netsh 是 Windows 操作系统中一个非常强大的网络配置工具,允许用户进行多种网络设置和管理操作。以下是一些常见的使用场景和基本教程:
使用场景
1. 网络配置:
- 配置网络接口的 IP 地址、子网掩码、网关等。
- 管理 DNS 服务器设置。
2. 防火墙管理:
- 启用或禁用 Windows 防火墙。
- 创建和管理防火墙规则。
3. 网络诊断:
- 显示当前网络配置。
- 测试网络连接(例如,ping 命令)。
4. Wi-Fi 网络管理:
- 查看、添加和删除 Wi-Fi 网络配置。
- 连接或断开 Wi-Fi 网络。
5. 网络共享设置:
- 配置网络共享和公共网络设置。
基本教程
1. 查看网络配置
netsh interface ip show config2. 设置静态 IP 地址
netsh interface ip set address "本地连接" static 192.168.1.100 255.255.255.0 192.168.1.13. 配置 DNS 服务器
netsh interface ip set dns "本地连接" static 8.8.8.84. 启用 Windows 防火墙
netsh advfirewall set allprofiles state on5. 禁用 Windows 防火墙
netsh advfirewall set allprofiles state off6. 添加防火墙规则
netsh 提供了广泛的防火墙规则管理功能,涵盖入站、出站通信、特定端口、协议、IP 地址的规则等。下面介绍一些常见使用场景及对应的命令。
1. 特定端口
1-1. 允许特定端口的入站通信
有时候你可能需要允许某些端口的通信,例如让 HTTP 服务器(80端口)接收入站连接。
netsh advfirewall firewall add rule name="Allow HTTP" dir=in action=allow protocol=TCP localport=80- protocol=TCP:指定使用 TCP 协议。
- localport=80:指定规则应用于本地的 80 端口。
1-2. 阻止特定端口的出站通信
你可以阻止某个应用或设备通过特定端口发送数据,例如阻止 443 端口(HTTPS)出站。
netsh advfirewall firewall add rule name="Block HTTPS" dir=out action=block protocol=TCP localport=4431-3. 允许多个端口的入站通信
要实现一个防火墙规则中打开多个端口,可以在创建或更新规则时指定多个端口,使用逗号分隔端口号。针对你提到的需求,通过 netsh 可以创建、更新和删除防火墙规则来实现特定端口的控制。下面我将详细说明如何逐步创建和更新防火墙规则,包括添加、移除端口。
在第一次创建规则时,可以通过以下命令允许 80 和 443 端口的入站流量:
netsh advfirewall firewall add rule name="WAF" dir=in action=allow protocol=TCP localport=80,443name="WAF":这是规则的名称,可以任意命名,但最好保持简洁明了。
localport=80,443:指定允许的端口,多个端口用逗号分隔。
protocol=TCP:指定协议为 TCP(可以改为 UDP 或 both,视需求而定)。
此时,入站流量允许访问 80 和 443 端口。
2. 特定IP
2-1. 限制特定 IP 地址的入站通信
你可以设置规则,允许或阻止来自特定 IP 地址的通信。例如,阻止来自 IP 地址 192.168.1.50 的所有入站流量。
netsh advfirewall firewall add rule name="Block IP" dir=in action=block remoteip=192.168.1.50- remoteip=192.168.1.50:表示规则仅适用于来自此 IP 地址的通信。
2-2. 允许特定 IP 段的通信
可以设置允许某个 IP 范围内的所有通信(例如公司内部网段的通信)。
netsh advfirewall firewall add rule name="Allow Internal Network" dir=in action=allow remoteip=192.168.1.0/24- remoteip=192.168.1.0/24:表示允许来自 192.168.1.0 到 192.168.1.255 的 IP 地址范围。
3. 基于特定程序
netsh advfirewall firewall add rule name="允许某程序" dir=in action=allow program="C:\path\to\program.exe"这条命令 netsh advfirewall firewall add rule name="允许某程序" dir=in action=allow program="C:\path\to\program.exe" 用于通过 netsh 添加一条 Windows 防火墙规则,具体作用是允许一个指定的程序通过防火墙进行入站通信。接下来详细解释这条命令的各个参数,并进一步介绍 netsh 在添加防火墙规则的各种使用场景和对应的操作教程。
命令参数解释
- netsh advfirewall firewall:进入高级防火墙配置的命令。
- add rule:表示要添加一条新的防火墙规则。
- name="允许某程序":指定这条规则的名称为“允许某程序”。你可以根据需要修改名称以便区分不同规则。
- dir=in:表示该规则作用于入站通信(inbound)。可以使用 dir=out 来对出站通信(outbound)设置规则。
- action=allow:表示允许指定的通信。可以选择 action=block 来阻止通信。
- program="C:\path\to\program.exe":指定要应用这条规则的具体程序。这个路径应替换为你想允许的程序的实际路径。
4. 基于服务设置防火墙规则
如果你想根据系统服务而非程序来设置规则,例如允许 DNS 服务的入站通信:
netsh advfirewall firewall add rule name="Allow DNS Service" dir=in action=allow service=DNS- service=DNS:允许与 DNS 服务相关的流量。
5. 允许 ICMP(Ping)入站通信
默认情况下,Windows 防火墙可能阻止 ICMP(Ping)通信,可以通过以下命令允许 Ping 请求:
netsh advfirewall firewall add rule name="Allow Ping" protocol=ICMPv4:8,any dir=in action=allow- protocol=ICMPv4:8,any:表示允许 ICMP 协议类型 8(Echo Request,即 Ping 请求)。
6. 删除防火墙规则
要删除一条已创建的规则,可以使用 delete 关键字。
netsh advfirewall firewall delete rule name="Allow HTTP"- delete rule:删除指定名称的规则。
7. 查看当前防火墙规则
你可以查看已配置的所有防火墙规则,了解哪些规则正在生效。
netsh advfirewall firewall show rule name=all- show rule name=all:显示所有防火墙规则。
8. 更新防火墙规则
为了更新现有规则,先使用 netsh advfirewall firewall delete rule 删除原规则,然后通过 add rule 重新添加修改后的规则。
为了在原有规则的基础上添加新的端口(如 8080),可以先删除旧规则,再重新添加新的规则,这样可以确保覆盖原有端口设置:
netsh advfirewall firewall delete rule name="WAF"
netsh advfirewall firewall add rule name="WAF" dir=in action=allow protocol=TCP localport=80,443,8080delete rule:删除名为“WAF”的旧规则。
add rule:重新添加规则,允许 80、443 和 8080 端口的入站流量。
此时,规则已经更新,允许 80、443 和 8080 端口的流量。
总结
netsh advfirewall 提供了一个灵活且强大的工具,用于配置 Windows 防火墙规则。通过该工具,你可以基于应用、端口、协议、IP 地址等多维度来设置入站和出站流量的控制。熟练掌握 netsh,可以帮助你细粒度管理防火墙安全策略,确保网络环境的安全性。
7. 显示 Wi-Fi 配置
netsh wlan show profiles8. 连接到 Wi-Fi 网络
netsh wlan connect name="网络名称"9.端口转发
结尾
netsh 是一个功能丰富的命令行工具,可以用于各种网络管理任务。可以通过 netsh /? 获取更多帮助和可用命令列表。
评论区