Перейти к содержимому


Фото
- - - - -

W10 1809 WSL и DrWeb 12 firewall


  • Please log in to reply
11 ответов в этой теме

#1 baribal

baribal

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 14 Февраль 2019 - 01:22

Приветствую всех. Никак не получается настроить файрвол для нормальной работы с WSL. Стоит WSL Ubuntu 1804, последние патчи на виндовс, последняя версия DrWeb. Я пытаюсь настроить локальный форвардинг портов через бастион сервер на удалённый сервер. Использую функциональность ssh:

 

Host bastion bastion.server.com
  HostName bastion.server.com
  ForwardAgent yes
 
 
Host *.server.com
  User user
  ProxyCommand ssh -A -W %h:%p bastion
 
Ну и потом:
 
ssh -f -N -L 8088:dest.server.com:8443 dest.server.com
 
Порт 8088 в системе открывается (LISTEN 127.0.0.1:8088). Коннекчусь в Chrome к 127.0.0.1:8088 и получаю:
 
This site can’t be reached 127.0.0.1 took too long to respond.

Если отключить файорвол полностью, то всё работает.

 

Пробовал режимы работы Allow unknown connections, Interactive learning mode, Allow connections for trusted applications. Обнулял все правила - при коннекте к 127.0.0.1:8088 окошко файрвола не всплывает, просто молчок.

 

Пробовал для Crhome разрешать все коннекты - в логе файрвола написано:

 

"2/14/2019 00:44:35","C:\Program Files (x86)\Google\Chrome\Application\chrome.exe","Rule name 1","Outbound","Allowed","tcp://127.0.0.1:8088"
"2/14/2019 00:44:35","C:\Program Files (x86)\Google\Chrome\Application\chrome.exe","Rule name 1","Outbound","Allowed","tcp://127.0.0.1:8088"
"2/14/2019 00:45:12","C:\Program Files (x86)\Google\Chrome\Application\chrome.exe","Rule name 1","Outbound","Allowed","tcp://127.0.0.1:8088"
 
Т.е. файрвол разрешил выходящее соединение к 127.0.0.1:8088.
 
Пробовал отключать пакетный фильтр, ставить для него дефолтное правило Allow all, ставил Allow all для всех сетевых интерфейсов. Ничего не помогает.
 
Помогает только отключение файрвола.
 
Подскажите куда копать. Спасибо заранее.

  



#2 baribal

baribal

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 20 Февраль 2019 - 22:19

Что, ни у кого нету идей? Заранее спасибо. 



#3 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 20 Февраль 2019 - 22:39

Наверно копать в техподдержку.

В файере есть два фильтра - пакетный и приложений. Если включение в них обоих "разрешать всё" не помогает, значит только разработчики могут помочь.



#4 Alex2k19

Alex2k19

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 27 Январь 2022 - 21:02

Прошло 3 года, а воз и ныне там.

Windows 11. Все последние обновления. Dr.Web Security Space 12.0

Пока полностью не отключишь FireWall в WSL вообще нет доступа к Internet. 


Сообщение было изменено Alex2k19: 27 Январь 2022 - 21:07


#5 VVS

VVS

    The Master

  • Moderators
  • 19 645 Сообщений:

Отправлено 27 Январь 2022 - 21:19

https://forum.drweb.com/index.php?showtopic=331418#entry864973


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#6 nicky1038

nicky1038

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 10 Ноябрь 2022 - 15:13

Столкнулся с такой же ситуацией: Windows 10, WSL 2, без полного отключения Брандмауэра Dr. Web в WSL были проблемы с подключением к Интернету.

При поиске решений сразу же попал на эту страницу форума, но т. к. решения здесь пока нет, написал в поддержку. И это помогло!

 

Краткое объяснение причины такого поведения Dr. Web: WSL логически представляет собой как бы новое устройство в локальной сети, а по умолчанию Dr. Web предоставляет защиту только для компьютера, на котором установлен, и организацией трафика в локальной сети не занимается.

 

Как исправить:

Dr.Web > Центр безопасности > Файлы и сеть > значок "Замок" > Брандмауэр > снизу надпись "Дополнительные настройки" > в разделе "Параметры работы для известных сетей" надпись "Изменить".

Откроется окно с наборами правил для разных сетевых адаптеров. Неободимо отредактировать набор правил для сетевого адаптера компьютера, через который идёт подключение к интернету, И для виртуального сетевого адаптера WSL. Можно либо изменить Default Rule, либо создать новый набор правил на основе Default Rule, изменить его, и применить к этим сетевым интерфейсам. К примеру, создадим новый набор.

 

Кнопка "Наборы правил" > Выделить "Default Rule" > Нажать значок "Копировать" > Открыть новый набор правил > Открыть новый набор правил. В нём:

  • Найти где-то внизу списка "GATEWAY : ICS Gateway", выделить, включить и переместить наверх списка
  • Создать и включить ещё одно правило. Критерий - Ethernet, действие - Разрешать пакеты, направление - Любое, в поле локальный MAC адрес выбрать "Мой компьютер", в поле удаленный MAC - выбрать "Равен" и вписать mac-адрес сетевого интерфейса WSL (можно узнать его, выполнив в WSL ifconfig; если утилита не установлена - временно выключить Брандмауэр и установить net-tools)

Далее нажатиями кнопок "ОК" выйти из редактирования наборов правил с сохранением настроек, и применить новый набор правил к сетевым интерфейсам, описанным выше (сетевой интерфейс для подключения к Интернету и виртуальный сетевой интерфейс WSL).

 

После выполнения этих шагов всё должно заработать. Отдельно в поддержке отметили, что "безопасности системы эти опции не навредят".



#7 VVS

VVS

    The Master

  • Moderators
  • 19 645 Сообщений:

Отправлено 10 Ноябрь 2022 - 15:24

Скорее всего просто отключение пакетного фильтра устранит проблему.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#8 nicky1038

nicky1038

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 10 Ноябрь 2022 - 22:09

Настройка правил — это частичное отключение пакетного фильтра в минимально требуемом объёме. Полное отключение тоже помогает, но всё же выглядит несколько радикальным, хоть и немного более простым решением.
 
Дополнение к моему посту.
При выполнении указанных шагов на другом компьютере возникла следующая проблема - сетевой интерфейс "vEthernet (WSL)" отсутствовал в списке Dr. Web.
Что помогло: зайти во "Включение и отключение компонентов Windows", включить "Virtual Machine Platform" ("Платформа виртуальной машины") и перезагрузить компьютер, а также включить виртуализацию в BIOS. см. https://github.com/MicrosoftDocs/WSL/issues/899


#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 11 Ноябрь 2022 - 13:32

wsl2 это самая большая дыра в истории, в угоду бабла. Катлера на них нет.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 sokol2k23

sokol2k23

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 11 Июль 2023 - 13:02

Приветствую!

Решил переехать на DrWeb. Поставил демку разбираться. Столкнулся с такой же проблемой. Выполнил инструкции от камрада nicky1038, но все равно ничего не ресолвится:

unable to resolve host address ‘ya.ru’

Новый набор правил на основе шаблона "По умолчанию" указан для всех сетевых интерфейсов. Включено правило "GATEWAY : ICS gateway" без изменений настроек внутри. Создано доп. правило разрешения пакетов в любом направлении с критерием по мас адресу.

В настройках правил фильтрации указан удаленный MAC адрес WSL. Если поменять на "Любой" - ситуация не меняется.

Причём, если для сетевого интерфейса WSL указать правило Allow All, то начинает работать. Но как-то кардинально, на мой взгляд. 

 

Похоже чего-то в правилах нужно ещё добавить или убрать. Прошу помощи!



#11 paror58773

paror58773

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 30 Январь 2024 - 08:37

Здравствуйте.
 

 

Описание ситуации:

Установил дистрибутив Debian в WSL.

Возникла проблема: Windows 10, WSL 2, без полного отключения Брандмауэра Dr.Web в WSL были проблемы с подключением к Интернету.

 

 

 

Посмотрел инструкцию по ссылке: https://forum.drweb.com/index.php?showtopic=331418&p=902566

 

По ссылке даётся краткое объяснение причины такого поведения Dr. Web: WSL логически представляет собой как бы новое устройство в локальной сети, а по умолчанию Dr. Web предоставляет защиту только для компьютера, на котором установлен, и организацией трафика в локальной сети не занимается.

 

 

Моё решение, как исправить:

 

Dr.Web => Центр безопасности => Файлы и сеть => значок "Замок" (слева внизу экрана) снимаем блокировку изменений => Брандмауэр => справа снизу надпись "Дополнительные настройки"

Убеждаемся, что в разделе «Сеть» включена опция «Разрешить фильтрацию пакетов».

 

 

Действие 1. Убеждаемся, что проблема именно в работе брандмауэра Dr.Web.

– Отключаем опцию «Разрешить фильтрацию пакетов».

– Проверяем работу интернета в WSL.

 

Если при отключенной опции «Разрешить фильтрацию пакетов» интернет отсутствует, значит проблема не в настройках брандмауэра Dr.Web, а в чём-то ином.

 

Прекращаем читать эту инструкцию, ищем иную причину блокировки.

 

Интернет появился, следовательно проблема в настройках брандмауэра Dr.Web.

Включаем опцию «Разрешить фильтрацию пакетов» заново.

 

 

Действие 2. Настраиваем брандмауэр Dr.Web.

 

В разделе "Параметры работы для известных сетей" надпись "Изменить" – проходим по ссылке.

 

Шаг 1. Создаём нужный набор правил.

 

Нажимаем кнопку «Наборы правил», делаем копию набора правил «Default Rule» (копию набора правил назвал «Default Rule - Интернет для WSL»).

 

Узнаём нужные MAC-адреса для настройки нового правила.

 

1. Узнать локальный MAC-адрес.

Запускаем командную строку в Windows и выполняем команду: ipconfig /all

После строки, озаглавленной "Адаптер Ethernet vEthernet (WSL):" в пункте:

Физический адрес. . . . . . . . . : 08-1D-27-CA-4F-95

получаем значение локального MAC-адреса: 08-1D-27-CA-4F-95

 

2. Узнать удаленный MAC-адрес.

Запускаем Debian в WSL (в моём случае).

Выполняем команду: ip a

После строки, имеющей с начала строки текст "2: eth0:" в пункте:

link/ether 02:5e:с5:f2:ab:2d brd ff:ff:ff:ff:ff:ff

получаем значение удаленного MAC-адреса: 02:5e:с5:f2:ab:2d

Можно то же самое узнать через команду ifconfig в Debian, но в этом случае может потребоваться устанавливать в Debian дополнительный пакет net-tools (для установки команда от имени суперпользователя/root: sudo apt install net-tools).

 

3. В новом наборе правил добавляем правило с такими настройками:

Действие – Разрешать пакеты

Направление – Любое

Критерий – Ethernet

В поле локальный MAC-адрес выбрать «Равно», значение параметра (берём значение, полученное в п. 1 «Узнать локальный MAC-адрес»): 08-1D-27-CA-4F-95

В поле удаленный MAC-адрес выбрать «Равно», значение параметра (берём значение, полученное в п. 2 «Узнать удаленный MAC-адрес»): 02-5E-С5-F2-AB-2D

 

 

Шаг 2. Устанавливаем сетевому интерфейсу для WSL созданный набор правил.

 

В сетевых интерфейсах у меня отображаются два адаптера:

– Сетевой интерфейс «Ethernet»: в графе «адаптер» указана реальная сетевая карта.

– Сетевой интерфейс «Network interface»: в графе «адаптер» указано «Hyper-V Virtual Ethernet Adapter» (это устройство в локальной сети, созданное при установке WSL).

 

 

Устанавливаем для «Hyper-V Virtual Ethernet Adapter» ранее созданный новый набор правил «Default Rule - Интернет для WSL».


Сообщение было изменено paror58773: 30 Январь 2024 - 08:38


#12 paror58773

paror58773

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 21 Февраль 2024 - 18:09

Моё решение, как исправить

 

 

Да, в инструкции выше мак адреса меняются после перезагрузки компьютера.

 

Так же и выбранный набор правил «Default Rule - Интернет для WSL» после перезагрузки компьютера у меня почему-то самостоятельно переключается на набор правил «Default Rule».


Сообщение было изменено paror58773: 21 Февраль 2024 - 18:11



Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых