В ХР барандмауэр по умолчанию блокировал все входящие подключения, но исходящие соединения от программ на компьютере этот брандмауэр не мог защищать, всем программам можно беспрепятственно выходить в Интернет, когда им вздумается. Начиная с Windows Vista во встроенном брандмауэре есть режим повышенной безопасности ,который например позволяет блокировать трафик от всех программ установленных на компьютере(включая ОС) и разрешить только от тех, кого пользователь доверяет выходить в Интернет. Из-за внедряемых Микрософтом во все последние версии Windows(7/8/10) обновлений с функциями сбора телеметрии, статистики и просто слежки появились программы, которые выключают эту слежку в этих версиях Windows (типа опенсурс утилиты DisableWinTracking). Эта программа кучу изменений делает в реестре, файлах hosts, добавляет десятки правил брандмауэр Windows(блокирующих в основном сайты телеметрии Microsoft) и тд. И чаще всего программы такого типа не позволяют в случае чего вернуть исходное состояние, то есть изменения необратимы. А вдруг через 2-3 года захочется установить обновления к винде? Переустанавливать ОС не дело. Вот решил пойти по пути обратимых изменений установить в брандмауэре по принципу всё что явно не разрешено запрещено! Запустил из панели управления "брандмауэр"(у меня Вин7 64 бит, но и вин8 всё также делается, наверно и 10 тоже), зашел через "дополнительные параметры" в режим повышенной безопасности. Там три профиля брандмауэра "Домена", "Частный" и "Общий профиль". Текущий профиль выделяется словом "Активен", у меня оказался активен "Общий профиль". Под последним профилем есть пункт "Свойства брандмауэра Windows" . Открываю его и перехожу на вкладку со своим текущим профилем "Общий профиль" . Состояние брандмауэра у меня включён. В поле "Входящие подключения" ставлю блокировать все подключения, а в поле "исходящие подключения" ставлю вместо разрешающего всем и вся параметра "Разрешить" другой параметр блокировать. И жму ОК. Понятно, что сразу всё перестаёт работать, даже ping пакеты никуда не идут... Чтобы разрешить какой-то программе выход в Интернет с левой стороны есть "Правила для исходящего подключения", щёлкаю на нём правой кнопкой мыши и выбираю там "создать правило", В пункте "правило какого типа вы хотите создать" выбираю пункт "Настраиваемые" и жму далее, указываю путь к конкретной программе (например Program Files\Mozilla Firefox\firefox.exe),"тип протокола" оставляю "Любой", Область к которым применяется это правило для локальных и удалённых ip адресов ставлю "Любой IP адрес" , "действие" для правила переключаю в "разрешить подключение" , Профили оставляю все три в которых это правило будет действовать, имя пишу обычно по имени программы -firefox. На всякий случай смотрю, чтобы никаких других правил для исходящего подключения не были разрешены - я же всё хочу запретить по умолчанию. То есть на текущий момент в правилах только одна программа. Для работы того же Firefox нужно о ещё обеспечивать DNS запросы (опять "создать правило" для исходящего соединения, затем тип правила в пункте "предопределённые" выбираю "Основы сетей" , затем "Основы сетей - DNS (UDP исходящий трафик). Ну или в моём случае я dns сервер провайдера или общедоступные яндекса или гугл не использую(они тоже собирают всё подряд о пользователях...), я делают дополнительное правило для кеширующего сервера unbound (в настройках ДНС сервер у меня выставлен ip 127.0.0.1). Для работы Tor Browser в принципе dns сервер указывать на компьютере не нужно, он все запросы шлёт в тор -сеть, так что поле днс можете оставить пустым, если из браузеров используете только ТОР. В тор-браузере как бы две программы - это обычный Firefox(файл Firefox), который настроен на использование прокси(точнее socks )сервера с ip 127.0.0.1 и портом 9150, то есть на локальную машину . А на порту 9150 после старта Tor Browser запускается клиент тор, этот клиент и играет роль Socks сервера. Тор клиент находится в папке тор-браузера Browser/TorBrowser/Tor/tor.exe. Разрешаю добавлением двух разрешающих правил для двух этих программ (firefox.exe и tor.exe из папки Tor browser) , но тор не работает, пишет ошибку при старте загрузчика Tor " Tor не удалось установить подключение к сети Tor. Подключение к сети Tor неудачно (нехватка ресурсов - 46.165.221.166:443)." В Общем почему-то не пускается. С IE тоже была проблема - я прописал одно разрешающего правила для 64 разрядного Internet Explorer (который лежит в Program Files\Internet Exlorer\), но он не заработал, диспетчер задач я два ИЕ увидел, один 64 разрядный, а второй 32 разрядный... Зачем Микрософту на 64 разрядной ОС потребовалась такая подмена я не знаю, может 64 битный у них не работает как надо... В общем как только создал ещё одно разрешающие правило для 32 разрядного ИЕ(из папки Program Files(x86)\Internet Explorer\iexplore.exe), то ИЕ заработал. С Хромом проблем не было - одно разрешающее правило добавил в браднмауэре и всё заработало.( ну и днс клиент для него конечно нужно тоже выпустить в Интернет). Как в режиме запрета всех соединений разрешить работу Тор Браузера? Может нужно ещё какой экзешник разрешить ? У кого DHCP на компьютер тоже нужно в предопреденном типе правил добавит "основы сетей" и там DHCP добавить. У меня "статиком" на одной машине прописано, а на ноутбуке динамически получение сетевых настроек, там пришлось добавлять возможность выхода в сеть и DHCP клиенту. |