Публикуем чаще всего необходимые команды для управления брандмауэром Windows.
Команды, которые будут представлены в данной статье можно вводить в «Командной строке» либо в «Power Shell«.
1. Посмотреть текущие настройки брандмауэра Windows командой netsh.
netsh advfirewall firewall show rule name=all show rules for the domain profile netsh advfirewall firewall show rule name=all profile=domain,public,private
2. Сбросить настройки брандмауэра Windows на «настройки по-умолчанию».
netsh advfirewall reset
3. Включить (ON) и отключить (OFF) брандмауэр Windows.
netsh advfirewall set allprofiles state on netsh advfirewall set allprofiles state off
4. Открыть порт в настройках брандмауэра Windows через командную строку. Одной из распространенных задач настройки Windows Firewall является открытие портов, используемых программами.
Откроем 21/tcp порт для FTP:
netsh advfirewall firewall add rule name="Open FTP 21 TCP" dir=in action=allow protocol=TCP localport=21
Удалить порт:
netsh advfirewall firewall delete rule name="Open FTP 21 TCP" dir=in action=allow protocol=TCP localport=21
5. Добавить запрещающее правило для порта брандмауэра Windows.
Запретим входящее подключение по 80 порту TCP\UDP протоколу.
netsh advfirewall firewall add rule name="HTTP" protocol=TCP localport=80 action=block dir=IN netsh advfirewall firewall add rule name="HTTP" protocol=UDP localport=80 action=block dir=IN
6. Заблокировать (block), разрешить (allow) ICMP (ping) в брандмауэре.
netsh advfirewall firewall add rule name="All ICMP V4" dir=in action=block protocol=icmpv4 netsh advfirewall firewall add rule name="All ICMP V4" dir=in action=allow protocol=icmpv4
7. Запретить все входящие и разрешить все исходящие подключения.
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
8. Добавить программу в список разрешенных в брандмауэре Windows.
netsh advfirewall firewall add rule name="Allow VNC" dir=in action=allow program="C:\Program Files\RealVNC\VNC Viewer\vncviewer.exe"
9. Разрешить подключение к удаленному рабочему столу.
netsh advfirewall firewall set rule group= "remote desktop allow" new enable=Yes
10. Изменить путь хранения лог-файла брандмауэра Windows.
По умолчанию лог-файлы расположены в директории с:\Windows\system32\LogFiles\Firewall\pfirewall.log.
netsh advfirewall set currentprofile logging filename "C:\Logs\pfirewall.log"
11. Экспорт/импорт настроек брандмауэра Windows.
netsh advfirewall export "C:\temp\WFconfiguration.wfw" netsh advfirewall import "C:\temp\WFconfiguration.wfw"
Даже убежденным противникам командной строки не устоять перед Netsh, который позволяет задействовать командную строку или командный файл для выполнения таких задач, как изменение настроек стека IP, наладка сервера DHCP c помощью рабочей памяти, управление брандмауэром Windows, а также сложных действенных правил IPsec. Кроме того, Netsh единственный известный мне инструмент из тех, что позволяют отладить распространенный, но пугающий побочный эффект запуска некоторых приложений против шпионских программ: полный вывод из строя стека IP.