Windows 7 Firewall Blokada polaczen wychodzacych i reguly

Przez dlugi czas uzywalem na Windows XP jako firewalla Kerio Personal Firewall 2.1.5 i chyba byl to najlepszy wybor dla tego systemu. Jednak z przjesciem na Windows 7, Kerio niestety nie dzialalo, rozpoczalem wiec poszukiwania czegos pod ten system. Okazalo sie jednak ze swiat pod wzgledem firewalli poszedl znacznie do przodu i takie produkcje jak Kerio 2.1.5 ktore spelnialo swoje zadanie idealnie przestaly istniec praktycznie, a pojawily sie wielkie ciezkie zasobozerne aplikacje w ktore byly wladowane wszystkie mozliwe zabezpieczenia razem z HIPS’em. W koncu wybor padl na Online Armor Free, ktory od pierwszej wersji pod Win 7 mial z nia problemy zamrazajac ostatni zamykany program na pasku przez jakies 3-4sec, az w koncu w wersji 4.0.0.44 doszlo do tego, ze programy zamykaly sie dobrze, natomiast polaczenie sie wieszalo co jakis czas na 3-4 sec co uniemozliwialo normalna prace, sciaganie, czy nawet rozrywke online. W odpowiedzi od supportu Armor Online uzyskałem odpowiedz, ze Win 7 nie jest jeszcze calkowicie zaimplementowany do programu i moga sie dziac rozne dziwne rzeczy. Postanowilem znalezc cos normalne co w koncu by odpowiadalo moim oczekiwania i tutaj z pomoca przyszla wbudowana w system zapora, ktora okazala sie trafieniem w dziesiatke. Wczesniej mialem uraz do firewalla ktory byl w XP z Vista natomiast za dlugo nie zabawilem, a tutaj moim oczom ukazal sie pelnowartosciowy firewall robiacy to co od niego oczekuje – filtruje polaczenia przychodzace i wychodzace. Microsoft w koncu zrozumial jak wazane jest bezpieczenstwo klientow i odwalil naprawde kawal dobrej roboty. Jednak ku mojemu zdziwieniu, gdy firewall pieknie sie pytal o polaczenia przychodzace ktorych nie znal i dla ktorych nie bylo regul, to po zablokowaniu polaczen wychodzacych (domyslnie bylo ustawione na dopuszczaj wszystko) pytanie takie przestalo sie pojawiac, po prostu programy nie chcialy sie polaczyc. Powiem szczerze ze jest to spora niedogodnosc gdyz kazda regule trzeba dodac recznie a wystarczylo w pytaniu dodac checkbox czy regula ma byc utworzona tez dla polaczen wychodzacych przy ich zablokowaniu. Co ciekawe, po wlaczeniu blokady polaczen wychodzacych, widnows nie ma nawet domyslnej reguly dla Windows Update, trzeba ja stworzyc recznie. Pokaze jak mozna to zrobic przy zablokowanym ruchu wychodzacym, oraz jak dodac przykladowy program. Zaczynamy od dostanie sie do samego firewalla :)

Klikamy start -> panel sterowania

Nastepnie jesli ktos nie ma zmienionego widoku w panelu sterowania, to zeby bylo wygodniej zmieniamy ikonki na male, co pozwoli nam wyswietlic cala liste

Z listy wybieramy „zapore systemu windows”

Zobaczymy podstawowe okno zapory, klikamy na ustawienia zaawansowane

Otworzy nam sie okno z ustawieniami zaawansowanymi, po czym klikamy na „Wlasciwosci zapory systemu Windows”

We wlasciwosciach klikamy na zakladke profilu publicznego i przy „polaczenie wychodzace” rozwijamy liste i wybieramy „Zablokuj” (jak widzimy polaczenia przychodzace zablokowane sa domyslnie) po czym klikamy OK.

Teraz w glownym oknie ustawien zaawansowanych zapory, wybieramy pozycje „Reguly wychodzace” po czym z prawej strony wybieramy „Nowa regula…”

Jako pierwsza stworzymy regule dla Windows Update, aby aktualizacje mogly sie pobierac bez wiekszych przeszkod. W kreatorze wybieramy pozycje „Program” i klikamy „Dalej”

W kolejny oknie kreatora zaznaczamy „Ta sciezka programu” i wybieramy svchost.exe domyslnie jest w c:\windows\system32\svchost.exe po wybraniu klikamy dalej

Wyskoczy nam komunikator informujacy nas o tym jakie wielkie zlo uczynilismy ;) zatwierdzamy oczywiscie „TAK”

W nastepnym oknie tzw. Akcje wybieramy tylko „Zezwalaj na polaczenie” i klikamy „Dalej”

Wybieramy do jakich profili ma miec zastosowanie tworzona przez nas regula, w moim przypadku jest to tylko profil publiczny wiec oznaczamy go nastepne „Dalej”

Pozostaje nam jeszcze ostatnie okno kreatora w ktorym nadajemy nazwe dla naszej tworzonej reguly i „Zakoncz”

Teraz na naszej glownej liscie regul wychodzacych powinna sie pojawic nasza nowo utworzona regula o takiej nazwie jaka jej nadalismy, jako ze regula jest dla svchost.exe trzeba zdefiniowac dla jakiej uslugi ma byc dostepna. Klikamy na nasza regule prawy myszki i wybieramy pozycje „Wlasciwosci”

Wybieramy zakladke „Programy i uslugi” a nastepnie w ramce „Uslugi” klikamy na „Ustawienia…”

Chcemy dopuscic usluge Windows update wiec,  zaznaczamy „Zastosuj do tej uslugi” i z listy wybieramy „Windows Update” po czym klikamy na „Ok”

Nasza regula jest juz prawie gotowa, wybieramy teraz zakladke „Protokoly i porty”, typ portu ustawiamy na „TCP”, port lokalny zostaje jak jest, natomiast port zdalny mozemy ustalic i doprecyzowac, wybieramy z rozwijalnej listy „Okreslone porty” i wpisujemy 80, 443 sa to porty ktore usluga Windows Update wymaga do prawidlowego dzialania, zatwierdzamy wszystko „OK”

Ponownie wyskakuje nam informacje o tym, jakie zlo uczynilismy :) oczywiscie potwierdzamy ja :) I mamy gotowa regule przy zablokowanym ruchu wychodzacym na dopuszczenie uslugi Windows Update.

Inne reguly

Co z innymi regulami dla reszty programow ? Tworzymy je analogicznie jak regule dla Windows update, z tym ze nie musimy wybierac zadnych uslug. W przypadku przegladarki np. Google Chrome wystarczy podczas kreowania nowej reguly wskazac sciezke do pliku wykonawczego przegladarki czyli np.  C:\Users\[nazwa uzytkownika]\AppData\Local\Google\Chrome\Application\chrome.exe ( sciezki oczywiscie dla ulatwienia mozemy sobie kopiowac np. ze skrotow ikonek ktore mamy na pulpicie klikajac prawy myszki i wlasciwosci). Po utworzeniu reguly wchodzimy w jej wlasciwosci, zakladke  „Protokoly i porty” i ustawiamy na TCP mozna ustalic tez porty 80, 443, lub dopuscic na wszystkich jesli korzystamy z jakis egzotycznych polaczen przez proxy.

Jak wyglada sprawa w przypadku innych programow czyli jakis komunikatorow, gier ? identycznie z ta roznica ze tworzymy dwie reguly. Proponuje sobie podczas tworzenia np. dla komunikatora nazwac regule np. nazwa_komunikatora UDP (ja zrobie dla PuTTy). po czym po stworzeniu jej klikamy na niej prawy -> kopiuj i po skopiowaniu po prawej stronie klikamy na „wklej” co pozwoli nam zdublowac regule.

Na zdublowanej regule klikamy prawy i ustawiamy „Protokoly i porty” na UDP

A na drugiej zdublowanej regule zmieniamy nazwe na nazwa_naszego_programu TCP

Natomiast w zakladce „Protokoly i porty” ustwiamy port TCP i klikamy „OK”

W taki sposob mozemy tworzyc reguly dla wszystkich pozostalych programow ktore wymagaja polaczenia z internetem. Niektorzy powiedza – po co blokowac i filtrowac ruch wychodzacy ? ja jednak lubie miec wszystko pod kontrola i nie lubie jak cos sie laczy bez mojej wiedzy :)

Do przeglądania polaczen wychodzacych/przychodzacych moze nam pomoc tez oprocz konsolowego narzedzia netstat, malutki programik, ktory idealnie spelnia swoje zadanie TCPView

UPDATE

Okazalo sie, ze dla przegladarek rowniez warto udostepnic porty UDP, takie gry jak quakelive bez tego, niestety nie wystartuja.

About these ads
Ten wpis został opublikowany w kategorii Ogolna i oznaczony tagami , , , , . Dodaj zakładkę do bezpośredniego odnośnika.

4 odpowiedzi na „Windows 7 Firewall Blokada polaczen wychodzacych i reguly

  1. Tomasz Skręt pisze:

    Dzięki bardzo za poradę. Bardzo się przydała.
    Hmm, a jak sobie jeszcze na przykład odblokować aktualizacje ESET NODa?

    • v3rim pisze:

      Nigdy nie używałem ESET NOD, ale jeśli po dopuszczeniu głównego pliku programu aktualizacja nie dział. To w samym katalogu gdzie znajduje się program, powinien być plik .exe w stylu esetnodupdate. Można też w programie nacisnac automatyczna aktualizacje i zobaczyc w managerze zadan, jaki proces od NODa sie uruchamia dodatkowo. Wtedy wystarczy tylko ten proces dopuscic po TCP i UDP na wszystkich portach i powinno hulać bez problemu :)

  2. jolam pisze:

    Bardzo dziękuję za radę. Już chciałam przywracać starą kopie systemu, bo aktualizacje się nie udawały lub myślałam o zainstalowaniu linuksa. Dobrze, że nie muszę :)
    Serdecznie pozdrawiam. jolam

Dodaj komentarz

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

WordPress.com Logo

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Twitter picture

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s