Estou procurando links para documentação ou dicas sobre como adicionar regras ao firewall do Windows para negar todo o acesso à Internet de computadores conectados via ICS e permitir apenas um conjunto mínimo de portas TCP.
O equivalente, por assim dizer, de adicionar regras ao iptables FORWARD no linux. Eu pergunto porque não funciona como se poderia esperar, então, por favor, respostas baseadas na experiência, não em especulações.
Algum contexto:
Estou compartilhando uma conexão 3G de largura de banda limitada via ICS usando o SoftAP interno do windows7. Isso é para dar acesso a um dispositivo wifi android. No entanto, quero controlar o que o dispositivo Android pode fazer.
A procura de respostas sobre o firewall do Windows e o ICS é dificultada pela quantidade de resultados referentes ao serviço combinado firewall / ICS. Além disso, em geral, luto para entender a lógica do firewall do windows a partir de um ponto de vista do iptables. Parece não haver nenhum conceito de ordem de regra. Eu tentei criar regras que se aplicam ao serviço ICS. Eu tentei usar os mesmos e diferentes perfis no adaptador SoftAP e na conexão 3G. Em geral, o ICS parece ignorar a maioria das regras do Firewall.
Você pode fazer isso definindo regras de "saída" no Firewall do Windows com Segurança Avançada. Sob a seção de portas, você pode especificar quais portas você deseja abrir - apenas certifique-se de colocar o endereço IP do dispositivo Android na seção "IP remoto" do escopo da regra.
Para obter mais clareza sobre como o firewall prioriza as regras (e como substituir uma regra de bloqueio), consulte este link: link
Desculpe por reviver uma postagem antiga, mas no caso de alguém ainda estar pesquisando por isso:
No Windows 7 a 10, apenas conexões locais do Firewall do Windows As conexões locais (entrada e saída são equivalentes a INPUT e OUPUT em iptables. As redes que usam o ICS ou o Bridging ignoram completamente essas regras.
No ICS, o FORWARD do iptables pode ser executado nas configurações de compartilhamento de conexão: link
PREROUTING e POSTROUTING do Iptables não podem ser realizados no Windows com pacotes oficiais da Microsoft, pelo menos que eu saiba.
No entanto:
Recentemente, quis proteger o meu computador & rede de um servidor "potencialmente não seguro" conectado através do ICS (por exemplo: RaspberryPi Webserver). Eu realizei isso NÃO usando o ICS / bridging, e ao invés disso criei uma rede encaminhando apenas o serviço que eu queria:
IPs estáticos configurados entre a segunda NIC e a framboesa do PC.
Roteador tcpip ativado na NIC de cada PC. link
Portproxy configurado (encaminhamento de porta) de "IP público": 80 para interno PI de framboesa: 80
Configurou o firewall do PC para bloquear todas as (novas) conexões provenientes do raspberry pi (para proteger o PC de um raspberry hackeado)
Reaplicou em cada inicialização, o que, por algum motivo, não estava sendo feito corretamente. O que foi resolvido, na inicialização, rodando um .bat que faz "netsh interface portproxy reset" + "interface netsh portproxy adiciona v4tov4 ...."
Nota: Nenhuma conexão será aceita a partir do raspberryPi, somente a partir do seu PC ou através da porta que você encaminha. Isso também significa que o Raspberry Pi não terá uma conexão com a Internet.