Wie können Sie prüfen, ob vorhandene firewall-Regeln mithilfe von Powershell

So, ich habe dieses script:

function Add-FirewallRule {
   param( 
      $name,
      $tcpPorts,
      $appName = $null,
      $serviceName = $null
   )
    $fw = New-Object -ComObject hnetcfg.fwpolicy2 
    $rule = New-Object -ComObject HNetCfg.FWRule

    $rule.Name = $name
    if ($appName -ne $null) { $rule.ApplicationName = $appName }
    if ($serviceName -ne $null) { $rule.serviceName = $serviceName }
    $rule.Protocol = 6 #NET_FW_IP_PROTOCOL_TCP
    $rule.LocalPorts = $tcpPorts
    $rule.Enabled = $true
    $rule.Grouping = "@firewallapi.dll,-23255"
    $rule.Profiles = 7 # all
    $rule.Action = 1 # NET_FW_ACTION_ALLOW
    $rule.EdgeTraversal = $false
    if(*here*)
    {
    $fw.Rules.Add($rule)
    }

}

und ich möchte in der Lage sein, etwas in die wenn (), die Sie überprüfen und sehen, ob die Regel bereits existiert, bevor es wieder Hinzugefügt. Ich bin nicht sehr vertraut mit powershell, so gehen Sie einfach auf mich 😛

InformationsquelleAutor tjernigan | 2011-07-06
  1. 3

    MSDN hat einige umfangreiche Dokumentation über die Windows-Firewall-API hier:

    http://msdn.microsoft.com/en-us/library/aa366449(v=vs. 85).aspx

    Werden Sie zu Beginn mit der Instanziierung des HNetCfg.FwMgr COM-Objekt-das erhalten Sie Zugriff auf die Abfrage, die verschiedenen bestehenden Regeln über die HNetCfg.FwMgr.LocalPolicy.CurrentProfile.

    Gibt es verschiedene Arten von Regeln: Autorisierte Anwendungen, Weltweit Offenen Ports, ICMP-Einstellungen " und "Dienste". Die INetFwProfile Objekt (abgerufen über die CurrentProfile) hat Eigenschaften, die es ermöglichen, den Zugriff auf diese Regeln.

    http://msdn.microsoft.com/en-us/library/aa365327(v=vs. 85).aspx

    Update (2014-01-30): In Windows 8 und Windows Server 2012, es ist ein PowerShell-Modul namens NetSecurity enthält die Get-NetFirewallRule Befehl. Sie können diesen Befehl verwenden, um zu entdecken, welche firewall-Regeln, die bereits definiert sind. Hinzufügen eines neuen firewall-Regel, verwenden Sie die New-NetFirewallRule Befehl in der gleichen NetSecurity Modul.

    InformationsquelleAutor Trevor Sullivan
  2. 3

    PowerShell-Firewall Beispiel für SDL Microservices

    Nur eine neue firewall-Regel, wenn es nicht bereits vorhanden ist

    $rules = Get-NetFirewallRule
    $par = @{
    DisplayName = ""
    LocalPort = 80
    Direction="Inbound"
    Protocol ="TCP" 
    Action = "Allow"
}


$par.LocalPort = 8081
$par.DisplayName = "SDL Web 8 Stage Content Microservice on port $($par.LocalPort)"
if (-not $rules.DisplayName.Contains($par.DisplayName)) {New-NetFirewallRule @par}

$par.LocalPort = 8082
$par.DisplayName = "SDL Web 8 Stage Discovery Microservice on port $($par.LocalPort)"
if (-not $rules.DisplayName.Contains($par.DisplayName)) {New-NetFirewallRule @par"}
    InformationsquelleAutor Chris Mills
  3. 2

    Warum nicht einfach:

    $r = Get-NetFirewallRule -DisplayName 'Docker Cluster Management Communications' 2> $null; if ($r) { write-host "found it"; } else { write-host "did not find it" }
    InformationsquelleAutor Marius
  4. 1

    Diese Antwort mehr auf serverfault, basierend auf dieser blog-post, könnte helfen:

    Function Get-EnabledRules
{
    Param($profile)
    $rules = (New-Object -comObject HNetCfg.FwPolicy2).rules
    $rules = $rules | where-object {$_.Enabled -eq $true}
    $rules = $rules | where-object {$_.Profiles -bAND $profile}
    $rules
}

$networkListManager = [Activator]::CreateInstance([Type]::GetTypeFromCLSID([Guid]"{DCB00C01-570F-4A9B-8D69-199FDBA5723B}"))
 $connections = $networkListManager.GetNetworkConnections()
[int[] ] $connTypes = @()
$connTypes = ($connections | % {$_.GetNetwork().GetCategory()})
#$connTypes += 1
Write-Host $connTypes

$connTypes | ForEach-Object {Get-EnabledRules -profile $_ | sort localports,Protocol | format-table -wrap -autosize -property Name, @{Label="Action"; expression={$_.action}}, @{Label="Protocol"; expression={$_.protocol}}, localPorts,applicationname}

    müssen Sie die aktivierten Regeln in Ihrem 'if()' ..

    InformationsquelleAutor user4531
  5. 0

    Folgenden bis @Trevor Sullivian Vorschlag hier ist das test-script, das erzielt den gleichen mit NetSecurity Module.

    Import-Module NetSecurity
new-netfirewallrule -Action Allow -Direction Inbound -Enabled True -Protocol TCP                                   -LocalPort <<Port>> -DisplayName <<Name>>
    InformationsquelleAutor Varun
  6. 0

    Wie funktioniert eine Liste der gesamten Regelsatz, einschließlich alle Quell-und Zieladressen und-ports und Protokolle? Diese werden nicht in die Standard-Ausgabe von Get-NetFirewallRule...(warum???)

    Die Lösung oben sieht aus wie Sie es tun würden, aber ich will nicht zu haben, um eine Funktion schreiben. Ich bin auf der Suche nach einem 'one-liner' Lösung.

    • Sie werden Fragen stellen, eine Antwort. Das sieht aus wie ein Kommentar.
    InformationsquelleAutor skeetastax
  7. 0

    Können Sie es tun in hacky Weise, also mit Get-NetFirewallRule-und surround im try-catch-Anweisung. Wenn die Regel nicht existiert, wird es uns bewegen, catch-Anweisung, so können wir erstellen eine neue Regel gibt.

    try {
    $firewallRule = Get-NetFirewallRule -DisplayName PROGRAM -ErrorAction Stop
    "Firewall rule already exist for program.exe" | Add-Content 'file.log'
}
catch {
    if(-Not $firewallRule) {
        New-NetFirewallRule -Program $ecfClient -Action Allow -Profile Any -DisplayName "PROGRAM"
        "Firewall rule for ecfClient.exe succesffully created" | Add-Content 'file.log'
    }
}

    Können Sie auch prüfen, den Wert aus dem Get-NetFirewallRule, wenn die Regel besteht, wird true zurückgegeben, weil die variable nicht leer ist.

    Ich weiß, es ist eine schmutzige Art und Weise, dies zu tun, aber wenn ich war auf der Suche nach dem kürzesten Weg, dass hat mir wirklich geholfen.

    InformationsquelleAutor reniasa
Schreibe einen Kommentar