Windows server core отключить firewall
Обновлено: 02.07.2024
Брандмауэром Windows можно управлять не только привычным всем способом - через окна панели управления. Командная строка Windows так же имеет команды для управления собственным файрволом операционной системы Microsoft.
Способ управления брандмауэром через командную строку имеет массу незаменимых преимуществ перед оконным способом. Если вы хорошо владеете командной строкой, то гораздо быстрей выполните необходимые настройки написав нужные команды в cmd, чем кликая курсором по окнам. К тому же, консольный способ дает возможность управлять брандмауэром удаленного компьютера незаметно для его пользователя.
Рассмотрим подробнее какие команды есть для настройки брандмауэра Windows из командной строки CMD.
Для управление брандмауэром с помощью команд, командную строку CMD необходимо запустить с правами администратора.
Выключение и включение
Выключение сетевых профилей:
Включение сетевых профилей:
Запрет всех входящих соединений и разрешение исходящих:
Разрешение протоколов
Следующее правило принимает входящий трафик по ICMP-протоколу, проще говоря разрешает ping:
Закрытие и открытие портов
Разрешение входящих протоколов TCP и UDP на 80 порт:
Запрет входящих протоколов на 80 порт:
Открыть диапозон портов для исходящего UDP трафика
Удаление правил по имени
Ограничения по IP адресам
правило ограничивающие подключение одно ip-адреса
Ограничение подключений с диапазона ip-адресов или сетей.
Правила для приложений
Разрешить соединения для программы MyApp.exe
Комбинирования параметров
Можно использовать длинные выражения путем комбинирования сразу нескольких параметров:
Мы создали правило, которое разрешает входящие соединения к приложению MyApp из сетей с ip-адресами 157.60.0.1,172.16.0.0/16 и доменным профилем сетевого подключения.
На официальном сайте Microsoft можно ознакомится с примерами сравнения старого контекста Windows XP и нового, который начал использоваться в Windows 7.
Как вы знаете Server Core в Windows Server 2008 не включает в себя традиционный полный графический интерфейс пользователя (GUI).
Как и в стандартной (полной) установке Windows Server 2008, брандмауэр Windows включен по умолчанию, и большинство сетевых портов сразу после установки блокируются. Однако, поскольку основной задачей севера является предоставление некой услуги (будь то некая служба, файл, или что-то другое, что должно быть доступно по сети), вам необходимо разрешить определенный сетевой трафик на брандмауэре.
В большинстве случаев после начальной конфигурации сервера, у Вас возникнет необходимость управления ролями и функциями, установленными на сервере, и вероятно, вы захотите использовать MMC-оснастку Administration tools. Есть три сценария удаленного управления через MMC:
Эта команда разрешает использование большинства методик удаленного управления и разрешает доступ к большинству оснасток MMC. Однако есть оснастки, удаленный доступ к которым настраивается дополнительно:
Диспетчер устройств (Device Manager)
Чтобы разрешить подключаться к диспетчеру устройств, нужно включить параметр политики «Allow remote access to the PnP interface».
Управление дисками (Disk Management)
Для этого на Server Core нужно запустить службы виртуальных дисков (Virtual Disk Service -VDS)
IPSec Management
Вы должны сначала установить удаленное управление для IPSec. Это можно сделать с помощью скрипта scregedit.wsf (он лежит в папке system32):
В брандмауэре существуют правила не для всех оснасток, в таблице перечислены существующие правила:
Чтобы включить любую из этих групп, нужно набрать команду:
Вы также можете удаленно включить их из брандмауэра Windows, запущенного в режиме Advanced Security. Для просмотра всех правил, просто сделайте сортировку по столбцу “Enable”:
В этой статье описывается использование контекста брандмауэра вместо контекста для управления netsh advfirewall netsh firewall Windows брандмауэра.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 947709
Сводка
Контекст netsh advfirewall командной строки брандмауэра доступен в Windows Server 2012 R2. В этом контексте предоставляется функциональность для Windows брандмауэра, которое было предоставлено контекстом netsh firewall брандмауэра.
Этот контекст также предоставляет функции для более точного управления правилами брандмауэра. Эти правила включают следующие параметры для каждого профиля:
Контекст командной строки может быть обесценит в будущей версии netsh firewall Windows операционной системы. Рекомендуется использовать контекст netsh advfirewall брандмауэра для управления поведением брандмауэра.
Если вы входите в группу Администраторы и на компьютере включено управление учетной записью пользователя, запустите команды из командной подсказки с повышенными разрешениями. Чтобы запустить командную подсказку с повышенными разрешениями, найдите значок или запись меню , которую вы используете для запуска сеанса командной подсказки, щелкните правой кнопкой мыши, а затем нажмите кнопку Выполнить в качестве администратора.
В следующих таблицах приводится несколько примеров часто используемых команд. Эти примеры можно использовать для переноса из старого контекста в netsh firewall новый netsh advfirewall контекст брандмауэра.
Кроме того, предоставляются команды, которые можно использовать для получения подробной помощи в netsh advfirewall линии.
Пример команды 1. Включить программу
| Старая команда | Новая команда |
|---|---|
| netsh firewall add allowedprogram C:\MyApp\MyApp.exe "My Application" ENABLE | netsh advfirewall firewall add rule name="My Application" dir=in action=allow program="C:\MyApp\MyApp.exe" enable=yes |
| netsh firewall add allowedprogram program=C:\MyApp\MyApp.exe name="My Application" mode=ENABLE scope=CUSTOM addresses=157.60.0.1,172.16.0.0/16,LocalSubnet profile=Domain | netsh advfirewall firewall add rule name="My Application" dir=in action=allow program= "C:\MyApp\MyApp.exe" enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=domain |
| netsh firewall add allowedprogram program=C:\MyApp\MyApp.exe name="My Application" mode=ENABLE scope=CUSTOM addresses=157.60.0.1,172.16.0.0/16,LocalSubnet profile=ALL | Выполните следующие команды: netsh advfirewall firewall add rule name="My Application" dir=in action=allow program= "C:\MyApp\MyApp.exe" enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=domain netsh advfirewall firewall add rule name="My Application" dir=in action=allow program="C:\MyApp\MyApp.exe" enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=private |
Дополнительные сведения о том, как добавить правила брандмауэра, запустите следующую команду:
Пример команды 2. Включить порт
| Старая команда | Новая команда |
|---|---|
| netsh firewall add portopening TCP 80 "Open Port 80" | netsh advfirewall firewall add rule name= "Open Port 80" dir=in action=allow protocol=TCP localport=80 |
Дополнительные сведения о том, как добавить правила брандмауэра, запустите следующую команду:
Пример команды 3. Удаление включенных программ или портов
| Старая команда | Новая команда |
|---|---|
| netsh firewall delete allowedprogram C:\MyApp\MyApp.exe | netsh advfirewall firewall delete rule name= rule name program="C:\MyApp\MyApp.exe" |
| delete portopening protocol=UDP port=500 | netsh advfirewall firewall delete rule name= rule name protocol=udp localport=500 |
Дополнительные сведения о том, как удалить правила брандмауэра, запустите следующую команду:
Пример команды 4. Настройка параметров ICMP
| Старая команда | Новая команда |
|---|---|
| netsh firewall set icmpsetting 8 | netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow |
| netsh firewall set icmpsetting type=ALL mode=enable | netsh advfirewall firewall add rule name= "All ICMP V4" protocol=icmpv4:any,any dir=in action=allow |
| netsh firewall set icmpsetting 13 disable all | netsh advfirewall firewall add rule name="Block Type 13 ICMP V4" protocol=icmpv4:13,any dir=in action=block |
Дополнительные сведения о настройке параметров ICMP запустите следующую команду:
Пример команды 5. Настройка журнала
| Старая команда | Новая команда |
|---|---|
| netsh firewall set logging %systemroot%\system32\LogFiles\Firewall\pfirewall.log 4096 ENABLE ENABLE | Выполните следующие команды: netsh advfirewall set currentprofile logging filename %systemroot%\system32\LogFiles\Firewall\pfirewall.log netsh advfirewall set currentprofile logging maxfilesize 4096 netsh advfirewall set currentprofile logging droppedconnections enable netsh advfirewall set currentprofile logging allowedconnections enable |
Если необходимо настроить ведение журнала для определенного профиля, используйте один из следующих параметров, а не currentprofile параметр:
- Domainprofile
- Privateprofile
- Publicprofile
Пример команды 6. Включить Windows брандмауэра
| Старая команда | Новая команда |
|---|---|
| netsh firewall set opmode ENABLE | netsh advfirewall set currentprofile state on |
| netsh firewall set opmode mode=ENABLE exceptions=enable | Выполните следующие команды: Netsh advfirewall set currentprofile state on netsh advfirewall set currentprofile firewallpolicy blockinboundalways,allowoutbound |
| netsh firewall set opmode mode=enable exceptions=disable profile=domain | Выполните следующие команды: Netsh advfirewall set domainprofile state on netsh advfirewall set domainprofile firewallpolicy blockinbound,allowoutbound |
| netsh firewall set opmode mode=enable profile=ALL | Выполните следующие команды: netsh advfirewall set domainprofile state on netsh advfirewall set privateprofile state on |
Если вы хотите установить состояние брандмауэра для определенного профиля, используйте один из следующих вариантов, а не currentprofile параметр:
- Domainprofile
- Privateprofile
- Publicprofile
Пример команды 7. Восстановление по умолчанию политики
| Старая команда | Новая команда |
|---|---|
| netsh firewall reset | netsh advfirewall reset |
Пример команды 8. Включить определенные службы
| Старая команда | Новая команда |
|---|---|
| netsh firewall set service FileAndPrint | netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes |
| netsh firewall set service RemoteDesktop enable | netsh advfirewall firewall set rule group="remote desktop" new enable=Yes |
| netsh firewall set service RemoteDesktop enable profile=ALL | Выполните следующие команды: |
netsh advfirewall firewall set rule group="remote desktop" new enable=Yes profile=domain
Я применил правило брандмауэра Windows, которое блокирует все tcp-соединение и, таким образом, удалило себя из удаленного рабочего стола на выделенном сервере. Мне удалось получить восстановление через VNC, который в основном представляет собой систему восстановления Windows XP.
У меня есть доступ к физическим файлам установки Windows Server 2008 R2, но я не знаю, как отключить брандмауэр, чтобы я мог перезагрузить систему восстановления и подключиться к W2K8 через удаленный рабочий стол.
Как я могу изменить свойства брандмауэра Windows Server 2008, когда ОС практически отключена, и у меня есть доступ к файловой системе для системных файлов?
4 ответа
Вы можете отключить брандмауэр Windows с помощью реестра; соответствующие настройки находятся в
В этом разделе вы найдете три ключа: DomainProfile , PublicProfile и StandardProfile ; каждый из них содержит значение, называемое EnableFirewall , которое управляет состоянием брандмауэра для этого профиля. Если вы установите для всех трех значений значение 0, брандмауэр Windows полностью отключится.
Если вы хотите сделать это для автономной системы, вам нужно будет загрузить реестр этой системы в Regedit; загружаемый файл C:\Windows\System32\config\SYSTEM . Вам также нужно будет найти правильный ControlSet для настройки, потому что CurrentControlSet доступен только во время выполнения; при работе в автономном реестре вам нужно выбрать правильный вариант между различными ControlSet00x , которые вы найдете в разделе HKEY_LOCAL_MACHINE\SYSTEM . HKEY_LOCAL_MACHINE\SYSTEM\Select может помочь вам здесь.
Можно удаленно отключить брандмауэр Windows, используя Psexec :
Вышеприведенная команда предполагает, что вы являетесь администратором сети, или вы также можете указать имя пользователя и пароль:
Теперь Psexec позволяет запускать команды на удаленном компьютере , например, следующую команду, которая отключает брандмауэр
Перейдите в Панель управления и откройте брандмауэр Windows. На странице брандмауэра Windows нажмите «Включить или отключить брандмауэр Windows». Затем отключите брандмауэр как для общедоступной, так и для частной сети.
Из командной строки (запускается как администратор), netsh advfirewall set currentprofile state off
Начиная с Windows Vista / 7, брандмауэр не стоит отключать через службы, так как на нем завязана работа многих сетевых функций. Правильное отключение выполняется через панель управления.
Графический интерфейс
В нижней панели находим значок сети - кликаем по нему правой кнопкой мыши и выбираем Центр управления сетями и общим доступом:
В открывшемся окне в левом нижнем углу переходим по ссылке Брандмауэр Windows:
Теперь нажимаем по ссылке Включение и отключение брандмауэра Windows:
Отключаем или включаем во всех профилях сети брандмауэр:
и кликаем по OK.
* в данном примере всего два сетевых профиля, еще может быть доменный . Это стоит учесть при настройке.
Командная строка
Запускаем командную строку от имени администратора.
Отключить брандмауэр для всех профилей:
netsh advfirewall set allprofiles state off
netsh advfirewall set allprofiles state on
Отключение для отдельных профилей:
netsh advfirewall set publicprofile state off
netsh advfirewall set privateprofile state off
netsh advfirewall set domainprofile state off
* где publicprofile — публичный профиль, privateprofile — рабочая сеть, domainprofile — для доменов.
Читайте также: