Quelle est la différence entre les adresses locales et distantes en 2008 adresse de pare-feu

15

Dans le gestionnaire de sécurité avancé du pare-feu / règles entrantes / propriété de règle / onglet étendue, vous avez deux sections pour spécifier les adresses IP locales et les adresses IP distantes.

Qu'est-ce qui fait qu'une adresse est considérée comme une adresse locale ou distante et quelle différence cela fait-il?

Cette question est assez évidente avec une configuration normale, mais maintenant que je configure un serveur virtualisé distant, je ne suis pas tout à fait sûr.

Ce que j'ai, c'est un hôte physique avec deux interfaces. L'hôte physique utilise l'interface 1 avec une adresse IP publique. La machine virtualisée est connectée à l'interface 2 avec une adresse IP publique. J'ai un sous-réseau virtuel entre les deux - 192.168.123.0

Lors de la modification de la règle de pare-feu, si je place 192.168.123.0/24 dans la zone d'adresse IP locale ou la zone d'adresse IP distante, que fait Windows différemment? Cela fait-il quelque chose de différent?

La raison pour laquelle je pose cette question est que j'ai des problèmes pour que la communication de domaine fonctionne entre les deux avec le pare-feu actif. J'ai beaucoup d'expérience avec les pare-feu, donc je sais ce que je veux faire, mais la logique de ce qui se passe ici m'échappe et ces règles sont fastidieuses d'avoir à les éditer une par une.

EDIT: Quelle est la différence entre ces deux règles:

  • Permettre au trafic provenant du sous-réseau local 192.168.1.0/24 d'accéder aux ports SMB
  • Permettre au trafic provenant du sous-réseau distant 192.168.1.0/24 d'accéder aux ports SMB

où j'ai un port lan avec une ip de 192.168.1.1 je pense qu'il n'y a aucune différence

Ian

Ian Murphy
la source

Réponses:

7

Les adresses IP locales font référence aux adresses IP des adaptateurs sur le serveur lui-même. Disons que vous avez un serveur multi-hôte avec 192.168.0.2 et 10.10.10.10. Si vous spécifiez uniquement 10.10.10.10, le pare-feu ne considérera pas la règle comme correspondant au trafic s'il atteint 192.168.0.2 à la place.

Les adresses IP distantes sont l'adresse IP source d'où provient le trafic. Si vous entrez 20.20.20.20, la règle ne s'appliquera que si le trafic provient de cette adresse IP.

Dans cet exemple, si vous souhaitez bloquer le trafic d'authentification de domaine de l'adaptateur avec l'adresse IP publique, vous devez spécifier la ou les adresses IP publiques pour l'IP locale et toutes les adresses IP distantes pour l'ensemble de règles pour refuser ce trafic.

Pour l'autoriser pour l'adaptateur IP local, vous devez créer une règle qui spécifie l'adresse IP interne pour local, puis la plage d'adresses IP qui inclurait vos contrôleurs de domaine en tant que distant, avec une règle d'autorisation.

amargeson
la source
1
Quelle est la différence entre ces deux règles: - Laissez le trafic du sous-réseau local 192.168.1.0/24 accéder aux ports SMB - Laissez le trafic du sous-réseau distant 192.168.1.0/24 accéder aux ports SMB où j'ai un port lan avec une adresse IP de 192.168. 1.1 Je pense qu'il n'y a pas de différence, mais les personnes qui développent ces trucs savent ce qu'elles font et ne vont pas ajouter de fonctionnalités inutiles à l'onglet scope. ¿Pourquoi est-il là?
Ian Murphy
-2

Je peux me tromper, mais je pense que cela pourrait avoir à voir avec la sécurité de zone que vous obtenez en allant dans Options Internet / Sécurité. Si vous placez l'adresse IP dans la zone d'adresse locale, elle sera traitée comme étant dans la zone Sites de confiance, sinon elle la traitera comme étant dans la zone Internet.

heartlandcoder
la source
Je ne pense pas qu'il ait un lien vers les zones Internet car 1) Ils sont un concept IE et vous n'avez pas besoin d'avoir IE installé 2) Vous pouvez avoir des paramètres différents pour chaque utilisateur. Il n'y a qu'une seule base de règles de pare-feu, il serait donc impossible d'appliquer les règles basées sur les paramètres de zone pour plusieurs utilisateurs en conflit. Quelque chose de similaire m'est venu à l'esprit mais je n'ai pas pu trouver d'idées sensées. Ian
Ian Murphy