locked
Firewall и транзитный трафик RRS feed

  • Вопрос

  • Здравствуйте!

    Я правильно понимаю, что встроенный файервол не фильтрует транзитный трафик?
    Мне, в частности, не удалось с помощью него фильтровать трафик клиентов RRAS.
    Или я чего-то не докрутил?

    24 марта 2020 г. 12:38

Все ответы

  • по идее трафик rras идет через заранее определенный порт в зависимости от протокола и задачи, а далее он должен разруливаться через сам rras

    The opinion expressed by me is not an official position of Microsoft

    24 марта 2020 г. 12:44
    Модератор
  • расскажите пожалуйста подробнее:
    что Вы делаете?
    что Вы хотите добиться?
    что такое "транзитный" трафик?
    что у Вас использутеся в качестве роутера?
    где именно Вы пытаетесь фильтровать и как?
    24 марта 2020 г. 12:44
    Модератор
  • Понимаете правильно, via firewall вы фильтруете трафик на самом RRAS как конечнике при NAT, если вам надо фильтровать уже конечный трафик для пользователей, то используйте firewall на пользовательских машинах (сегменте).
    24 марта 2020 г. 13:01
  • что Вы делаете?
    Удаленный доступ на базе роли Remote Access

    что Вы хотите добиться?
    Контроля над трафиком удалённых клиентов. Например, ограничить доступ удалённых клиентов в локальную сеть определенным набором протокол-адрес-порт

    что такое "транзитный" трафик?
    Трафик, не адресованный RAS серверу, но проходящий через него. Например трафик между клиентом RAS и сервером в локальной сети.

    что у Вас используется в качестве роутера?
    Не понял вопроса, много чего. Возможно, в контексте обсуждения это RAS.

    где именно Вы пытаетесь фильтровать и как?
    На RAS посредством правил встроенного файервола.

    Я в курсе, что добиться нужного мне результата можно настройкой фильтрации в свойствах интерфейсов в оснастке управления RRAS, но это неудобно и нет логирования дропнутых пакетов.
    • Изменено Aluminic 24 марта 2020 г. 13:02
    24 марта 2020 г. 13:02
  • что Вы хотите добиться?
    Контроля над трафиком удалённых клиентов. Например, ограничить доступ удалённых клиентов в локальную сеть определенным набором протокол-адрес-порт

    Какой VPN Вы используете? L2TP, IKEv2 или SSTP?
    Используете ли Вы сервер сетевых политик NPS?

    На NPS можно настраивать политики, кому куда можно, но только по IP. Например, членам "такой-то группы" можно на этот IP или сеть.

    Файервол же для этого не предназначен, только если его настраивать на сами ресурсах, например, клиентам из VPN сети доступ запретить.

    но это неудобно и нет логирования дропнутых пакетов
    чтобы логировать фаервол, нужно это логирование включить.
    24 марта 2020 г. 13:23
    Модератор
  • При чем тут NAT?
    24 марта 2020 г. 13:32
  • что у Вас используется в качестве роутера?
    Не понял вопроса, много чего. Возможно, в контексте обсуждения это RAS

    При чем тут NAT?
    Какое оборудование или программыный комплекс у Вас используется для доступа в интернет? Но на нём то как раз и настроен NAT. При чём он тут - пока не знаем.
    24 марта 2020 г. 13:37
    Модератор
  • Как-то у вас перепутались вопросы и ответы.
    Я отвечал не вам, а Alexey Klimenko
    24 марта 2020 г. 13:49
  • Файервол же для этого не предназначен

    А можете дать пруф, в котором написано, что файервол не обрабатывает транзитный трафик? Я два дня искал, прежде чем сюда писать.

    но это неудобно и нет логирования дропнутых пакетов

    чтобы логировать фаервол, нужно это логирование включить.
    А мужики-то и не знают...)
    Речь о том, что трафик, отфильтрованный правилами в настройках интерфейса оснастки RRAS, в логах  файервола не отображается в принципе.
    24 марта 2020 г. 14:08

  • Речь о том, что трафик, отфильтрованный правилами в настройках интерфейса оснастки RRAS, в логах  файервола не отображается в принципе.

    фаервол стоит на границе интерфейса, а rras установлен за интерфейсом

    в таком случае вы можете фильтровать на фаерволе только исходящий от rras трафик, но не входящий

    исходящий же трафик по умолчанию на windows машинах разрешен, а блокируется только входящий


    The opinion expressed by me is not an official position of Microsoft


    24 марта 2020 г. 14:58
    Модератор
  • Не NAT, а RRAS имелся в виду - там опечатка. Пруф вы навряд ли в RTFM найдете, это как для примера опубликованный сервис на WAP непосредственно не фильтрует клиентский траффик via firewall, а пробрасывает его на ADFS и т.п.

    Вы на своём примере это и подтвердили.

    24 марта 2020 г. 15:22
  • фаервол стоит на границе интерфейса, а rras установлен за интерфейсом

    в таком случае вы можете фильтровать на фаерволе только исходящий от rras трафик, но не входящий

    Это, извините, какая-то ерунда. RAS интерфейс для файерфола - это такой же интерфейс, как и физические, см. картинку

    исходящий же трафик по умолчанию на windows машинах разрешен, а блокируется только входящий

    Я в курсе

    24 марта 2020 г. 15:26
  • ок это интерфейс на котором вы можете ограничить пакеты идущие к серверу rras, но если они (пакеты) уже прошли через этот интерфес и дошли до vpn сервера, то кто их должен дальше фильтровать?

    Слева входной траффик из интернета который запакован и в качестве точки назначения имеет адрес RRAS суервера и VPN порт, если на фаерволе этот траффик будет закрыть то VPN не будет работать. При этом когда пакет попадает на сервер он на нем декапсулируется и сервер узнает что дальше с этим пакетом делать. На картинке пример с рдп - пакет отсылается на сервер в сети на порт 3389

    Поэтому входящий фаервол это не про вас, но у вас остается исходящий


    The opinion expressed by me is not an official position of Microsoft

    24 марта 2020 г. 15:29
    Модератор
  • Видите ли, какая штука.
    Всякие извращенцы портируют юниксовые приблуды типа ipfw на виндовс, и с помощью них транзитный трафик вполне фильтруется.
    Причем, это всего лишь надстройки над родным драйвером файервола виндовс.

    В свое время я успешно решал описанную мной задачу на RRAS под Windows 2003 с помощью wipfw http://wipfw.sourceforge.net/index-ru.html.

    Но, к сожалению, проект помер, и для х64 остался только глюковатый dummynet http://info.iet.unipi.it/~luigi/dummynet/, который, хотя и фильтрует транзитный трафик, но логи не пишет, падла.

    Т.е. еще раз, я хочу сказать, что фильтрация транзитного трафика родным драйвером возможна, но на уровне управления родными средствами это, видимо, не реализовано.
    Или реализовано, но я не знаю, что для этого нужно покрутить.

    24 марта 2020 г. 15:40
  • Т.е. еще раз, я хочу сказать, что фильтрация транзитного трафика родным драйвером возможна, но на уровне управления родными средствами это, видимо, не реализовано.  Или реализовано, но я не знаю, что для этого нужно покрутить.

    Вы правы. Кто-то ставит на сервера всякие "трафик-инспекторы" и управляет трафиком. Можно ли это делать встроенным фаерволом - вряд ли. Когда-то у МС был ISA\TMG - там скорее всего можно было.
    24 марта 2020 г. 15:43
    Модератор
  • перечитайте ответ выше, я там картинку изобразил

    фаервол может фильтровать этот трафик просто стоит понимать как пакеты трансформируются во времени и пространстве.

    если вы поставите приблуду на сервер и прогоните через нее декапсулированный трафик у вас конечно же получится его отфильтровать. А вот с енкапсулированым увы. ковыряйте мсходящий фаервол на вашем серваке или настраивайте коиентов

    * f out на картинке по умолчанию пропускает все


    The opinion expressed by me is not an official position of Microsoft

    24 марта 2020 г. 15:46
    Модератор
  • Через локальный интерфейс RRAS сервера от клиентов в локальную сеть проходит транзитом декапсулированный трафик.
    Картинка ваша тут, уж извините, вообще никаким боком.
    24 марта 2020 г. 15:51

  • Поэтому входящий фаервол это не про вас, но у вас остается исходящий

    Это было бы замечательно, но для танзитного трафика правила не работают, о чем я и писал изначально.
    24 марта 2020 г. 16:07
  • Через локальный интерфейс RRAS сервера от клиентов в локальную сеть проходит транзитом декапсулированный трафик.
    Картинка ваша тут, уж извините, вообще никаким боком.

    покажите dst.ip на этом интерфейсе

    wireshark в этом может помочь


    The opinion expressed by me is not an official position of Microsoft


    24 марта 2020 г. 17:04
    Модератор
  • Складывается впечатление, что народ не очень понимает, о чем я толкую, поэтому нарисовал картинку для примера.

    Сервер RRAS одной ногой в интернете, другой - в локальной сети 192.168.0.0/24.
    Удалённым клиентам сервер выдает адреса из статического пула 10.0.0.0/24.
    Все прекрасно понимают, что между клиентами и локальной сетью через RAS и Private-интерфейсы VPN-сервера ходит декапсулированный трафик.
    Задача, например, ограничить удалённым клиентам 10.0.0.0/24 доступ к хостам в локальной сети 192.168.0.0/24 только протоколом RDP.
    Для RRAS это транзитный трафик, если что.
    Задача решается штатными средствами созданием в оснастке RRAS в свойствах Private-интерфейса правил в Inbound/Outbound Filters.
    Это, во-первых, неудобно, во-вторых, затруднена диагностика в более сложных случаях из-за того, что нет возможности организовать запись в лог отброшенных пакетов.
    Сделана попытка использовать для этих целей штатный виндовый файервол, для чего в свойствах файервола во всех профилях для всех интерфейсов для Inbound и Outbound connection выбраны настройки Block, и создано единственное разрешающее Inbound Rule для прохождения UDP 1701 на публичный адрес сервера, поскольку этого достаточно для установления L2TP/IPsec VPN-соединения из интернета.
    Эти настройки, однако, совершенно не мешают беспрепятственному прохождению трафика от VPN-клиентов (10.0.0.0/24) в LAN (192.168.0.0/24), из чего сделан вывод, что виндовый файервол не обрабатывает транзитный трафик.
    Поиск информации по этому вопросу в интернете ничего не дал, поэтому и решил уточнить в конференции этот вопрос, в частности, не надо ли чего покрутить, чтобы файервол начал обрабатывать транзитный трафик.
    Извините за много букв.


    • Изменено Aluminic 25 марта 2020 г. 8:43
    25 марта 2020 г. 8:42
  • описал ситуацию ответом на свой изначальный вопрос
    25 марта 2020 г. 8:45
  • Картинка ваша тут, уж извините, вообще никаким боком.
    как раз-таки "боком". Трафик пришедший на сервер вначале обрабатывает фаервол и только после этого он становится транзитным, но фаервол его уже пропустил - всё. Чтобы фаервол обратотал его ещё раз - его надо ещё раз завернуть на фаервол. Возможно, это и делают другие фаерволы типа iptables и программы для управления трафиком.
    28 марта 2020 г. 7:27
    Модератор
  • Картинка ваша тут, уж извините, вообще никаким боком.

    как раз-таки "боком". Трафик пришедший на сервер вначале обрабатывает фаервол и только после этого он становится транзитным, но фаервол его уже пропустил - всё. Чтобы фаервол обратотал его ещё раз - его надо ещё раз завернуть на фаервол. Возможно, это и делают другие фаерволы типа iptables и программы для управления трафиком.
    Ну тогда расскажите мне, каким образом файервол обрабатывант трафик на интерфейсе RAS (Dial In) Interface, скриншотик я сюда выкладывал.
    По вашей логике он этого делать не может.
    28 марта 2020 г. 7:57

  • Ну тогда расскажите мне, каким образом файервол обрабатывант трафик на интерфейсе RAS (Dial In) Interface, скриншотик я сюда выкладывал.
    По вашей логике он этого делать не может.
    ещё раз: входящий трафик на интерфейсе Dial-in - не транзитный!
    28 марта 2020 г. 8:06
    Модератор

  • Ну тогда расскажите мне, каким образом файервол обрабатывант трафик на интерфейсе RAS (Dial In) Interface, скриншотик я сюда выкладывал.
    По вашей логике он этого делать не может.

    ещё раз: входящий трафик на интерфейсе Dial-in - не транзитный!
    Трафик на Dial-in интерфейсе может быт транзитный, может быть нетранзитный.
    Ладно, продолжать смысла нет.
    28 марта 2020 г. 8:24
  • Ну тогда расскажите мне, каким образом файервол обрабатывант трафик на интерфейсе RAS (Dial In) Interface, скриншотик я сюда выкладывал.
    По вашей логике он этого делать не может.

    ещё раз: входящий трафик на интерфейсе Dial-in - не транзитный!

    Трафик на Dial-in интерфейсе может быт транзитный, может быть нетранзитный.
    может и может, но контретно Ваш - нетразитный.
    Ладно, продолжать смысла нет.
    Вы уже давно получили ответ на свой вопрос...
    28 марта 2020 г. 8:26
    Модератор
  • может и может, но контретно Ваш - нетразитный.

    конкретно "мой" - транзитный. Посмотрите мое сообщение в этом обсуждении от 25 марта 2020 8:43 (извиняюсь, время три раза неправильно указал)
    Ладно, продолжать смысла нет.

    Вы уже давно получили ответ на свой вопрос...
    Эт точно. Исключительно практическим опытом )


    • Изменено Aluminic 28 марта 2020 г. 8:43
    28 марта 2020 г. 8:36
  • конкретно "мой" - транзитный.
    Да, я понял, что RDP трафик на сервера транзитный. Его виндовый фаервол не обрабатывает. См. выше.
    Вы уже давно получили ответ на свой вопрос...

    Эт точно. Исключительно практическим опытом )

    ответ был дан раньше практического опыта:

    24 марта 2020 г. 13:01
    Понимаете правильно, through firewall вы фильтруете трафик на самом RRAS как конечнике при NAT, если вам надо фильтровать уже конечный трафик для пользователей, то используйте firewall на пользовательских машинах (сегменте).

    24 марта 2020 г. 13:23
    На NPS можно настраивать политики, кому куда можно, но только по IP. Например, членам "такой-то группы" можно на этот IP или сеть.

    24 марта 2020 г. 15:43
    Вы правы. Кто-то ставит на сервера всякие "трафик-инспекторы" и управляет трафиком. Можно ли это делать встроенным фаерволом - вряд ли. Когда-то у МС был ISA\TMG - там скорее всего можно было.


    28 марта 2020 г. 8:51
    Модератор
  • ответ был дан раньше практического опыта:

    24 марта 2020 г. 13:01
    Понимаете правильно, through firewall вы фильтруете трафик на самом RRAS как конечнике при NAT, если вам надо фильтровать уже конечный трафик для пользователей, то используйте firewall на пользовательских машинах (сегменте).

    24 марта 2020 г. 13:23
    На NPS можно настраивать политики, кому куда можно, но только по IP. Например, членам "такой-то группы" можно на этот IP или сеть.

    24 марта 2020 г. 15:43
    Вы правы. Кто-то ставит на сервера всякие "трафик-инспекторы" и управляет трафиком. Можно ли это делать встроенным фаерволом - вряд ли. Когда-то у МС был ISA\TMG - там скорее всего можно было.


    Да уж, одно "through firewall вы фильтруете трафик на самом RRAS как конечнике при NAT" чего стоит ))

    По делу никто ничего путного не сказал.
    Закрываем.

    28 марта 2020 г. 9:05
  • Да уж, одно "through firewall вы фильтруете трафик на самом RRAS как конечнике при NAT" чего стоит ))

    По делу никто ничего путного не сказал.
    Закрываем.

    Если Вы не поняли, что там написано, то это не значит, что сказанное "непутное".
    28 марта 2020 г. 9:15
    Модератор
  • коллеги, мы высказались, автор вопроса не согласен со сказанным в связи с чем правильные (на мой взгляд) ответы отмечены не будут

    тема перешла в разряд неконструктивного обсуждения и будет закрыта для прекращения дальнейшего флуда.


    The opinion expressed by me is not an official position of Microsoft

    28 марта 2020 г. 9:20
    Модератор