Cómo configurar el Firewall de Windows para el perfil de dominio excluyendo un interfaz de red

  • Article

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking. En algunas ocasiones hemos tenido casos en los que el cliente necesita configurar el Firewall de Windows a través de GPO en su dominio.

Como sabemos, tenemos multitud de settings para configurarlo desde la consola de edición de Políticas de Grupo en:  

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

Sin embargo, puede haber ocasiones en que necesitemos deshabilitar todas las reglas y excepciones que aplicamos en el Firewall para un interfaz de red concreto del equipo.

Esto no podemos conseguirlo directamente con el conjunto de parámetros que podemos configurar a través de GPO.

Para conseguirlo, debemos realizar los siguientes pasos:

1. Deshabilitar la siguiente política en el perfil de Dominio,  Windows Firewall: Protect all network connections

Gracias a este setting , habilitamos o deshabilitamos el Firewall de Windows.

El inconveniente que nos encontramos estableciéndolo es que, además de habilitar el Firewall, también lo configuramos para que aplique todas las reglas en todos los interfaces de red disponibles en la máquina destino.

Por tanto, lo deshabilitaremos estableciéndolo a Disabled y ,como veremos a continuación, activaremos el Firewall gracias a la herramienta netsh.

2. A continuación, crearemos un script de inicio para el equipo con el siguiente contenido:

netsh firewall set opmode mode=enable profile=domain (Habilitar el Firewall de Windows para el perfil de dominio)

netsh firewall set opmode mode=enable interface=”Red” (Proteger este interfaz de red con el Firewall de Windows)

netsh firewall set opmode mode=disable interface=”Red Externa” (No aplicar las reglas del Firewall para este intefaz)

               …

               (Continuar con todos los dispositivos poniéndolos a enable o disable según nos interese)

Como vemos, es necesario especificarle el nombre completo de cada interfaz de red.

Tras la aplicación de este script, conseguiremos el siguiente efecto:

    clip_image002

3. El resto de parámetros que queramos configurar, tales como reglas específicas o excepciones, podemos hacerlo normalmente a través de GPO.

 

- Javier Rama del Castillo