Можно ли в windows firewall приложению разрешить только определенный набор адресов для исходящего трафика?

Question

[nerudo]

Windows 10, родной firewall. Есть Приложение, которому хочется дать доступ только к нескольким адресам (подсетям) в интернете. Все остальные должны быть недоступны. При этом множество других приложений затрагиваться не должно.
Я вчитался в rule precedence behaviors:
1) Explicitly defined allow rules take precedence over the default block setting.
2) Explicit block rules take precedence over any conflicting allow rules.
3) More specific rules take precedence over less specific rules, except if there are explicit block rules as mentioned in 2. For example, if the parameters of rule 1 include an IP address range, while the parameters of rule 2 include a single IP host address, rule 2 takes precedence.
И нахожусь в некотором недоумении - это правда сделано столь криво? Пока выходит, что моя задача решается либо
1) прописыванием для Приложения блокирующих правил на все диапазоны, которые нужно запретить (т.е. ручная инверсия списка разрешенных адресов), либо
2) Глобальным запретом для outbound после чего вручную каждому приложению пропиcывать разрешения.
Что-то мне ни то ни другое не нравится. Может быть я не вижу какого-то пути?

Comments

[Артём]

Что если попробовать

так

[nerudo]

Артём, то что можно задать сразу несколько адресов в одном правиле ничего принципиально не меняет, все равно нужно перебирать инверсно весь диапазон.

Answer 1

[Довольный Айтишникъ]

Не пробовал, но может сделать два правила:
Первым - разрешаем этому приложению нужное.
Вторым - запрещаем этому приложению любую сетевую активность.

Адекватные firewall выполняют правила по порядку и если в первом правиле разрешения нет, то применится второе правило, где всё нельзя. Ну и наоборот.
Но не тестировал, винда может оказаться коварной.

Comments

[nerudo]

В том и фишка, что порядок правил в отличии от какого-нить iptables не учитывается. Точнее, порядка просто нет, есть таблица которая просто сортируется по столбцам как захочешь. "Это же феноменально, сеньоры! Я всегда питал к нему некоторую антипатию, но ничего подобного я и представить себе не мог…" (й)

[Shandy]

nerudo, то есть она может рандомно выдать правило запрещающее все, а не выдать сначала правило разрешающее подсеть? Винда не перестает удивлять

[Довольный Айтишникъ]

Да уж..... Верните любимый Outpost Firewall

Answer 2

[Zerg89]

Глобальным запретом для outbound после чего вручную каждому приложению пропиcывать разрешения.
Что-то мне ни то ни другое не нравится. Может быть я не вижу какого-то пути?

Правила блокировки всегда выше по приоритету чем разрешающие, поэтому если вы блокируете все то до разрешающих дело не доходит

А в случее когда вы пишете разрешающее правило то оно работает по принципу все что вне диапазона разрешения запрещено(ведь когда вы открываете порты вы открываете их не все сразу, а только те которые есть в списке)

Можно через powershell написать правило

New-NetFirewallRule -DisplayName "Allow Range Only" -Direction Inbound -Action Allow -RemoteAddress "10.0.0.0/24", "192.168.1.50-192.168.1.100"

New-NetFirewallRule -DisplayName "Block Multiple Ranges" `
    -Direction Inbound `
    -Action Block `
    -RemoteAddress "192.168.1.0/24", "10.0.0.0/8", "172.16.0.0/12" `
    -Profile Any

Для определенного приложения

New-NetFirewallRule -DisplayName "Block App Access for Ranges" `
    -Direction Outbound `
    -Action Block `
    -Program "C:\Path\To\YourApp.exe" `
    -RemoteAddress "192.168.1.0/24", "10.0.0.1-10.0.0.50", "172.16.0.0/16"

Comments

[nerudo]

Мне кажется, эти правила через powershell ничем не отличаются от настроек через интерфейс самого файрвола. Плюс тут смешаны Inbound и Outbound. У меня было желание работать с Outbound, чтобы пакеты совсем не уходили от меня.
Как я понимаю, есть два варианта поведения по-умолчанию: Все разрешить и Все запретить. У них всегда низший приоритет, т.е. они в любом случае будут переопределяться правилами блокировки и разрешения соответственно.
1) Обычно для исходящего трафика по-умолчанию включено "все разрешить". После чего разрешать что-то отдельному диапазону или приложению бессмысленно (уже все разрешено) - можно только запрещать. Если оставить такой вариант, то дальше я должен писать правила блокировки, т.е. вместо разрешения 42.0.0.0/8 нужно создавать два диапазона для разрешения 0.0.0.1-41.255.255.255 и 43.0.0.0-255.255.255.254 (или 255?, не важно).
2) Если я переставляю поведению по-умолчанию на запрет (тот самый default block setting из списка приоритетов выше), то дальше я должен разрешать. Для Приложения нужно разрешить 42.0.0.0/8. Но кроме этого, нужно разрешить все адреса IPv4 для всех (каждого отдельно) других приложений. Ибо если не указывать конкретное приложение, то общее разрешение накроет и Приложение.

[Zerg89]

nerudo, powershell как пример того как это работает там надо читать вместе с discription

Ну ладно, давайте проще в винде не совсем файрвол, а его частная производная

Строгий файрвол (брандмауэр) — это
система сетевой безопасности с политикой «запрещено всё, что не разрешено явно», блокирующая почти весь входящий и исходящий трафик, кроме одобренных правил. Он обеспечивает максимальную защиту, требуя ручного подтверждения для работы приложений и подключения к интернету, что критично для предотвращения атак.

Тоесть если нам надо запретить ходить на адрес 192.168.100.20(допустим там скуд висит и обычным пользователям туда не нужно) пишем запрет но при этом в 192.168.100.0/24 у нас еще куча сервисов куда пльзователям можно и написав 192.168.100.0/24 разрешить мы получим что к диапазону мы доступ иметь будем кроме машины 192.168.100.20

Сначала обрабатываются запреты и если трафик в них попадает комп запрещает отправку вне зависимости от разрешений
Если мы в запрет не попали то мы смотрим а попали мы в разрешения или нет, если попали в разршенный то отрпавили, непопали запрет отправки
Если еще проще то у вас всегда вначале списка запреты в середине разрешения и в коце правило deny all и если мы прйдя по списку правил никак трафик необработали попали в deny all