Was ist der Unterschied zwischen lokalen und Remote-Adressen in 2008 Firewall-Adresse


15

Auf der Registerkarte Erweiterte Firewall-Sicherheitsverwaltung / Eingehende Regeln / Regeleigenschaft / Bereich können Sie in zwei Abschnitten lokale IP-Adressen und Remote-IP-Adressen angeben.

Was macht eine Adresse als lokale oder entfernte Adresse aus und welchen Unterschied macht sie?

Diese Frage ist bei einem normalen Setup ziemlich offensichtlich, aber jetzt, da ich einen virtualisierten Remote-Server einrichte, bin ich mir nicht ganz sicher.

Was ich habe, ist ein physischer Host mit zwei Schnittstellen. Der physische Host verwendet die Schnittstelle 1 mit einer öffentlichen IP. Die virtualisierte Maschine ist Schnittstelle 2 mit einer öffentlichen IP verbunden. Ich habe ein virtuelles Subnetz zwischen den beiden - 192.168.123.0

Wenn ich beim Bearbeiten der Firewall-Regel 192.168.123.0/24 im lokalen IP-Adressbereich oder im Remote-IP-Adressbereich platziere, was macht Windows anders? Macht es etwas anders?

Der Grund, warum ich das frage, ist, dass ich Probleme habe, die Domänenkommunikation zwischen den beiden mit aktivierter Firewall zu erhalten. Ich habe viel Erfahrung mit Firewalls, also weiß ich, was ich tun möchte, aber die Logik dessen, was hier vor sich geht, entzieht sich mir und es ist mühsam, diese Regeln einzeln zu bearbeiten.

EDIT: Was ist der Unterschied zwischen diesen beiden Regeln:

  • Lassen Sie den Datenverkehr vom lokalen Subnetz 192.168.1.0/24 auf die SMB-Ports zugreifen
  • Lassen Sie den Datenverkehr vom Remote-Subnetz 192.168.1.0/24 auf die SMB-Ports zugreifen

wo ich einen lan port mit einer ip von 192.168.1.1 habe denke ich theres kein unterschied

Ian

Antworten:


7

Lokale IP-Adressen beziehen sich auf IP-Adressen von Adaptern auf dem Server. Angenommen, Sie haben einen Multihomed-Server mit 192.168.0.2 und 10.10.10.10. Wenn Sie nur 10.10.10.10 angeben, betrachtet die Firewall die Regel nicht als mit dem Datenverkehr übereinstimmend, wenn sie stattdessen 192.168.0.2 erreicht.

Remote-IP-Adressen sind die Quell-IP-Adresse, von der der Datenverkehr stammt. Wenn Sie 20.20.20.20 eingeben, gilt die Regel nur, wenn der Datenverkehr von dieser IP-Adresse stammt.

Wenn Sie in diesem Beispiel den Domänenauthentifizierungsdatenverkehr vom Adapter mit der öffentlichen IP-Adresse blockieren möchten, geben Sie die öffentliche (n) IP-Adresse (n) für die lokale IP-Adresse und alle Remote-IP-Adressen für den Regelsatz an, um diesen Datenverkehr zu verweigern.

Um dies für den lokalen IP-Adapter zuzulassen, erstellen Sie eine Regel, die die interne IP-Adresse für den lokalen Adapter und anschließend den Bereich der IP-Adressen angibt, zu denen Ihre Domänencontroller als Remotecontroller gehören, mit einer Zulassungsregel.


1
Was ist der Unterschied zwischen diesen beiden Regeln: - Lassen Sie den Verkehr vom lokalen Subnetz 192.168.1.0/24 auf die SMB-Ports zugreifen - Lassen Sie den Verkehr vom entfernten Subnetz 192.168.1.0/24 auf die SMB-Ports zugreifen, bei denen ich einen LAN-Port mit einer IP von 192.168 habe. 1.1 Ich denke, es gibt keinen Unterschied, aber die Leute, die dieses Zeug entwickeln, wissen, was sie tun, und werden der Registerkarte "Gültigkeitsbereich" keine sinnlose Funktionalität hinzufügen. Warum ist es dort?
Ian Murphy

-2

Ich könnte mich irren, aber ich denke, das hängt möglicherweise mit der Zonensicherheit zusammen, die Sie erhalten, wenn Sie zu Internetoptionen / Sicherheit gehen. Wenn Sie die IP-Adresse in den lokalen Adressbereich eingeben, wird sie als Zone für vertrauenswürdige Sites behandelt, andernfalls wird sie als Zone für das Internet behandelt.


Ich glaube nicht, dass es einen Link zu den Internetzonen gibt, da 1) sie ein IE-Konzept sind und kein IE installiert sein muss. 2) Sie können für jeden Benutzer verschiedene Einstellungen vornehmen. Es gibt nur eine Firewall-Regelbasis, sodass es unmöglich ist, die Regeln basierend auf den Zoneneinstellungen für mehrere Benutzer mit Konflikten anzuwenden. Mir ist etwas Ähnliches eingefallen, aber ich konnte mir keine sinnvollen Ideen einfallen lassen. Ian
Ian Murphy
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.