Apa perbedaan antara alamat lokal dan jarak jauh pada alamat firewall 2008

15

Di firewall manajer keamanan tingkat lanjut / Aturan masuk / aturan properti / lingkup Anda memiliki dua bagian untuk menentukan alamat ip lokal dan alamat ip jarak jauh.

Apa yang membuat alamat memenuhi syarat sebagai alamat lokal atau jarak jauh dan apa bedanya?

Pertanyaan ini cukup jelas dengan pengaturan normal, tetapi sekarang saya sedang membuat server virtual terasing saya tidak yakin.

Apa yang saya dapatkan adalah host fisik dengan dua antarmuka. Host fisik menggunakan antarmuka 1 dengan IP publik. Mesin tervirtualisasi terhubung antarmuka 2 dengan ip publik. Saya memiliki subnet virtual antara keduanya - 192.168.123.0

Saat mengedit aturan firewall, jika saya menempatkan 192.168.123.0/24 di area alamat ip lokal atau area alamat ip jarak jauh, apa bedanya windows? Apakah itu melakukan sesuatu yang berbeda?

Alasan saya bertanya ini adalah bahwa saya mengalami masalah dalam membuat komunikasi domain berfungsi antara keduanya dengan firewall aktif. Saya memiliki banyak pengalaman dengan firewall, jadi saya tahu apa yang ingin saya lakukan, tetapi logika dari apa yang terjadi di sini lolos dari saya dan aturan-aturan ini membosankan harus diedit satu per satu.

EDIT: Apa perbedaan antara kedua aturan ini:

  • Biarkan lalu lintas dari subnet lokal 192.168.1.0/24 mengakses port SMB
  • Biarkan lalu lintas dari subnet jarak jauh 192.168.1.0/24 mengakses port SMB

di mana saya memiliki port lan dengan ip 192.168.1.1 Saya pikir tidak ada perbedaan

Ian

Ian Murphy
sumber

Jawaban:

7

Alamat IP lokal mengacu pada alamat IP adapter di server itu sendiri. Katakanlah Anda memiliki server multihomed dengan 192.168.0.2 dan 10.10.10.10. Jika Anda hanya menetapkan 10.10.10.10, firewall tidak akan menganggap aturan tersebut cocok dengan lalu lintas jika itu memukul 192.168.0.2.

Alamat IP jarak jauh adalah alamat IP sumber dari mana lalu lintas berasal. Jika Anda memasukkan 20.20.20.20, maka aturan hanya akan berlaku jika lalu lintas berasal dari alamat IP itu.

Dalam contoh ini, jika Anda ingin memblokir lalu lintas otentikasi domain dari adaptor dengan alamat IP publik, Anda akan menentukan alamat IP publik untuk IP lokal, dan semua IP jarak jauh untuk aturan yang ditetapkan untuk menolak lalu lintas ini.

Untuk mengizinkannya untuk adaptor IP lokal, Anda akan membuat aturan yang menentukan alamat IP internal untuk lokal, dan kemudian kisaran alamat IP yang akan menyertakan pengontrol domain Anda sebagai jarak jauh, dengan aturan perbolehkan.

amargeson
sumber
1
Apa perbedaan antara kedua aturan ini: - Biarkan lalu lintas dari subnet lokal 192.168.1.0/24 mengakses port SMB - Biarkan lalu lintas dari subnet jarak jauh 192.168.1.0/24 mengakses port SMB di mana saya memiliki port lan dengan ip 192.168. 1.1 Saya pikir tidak ada perbedaan, tetapi orang-orang yang mengembangkan hal ini tahu apa yang mereka lakukan dan tidak akan menambahkan fungsi yang tidak berguna ke tab lingkup. ¿Kenapa ada di sana?
Ian Murphy
-2

Saya bisa saja salah tapi saya pikir itu mungkin ada hubungannya dengan keamanan zona yang Anda dapatkan dari pergi ke Opsi Internet / Keamanan. Jika Anda memasukkan alamat IP di area alamat lokal itu akan memperlakukannya sebagai berada di zona Situs Tepercaya atau memperlakukannya sebagai berada di zona Internet.

heartlandcoder
sumber
Saya tidak berpikir itu memiliki tautan ke zona internet sebagai 1) Mereka adalah konsep IE dan Anda tidak perlu menginstal IE 2) Anda dapat memiliki pengaturan yang berbeda untuk setiap pengguna. Hanya ada satu aturan firewall sehingga tidak mungkin untuk menerapkan aturan berdasarkan pengaturan zona untuk beberapa pengguna yang saling bertentangan. Sesuatu yang serupa memang terjadi pada saya, tetapi saya tidak dapat menemukan ide yang masuk akal. Ian
Ian Murphy