Jaka jest różnica między adresami lokalnymi i zdalnymi w adresie zapory ogniowej w 2008 r

15

W zaporze zaawansowanym menedżerze zabezpieczeń / zakładce Reguły przychodzące / właściwość reguły / zakres znajdują się dwie sekcje określające lokalne adresy ip i zdalne adresy ip.

Co sprawia, że ​​adres kwalifikuje się jako adres lokalny lub zdalny i jaką różnicę robi?

To pytanie jest dość oczywiste w przypadku normalnej konfiguracji, ale teraz, gdy konfiguruję zdalny zwirtualizowany serwer, nie jestem całkiem pewien.

Mam fizyczny host z dwoma interfejsami. Fizyczny host używa interfejsu 1 z publicznym adresem IP. Maszyna zwirtualizowana jest połączona z interfejsem 2 za pomocą publicznego adresu IP. Mam między nimi wirtualną podsieć - 192.168.123.0

Kiedy edytuję regułę zapory, jeśli umieszczę 192.168.123.0/24 w obszarze lokalnego adresu IP lub w obszarze zdalnego adresu IP, co Windows robi inaczej? Czy robi coś inaczej?

Powód, dla którego o to pytam, jest taki, że mam problemy z uruchomieniem komunikacji domeny między tymi dwoma z aktywną zaporą ogniową. Mam duże doświadczenie z firewallami, więc wiem, co chcę robić, ale logika tego, co się tutaj dzieje, wymyka mi się z głowy, a te zasady są nużące, aby edytować je jedna po drugiej.

EDYCJA: Jaka jest różnica między tymi dwiema zasadami:

  • Pozwól ruchowi z lokalnej podsieci 192.168.1.0/24 uzyskać dostęp do portów SMB
  • Pozwól ruchowi ze zdalnej podsieci 192.168.1.0/24 uzyskać dostęp do portów SMB

gdzie mam port LAN z IP 192.168.1.1. Myślę, że nie ma różnicy

Ian

Ian Murphy
źródło

Odpowiedzi:

7

Lokalne adresy IP odnoszą się do adresów IP adapterów na samym serwerze. Załóżmy, że masz serwer wieloadresowy z 192.168.0.2 i 10.10.10.10. Jeśli podasz tylko 10.10.10.10, zapora nie uzna reguły za pasującą do ruchu, jeśli zamiast tego osiągnie 192.168.0.2.

Zdalne adresy IP to źródłowy adres IP, z którego pochodzi ruch. Jeśli wprowadzisz 20.20.20.20, reguła będzie obowiązywała tylko wtedy, gdy ruch pochodzi z tego adresu IP.

W tym przykładzie, jeśli chcesz zablokować ruch związany z uwierzytelnianiem domeny z adaptera za pomocą publicznego adresu IP, podaj publiczne adresy IP dla lokalnego adresu IP i wszystkie zdalne adresy IP dla zestawu reguł, który będzie blokować ten ruch.

Aby zezwolić na to dla lokalnego adaptera IP, należy utworzyć regułę określającą wewnętrzny adres IP dla lokalnego, a następnie zakres adresów IP, który obejmowałby kontrolery domeny jako zdalne, z regułą zezwolenia.

Amargeson
źródło
1
Jaka jest różnica między tymi dwiema zasadami: - Zezwól na ruch z lokalnej podsieci 192.168.1.0/24 na dostęp do portów SMB - Zezwól na ruch ze zdalnej podsieci 192.168.1.0/24 na porty SMB, w których mam port LAN z adresem IP 192.168. 1.1 Myślę, że nie ma różnicy, ale ludzie opracowujący te rzeczy wiedzą, co robią i nie dodadzą bezsensownej funkcjonalności do karty zakresu. Dlaczego to tam jest?
Ian Murphy
-2

Mogę się mylić, ale myślę, że może to mieć związek z bezpieczeństwem strefy, które otrzymujesz po przejściu do opcji internetowych / bezpieczeństwa. Jeśli umieścisz adres IP w obszarze adresu lokalnego, potraktuje go jako znajdujący się w strefie Zaufanych witryn, w przeciwnym razie traktuje go jako strefę internetową.

heartlandcoder
źródło
Nie sądzę, że ma link do stref internetowych, ponieważ 1) Są koncepcją IE i nie musisz mieć zainstalowanej IE 2) Możesz mieć różne ustawienia dla każdego użytkownika. Jest tylko jedna baza reguł zapory, więc stosowanie reguł opartych na ustawieniach strefy dla kilku konfliktowych użytkowników byłoby niemożliwe. Coś podobnego przyszło mi do głowy, ale nie mogłem wymyślić żadnych pomysłów, które miałyby sens. Ian
Ian Murphy