Возможно ли создать правило, которое бы «висело» на определенной сетевой карте??
В мастере создания нового правила и в свойствах существующих правил нигде нет опций выбора определенного сетевого интерфейса.

свойства правила-дополнительно-настроить

Это про свойства самого фаирвола? Там, где выбираются интерфейсы, на которых активен фаирвол?

Мне нужно немного другое. Что-то типа --in-interface/--out-interface у iptables.

Т.е. как сделать так, чтобы на разных сетевых интерфейсах были разные наборы правил?

Мне нужно немного другое. »
тогда попытайтесь сформулировать вопрос ещё раз.

Т.е. как сделать так, чтобы на разных сетевых интерфейсах были разные наборы правил? »
попробуйте сделать то, что я написала.

cameron, он достаточно подробно описал. Представьте себе - в компьютере ДВА сетевых интерфейса (грубо и утрировано - две сетевые карты с разными IP-адресами), например от двух разных провайдеров или один интернет, а второй - локальная сеть района, где проживает ТС. Пусть будут Интерфейс1 и Интерфейс2. Есть некая программа NNN.EXE, для которой есть разрешающее правило для выхода во внешний относительно компьютера мир. Так вот сделать это правило так, чтобы программа могла выходить через интерфейс1, но не могла через интерфейс2. Это просто пример, поясняющий суть вопроса.

cameron, он достаточно подробно описал. Представьте себе - в компьютере ДВА сетевых интерфейса (грубо и утрировано - две сетевые карты с разными IP-адресами), например от двух разных провайдеров или один интернет, а второй - локальная сеть района, где проживает ТС. Пусть будут Интерфейс1 и Интерфейс2. Есть некая программа NNN.EXE, для которой есть разрешающее правило для выхода во внешний относительно компьютера мир. Так вот сделать это правило так, чтобы программа могла выходить через интерфейс1, но не могла через интерфейс2. Это просто пример, поясняющий суть вопроса. »
нужно сделать так, как я написала.
там есть опция выбора интерфейса для правила.

нужно сделать так, как я написала.
там есть опция выбора интерфейса для правила. »
Там нет опции выбора интерфейса. Там есть опция выбора ТИПА интерфейса.
А у меня, например, есть два интерфейса одинакового типа.
И мне нужно сделать два разных набора правил для двух разных интерфейсов одинакового типа.

Если нажать на ссылку справки в том окне, то прочитаем это:
Типы интерфейсов
Правило применяется к связям через сетевые подключения только тех типов, которые выбраны в этом поле. Можно выбрать один тип или их сочетание.

Локальная сеть
Правило применяется только к связям через подключения локальной проводной сети, настроенные на данном компьютере.

Удаленный доступ
Правило применяется только к связям через настроенные на данном компьютере подключения удаленного доступа, например подключения виртуальной частной сети (VPN) или коммутируемые подключения.

Беспроводной адаптер
Правило применяется только к связи через беспроводные сетевые адаптеры, настроенные на данном компьютере.

Там нет опции выбора интерфейса. Там есть опция выбора ТИПА интерфейса.
А у меня, например, есть два интерфейса одинакового типа.
И мне нужно сделать два разных набора правил для двух разных интерфейсов одинакового типа. »
теперь ясно.
а профиль у интерфейсов тоже одинаковый?

теперь ясно.
а профиль у интерфейсов тоже одинаковый? »
фактически да.
проблема в том, что искусственный интеллект файрвола Windows NT 6.x может самолично переключать профили файрвола в зависимости от ряда внешних условий (доступности/недоступности неких внешних узлов - шлюзов сети).
В случае, если мне нужно однозначное, не зависимое от внешних факторов, срабатывание правил, то придется во все профили записать одинаковые правила и разруливать все в зависимости от интерфейса, а не от текущего местоположения компа (например какой смысл иметь различные профили на сервере? я не не буду таскать севрер в интернет-кафе, где мне активизируется публичный профиль).

Mike33,
тогда я не представляю, как раскорячить WF в таком варианте.
скорее всего вам требуется сторонее решение.

Mike33, почему бы не воспользоваться сторонним файерволом, например wipfw (http://wipfw.sourceforge.net/)?

почему бы не воспользоваться сторонним файерволом, например wipfw? »
Я им и пользовался, но его нет под 64-разряда. И под 32-разряда он только в статусе beta.

но его нет под 64-разряда »
Правда? А как же вот это:
Experimental v0.5.5-beta release (2011-08-16)

Download it at Sourceforge.NET

Windows Server 2008, 2008R2, Vista, Windows7 support.
Traffic shaper feature.

WIPFW v0.2.8 released (2006-12-12)

Download it at Sourceforge.NET

Now with 64-bit support! Added option "sysctl" to change firewall parameters.

И девяти лет не прошло... ;)

Правда? А как же вот это: »
Правда.
Раздел закачки - http://sourceforge.net/projects/wipfw/files/stable/
Там файл: wipfw-0.2.8_W2K_XP_2003x64.zip (http://sourceforge.net/projects/wipfw/files/stable/wipfw-0.2.8_W2K_XP_2003x64.zip/download)
Для Windows 7 ничего нет.

Mike33, то есть вы по названию файла судите о работоспособности программы? А, ну тогда оно конечно да, НЕ РАБОТАЕТ :) Фигею...

А, ну тогда оно конечно да, НЕ РАБОТАЕТ Фигею... »
фигеть не надо - там внутри неподписанные драйверы kernel-mode.
впрочем, если вы почитате комменты (прямо на первой странице) или на местном форуме, вы убедитесь, что увы и ах.

Mike33,
Agnitum Outpost?

Mike33, я не не буду таскать севрер в интернет-кафе, где мне активизируется публичный профиль).вообще в расширенном режиме настройки правил есть возможность явно указать "локальный IP адрес". Можно попробовать "поиграть" на этом.

По крайней мере в своей домашней сети (роутер) вы вольны сменить "типовой" 192.168.х.х/24 на менее распространённый 172.16.х.х - 172.31. х.х/24
Если выбрать выбрать "заковыристый" вариант, то шанс нарваться на такой же адрес сети в кафе стремится к нулю.

Mike33, то есть вы по названию файла судите о работоспособности программы? А, ну тогда оно конечно да, НЕ РАБОТАЕТ Фигею... »
Нееее..... Ну нафиг.... Пихать драйвера от Windows NT 5.x на Windows NT 6.x... Не хочу экспериментировать.

Agnitum Outpost? »
Что-то у меня к нему несколько предвзятое отношение после того, как несколько лет назад пытался безуспешно вычистить компы после него.
Да и хочется некий файерволл с возможностью управления через командную строку, чтобы можно было все правила едиообразным образом загружать через скрипт.

вообще в расширенном режиме настройки правил есть возможность явно указать "локальный IP адрес". Можно попробовать "поиграть" на этом. »
Да, я думал об этом, но это как-то похоже на костыли. Хотелось бы максимально правильного решения.
Пока рою тему, а там посмотрим...

На юзерской винде правильного решения. »Всё будет "костылями".
Не вижу препятствий в смене адресации в домашней сетке.
В своей вообще никогда не использовал 192.168.х.х
Родной виндовый WF.msc вполне годен. Просто надо к нему привыкнуть.
И не будет проблем ни со скоростью сети, ни с bsod'ами, как это вошло в моду у Outpost. После версии 6.хз я от него отказался в пользу виндового.

И, кажется, что-то удалось нарыть.

Идем сюда:

Windows Firewall with Advanced Security (https://msdn.microsoft.com/en-us/library/windows/desktop/ff956124%28v=vs.85%29.aspx)

Потом сюда:
Windows Firewall with Advanced Security Reference (https://msdn.microsoft.com/en-us/library/windows/desktop/aa366459%28v=vs.85%29.aspx)
Windows Firewall with Advanced Security Interfaces (https://msdn.microsoft.com/en-us/library/windows/desktop/aa366458%28v=vs.85%29.aspx)
INetFwRule interface (https://msdn.microsoft.com/en-us/library/windows/desktop/aa365344%28v=vs.85%29.aspx)

И видим, что у COM-интерфейса INetFwRule, наряду с обсуждаемым выше свойством:
InterfaceTypes - Accesses the InterfaceTypes property for this rule.
Acceptable values for this property are "RemoteAccess", "Wireless", "Lan", and "All". If more than one interface type is specified, the strings must be separated by a comma.
Есть свойство:
Interfaces - Accesses the Interfaces property for this rule.
This property is optional. The interfaces in the list are represented by their friendly name.

И есть пример, как это использовать:
Adding a Per Interface Rule (https://msdn.microsoft.com/en-us/library/windows/desktop/dd339603%28v=vs.85%29.aspx)

...
variant_t vtInterfaceName("Local Area Connection"), vtInterface;
...
// Retrieve Local Interface
pSa = SafeArrayCreateVector(VT_VARIANT, 0, 1);
if (!pSa)
_com_issue_error(E_OUTOFMEMORY);
else
{
hr = SafeArrayPutElement(pSa, &index, &vtInterfaceName);
if FAILED(hr)
_com_issue_error(hr);
vtInterface.vt = VT_ARRAY | VT_VARIANT;
vtInterface.parray = pSa;
}
...
pFwRule->put_Interfaces(vtInterface);
...

Вроде бы прям то, что нужно.....

Но почему эта настройка вообще нигде не доступна в оснастке управления firewall-ом??????
Может она криво работает??

Всё будет "костылями". »
Это блин похоже на какой-то онанизм... :(
Microsoft не поленилась реализовать искусственный интеллект типа этого: Network Location Awareness (NLA) and how it relates to Windows Firewall Profiles (http://blogs.technet.com/b/networking/archive/2010/09/08/network-location-awareness-nla-and-how-it-relates-to-windows-firewall-profiles.aspx), но поленилась сделать адекватную поддержку сетевых интерфейсов...
Бред какой-то.... Не пойму почему так.
Мне бы адекватно работающий под Windows NT 6.x x64 iptables или ipfw. И я бы был счастлив.