Existe um limite para o número de endereços IP para o Escopo de uma regra do Firewall do Windows?

2

Eu tenho um script Powershell que adiciona endereços IP tentando executar ataques de força bruta no meu servidor a uma regra de firewall que os impede de acessá-los. Recentemente ele parou de funcionar e começou a gerar esse erro:

Exception setting "RemoteAddresses": "The array bounds are invalid. (Exception from HRESULT: 0x800706C6)"

Existe um limite para o número de endereços IP que você pode colocar na regra Escopo de um Firewall do Windows? Isso está sendo executado no Windows Server 2008 R2.

    
por kevinmicke 05.02.2014 / 18:56

2 respostas

3

Sim - o limite é de 1000 entradas no total. Um único endereço IP é contado como uma entrada se for inserido por conta própria, ou um intervalo de IPs é contado como uma entrada se for inserido como um intervalo.

No meu caso, a exclusão de um dos endereços IP do escopo da regra acima permitirá que o script adicione-o (ou qualquer outro endereço IP) ao escopo. Os erros são lançados para cada tentativa de entrada acima de 1000.

Como solução alternativa, depois de chegar a 1.000 entradas na regra de firewall atual, você pode simplesmente criar uma regra semelhante com um escopo diferente. Não é elegante, mas fará o trabalho.

    
por 05.02.2014 / 18:56
-2

Isso é confuso, pois sei que o Server 2003 permite milhares e milhares de entradas em uma única regra ipsec e eu assumi que 2008 e acima também o fizeram.

Eu recebi o mesmo erro e pensei que era devido a uma sobreposição de adicionar uma sub-rede que eu já tinha adicionado um único ip da sub-rede e passei uma grande quantidade de tempo passando pela lista até encontrar o ip sobreposto , mas quando continuei a receber o erro em ips e sub-redes no futuro, percebi que precisava cavar um pouco mais.

Anos atrás, eu pesquisei o máximo que pude e encontrei vários artigos que afirmavam que 2003 não tinha um limite. Na verdade, eu tenho um servidor de produção que tem mais de 20.000 entradas em uma regra. (isso não é um erro de digitação - levou anos para chegar ao número que somava em média centenas por mês)

Estou feliz por ter encontrado este artigo, pois me poupará muito tempo. Tomei a sugestão aqui e criei uma nova regra e as sub-redes que retornaram um erro anteriormente estão bem em uma nova regra, então o superusuário responde uma pergunta para mim mais uma vez.

É uma pena que não exista uma maneira fácil de exportar e reimportar regras únicas, o snap-in parece permitir apenas todas ou nenhuma.

Provavelmente uma maneira de fazer isso com o powershell, mas eu acho que deveria ser outro tópico da questão. Se houver um encadeamento que cubra isso aqui, gostaríamos que a string de pesquisa procurasse ou um link.

Editado para adicionar: Meu sistema operacional é Server 2008 Standard x64 SP2

    
por 04.09.2016 / 06:30