Брандмауэр Windows Advanced: что означает «обход краев»?

это должно быть действительно просто:

В Advanced брандмауэра Windows на Windows Server 2008+ , Свойства> Дополнительно, то , что делает " Грань Передачу " средний?

Я, конечно, гуглил и не смог найти конкретного ответа, и я был особенно потрясен, увидев следующее в блоге Томаса Шиндера :

Опция обхода Edge интересна, потому что она не очень хорошо документирована. Вот что говорит файл справки:

«Обход края» Указывает, включен ли обход края (Да) или отключен (Нет). При включенном обходе границы приложение, служба или порт, к которому применяется правило, является глобально адресуемым и доступным извне трансляции сетевых адресов (NAT) или пограничного устройства ».

Как вы думаете, что это может означать? Мы можем сделать сервисы доступными через устройство NAT, используя переадресацию портов на устройстве NAT перед сервером. Может ли это быть как-то связано с IPsec? Может ли это быть как-то связано с NAT-T? Может ли быть так, что автор файла справки для этой функции тоже не знал и придумал что-то, что представляло собой тавтологию?

Я не знаю, что это делает, но если я узнаю, я обязательно включу эту информацию в свой блог.

Я ценю его честность, но если этот парень не знает, кто знает ?!

У нас возникают проблемы с подключением к VPN, как только компьютер находится на другой стороне маршрутизатора, и мне было интересно, может ли это помочь? Поэтому я очень хочу услышать правильное описание того, что делает «Edge Traversal»!

Похоже, что эта заявка на патент Microsoft в начале этого года может рассказать вам, что вы хотите знать.

Насколько я могу судить, этот флаг позволяет правилам брандмауэра применяться к трафику, который был инкапсулирован, например, туннелем IPv6 в IPv4, происходящим за пределами сети. Как часто бывают патенты, этот написан таким общим образом, что он применим к любому другому типу протокола туннелирования, что я могу сказать.

Полезная нагрузка этого инкапсулированного трафика будет непрозрачной для любого брандмауэра в сети на другом конце туннеля. Предположительно, эти инкапсулированные пакеты будут передаваться через нефильтрованный на внутренний хост, где заканчивается другой конец туннеля. Этот хост будет принимать трафик, пропускать его через собственный брандмауэр, декапсулировать трафик (если это разрешено его собственным брандмауэром) и передавать декапсулированные пакеты обратно в свой брандмауэр. Когда пакет проходит через межсетевой экран второй раз (после декапсуляции), у него установлен бит «этот пакет прошел через край сети», так что к пакету будут применяться только правила с установленным битом «обход через край».

Рисунок 4 этой патентной заявки, по-видимому, описывает процесс графически, а раздел «Подробные описания», начинающийся на стр. 7, описывает процесс с мучительно конкретными подробностями.

Это в основном позволяет основанному на хосте брандмауэру иметь другие правила для трафика, который поступает через туннель через брандмауэр локальной сети, в отличие от трафика, который только что был отправлен без инкапсуляции туннелем непосредственно через брандмауэр локальной сети.

Интересно, будут ли функциональные возможности iptables "mark" предшествующим уровнем техники в этом патенте? Это, безусловно, кажется очень похожим, хотя и более общим способом (поскольку вы можете написать код пользовательской земли, чтобы «пометить» пакеты практически по любой причине, если хотите).

Старый пост, но все же стоит добавить в. Похоже, что в Windows Server 2012 этот элемент просто означает «разрешать пакеты из других подсетей». По крайней мере, такое поведение я наблюдал. У нас есть два офиса, связанных с IPSec VPN. VPN соединяет два маршрутизатора, поэтому для компьютеров Windows это просто трафик между двумя частными подсетями. При настройке «Блокировать обход границ» Windows не будет разрешать подключения из другой подсети.

Пограничный обход происходит всякий раз, когда у вас есть туннельный интерфейс, который идет в менее защищенную сеть, которая туннелируется через другой интерфейс, подключенный к более защищенной сети. Это означает, что хост обходит (туннелирует) одну из границ безопасности, установленных администратором локальной сети. Например, в любом туннеле к Интернету через физический интерфейс, подключенный к корпоративной сети, у вас есть «обходной путь».

В Windows 7 встроенную в Microsoft технологию обхода NAT, Teredo, можно настроить для работы через брандмауэр с использованием правил, использующих Edge Traversal. В принципе, сторонние технологии туннелирования NAT также могут это делать.