題 Windows防火牆阻止SSH到輔助子網


我的網絡在每個子網中有2個子網/ 25和Linux服務器。其中一個子網包含一台Windows計算機,用於通過SSH管理Linux服務器;但是這台計算機上的防火牆存在問題。防火牆允許在同一個子網內進行通信,但阻止與第二個子網的通信(或響應回來?)。

Network topology

我試圖設置入站和出局規則,在主防火牆控制面板中通過嚮導允許PuTTY,沒有任何工作對我有用。請告訴我我做錯了什麼或如何正確設置。

我已經測試過,當防火牆完全禁用時,通信就可以工作。

我測試過Windows會阻止所有端口。我也不能使用FTP或遠程桌面協議。

Wireshark顯示黑色線條 TCP RetransmissionsTCP Surious Retransmission 和 TCP Dup ACK。這些行之間是黑色ICMP重定向。


2
2018-06-09 19:59


起源


我啟用了在Widows防火牆中記錄DROPed數據包,並且當防火牆阻止通信時沒有寫入任何條目。 - Misaz
您確定將規則應用於正確的配置文件(即私人/公共/域)嗎?如果臨時將入站連接設置為默認允許,會發生什麼? - Ben N
Relus設置為所有配置文件。如果我設置允許inboud連接默認它可以工作。 - Misaz


答案:


您可以創建允許來自特定子網的所有入站流量的自定義規則。使用高級安全性打開Windows防火牆(wf.msc)。右鍵點擊 入境規則,然後選擇 添加規則

  1. 規則類型 屏幕,選擇 習慣
  2. 程序 屏幕,選擇 所有節目
  3. 協議和端口 屏幕,保留默認值(任何協議)。
  4. 範圍 屏幕,保留本地IP設置 任何IP地址。將遠程IP設置為 這些IP地址。單擊“添加”按鈕。在裡面 此IP地址或子網 字段,類型 192.168.0.0/24 允許來自兩個子網的所有流量。單擊確定。 警告: 這可能會使計算機受到網絡上其他計算機的攻擊。如果可能,請設置更具體的端口/程序規則。
  5. 行動 屏幕,選擇 允許連接
  6. 輪廓 屏幕,選中與規則應處於活動狀態的配置文件對應的框。
  7. 名稱 在屏幕上輸入適當的名稱和描述(如果願意),然後單擊“完成”以應用規則。

或者,您可以使用 netstat 要么 套裝軟件 找出具體的連接,然後為這些連接創建更具體的防火牆規則。


3
2017-07-11 21:00



我按你所描述的那樣設置規則而沒有任何改變。上 imgur.com/4dyc5FD 你可以看到這個規則。 (我的Windows是捷克語;Jakýkoliv和Vše意味著所有,Povolit意味著允許,Ano意味著是)。 Putty說 Network error: Software caused connection abort。每次更改後我都會重新啟動計算機。列覆蓋中沒有一個值。每個規則都將此值設置為no,我沒有找到如何更改此值。 - Misaz
@Misaz有趣。連接到該子網時,是否還有其他程序可用?如果是這樣, 這個問題 可能有幫助。列表中是否有任何阻止條目?你有任何可能導致麻煩的防病毒程序嗎? - Ben N
不,我測試了RDP和相同。在公共配置文件中只有一個阻止Node.js服務器的規則。我在嘗試連接服務器時添加了Wireshark的結果。 SSH和RDP的輸出相同。 - Misaz
@Misaz ICMP重定向 可以指示不太理想的配置。還有其他路由器嗎?中間的路由器是否進行過濾?如果您將防火牆規則更改為,我也很想知道是否會發生任何事情 192.168.0.0/24。如果沒有,添加相同的 出站 規則有效果? - Ben N
我變了 192.168.0.128/25 在規則中 192.168.0.0/24 那很有效!非常感謝你。路由器只是簡單的OpenWRT路由器,具有默認的防火牆配置。 - Misaz