Jak skonfigurować porty zapory za pomocą skryptu logowania

3

Pracuję jako wsparcie IT w służbie publicznej. Używamy kontrolera domeny i skryptów logowania. Te skrypty są bardzo pomocne, ponieważ mogą automatycznie instalować drukarki i dodawać foldery sieciowe jako dyski lokalne.

Używamy VNC do uzyskiwania dostępu do komputerów użytkowników, abyśmy mogli im udzielać wsparcia. W niektórych przypadkach ich Zapora systemu Windows jest aktywna, a porty wejściowe / wyjściowe VNC są skonfigurowane i działają całkiem dobrze. W wielu innych przypadkach musimy prosić ludzi o wyłączenie zapory. To jest praktyka, którą ludzie tutaj robią i zwykle nie proszą ludzi o ponowne włączenie zapory. Ponieważ jest to zagrożenie, chciałbym wiedzieć, czy są jakieś polecenia, które możemy uruchomić na tych skryptach logowania, aby porty były automatycznie konfigurowane na wszystkich komputerach i nie musimy prosić ludzi o działanie w sieci bez zapory ogniowej.

Najlepsza.

Vinícius Simões
źródło
oprócz odpowiedzi Davida Postila, netsh do otwierania i zamykania portów. Inną opcją, którą możesz wypróbować, jest odwrotne połączenie. „Serwer” w sensie strony, która wysyła ekran, strony, która odpowiada na żądania przesunięcia kursora myszy… strony, która tradycyjnie nasłuchuje… ta strona może zainicjuj połączenie ze słuchającą przeglądarką. realvnc.com/products/vnc/documentation/5.0/guides/user/… oraz realvnc.com/products/vnc/documentation/5.0/guides/user/... Tak więc technik otwiera port na swoim komputerze.
barlop

Odpowiedzi:

4

Jak skonfigurować porty zapory ogniowej za pomocą skryptu

netsh można użyć do skonfigurowania zapory systemu Windows.

W szczególności netsh advfirewall ...

Włącz i usuń port: Jedną z najczęstszych czynności związanych z Zaporą systemu Windows są otwarte porty używane przez różne programy. Poniższe przykłady pokazują, jak używać narzędzia netsh do tworzenia reguły otwierania, a następnie zamykania portu 1433, który jest używany przez Microsoft SQL Server:

Źródło NETSH (powłoka sieciowa) - Skonfiguruj interfejsy sieciowe, zaporę systemu Windows, routing i dostęp zdalny.


Przykład - Otwórz / Zamknij porty

Otwórz port:

 netsh advfirewall firewall add rule name="My App" dir=in action=allow protocol=TCP localport=1433

Zamknij port:

 netsh advfirewall firewall delete rule name="My App" protocol=tcp localport=1433

Źródło Top 10: Polecenia netsh Zapory systemu Windows


Przykład - włączanie / wyłączanie programu

Możesz także dodać reguły reguł, które wykorzystują tylko ścieżkę programu. W takim przypadku nie musisz określać portów.

Włącz program:

netsh advfirewall firewall add rule name="My App" dir=in action=allow program="C:\MyApp\MyApp.exe" enable=yes

Wyłącz program:

netsh advfirewall firewall delete rule name="My App" program="C:\MyApp\MyApp.exe"

Źródło Jak używać kontekstu „netsh advfirewall firewall” zamiast kontekstu „netsh firewall” do kontrolowania zachowania zapory systemu Windows w systemie Windows Server 2008 i Windows Vista

DavidPostill
źródło
Chcę to zrobić, aby włączyć VNC, który korzysta z portów w zakresie od 5800 do 5900. Czy istnieje sposób, aby to zrobić - otwarte porty - dla zakresu?
Vinícius Simões
Według Jak zezwolić na połączenia przez moją zaporę ogniową? musisz zezwolić tylko na jeden port, 5900
DavidPostill
Co jest lepsze, aby odnosić się do portu lub oprogramowania? Przykład: czy mogę umieścić protokół portu 5900 jakikolwiek przychodzący, czy lepiej jest umieścić c: \ program files \ ubnba \ ...? Jak mam sprawdzić, czy reguła działa? Powinienem poszukać reguły na dowolnym komputerze? Czy serwer egzekwuje regułę tylko przy pierwszym uwierzytelnieniu użytkownika lub za każdym razem, gdy to robi?
Vinícius Simões
1
@ ViníciusSimões Postępuj zgodnie z instrukcjami w odpowiedzi (z odpowiednim numerem portu). Nazwa programu nie ma znaczenia, to tylko nazwa reguły. Reguła jest używana tylko wtedy, gdy na tym porcie jest ruch przychodzący (ale jest otwarty cały czas, chyba że go zamkniesz). Jeśli to nie zadziała, nie będziesz w stanie zdalnie ...
DavidPostill
1
@DavidPostill Nie sądzę, że to tylko nazwa. Myślę, że jeśli dodasz program, otwarty zostanie każdy port, którego słucha.
barlop