Windows фильтрация tcp ip

Настройка дополнительных параметров TCP/IP.

Стек протоколов TCP/IP в Windows XP достаточно сложен и позволяет настраивать множество дополнительных параметров. Доступ к ним вы можете получить, щелкнув кнопку Дополнительно в окне свойств протокола TCP/IP.

На вкладке Параметры IP вы можете связать с сетевым адаптером несколько IP-адресов и задать несколько основных шлюзов.
Стек TCP/IP Windows XP позволяет связать с любым сетевым адаптером несколько IP-адресов. Для каждого из адресов может быть задана своя маска подсети.
Несколько IP-адресов для одного сетевого адаптера принято использовать в следующих случаях:

• на web- и ftp-серверах, обслуживающих большое количество сайтов, каждому из которых должен быть выделен отдельный IP-адрес;
• при подключении компьютера к локальной сети с несколькими наложенными IP-сетями;
• при постоянном перемещении компьютера из одной сети в другую.

Добавить адрес вы можете, щелкнув кнопку Добавить в разделе IP-адреса. Первый адрес из списка будет считаться основным и отображаться в окне основных свойств протокола TCP/IP.

При использовании нескольких IP-адресов, особенно из разных сетей, необходимо указать несколько основных шлюзов, чтобы обеспечить возможность связи с компьютером извне по любому из связанных с ним адресов. Кроме того, для повышения надежности можно использовать несколько маршрутизаторов, соединяющих вашу сеть с другими. В этом случае имеет смысл указать в параметрах адреса нескольких основных шлюзов. Для каждого шлюза кроме его адреса задается метрика — целое число от 1 до 9999. Метрики служат для определения приоритета шлюзов. В любой момент времени используется первый доступный шлюз с минимальной метрикой. Таким образом, альтернативный шлюз с метрикой 2 будет использован только при недоступности основного с метрикой 1.

Кроме того, вы можете задать метрику и самого интерфейса. Метрики интерфейсов служат для определения интерфейса, используемого для установления нового соединения. При использовании нескольких сетевых адаптеров метрики применяются для определения приоритета этих адаптеров.

На вкладке DNS вы можете настроить все параметры, связанные со службой DNS. По аналогии с IP-адресами можно задать несколько (более двух) адресов DNS-серверов и определить порядок их использования. Метрики для определения порядка здесь не используются, т. к. при недоступности первого сервера будет использован второй, при недоступности второго — третий и т. д.

В работе DNS используются два параметра, отвечающие за разрешение неполных имен. Первый — основной суффикс DNS является полным DNS-именем домена, в который входит компьютер, и задается на вкладке Сетевая идентификация свойств системы. При работе в рабочей группе этот суффикс может быть произвольным и задается при настройке Windows XP. Второй — DNS-суффикс подключения — задается на вкладке DNS свойств каждого подключения.

Если в параметрах настройки DNS указано Дописывать основной DNS-суффикс и суффикс подключения, то при разрешении неполных имен будут использованы соответствующие суффиксы. Например, при использовании основного суффикса msk.net.fio.ru и суффикса подключения lab.msk.net.fio.ru при вводе команды ping abcd будет предпринята попытка разрешения имен abcd.msk.net.fio.ru и abcd.lab.msk.net.fio.ru. Кроме того, если включен параметр Дописывать родительские суффиксы, то при разрешении будут проверены еще и имена abcd.net.fio.ru, abcd.fio.ru и abcd.ru .

Если в параметрах настройки DNS указано Дописывать следующие DNS-суффиксы, то основной суффикс и суффикс подключения использованы не будут, а будет использован (последовательно) указанный список суффиксов. При разрешении неполных имен этот список будет использован аналогично приведенному примеру.

Параметры Дописывать основной DNS-суффикс и суффикс подключения и Дописывать следующие DNS суффиксы действуют на все соединения, использующие TCP/IP.

Параметр Зарегистрировать адреса этого подключения в DNS использует основной DNS-суффикс для определения DNS-сервера, обеспечивающего функционирование соответствующей зоны, и автоматически регистрирует на нем запись «A» со своим именем и IP-адресом соединения. Если для соединения задано несколько IP-адресов или используется несколько соединений, то в DNS будут зарегистрированы несколько записей «A» с одним и тем же именем, но разными IP-адресами).

Для автоматической регистрации адресов подключения в DNS соответствующий DNS-сервер должен поддерживать функцию автоматического обновления согласно RFC 2136.

Параметр Использовать DNS-суффикс подключения при регистрации в DNS позволяет осуществить регистрацию соответствующей записи «A» на DNS-сервере по аналогии с предыдущим параметром.

На вкладке WINS вы можете настроить параметры, связанные со службой WINS. Эта служба предназначена для разрешения имен NetBIOS в IP-адреса. При работе в домене, для клиентов Windows XP Professional, использование этой службы не требуется — все ее функции выполняются службой DNS.

Для работы этой службы требуется WINS-сервер, адрес (адреса) которого добавляется в соответствующий список.
Помимо использования WINS-сервера, Windows XP поддерживает устаревший способ разрешения имен NetBIOS — файл LMHOSTS. Вы можете включить использование этого файла и при необходимости импортировать уже существующий файл. Файл LMHOSTS можно редактировать самостоятельно в любом текстовом редакторе. Этот файл расположен в папке %systemroot%\system32\drivers\etc.

Кроме того, на этой вкладке осуществляется управление поддержкой NetBIOS поверх TCP/IP. Такая поддержка требуется для обеспечения совместной работы со старыми NetBIOS-клиентами (Windows 9x, NT). При использовании в локальной сети только Windows 2000 или Windows XP, NetBIOS поверх TCP/IP может быть отключен. При использовании динамически выделяемого IP-адреса вы можете задавать этот параметр через DHCP.

На вкладке Параметры вы можете настроить ряд необязательных параметров стека TCP/IP. Windows XP поддерживает настройку IP-безопасности (протокол IPSec) и фильтрации TCP/IP. Для настройки необходимо выбрать параметр из списка и щелкнуть кнопку Свойства.

По умолчанию IP-безопасность и фильтрация отключены.

Как настроить параметры TCP/IP у компьютера

Для ОС Windows XP:

Шаг 1 В панели задач Windows нажмите кнопку Start (Пуск) и затем Control Panel (Панель управления).

Шаг 2 Сделайте двойной щелчок мышью по иконке Local Area Connection (Подключение по локальной сети). В окне Local Area Connection Properties (Подключение по локальной сети — Свойства) выберите вкладку TCP/IP:

Шаг 3 Нажмите кнопку Properties (Свойства). Откроется окно.

Шаг 4 Существуют два способа настройки параметров TCP/IP:

При помощи DHCP-сервера

Выберите Obtain an IP address automatically (Получить IP-адрес автоматически) и Obtain DNS Server address automatically (Получить адрес DNS-сервера автоматически), как представлено на рисунке ниже. По умолчанию они могут быть уже выбраны. Нажмите кнопку OK , чтобы сохранить сделанные изменения.

Указать IP-адрес вручную

1) Выберите Use the following IP address (Использовать следующий IP-адрес), как представлено на следующем рисунке. Если LAN IP-адрес маршрутизатора 192.168.1.1, укажите IP-адрес в формате 192.168.1.x (где х 2-254), маска подсети 255.255.255.0 и шлюз по умолчанию 192.168.1.1.

2) Выберите Use the following DNS server addresses (Использовать следующие адреса DNS-серверов), как представлено на следующем рисунке. Укажите IP-адрес DNS-сервера, полученный от Интернет-провайдера. Нажмите кнопку OK, чтобы сохранить сделанные изменения.

Для Windows Vista/Windows 7 (Примечание: в качестве примера использован интерфейс ОС Vista; порядок действий для ОС Windows 7 аналогичный):

Шаг 1 Щелкните мышкой по кнопке и одновременно нажмите клавишу R на клавиатуре.

Шаг 2 Введите ncpa.cpl и нажмите OK.

Шаг 3 Выберите подключение, сделайте щелчок правой кнопкой мыши и выберите раздел Properties (Свойства).

Шаг 4 Выберите Internet Protocol Version 4(TCP/IPv4) , сделайте двойной щелчок по нему или нажмите кнопку Properties.

Шаг 5 Существуют два способа настройки параметров TCP/IP — автоматическое назначение DHCP-сервером или задать вручную.

1. С помощью DHCP-сервера

Выберите Obtain an IP address automatically (Получить IP-адрес автоматически) и, если нужно, Obtain DNS server address automatically (Получить адрес DNS-cервера автоматически). Нажмите кнопку OK , чтобы сохранить сделанные изменения.

2. Задать вручную

Выберите Use the following IP address (Использовать следующий IP-адрес), укажите IP-адрес, маску подсети и IP-адрес шлюза по умолчанию.

Выберите Use the following DNS server addresses (Использовать следующие адреса DNS-серверов). Укажите IP-адреса DNS-серверов.

Шаг 5 Нажмите кнопку OK, чтобы сохранить и применить сделанные изменения.

Настройка фильтрации TCP/IP в Windows Server 2003

В этой статье описывается настройка фильтрации TCP/IP на компьютерах с Microsoft Windows 2003.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 816792

Аннотация

Компьютеры под управлением Windows 2003 поддерживают несколько методов управления входным доступом. Один из самых простых и наиболее мощных методов управления входным доступом — использование функции фильтрации TCP/IP. Фильтрация TCP/IP доступна на всех компьютерах с Windows 2003.

Фильтрация TCP/IP помогает в обеспечении безопасности, так как она работает в режиме ядра. Другие методы управления входным доступом к компьютерам под управлением Windows 2003, например с помощью фильтра политики IPSec и сервера маршрутизации и удаленного доступа, зависят от процессов пользовательского режима или рабочих станций и серверов.

Вы можете использовать схему управления входным доступом TCP/IP с помощью фильтрации TCP/IP с фильтрами IPSec и фильтрацией пакетов маршрутов и удаленного доступа. Этот подход особенно полезен, если вы хотите контролировать как входящий, так и исходящие доступ по TCP/IP, так как только безопасность TCP/IP контролирует только входящий доступ.

Фильтрация TCP/IP может фильтровать только входящий трафик и не может блокировать сообщения ICMP (Протокол сообщений управления интернетом), независимо от параметров, настроенных в столбце «Разрешить только IP-протоколы» или если вы не разрешаете протокол 1. Используйте политики IPSec или фильтрацию пакетов, если вам требуется дополнительный контроль над исходящие доступ.

Рекомендуется использовать мастер настройки электронной почты и подключения к Интернету на компьютерах на основе SBS 2003 с двумя сетевыми адаптерами, а затем включить параметр брандмауэра, а затем открыть необходимые порты на внешнем сетевом адаптере. Для получения дополнительных сведений о мастере настройки электронной почты и подключения к Интернету выберите «Начните» и выберите «Справка и поддержка». В поле поиска введите «Настройка электронной почты и мастера подключения к Интернету» и выберите «Начать поиск». Сведения о мастере настройки электронной почты и подключения к Интернету можно найти в списке результатов «Разделы о малом бизнес-сервере».

Настройка безопасности TCP/IP в Windows Server 2003

Чтобы настроить безопасность TCP/IP:

Выберите «Начните», «На панели управления»,«Сетевые подключения» и выберите подключение к локальной сети, которое нужно настроить.

В диалоговом окне «Состояние подключения» выберите «Свойства».

Выберите протокол Интернета (TCP/IP) и выберите «Свойства».

В диалоговом окне «Свойства TCP/IP» выберите «Дополнительные».

Выберите Параметры.

В области «Необязательные параметры» выберите фильтр TCP/IP, а затем выберите «Свойства».

Щелкните, чтобы включить TCP/IP-фильтрацию (все адаптеры).

При выборе этого фильтра включается фильтрация для всех адапторов, но фильтры настраиваются отдельно для каждого адаптера. Одинаковые фильтры применяются не для всех адапторов.

В диалоговом окне «Фильтрация TCP/IP» есть три раздела, в которых можно настроить фильтрацию для TCP-портов, портов UDP и интернет-протоколов. Для каждого раздела настройте параметры безопасности, соответствующие компьютеру.

При активации разрешения «Все» разрешается все пакеты для трафика TCP или UDP. Разрешить только позволяет разрешить только выбранный трафик TCP или UDP, добавив разрешенные порты. Чтобы указать порты, используйте кнопку «Добавить». Чтобы заблокировать весь трафик UDP или TCP, выберите «Только разрешение», но не добавляйте номера портов в столбце «Порты UDP» или «Порты TCP». Трафик UDP или TCP нельзя заблокировать, выбрав «Разрешить только для ip-протоколов» и исключив протоколы IP 6 и 17.

Настройка безопасности TCP/IP в Windows Small Business Server 2003

Чтобы настроить фильтрацию TCP/IP, выполните следующие действия.

Для выполнения этой процедуры необходимо быть членом группы администраторов или группы «Операторы конфигурации сети» на локальном компьютере.

Выберите «Начните» и выберите пункт «Панель управления», щелкните правой кнопкой мыши «Сетевые подключения» и выберите «Открыть».

Щелкните правой кнопкой мыши сетевое подключение, в котором необходимо настроить управление входным доступом, а затем выберите «Свойства».

Under adaptorName Connection Properties on the General tab, select Internet Protocol (TCP/IP), and then select Properties.

В диалоговом окне «Свойства TCP/IP» выберите «Дополнительные».

Выберите вкладку «Параметры».

Выберите фильтр TCP/IP, а затем выберите «Свойства».

Щелкните, чтобы включить TCP/IP-фильтрацию (все адаптеры).

При выборе этого фильтра включается фильтрация для всех адапторов. Однако конфигурация фильтра должна быть завершена на каждом адаптере. Если включена фильтрация TCP/IP, вы можете настроить каждый адаптер, выбрав параметр «Разрешить все», или разрешить прием входящие подключения только для определенных протоколов IP, TCP-портов и портов UDP .Datagram Protocol. Например, если включить фильтрацию TCP/IP и настроить внешний сетевой адаптер для разрешения только порта 80, это позволит внешнему сетевому адаптеру принимать только веб-трафик. Если для внутреннего сетевого адаптера также включена фильтрация TCP/IP, но выбран параметр «Разрешить все», это обеспечивает неограниченное взаимодействие на внутреннем сетевом адаптере.

В области фильтрации TCP/IP есть три столбца со следующими метами:

В каждом столбце необходимо выбрать один из следующих параметров:

• Разрешить все. Выберите этот параметр, если необходимо разрешить все пакеты для трафика TCP или UDP.
• Разрешить только. Выберите этот параметр, если необходимо разрешить только выбранный трафик TCP или UDP, выберите «Добавить», а затем введите соответствующий порт или номер протокола в диалоговом окне «Добавление фильтра». Трафик UDP или TCP нельзя заблокировать, выбрав «Разрешить только» в столбце «Протоколы IP», а затем добавив ip-протоколы 6 и 17.

Сообщения ICMP блокировать нельзя, даже если в столбце «Протоколы IP» выбрано разрешение «Разрешить» и не включен протокол IP 1.

Фильтрация TCP/IP может фильтровать только входящий трафик. Эта функция не влияет на исходящие трафик и порты ответа TCP, созданные для принятие ответов от исходящие запросы. Используйте политики IPSec или маршрутику и фильтрацию пакетов удаленного доступа, если требуется дополнительный контроль над исходяным доступом.

Если выбрать «Разрешить только в портах UDP», «TCP-порты» или в столбце «Протоколы IP», а списки будут оставлены пустыми, сетевой адаптер не сможет взаимодействовать ни с чем по сети, ни локально, ни с Интернетом.

Ссылки

Дополнительные сведения о номерах портов TCP и UDP см. в реестре имен служб и номеров портов транспортного протокола.