Яка різниця між локальними та віддаленими адресами в адресі брандмауера 2008 року

15

На вкладці розширеного менеджера захисту / вхідних правил / властивості правила / області вкладки у вас є два розділи, щоб вказати локальні ip-адреси та віддалені ip-адреси.

Що робить адресу кваліфікованою як локальна або віддалена адреса та яку різницю вона має?

Це питання є досить очевидним при звичайному налаштуванні, але тепер, коли я налаштовую віддалений віртуалізований сервер, я не зовсім впевнений.

У мене є фізичний хост з двома інтерфейсами. Фізичний хост використовує інтерфейс 1 з відкритим IP-адресою. Віртуалізована машина з'єднана інтерфейсом 2 з відкритим ip. У мене віртуальна підмережа між ними - 192.168.123.0

Під час редагування правила брандмауера, якщо я розміщую 192.168.123.0/24 в локальній області ip-адреси або віддаленій області ip-адреси, що Windows робить інакше? Чи робить це щось інакше?

Причиною цього я є те, що у мене виникають проблеми з тим, щоб комунікація домену працювала між ними з брандмауером. У мене є багато досвіду роботи з брандмауерами, тому я знаю, що хочу зробити, але логіка того, що відбувається тут, уникає мене, і ці правила нудні, щоб редагувати по черзі.

EDIT: Яка різниця між цими двома правилами:

  • Нехай трафік з локальної підмережі 192.168.1.0/24 має доступ до портів SMB
  • Нехай трафік із віддаленої підмережі 192.168.1.0/24 має доступ до портів SMB

де у мене є порт LAN з ip 192.168.1.1, я думаю, немає різниці

Ян

windows-server-2008  security  windows-firewall 
Ян Мерфі
джерело

Відповіді:

7

Локальні IP-адреси посилаються на IP-адреси адаптерів на самому сервері. Скажімо, у вас багатоходовий сервер із 192.168.0.2 та 10.10.10.10. Якщо вказати лише 10.10.10.10, брандмауер не буде вважати правило відповідним трафіку, якщо він замість нього потрапляє на 192.168.0.2.

Віддалені IP-адреси - це вихідна IP-адреса, з якої прийшов трафік. Якщо ви введете 20.20.20.20, це правило застосовуватиметься лише в тому випадку, якщо трафік прийшов з цієї IP-адреси.

У цьому прикладі, якщо ви хочете заблокувати трафік автентифікації домену з адаптера з загальнодоступною IP-адресою, ви б вказали загальнодоступні IP-адреси для локального IP, а всі віддалені IP-адреси для правила, встановленого для заборони цього трафіку.

Щоб дозволити його для локального адаптера IP'ed, ви створите правило, яке визначає внутрішню IP-адресу для локальних, а потім діапазон IP-адрес, які включатимуть ваші контролери домену як віддалені, з дозволеним правилом.

amargeson
джерело
1
Яка різниця між цими двома правилами: - Нехай трафік з локальної підмережі 192.168.1.0/24 має доступ до портів SMB - Нехай трафік із віддаленої підмережі 192.168.1.0/24 отримує доступ до портів SMB, де у мене є LAN-порт з ip 192.168. 1.1 Я думаю, що немає різниці, але люди, що розробляють цей матеріал, знають, що вони роблять, і не збираються додавати безглузду функціональність на вкладку сфери. ¿Чому саме там?
Ян Мерфі
-2

Я можу помилитися, але я думаю, що це може стосуватися безпеки зони, яку ви отримуєте від переходу до Internet Options / Security. Якщо ви введете IP-адресу в місцеву адресу, вона вважатиме, що вона знаходиться в зоні довірених сайтів, інакше вона вважатиме, що вона знаходиться в зоні Інтернету.

heartlandcoder
джерело
Я не думаю, що він має посилання на Інтернет-зони як 1) Вони є концепцією IE і вам не потрібно встановлювати IE 2) Ви можете мати різні налаштування для кожного користувача. Існує лише одна база даних брандмауера, тому неможливо застосувати правила на основі параметрів зони для кількох конфліктуючих користувачів. Щось подібне зі мною траплялося, але я не міг придумати жодної ідеї, яка мала сенс. Ian
Ian Murphy
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.