0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@infinite1oop(H T)

今更ながらWindows Firewall

0
Posted at

Windows10でFirewallを確認

今更ながら、Windows Defenderファイアウォールの機能(一部だが)を確認してみた。

何を、どうやって、、

特定ポートがブロック(または許可)状況の動作を知るため、

  • msys2上でのnc(netcat)
  • Wireshark
  • ブラウザなど
    を使って、Windows Defenderファイアウォールの動作を確認。

登録

nc実行(新規プログラム登録)

msys2上でncを実行すると

と表示される。ここで「キャンセル」をクリックすると、ファイアウォール一覧・受信の規則では「ブロック」として登録される。
nc登録キャンセル.png
「アクセスを許可する」をクリックすれば、「許可」として登録される。
nc登録許可.png
初期状態では、ncの全ポートに対して、許可またはブロックとなる。特定ポートのみに適用するには、プロパティなどからポート番号を指定する。

ちなみに、右クリックなどで規則は削除できる。

個別登録

新しい規則をクリックして登録する。
新しい規則.png
ここではポートの規則を選択。
規則ポート.png
ポート8756.png
8756ブロック.png
全ケースでブロック.png
登録
8756登録された.png

検証

受信

ncのTCP受信をブロック

ncTCPブロック.png
ncで特定ポートをListenする。リソースモニタで、ファイアウォールの状態が不許可となっていることがわかる。
リソースモニタでブロックのコピー.png
このとき、別マシンから、ncコマンドでアクセス(echo test | nc 192.168.250.2 8756)したときのWiresharkデータは下記のとおり。
Wiresharkデータ.png
TCP SYNに対する応答(SYN ACK)が存在しない。ちなみに、ポートをListenしていない時のWiresharkデータも同じである。

ncのTCP受信を許可

同じように、nc特定ポートをリッスンする。
リソースモニター(8756見える)のコピー.png
このとき、別マシンから、ncコマンドでアクセスは、当然成功する。Wiresharkデータは下記のとおり。
WiresharkOK.png

送信

ポート番号9804の送信をブロックする。
nc送信プロック(一覧).png
このとき、ncコマンドで、9804ポート番号を指定してアクセスしようとすると、コアをはくようだ。また、この時のWiresharkデータは存在しない。
nc送信コアダンプのコピー.png
次にポート番号80の送信をブロックする。
Block80.png
ブラウザでは下記表示となる。
httpブロック.png

EOF

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?