Windows: Не отключай Firewall! Управляй им как профи через PowerShell
Самый частый "совет" по решению проблем с сетью в Windows — "отключи брандмауэр". С точки зрения безопасности — это катастрофа. Графический интерфейс файрвола действительно неудобен, но у архитектора есть PowerShell.
Управлять правилами из командной строки — быстро, удобно и, главное, автоматизируемо.
Базовые команды, которые нужно знать:
Проверить статус всех профилей (Domain, Private, Public):
PowerShell
Создать простое правило (например, разрешить входящий SSH):
PowerShell
Найти и временно отключить правило:
PowerShell
Управлять правилами на удалённом сервере:
Используем CIM-сессии для удалённого выполнения.
PowerShell
Взгляд архитектора:
Брандмауэр — это не помеха, а критический компонент эшелонированной обороны (Defense in Depth). Использование PowerShell позволяет применять Конфигурацию как Код (CaC) к правилам безопасности. Вы можете хранить скрипты с правилами в Git, версионировать их и раскатывать на сотни серверов, гарантируя единый стандарт безопасности по всей инфраструктуре.
#windows #security #powershell #firewall #networking #гайд
Самый частый "совет" по решению проблем с сетью в Windows — "отключи брандмауэр". С точки зрения безопасности — это катастрофа. Графический интерфейс файрвола действительно неудобен, но у архитектора есть PowerShell.
Управлять правилами из командной строки — быстро, удобно и, главное, автоматизируемо.
Базовые команды, которые нужно знать:
Проверить статус всех профилей (Domain, Private, Public):
PowerShell
Get-NetFirewallProfile | Format-Table Name, Enabled
Создать простое правило (например, разрешить входящий SSH):
PowerShell
New-NetFirewallRule -DisplayName "Allow SSH In" -Direction Inbound -Protocol TCP -LocalPort 22 -Action Allow -Profile Domain, Private
Найти и временно отключить правило:
PowerShell
# Находим правило по имени
Get-NetFirewallRule -DisplayName "Allow SSH In"
# Отключаем его, не удаляя
Disable-NetFirewallRule -DisplayName "Allow SSH In"
Управлять правилами на удалённом сервере:
Используем CIM-сессии для удалённого выполнения.
PowerShell
$session = New-CimSession -ComputerName WEBSRV01
Get-NetFirewallRule -CimSession $session -DisplayName "Allow-File-And-Printer-Sharing"
Взгляд архитектора:
Брандмауэр — это не помеха, а критический компонент эшелонированной обороны (Defense in Depth). Использование PowerShell позволяет применять Конфигурацию как Код (CaC) к правилам безопасности. Вы можете хранить скрипты с правилами в Git, версионировать их и раскатывать на сотни серверов, гарантируя единый стандарт безопасности по всей инфраструктуре.
#windows #security #powershell #firewall #networking #гайд
🌐 Skill: hping3 — швейцарский нож для проверки Firewall и MTU 🛠️
Обычный ping (ICMP) часто блокируется брандмауэрами.
В 2026 году для глубокой диагностики сети мы используем hping3.
Он умеет имитировать TCP, UDP, ICMP и даже Raw-IP пакеты, позволяя проверить, открыт ли порт на самом деле или почему пакеты «бьются».
Примеры использования:
Проверка TCP-порта (SYN-флуд тест или просто проверка доступности):
Проверка MTU (поиск Path MTU Discovery проблем):
hping3 позволяет вручную выставлять флаги TCP (SYN, ACK, FIN), что незаменимо при отладке правил в iptables, firewalld или pfsense.
#networking #security #hping3 #firewall #troubleshooting #sysadmin #devops
Обычный ping (ICMP) часто блокируется брандмауэрами.
В 2026 году для глубокой диагностики сети мы используем hping3.
Он умеет имитировать TCP, UDP, ICMP и даже Raw-IP пакеты, позволяя проверить, открыт ли порт на самом деле или почему пакеты «бьются».
Примеры использования:
Проверка TCP-порта (SYN-флуд тест или просто проверка доступности):
sudo hping3 -S -p 80 1.2.3.4
Проверка MTU (поиск Path MTU Discovery проблем):
sudo hping3 --icmp --set-mtu 1450 --dont-fragment 1.2.3.4
hping3 позволяет вручную выставлять флаги TCP (SYN, ACK, FIN), что незаменимо при отладке правил в iptables, firewalld или pfsense.
#networking #security #hping3 #firewall #troubleshooting #sysadmin #devops
🔥4👍1
🐧 Linux: Переходим на `nftables` — гибкое управление трафиком без боли
Если ты всё еще используешь `iptables`, пора признать: пора двигаться дальше. В 2026 году `nftables` — это стандарт. Он быстрее, эффективнее и позволяет писать правила, которые читаются как стихи (ну, почти). Главная фишка — использование «сетов» (sets), которые позволяют проверять тысячи IP-адресов за один проход.
Команды для настройки:
#linux #networking #nftables #security #firewall #sysadmin #admin_future
Если ты всё еще используешь `iptables`, пора признать: пора двигаться дальше. В 2026 году `nftables` — это стандарт. Он быстрее, эффективнее и позволяет писать правила, которые читаются как стихи (ну, почти). Главная фишка — использование «сетов» (sets), которые позволяют проверять тысячи IP-адресов за один проход.
Техническое решение:
Создаем динамический список для блокировки тех, кто слишком активно стучится на 22 порт.
Команды для настройки:
# Создаем таблицу и цепочку
nft add table inet my_filter
nft add chain inet my_filter input { type filter hook input priority 0 \; }
# Создаем сет для "плохих парней" с таймаутом в 1 час
nft add set inet my_filter blackhole { type ipv4_addr \; flags timeout \; }
# Добавляем правило: если более 5 попыток за минуту — в бан
nft add rule inet my_filter input tcp dport 22 meter flood { ip saddr timeout 1m limit rate over 5/minute } add @blackhole { ip saddr } drop
# Дропаем всех, кто в блэкхоле
nft insert rule inet my_filter input ip saddr @blackhole drop
#linux #networking #nftables #security #firewall #sysadmin #admin_future
❤1🔥1
🧱 Skills: Правило нулевого доверия и «Искусство комментариев» в фаерволе
Неважно, настраиваете вы сложный кластер на Linux (iptables/nftables) или пишете ruleset для маршрутизатора (вроде MikroTik) — есть одно железное правило, отличающее джуниора от мидла.
Любое разрешающее правило без комментария — это потенциальная уязвимость.
Сценарий: Вы открыли порт 3389 для вендора, который настраивал софт. Дело было в пятницу вечером. Прошло полгода. Вы смотрите в конфиг фаервола и видите
Для вашего спокойствия и легкой передачи дел. Инфраструктура, которую нельзя прочитать как открытую книгу, считается техническим долгом.
Фаервол — это не просто стена. Это КПП, где в журнале должен быть записан каждый, кому выдали пропуск.
#skills #firewall #security #networking #bestpractices #admin_future
Неважно, настраиваете вы сложный кластер на Linux (iptables/nftables) или пишете ruleset для маршрутизатора (вроде MikroTik) — есть одно железное правило, отличающее джуниора от мидла.
Любое разрешающее правило без комментария — это потенциальная уязвимость.
Сценарий: Вы открыли порт 3389 для вендора, который настраивал софт. Дело было в пятницу вечером. Прошло полгода. Вы смотрите в конфиг фаервола и видите
chain=forward action=accept dst-port=3389 protocol=tcp. Кто это просил? Зачем? Актуально ли это сейчас? Удалять страшно (вдруг сломается прод), оставлять — опасно (открытый RDP в 2026-м — это билет в клуб жертв шифровальщиков).Как делать правильно:
1. Default Deny: Последнее правило всегда `Drop All`. Разрешено только то, что явно описано выше.
2. Формат комментария: `[Дата] - [Кто запросил/Номер тикета] - [Причина]`.
* Пример: "2026-04-03 - Ticket#1024 - Доступ вендору CRM к базе данных. Удалить 01.05.26"
3. Группировка: Разделяйте правила на смысловые блоки: Management, Internal, DMZ, Outbound.
Для вашего спокойствия и легкой передачи дел. Инфраструктура, которую нельзя прочитать как открытую книгу, считается техническим долгом.
Фаервол — это не просто стена. Это КПП, где в журнале должен быть записан каждый, кому выдали пропуск.
#skills #firewall #security #networking #bestpractices #admin_future
🔥2