[iskander-k]

Отключи все созданные правила и включай по одному и тестируй

[UncleD]

iskander-k, попробовал отключить все созданные мной правила, все начинает работать, в журнал в основной массе пишется событие правила разрешающего ARP. Стоит включить хотя бы правило блокирующее исходящий TCP на 3389 до 192.168.1.106 и все снова падает, при этом в журнале не пишется ничего.

[UncleD]

Как и ожидалось сам себе злой буратино. А именно, в первом посте не написал, что для правил блокирующих шару и рдп в качестве src.ip указал "Адрес этой станции", а надо то бы поставить "Любой". Хотя и странно, что сначала это и не мешало, но и я могу что-то путать.

Ну и возможно кому-то интересное. Для блокировки шары хватает правил TCP без UDP, кроме того, в логах светятся только правила по 445 и 139 портам, а 137 и 138 еще ниразу не отработали. Это конечно еще нужно помониторить, но пока что выходит, что можно обойтись двумя правилами вместо восьми.

[meZon]

BROWSER (src port udp:138, dst port udp:138) и NBNS (src port udp:137, dst port udp:137) вроде бы как шлётся "всем".
Т.е. для сети 192.168.1.0/24 это будет 192.168.1.255, а не конкретный IP хоста.

Или путаю?