В последнее время я смотрел на провайдеров VPN и заметил, что Vypyr VPN обеспечивает брандмауэр за дополнительную ежемесячную плату. На их странице брандмауэра написано следующее:
Когда вы подключаетесь к VyprVPN, вы проходите мимо беспроводного маршрутизатора и получаете собственное выделенное подключение к Интернету. Это соединение не является общим, поэтому ... незапрошенные входящие проверки больше не блокируются.
HMA - еще один провайдер, на которого я смотрел, и я заметил, что у них нет упоминания о межсетевом экране. Я снял их и отправил по электронной почте и получил следующий ответ:
VPN не обходит брандмауэр вашей ОС / маршрутизатора. И VPN тоже не действует как брандмауэр. Мы не предоставляем дополнительные услуги межсетевого экрана. Вам понадобится хороший антивирус / брандмауэр для предотвращения вредоносных программ и вторжений.
Так кто же прав? Обходят ли VPN-соединения межсетевые экраны маршрутизатора? Я только что неправильно прочитал сайт Vypyr?
По сути, VPN не обходят брандмауэры, они «туннелируют» через них. Позвольте мне попытаться объяснить это более подробно.
Когда ваш компьютер хочет получить контент, например, конкретную веб-страницу, он создает HTTP-запрос. Этот пакет превращается в пакет TCP, имя веб-сайта преобразуется в IP-адрес, а пакет TCP передается на уровень IP для маршрутизации. На основе IP-адреса и его таблиц маршрутизации IP-уровень решает, куда отправить пакет (маршрутизатор следующего перехода, который обычно является вашим шлюзом по умолчанию). Он оборачивает пакет TCP в дейтаграмму IP, помещает в него MAC-адрес маршрутизатора следующего перехода и передает его интерфейсу Ethernet, который передает весь пакет по сети.
Брандмауэры работают на уровне IP всего этого механизма (ну, обычно они работают). Ваш обычный маршрутизатор / шлюз / модем SOHO будет иметь брандмауэр, который разрешает исходящие соединения и любые обратные пакеты для них.
Что происходит, когда вы устанавливаете VPN-соединение? Клиент VPN создает соединение с сервером VPN в другом месте. Важная часть заключается в том, что затем он также изменяет ваши таблицы маршрутизации, что обычно приводит к тому, что уровень IP теперь направляет весь или часть вашего исходящего трафика в VPN-клиент, а не напрямую через интерфейс. Затем VPN-клиент упаковывает всю IP-дейтаграмму в другой TCP-пакет (и именно в этот момент исходный пакет становится фактически невидимым для IP-уровня), и этот пакет теперь отправляется на VPN-сервер (который разворачивает его и затем передает дальше. ).
В результате получается «туннель». Правила межсетевого экрана и маршрутизации, которые обычно применяются к пакету, «обходятся» путем проталкивания пакета через VPN-соединение. Это также означает, что если VPN-туннель обрабатывает ВСЕ ваш исходящий трафик, то любые механизмы защиты, которые применяются на маршрутизаторе SOHO, теперь неэффективны.
Надеюсь, это объясняет значение слова «обход» в данном контексте.
Для максимального лулза они обе неправильно - и оба правы.
VPN разрешит трафик, который в противном случае мог бы быть заблокирован средний брандмауэр пропускать просто потому, что трафик не похож на трафик, который правила брандмауэра предназначены для блокировки. Например, если брандмауэр настроен на блокировку всех входящих подключений, предназначенных для внутренней машины, этот трафик будет не блокироваться брандмауэром, если он инкапсулирован в VPN, по той простой причине, что трафик с точки зрения брандмауэра выглядит как трафик VPN.
С другой стороны, брандмауэр все еще может иметь правила, которые приводят к блокированию самого трафика VPN (независимо от того, какой трафик VPN является), если он настроен для этого (что означало бы, что ваш VPN не будет работать), поэтому вам нужно помнить о правилах вашего брандмауэра в этом отношении.
Кроме того, брандмауэры на оконечных точках VPN могут влиять на трафик, поскольку они могут видеть трафик, выходящий из туннеля VPN и превращающийся в обычный трафик. Я подозреваю, что служба брандмауэра Vypyr - это то, что фильтрует трафик, прежде чем он входит в VPN и перемещается к вашей конечной точке, экономя вам расходы на перенос этого трафика только для того, чтобы отбросить его на вашей стороне.
"не обходит брандмауэр вашего маршрутизатора". неверно, по крайней мере, для интуитивного понимания «обхода»: вы получаете сетевой интерфейс на вашем компьютере, который, кажется, напрямую подключен к их сети. Поэтому я бы подумал, что брандмауэр ОС применяется, но маршрутизатор не видит ни одного из пакетов. Выпр верны.