rule

Вроде бы прям то, что нужно.....

Но почему эта настройка вообще нигде не доступна в оснастке управления firewall-ом??????
Может она криво работает??

Это блин похоже на какой-то онанизм... :(
Microsoft не поленилась реализовать искусственный интеллект типа этого: Network Location Awareness (NLA) and how it relates to Windows Firewall Profiles, но поленилась сделать адекватную поддержку сетевых интерфейсов...
Бред какой-то.... Не пойму почему так.
Мне бы адекватно работающий под Windows NT 6.x x64 iptables или ipfw. И я бы был счастлив.

причины есть.
например замена сетевой карты в конфигурации с WF не приведёт к проблемам - профиль то доменный.
а вот ваш вариант с биндингом на GUID/MAC оборудования выйдет чем? правильно, всё что явно не разрешено - запрещено.
ну, и если уж окровенно говорить - вы хотите странного, поэтому и занимаетесь онанизмом ;)

Т.е. заменяя сетевую карту, для чего я должен ножками подойти к компу и должен ручками в компе неплохо так пошевелить, у меня, якобы, совершенно не будет возможности/желания/кармы еще и маленько шевельнуть ручкой, чтобы активировать на сетевом интерфейсе нужный профиль???
Или меня, находящегося в непосредственной близи у компа (или уже кто-то разобрался как можно удаленно, по сети, заменить сетевую карту?), испугает факт того, что нужно сделать небольшую подстройку файрвола?
Какие тут могут быть проблемы???

А вот когда в сети по каким-то причинам "ляжет" сетевой шлюз, вследствие чего сервер (железный ящик в 20 кило весом) решит, что он оказался вдруг в какой-то ему незнакомой враждебной сети (в интернет-кафе, например, я его притащил кофе попить), и применит публичный профиль, тем самым фактически закрыв себя от окружающего мира, тем самым фактически превратившись из сервера (софт/железо, предоставляющий сервис) в бесполезный софтово-железный хлам (потому как он перестал предоставлять сервис своим клиентам).

Вы ни разу не видели комп, у которого две/три/много сетевых карт?

Все эти телодвижения с профилями файервола имеют смысл только в одной ситуации - мобильное устройство.
Когда комп реально постоянно оказывается в разных сетях (работа, дом, интернет-кафе).
В случае с сервером/рабочей станцией/домашним стационарным компом нужен один единственный профиль и не более.

Откровенно говоря, вы далеко не первая кто в принципе не понимает как это может быть несколько одновременно активных сетевых интерфейсов. Это сейчас даже в МС уже похоже не понимают или тупо делают вид, что такое никому в принципе не может понадобится. Metro-плитки головного мозга, не иначе (это про МС, не про вас).

На 7-ке 2-3 интерфейса со своими шлюзами? .....

Хотелки ТС проще всего решаются "профилями".
О чём и в этой теме поминали, и давным-давно писано на рутрекере (может и с отсылкой на oszone)
Или с конкретными локальными IPадресами/сетями. При минимальном опыте проблем нет. Аккуратность - и всё.

Оба варианта без ломания функционала с нормальной скоростью без "синьки" и без приблудного софта.
Ну а уж кто знает про iptables и остальное, у тех не только 7-ка на ноутбуке.
У меня, положим, давно есть, но 7-ка объективно больше подходит для ноутбука и носимого терминала, "пингвин" запрягается только по мере надобности.

NLA принимает в расчет не только шлюзы.
Тем более каким образом какой-то тупой комп может лучше меня знать к какой я его подключаю сети?
Зачем безусловно пытаться за меня решать к какой сети я подключаю комп? Почему нет опции отключения NLA и выбора профиля файервола вручную, жестко привязывая его к сетевому интерфейсу?
Почему вообще только три профиля? Логично было бы иметь возможность создавать произвольный профиль и иметь возможность на интерфейсе отключать NLA и жестко привязывать профиль.
Ничего этого нет. И неумный искусственный интеллект пытается за меня решить как мне жить.

Каким образом с помощью профилей возможно сделать два абсолютно различных набора правил, которые бы применялись каждый к своему сетевому интерфейсу?

Не могли бы вы скинуть ссылки?

Цитата:

Цитата meZon Ну а уж кто знает про iptables и остальное, у тех не только 7-ка на ноутбуке. У меня, положим, давно есть, но 7-ка объективно больше подходит для ноутбука и носимого терминала, "пингвин" запрягается только по мере надобности. »

К сожалению приходится подстраиваться под требования бизнес-софта. В этом вопросе у меня нет выбора.
Хотя на данный момент основное решение - linux-box, висящий в разрыв между компом и остальными сетями, а файервол Windows тупо отключен через политики, как не справившийся со своими обязанностями.
Если у меня все получится как я написал здесь, то возможно, после тестов, обойдемся без linux-box-ов.