На вкладке расширенного менеджера безопасности межсетевого экрана / входящих правил / свойств правила / области у вас есть два раздела для указания локальных IP-адресов и удаленных IP-адресов.
Что делает адрес локальным или удаленным и какое это имеет значение?
Этот вопрос довольно очевиден при нормальной настройке, но теперь, когда я настраиваю удаленный виртуализированный сервер, я не совсем уверен.
У меня есть физический хост с двумя интерфейсами. Физический хост использует интерфейс 1 с общедоступным IP-адресом. К виртуализированной машине подключен интерфейс 2 с публичным ip. У меня есть виртуальная подсеть между двумя - 192.168.123.0
Если при редактировании правила брандмауэра я помещаю 192.168.123.0/24 в область локального IP-адреса или в область удаленного IP-адреса, что Windows делает по-другому? Есть ли что-нибудь по-другому?
Причина, по которой я спрашиваю об этом, заключается в том, что у меня возникают проблемы с установлением связи домена между ними при активном брандмауэре. У меня большой опыт работы с брандмауэрами, поэтому я знаю, что хочу делать, но логика того, что здесь происходит, ускользает от меня, и эти правила утомительно редактировать одно за другим.
РЕДАКТИРОВАТЬ: В чем разница между этими двумя правилами:
где у меня есть порт LAN с ip 192.168.1.1, я думаю, нет разницы
Ян
Локальные IP-адреса относятся к IP-адресам адаптеров на самом сервере. Допустим, у вас есть многосетевой сервер с 192.168.0.2 и 10.10.10.10. Если вы укажете только 10.10.10.10, брандмауэр не будет считать правило совпадающим с трафиком, если вместо этого он достигнет 192.168.0.2.
Удаленные IP-адреса - это исходный IP-адрес, с которого пришел трафик. Если вы введете 20.20.20.20, то правило будет применяться только в том случае, если трафик пришел с этого IP-адреса.
В этом примере, если вы хотите заблокировать трафик аутентификации домена от адаптера с общедоступным IP-адресом, вы должны указать общедоступный IP-адрес (а) для локального IP-адреса и все удаленные IP-адреса для правила, запрещающего этот трафик.
Чтобы разрешить это для локального адаптера с IP-адресом, вы должны создать правило, которое определяет внутренний IP-адрес для локального, а затем диапазон IP-адресов, которые будут включать ваши контроллеры домена как удаленные, с разрешающим правилом.
Я могу ошибаться, но я думаю, что это может быть связано с безопасностью зоны, которую вы получаете, перейдя в Свойства обозревателя / Безопасность. Если вы поместите IP-адрес в область локальных адресов, он будет рассматривать его как находящийся в зоне надежных сайтов, в противном случае он будет рассматривать его как находящийся в зоне Интернета.