Как заблокировать весь трафик, кроме одного IP в брандмауэре Windows?

35

Я пытаюсь использовать брандмауэр Windows 7, чтобы заблокировать весь исходящий и входящий трафик со всех IP-адресов и для всех протокалов, кроме UDP на и с одного конкретного IP-адреса.

Причина в том, что я использую VPN через UDP, и поэтому никакой другой трафик не требуется, поэтому я хотел бы отключить все это.

Моя конфигурация блокирует весь исходящий трафик, но также и блокирует трафик, идущий к IP, к которому я хочу иметь доступ. Например, я не могу пропинговать разрешенный IP-адрес (обратите внимание, что он установлен как любой разрешенный протокол, поэтому пинг должен работать). Я получаю 'General Failure', когда пытаюсь пропинговать его.

Я полагал, что наличие правила разрешения в верхней части списка заставит его работать, но это не так. Я что-то здесь упускаю?

thegreatdane23
источник

Ответы:

19

Правильный способ сделать это - настроить брандмауэр Windows на блокировку всего исходящего трафика по умолчанию, а затем разрешить только те входящие подключения, которые вы хотите.

Для этого нажмите Брандмауэр Windows в режиме повышенной безопасности на левой панели и выберите Свойства брандмауэра Windows на правой панели. Рядом с Исходящие соединения выберите Блокировать . Затем нажмите ОК .

Брандмауэр Windows блокирует исходящий по умолчанию

Как только вы это сделаете, просто удалите правило блокировки всех исходящих трафика, и все будет готово.

Патчи
источник
2
Стоит отметить, что вы все еще видите, как в Wireshark это происходит.
Барлоп
3
Если вы сделаете это, вам также необходимо удалить все остальные правила (в общедоступном профиле), кроме одного, которое вы хотите разрешить. В противном случае вы не получите эффект «заблокировать все».
droidgren
18

Вы можете сделать это с IPSec.

  1. Нажмите Пуск и введите MMC, затем выберите MMC из списка.
  2. Нажмите Файл -> Добавить / удалить оснастку -> Добавить оснастку политики IP-безопасности и нажмите кнопку ОК.
  3. Щелкните правой кнопкой мыши в средней части и выберите «Создать политику безопасности IP».
  4. Пройдите по первому мастеру с настройками по умолчанию, дающими желаемое имя / описание.
  5. В Windows, которая открывается после первого мастера, нажмите «Добавить ...»
  6. Нажмите «Далее» x3, а затем нажмите «Добавить ...»
  7. Дайте название «Заблокировать все» или что-то подобное. Нажмите «Добавить ...»
  8. Запустите этот мастер, сохраняя все настройки по умолчанию, и нажмите «ОК».
  9. Выберите «Блокировать все» и нажмите «Далее», а затем «Добавить ...» снова
  10. Следуйте указаниям мастера с именем «Блок» и выберите «Блок» в качестве действия.
  11. Повторите шаги 5-10, выбрав правильный источник / назначение / протокол и выбрав «Разрешить» на шаге 10.

MMC

Riguez
источник
Ницца! Я не знал, что ты мог сделать это
user40311
это был бунт, когда я впервые нашел пошаговые правила, которые были полезны (не детские шаги). И если вы щелкнете снаружи и потеряете окно, в котором находитесь, оснастка file..add / remove вернет вас обратно. Кроме того, я пропустил шаг 11 и просто назначил / не назначил блок. Это сработало до такой степени, что остановило Wget, например. но вы все еще видите вещи в Wireshark. тот же эффект, что и при блокировке в брандмауэре win7,
насколько это возможно,