Sự khác biệt giữa địa chỉ cục bộ và địa chỉ từ xa trong địa chỉ tường lửa 2008

15

Trong tường lửa trình quản lý bảo mật nâng cao / tab quy tắc / thuộc tính quy tắc / tab phạm vi, bạn có hai phần để chỉ định địa chỉ IP cục bộ và địa chỉ IP từ xa.

Điều gì làm cho một địa chỉ đủ điều kiện là một địa chỉ địa phương hoặc từ xa và nó tạo ra sự khác biệt gì?

Câu hỏi này khá rõ ràng với một thiết lập bình thường, nhưng bây giờ tôi đang thiết lập một máy chủ ảo hóa từ xa, tôi không chắc lắm.

Những gì tôi đã nhận là một máy chủ vật lý với hai giao diện. Máy chủ vật lý sử dụng giao diện 1 với IP công cộng. Máy ảo hóa được kết nối giao diện 2 với một ip công cộng. Tôi có một mạng con ảo giữa hai - 192.168.123.0

Khi chỉnh sửa quy tắc tường lửa, nếu tôi đặt 192.168.123.0/24 trong khu vực địa chỉ IP cục bộ hoặc khu vực địa chỉ IP từ xa thì windows sẽ làm gì khác? Nó có làm gì khác không?

Lý do tôi hỏi điều này là vì tôi gặp vấn đề khi giao tiếp tên miền hoạt động giữa hai bên với tường lửa hoạt động. Tôi có nhiều kinh nghiệm với tường lửa nên tôi biết tôi muốn làm gì, nhưng logic của những gì đang diễn ra ở đây thoát khỏi tôi và những quy tắc này thật tẻ nhạt khi phải chỉnh sửa từng cái một.

EDIT: Sự khác biệt giữa hai quy tắc này là gì:

  • Cho phép lưu lượng truy cập từ mạng con cục bộ 192.168.1.0/24 truy cập vào các cổng SMB
  • Cho phép lưu lượng truy cập từ mạng con từ xa 192.168.1.0/24 truy cập vào các cổng SMB

nơi tôi có một cổng lan với ip 192.168.1.1 tôi nghĩ không có sự khác biệt

Ian

windows-server-2008  security  windows-firewall 
Ian Murphy
nguồn

Câu trả lời:

7

Địa chỉ IP cục bộ đang đề cập đến địa chỉ IP của bộ điều hợp trên chính máy chủ. Giả sử bạn có một máy chủ đa biến với 192.168.0.2 và 10.10.10.10. Nếu bạn chỉ định 10.10.10.10, tường lửa sẽ không coi quy tắc là khớp với lưu lượng nếu thay vào đó là 192.168.0.2.

Địa chỉ IP từ xa là địa chỉ IP nguồn mà lưu lượng truy cập đến từ đó. Nếu bạn đặt vào 20.20.20.20, thì quy tắc sẽ chỉ áp dụng nếu lưu lượng truy cập đến từ địa chỉ IP đó.

Trong ví dụ này, nếu bạn muốn chặn lưu lượng xác thực tên miền khỏi bộ điều hợp bằng địa chỉ IP công cộng, bạn sẽ chỉ định (các) địa chỉ IP công cộng cho IP cục bộ và tất cả IP từ xa cho quy tắc được đặt để từ chối lưu lượng này.

Để cho phép nó cho bộ điều hợp IP cục bộ, bạn sẽ đưa ra quy tắc chỉ định địa chỉ IP bên trong cho cục bộ và sau đó là dải địa chỉ IP sẽ bao gồm bộ điều khiển miền của bạn dưới dạng từ xa, với quy tắc cho phép.

amargeson
nguồn
1
Sự khác biệt giữa hai quy tắc này: - Cho phép lưu lượng truy cập từ mạng con cục bộ 192.168.1.0/24 truy cập vào các cổng SMB - Cho phép lưu lượng truy cập từ mạng con từ xa 192.168.1.0/24 truy cập vào các cổng SMB nơi tôi có cổng lan với ip là 192.168. 1.1 Tôi nghĩ không có gì khác biệt, nhưng những người phát triển công cụ này biết họ đang làm gì và sẽ không thêm chức năng vô nghĩa vào tab phạm vi. Tại sao nó ở đó?
Ian Murphy
-2

Tôi có thể sai nhưng tôi nghĩ nó có thể liên quan đến bảo mật khu vực mà bạn có được khi truy cập Internet Options / Security. Nếu bạn đặt địa chỉ IP trong khu vực địa chỉ cục bộ, nó sẽ coi địa chỉ đó là trong khu vực Trang web đáng tin cậy nếu không nó sẽ coi địa chỉ đó là trong khu vực Internet.

heartlandcoder
nguồn
Tôi không nghĩ rằng nó có liên kết đến các vùng internet là 1) Chúng là một khái niệm IE và bạn không cần cài đặt IE 2) Bạn có thể có các cài đặt khác nhau cho mỗi người dùng. Chỉ có một quy tắc tường lửa nên không thể áp dụng quy tắc dựa trên cài đặt vùng cho một số người dùng xung đột. Một cái gì đó tương tự đã xảy ra với tôi nhưng tôi không thể đưa ra bất kỳ ý tưởng nào có ý nghĩa. Ian
Ian Murphy
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.