В чем разница между локальными и удаленными адресами в брандмауэре 2008 года?

15

На вкладке Диспетчер расширенной безопасности брандмауэра / Входящие правила / Свойство правила / Область действия у вас есть два раздела для указания локальных IP-адресов и удаленных IP-адресов.

Что делает адрес квалифицированным как локальный или удаленный, и какая разница?

Этот вопрос довольно очевиден при обычной настройке, но теперь, когда я настраиваю удаленный виртуальный сервер, я не совсем уверен.

У меня есть физический хост с двумя интерфейсами. Физический хост использует интерфейс 1 с публичным IP. К виртуализированной машине подключен интерфейс 2 с публичным ip. У меня есть виртуальная подсеть между ними - 192.168.123.0

При редактировании правила брандмауэра, если я помещаю 192.168.123.0/24 в локальную область IP-адресов или в область удаленных IP-адресов, что делает Windows по-другому? Это делает что-то по-другому?

Причина, по которой я спрашиваю об этом, заключается в том, что у меня возникают проблемы с установлением связи между доменами между двумя активными брандмауэрами. У меня большой опыт работы с брандмауэрами, поэтому я знаю, что я хочу сделать, но логика происходящего здесь ускользает от меня, и эти правила утомительны, когда приходится редактировать их по одному.

РЕДАКТИРОВАТЬ: В чем разница между этими двумя правилами:

  • Разрешить трафику из локальной подсети 192.168.1.0/24 доступ к портам SMB
  • Разрешить трафику из удаленной подсети 192.168.1.0/24 доступ к портам SMB

где у меня есть LAN-порт с IP-адресом 192.168.1.1 Я думаю, что нет никакой разницы

Ян

Ян Мерфи
источник

Ответы:

7

Локальные IP-адреса относятся к IP-адресам адаптеров на самом сервере. Допустим, у вас есть многосетевой сервер с 192.168.0.2 и 10.10.10.10. Если вы укажете только 10.10.10.10, брандмауэр не будет рассматривать правило как соответствующее трафику, если вместо этого он достигнет значения 192.168.0.2.

Удаленные IP-адреса - это IP-адреса источника, с которого поступил трафик. Если вы введете 20.20.20.20, то правило будет применяться только в том случае, если трафик поступил с этого IP-адреса.

В этом примере, если вы хотите заблокировать трафик проверки подлинности домена от адаптера с общедоступным IP-адресом, вы должны указать общедоступный IP-адрес (-ы) для локального IP-адреса и все удаленные IP-адреса для набора правил, запрещающего этот трафик.

Чтобы разрешить его для локального IP-адаптера, вы должны создать правило, которое указывает внутренний IP-адрес для локального, а затем диапазон IP-адресов, который будет включать ваши контроллеры домена как удаленные, с правилом allow.

amargeson
источник
1
В чем разница между этими двумя правилами: - Разрешить трафику из локальной подсети 192.168.1.0/24 доступ к портам SMB - Разрешить трафику из удаленной подсети 192.168.1.0/24 доступ к портам SMB, где у меня есть LAN-порт с IP-адресом 192.168. 1.1 Я думаю, что нет никакой разницы, но люди, разрабатывающие этот материал, знают, что они делают, и не собираются добавлять бессмысленную функциональность на вкладку «Область действия». ¿Почему это там?
Ян Мерфи
-2

Я могу ошибаться, но я думаю, что это может иметь отношение к безопасности зоны, которую вы получаете, перейдя в Свойства обозревателя / Безопасность. Если вы поместите IP-адрес в область локальных адресов, он будет обрабатываться как находящийся в зоне надежных сайтов, иначе он будет рассматриваться как находящийся в зоне Интернета.

heartlandcoder
источник
Я не думаю, что он имеет ссылку на интернет-зоны, так как 1) Они представляют собой концепцию IE, и вам не нужно устанавливать IE 2) У вас могут быть разные настройки для каждого пользователя. Существует только один набор правил брандмауэра, поэтому было бы невозможно применить правила, основанные на настройках зоны, для нескольких конфликтующих пользователей. Нечто подобное произошло со мной, но я не мог придумать идеи, которые имели смысл. Ян
Ян Мерфи