Вопрос или проблема
Я настраиваю брандмауэр Windows только с белым списком.
У меня Windows 10 на VMWare Workstation Pro 17 для экспериментов.
Я отключил все:
netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
netsh advfirewall firewall set rule all new enable=no
И включил некоторые:
netsh advfirewall firewall set rule name="Общий доступ к файлам и принтерам (Запрос эха - ICMPv4-In)" new enable=yes
netsh advfirewall firewall set rule name="Удаленный рабочий стол - Режим пользователя (TCP-In)" new enable=yes
netsh advfirewall firewall set rule name="Основные сетевые функции - DNS (UDP-Out)" new enable=yes
netsh advfirewall firewall set rule name="Основные сетевые функции - Протокол динамической конфигурации узлов (DHCP-Out)" new enable=yes
netsh advfirewall firewall set rule name="Общий доступ к файлам и принтерам (SMB-Out)" new enable=yes
Я не могу заставить DNS работать. Я могу получить доступ к общей папке на своем хосте, используя IP-адрес, но не по имени. Это работает, когда я сбрасываю брандмауэр на стандартный.
Чтобы немного упростить, я сейчас тестирую с «ping». То же самое. Со стандартным брандмауэром я могу пинговать мой хост по имени или IP. Когда я ограничиваю брандмауэр, я могу использовать только IP.
Теперь можно было бы подумать, что достаточно просто включить одно из уже существующих правил. Но на самом деле очень легко просто отметить все существующие правила и включить их все. Это не даст никакой разницы. (И есть много правил, звучащих как DNS, SMB, NB и т.д.)
Кто-нибудь знает, что мне включить или добавить в брандмауэр, если я хочу пинговать мой Windows-хост так:
ping my-VMware-host
Ответ или решение
Чтобы активировать функцию разрешения имен DNS в конфигурации файрвола Windows с моделью только для белого списка, необходимо выполнить несколько шагов для корректной настройки правил и политик файрвола. В данном ответе мы подробно рассмотрим, какие действия нужно предпринять в вашей среде Windows 10 на VMWare Workstation Pro 17.
1. Проверка текущих правил
Перед тем как вносить изменения, необходимо оценить, что уже настроено в вашем файрволе. Чтобы проверить доступные правила, используйте следующую команду в командной строке с правами администратора:
netsh advfirewall firewall show rule name=allПосмотрите, какие правила уже включены или отключены.
2. Включение необходимых правил
Для работы с DNS, вам нужно убедиться, что разрешены следующие протоколы и порты:
- DNS (UDP): Порт 53 для запросов DNS.
- UDP (для ICMP): Для передачи запроса ping через имя хоста.
- SMB (для доступа к файловым ресурсам): Порты 445 (TCP) и 137-139 (UDP) могут понадобиться для доступа к файловым ресурсам.
Выполните следующие команды для включения соответствующих правил:
netsh advfirewall firewall set rule name="Core Networking - DNS (UDP-Out)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - DNS (UDP-In)" new enable=yes
netsh advfirewall firewall set rule name="File and Printer Sharing (SMB-Out)" new enable=yes
netsh advfirewall firewall set rule name="File and Printer Sharing (SMB-In)" new enable=yes3. Добавление пользовательского правила для ICMP
Для успешной работы команды ping необходимо включить правила для ICMP (Internet Control Message Protocol). Выполните следующую команду, чтобы разрешить ICMP-запросы:
netsh advfirewall firewall add rule name="Allow ICMPv4-In" protocol=icmpv4:0,255 dir=in action=allow4. Проверка подключения
Теперь вы можете протестировать, работает ли разрешение имен. Откройте командную строку и выполните команду:
ping my-VMware-hostЕсли все настройки выполнены правильно, вы должны увидеть ответы на запросы ping, что подтверждает работоспособность разрешения имен.
5. Дополнительные рекомендации
Если после выполнения всех вышеперечисленных шагов доступ к файлам по имени все еще не работает, выполните следующее:
- Проверьте файл
hosts: Убедитесь, что имя вашего хоста не конфликтует с другими записями в файлеC:\Windows\System32\drivers\etc\hosts. - Проверьте сетевые настройки: Убедитесь, что ваша VM имеет доступ к правильной сети (NAT, Bridged и пр.), что также может повлиять на доступность DNS.
Следуя вышеописанным шагам, вы сможете успешно настроить белый список файрвола Windows для корректной работы DNS и устройствах в сети.