Dario savjetuje: WinXP SP2 vatrozid

Povratak [engl. reset] na početnu konfiguraciju

Postoji više razloga zašto bi mogli poželjeti poznatu početnu konfiguraciju WinXP vatrozida (neki primjeri su: sumnja da imate previše "odobrenih" ulaza, sumnja da je "netko" preuzeo kontrolu nad računalom, "čudno" ponašanje vatrozida).

Ako koristite OpenVPN GUI program, on može pokrenuti datoteku s komandama prije uspostavljanja VPN veze. Datoteka treba biti u konfiguracijskom direktoriju OpenVPN-a (ako niste mijenjali postavke u konfiguracijskom registru [engl. registry], to je direktorij %ProgramFiles%\OpenVPN\config; ovdje %ProgramFiles% predstavlja varijablu iz okoline [engl. environment] koju postavljaju Windowsi - to je direktorij u koji se instaliraju programi). Ime datoteke formira se od naziva konfiguracije (ako je konfiguracija spremljena kao "server.ovpn", naziv konfiguracije je "server", dakle naziv datoteke bez ekstenzije [engl. basename]) i nastavka "_pre.bat".

@echo off
rem 2006-01-23 08:00 Created by Dario
echo Save this file in %ProgramFiles%\OpenVPN\config as server_pre.bat
echo You should be administrator to run this
echo You should see number of Ok. messages if everything is Ok
echo --------------

pushd c:\
mkdir firewall.log
cd firewall.log
echo y | del .
popd

rem enable Windows Firewall
netsh firewall set opmode enable

netsh firewall reset

rem enable remote desktop
netsh firewall set service REMOTEDESKTOP ENABLE All

rem enable remote assistance
netsh firewall set service REMOTEADMIN ENABLE All

rem enable OpenVPN
netsh firewall add portopening UDP 1194 "OpenVPN_UDP_1194" ENABLE All

rem enable UltraVNC
netsh firewall add portopening TCP 5900 "UltraVNC_TCP_5900" ENABLE All

rem disable all ICMP traffic
netsh firewall set icmpsetting ALL DISABLE

rem connections logging
rem for formatting next command is split into two rows
netsh firewall set logging filelocation = c:\firewall.log\firewall.connections.log
    maxfilesize = 4096 droppedpackets = DISABLE connections = ENABLE

Zadnja dva reda treba spojiti u jedan. Ovdje su razlomljeni jer bi inače naredba bila predugačka te bi poremetila izgled stranice.

Ovo je tipična "nulta" konfiguracija vatrozida koja omogućava rad OpenVPN-a, Remote Assistance, Remote Desktop i UltraVNC. Dodatno, u direktorij c:\firewall.log vatrozid sprema log u koji upisuje podatke o spajanjima [engl. connections].

U nekim verzijama WinXP-a, vatrozid ne prikazuje točno stanje odobrenih ulaza [engl. exceptions] u dijelu Exceptions na ekranu Windows Firewall (Control Panel -> Windows Firewall). Ta pogreška [engl. bug] ne postoji u programu netsh koji se pokreće iz komandne linije.

Kako bi postigao poznato stanje, prvo omogućavam rad vatrozida i nakon toga ga resetiram. Reset vatrozida briše sve dodane odobrene ulaze i ostavlja omogućenu samo udaljenu administraciju [engl. Remote Administration]. Nakon toga odobravamo Remote Desktop, Remote Assistance (dvaput je dvaput :-) te ulaze na priključcima [engl. port] UDP/1194 (za OpenVPN) i TCP/5900 (za UltraVNC). Na kraju onemogućavam ICMP protokol i definiram log vatrozida.

Status

Probleme koji nastaju u radu udaljenih lokacija lakše je rješavati kad imamo precizne informacije o stanju računala. Često na udaljenoj lokaciji imamo korisnika koji nije vičan radu na računalu, pa znatno možemo skratiti vrijeme rješavanja problema ako snimimo slijedeće komande u datoteku status.bat na radnu površinu [engl. desktop]. Korisnika je potrebno naučiti kako da pošalje poruku s dodanim datotekama [engl. attachment] iz c:\winxp.status direktorija (alternativno, može se podesiti TheBat ili neki drugi program za slanje pošte [engl. email]). Količina informacija u *.txt datotekama ovisi o pravima korisnika koji pokreće status.bat.

@echo off
rem 2006-01-23 08:00 Created by Dario
rem Create Report in c:\winxp.status

pushd c:\
mkdir winxp.status
cd winxp.status
echo y | del .

rem Netstat.txt lists all the listening ports
netstat -ano >  netstat.txt

rem tasklist
tasklist /svc > tasklist.txt

rem services that are loaded in each process are listed
tasklist /svc > services.txt

rem Windows Firewall all active exceptions
netsh firewall show state verbose = ENABLE > firewall.txt

rem status servisa Windows Firewall/Internet Connection Sharing
sc query sharedaccess > sharedaccess.txt

rem status upravljačkog programa za vatrozid Ipnat.sys:
sc query ipnat > ipnat.txt

rem Group Policy Result tool:
GPResult /v > gpresult.txt

popd

echo "Report created in c:\winxp.status"

U netstat.txt datoteci je popis otvorenih priključaka [engl. port] i oznaka programa ( PID). Pojedini proces radi kao servis (vidi services.txt) ili kao "regularni" program (vidi tasklist.txt). Stanje vatrozida nalazimo u firewall.txt, a statuse važnih servisa u sharedaccess.txt i ipnat.txt.

Group Policy u pravilu nećemo definirati na računalima kod kuće ili u malim firmama (u SOHO okruženjima). Kako se putem group policy mogu mijenjati mnoge postavke vatrozida (i Windows-a općenito), važno je provjeriti da nije "kućni" administrator mijenjao postavke.

Pogledajte

• » Win-XP and SP2 doesn't work with ANY OpenVPN version
• » Troubleshooting Windows Firewall settings in Windows XP Service Pack 2
• » Customizing Windows Firewall

Naslovna stranica

Druge teme

• Misli
• Savjeti
• Rodbina
• Stranice
• Programiranje
• Aplikacije

Savjeti

• sigurni e-mail
• zamjena teksta
• kontekstni izbornik
• udaljeno računalo
• dinamički DNS
• WinXP SP2 vatrozid

---

U slobodno vrijeme ovu stranicu napravio je © Dario, pa njega krivite za sve što ne valja.

Za sve iznesene podatke, misli i tekstove, odgovoran sam samo ja. Ako smatrate neki dio sadržaja uvredljivim ili netočnim, slobodno me kontaktirajte.

Pročitajte izjavu o dostupnosti i izjavu o privatnosti.

Ova stranica napravljena je 2006-01-23