это должно быть очень просто:
В Расширенный брандмауэр Windows на Windows Server 2008+, Свойства> Дополнительно, что означает "Обход края" значит?
Я, конечно, погуглил и не смог найти конкретного ответа, и я был особенно шокирован, увидев следующее на Блог Томаса Шиндера:
Вариант обхода Edge интересен тем, что не очень хорошо документирован. Вот что говорится в файле справки:
«Обход кромки. Указывает, включен ли обход кромки (Да) или отключен (Нет). Когда включен пограничный обход, приложение, служба или порт, к которым применяется правило, имеют глобальную адресацию и доступны извне через преобразователь сетевых адресов (NAT) или граничное устройство ».
Как вы думаете, что это может значить? Мы можем сделать службы доступными через устройство NAT, используя переадресацию портов на устройстве NAT перед сервером. Может ли это иметь какое-то отношение к IPsec? Может это как-то связано с NAT-T? Может быть, составитель файла справки для этой функции тоже не знал и придумал что-то, представляющее тавтологию?
Я не знаю, что это делает, но если я узнаю, я обязательно включу эту информацию в свой блог.
Я ценю его честность, но если этот парень не знает, а кто знает ?!
У нас возникают проблемы с подключением к VPN, как только машина оказывается на другой стороне маршрутизатора, и мне было интересно, может ли это помочь? Так что я очень хочу услышать правильное описание того, что делает "Edge Traversal"!
Это выглядит так Подача патента Microsoft из ранее в этом году может сказать вам то, что вы хотите знать.
Насколько я могу судить, этот флаг позволяет применять правила брандмауэра к трафику, который был инкапсулирован, например, туннелем IPv6-IPv4, исходящим за пределами границы сети. Как часто бывает в патентах, этот написан в таком общем виде, что его можно применить к любому другому типу протокола туннелирования, насколько я могу судить.
Полезная нагрузка этого инкапсулированного трафика будет непрозрачна для любого брандмауэра в сети на другом конце туннеля. Предположительно, эти инкапсулированные пакеты будут проходить без фильтрации на внутренний хост, где завершается другой конец туннеля. Этот хост будет получать трафик, пропускать его через собственный брандмауэр, декапсулировать трафик (если это разрешено его собственным брандмауэром) и передавать декапсулированные пакеты обратно в свой брандмауэр. Когда пакет проходит через межсетевой экран во второй раз (после декапсуляции), у него установлен бит «этот пакет пересек границу сети», так что к пакету будут применяться только правила с установленным битом «обхода границы».
Рисунок 4 этой патентной заявки, кажется, описывает процесс графически, а раздел «Подробное описание», начинающийся на странице 7, описывает процесс в болезненно конкретных деталях.
Это в основном позволяет межсетевому экрану на основе хоста иметь разные правила для трафика, который поступает через туннель через межсетевой экран локальной сети, в отличие от трафика, который только что был отправлен неинкапсулированным туннелем напрямую через межсетевой экран локальной сети.
Интересно, будет ли функция iptables "mark" предшествовать этому патенту? Конечно, кажется, что он делает очень похожую вещь, хотя и в еще более общем виде (поскольку вы можете писать пользовательский код для «пометки» пакетов практически по любой причине, если хотите).
Старый пост, но все же стоит добавить. Похоже, что в Windows Server 2012 этот пункт просто означает «разрешить пакеты из других подсетей». По крайней мере, такое поведение я наблюдал. У нас есть два офиса, подключенных к IPSec VPN. VPN соединяет два маршрутизатора, так что для компьютеров Windows это просто трафик между двумя разными частными подсетями. С настройкой «Block Edge Traversal» Windows не будет разрешать подключения из другой подсети.
Обход границы происходит всякий раз, когда у вас есть туннельный интерфейс, который идет в менее защищенную сеть, которая туннелируется через другой интерфейс, подключенный к более безопасной сети. Это означает, что хост обходит (туннелируется) одну из границ безопасности, установленных администратором локальной сети. Например, с любым туннелем в Интернет через физический интерфейс, подключенный к корпоративной сети, у вас есть «обход границы».
В Windows 7 встроенную технологию обхода NAT от Microsoft, Teredo, можно настроить для работы через брандмауэр с использованием правил, использующих Edge Traversal. В принципе, сторонние технологии туннелирования NAT также могут делать то же самое.
Параметр Edge Traversal определяет, разрешен ли нежелательный трафик от Teredo (и, возможно, другого программного обеспечения для туннелирования). Документация для параметра сокета IPV6_PROTECTION_LEVEL объясняет это: https://docs.microsoft.com/en-us/windows/win32/winsock/ipv6-protection-level