两台计算机之间没有信任和 NAT 时的防火墙“连接安全”
Sco*_*ain 5 firewall ipsec windows-server-2008-r2 windows-firewall
首先解释一下我的网络拓扑。
我有一个内部域和边缘网络域。两个域之间不存在信任(并且 IT 不允许在内部和边缘网络域之间建立单向信任)
当通过路由器时,它会将流量 NAT 传输到边缘网络。因此,所有流量dmzHost.edgeNetwork.local看到的不是源自其自己的子网的流量看起来都将具有192.168.10.10. 有趣的是,当连接到 10.0.0.0/8 子网中的计算机时,来自 192.168.10.0/24 子网的任何流量都不会被 NAT(我向 IT 发送了一封电子邮件,询问为什么会这样,因为我不明白NAT到边缘网络,而是从边缘网络的开放接入。我可以看到背后的原因10.x -> 192.x = NAT和192.x -> 10.x = Dropped connection,但事实上,他们允许通过混淆了连接我)
我想要做的是禁用任何授权计算机的防火墙,以便它可以进行远程管理。我尝试做的方法是
- 在 dmzHost 上,使用以下设置创建连接安全规则条目:
Endpoint 1设置为192.168.10.40通过192.168.10.49(这将是一个 GPO 推送到多台计算机)Endpoint 2被设定为Any IP address- 协议和端口设置为
Any - 身份验证要求设置为
Request inbound and outbound - 身份验证方法设置为
Advanced第一个身份验证方法设置为Preshared Key
- 在 lanPC 上,按照相同的设置执行:
- 设置
Endpoint 1为Any IP address - 设置
Endpoint 2为192.168.10.40通过192.168.10.49
- 设置
检查Main Mode并Quick Mode在安全关联下我可以看到已建立的连接。
Main Mode:
Local Address Remote Address 1st Authentication Method 2nd Authentication Method Encryption Integrity Key Exchange
192.168.10.40 192.168.10.10 Preshared key No authentication AES-CBC 128 SHA-1 Diffie-Hellman Group 2
Quick Mode:
Local Address Remote Address Local Port Remote Port Protocol AH Integrity ESP Integrity ESP Encryption
192.168.10.40 192.168.10.10 Any Any Any None SHA-1 None
现在,当我设置防火墙规则时,它就会中断。
我设置了防火墙规则以允许所有端口和所有程序,但是在Action我从更改Allow the connection为Allow the connection if it is secure然后在自定义下我将它设置为Allow the connection to use null encapsulation.
Name Group Profile Enabled Action Override Program Local Address Remote Address Protocol Local Port Remote Port Allowed Users Allowed Computers
Allow full access to any computer with PSK All No Secure (No encapsulation) No Any 192.168.10.40-192.168.10.49 Any Any Any Any Any Any
当我启用该设置时,我失去了到 192.168.10.40 的所有连接,该连接已被路由器 NAT,我必须连接到边缘网络中的另一台计算机并从那里远程连接以禁用防火墙规则。
我需要做什么lanPC.example.com才能对 进行远程管理(无需 RDP)dmzHost.edgeNetwork.local?
| 归档时间: |
|
| 查看次数: |
656 次 |
| 最近记录: |