Windows उन्नत फ़ायरवॉल: "एज ट्रैवर्सल" का क्या अर्थ है?

21

यह वास्तव में सरल होना चाहिए:

में उन्नत Windows फ़ायरवॉल पर विंडोज सर्वर 2008 + , गुण> उन्नत, क्या "करता है एज Traversal " मतलब?

मैंने इसे निस्संदेह, और एक ठोस जवाब के साथ आने में असमर्थ था, और थॉमस शिंडर के ब्लॉग पर निम्नलिखित को देखकर मैं विशेष रूप से हैरान था :

एज ट्रैवर्सल विकल्प एक दिलचस्प है, क्योंकि यह बहुत अच्छी तरह से प्रलेखित नहीं है। यहाँ हेल्प फ़ाइल क्या कहती है:

“एज ट्रैवर्सल यह इंगित करता है कि एज ट्रैवर्सल सक्षम है (हाँ) या अक्षम (नहीं)। जब एज ट्रैवर्सल को सक्षम किया जाता है, तो अनुप्रयोग, सेवा, या पोर्ट जिस पर नियम लागू होता है, विश्व स्तर पर पता योग्य और नेटवर्क एड्रेस ट्रांसलेशन (NAT) या एज डिवाइस के बाहर से सुलभ है। "

आपको क्या लगता है इसका मतलब हो सकता है? हम सर्वर के सामने NAT डिवाइस पर पोर्ट अग्रेषण का उपयोग करके एक NAT डिवाइस में सेवाएं उपलब्ध करा सकते हैं। क्या यह IPsec के साथ कुछ कर सकता है? इसका NAT-T से कुछ लेना-देना हो सकता है? क्या यह हो सकता है कि इस सुविधा के लिए मदद फ़ाइल लेखक या तो नहीं जानता था, और कुछ ऐसा बना दिया जो एक तनातनी का प्रतिनिधित्व करता है?

मुझे नहीं पता कि यह क्या करता है, लेकिन अगर मुझे पता चलता है, तो मैं इस जानकारी को अपने ब्लॉग में शामिल करना सुनिश्चित करूंगा।

मैं उनकी ईमानदारी की सराहना करता हूं, लेकिन अगर यह आदमी नहीं जानता है, तो कौन करता है ?!

वीपीएन से कनेक्ट करने में हमें कठिनाई हो रही है जैसे ही मशीन एक राउटर के दूसरी तरफ है, और मैं सोच रहा था कि क्या यह मदद कर सकता है? इसलिए मैं "एज ट्रैवर्सल" क्या करता है का एक उचित विवरण सुनने के लिए उत्सुक हूं!

windows-server-2008  vpn  firewall  windows-firewall 
Django Reinhardt
स्रोत
यह जाओ ... मेरे dhcp नियम पर एज ट्रैवर्सल की अनुमति नहीं है dhcp को तोड़ा। ऐसा लगता है कि microsoft dhcp हेल्पर गियर से dhcp फ्रेम को वर्गीकृत करने की कोशिश कर रहा है। काफी खिंचाव।

जवाबों:

14

ऐसा लगता है कि यह Microsoft पेटेंट फाइलिंग इस साल की शुरुआत में आपको बता सकता है कि आप क्या जानना चाहते हैं।

मैं जो इकट्ठा कर सकता हूं, यह ध्वज फ़ायरवॉल नियमों को ट्रैफ़िक पर लागू करने की अनुमति देता है, जिसे उदाहरण के लिए, एक IPv6 से IPv4 सुरंग नेटवर्क की सीमा के बाहर उत्पन्न होता है। जैसा कि अक्सर पेटेंट होता है, यह एक ऐसे सामान्य तरीके से लिखा जाता है जैसे कि मैं जो बता सकता हूं, उससे किसी भी प्रकार के टनलिंग प्रोटोकॉल पर लागू होता है।

इस अतिक्रमित यातायात का पेलोड सुरंग के दूसरे छोर पर नेटवर्क में किसी भी फ़ायरवॉल के लिए अपारदर्शी होगा। संभवतया, इन एन्कैप्सुलेटेड पैकेटों को अनफ़िल्टर्ड के माध्यम से आंतरिक होस्ट तक पहुंचाया जाएगा जहाँ सुरंग के दूसरे छोर को समाप्त कर दिया गया था। वह होस्ट ट्रैफ़िक प्राप्त करेगा, उसे अपने फ़ायरवॉल से होकर गुजारेगा, ट्रैफ़िक को डिकैप्सुलेट करेगा (यदि उसके अपने फ़ायरवॉल द्वारा अनुमति दी गई है), और फ़ुटपाथ पैकेट को वापस अपने फ़ायरवॉल से गुज़ारें। जब पैकेट दूसरी बार (विघटन के बाद) फ़ायरवॉल के माध्यम से यात्रा करता है, तो इसमें "इस पैकेट ने नेटवर्क किनारे को ट्रेस किया है" बिट सेट ऐसा है कि केवल "एज ट्रैवर्सल" बिट सेट के साथ भी नियम पैकेट पर लागू होगा।

उस पेटेंट आवेदन का चित्रा 4 रेखांकन प्रक्रिया का वर्णन करने के लिए प्रकट होता है, और पेज 7 पर शुरू होने वाले "विस्तृत विवरण" अनुभाग दर्दनाक विशिष्ट विवरण में प्रक्रिया का वर्णन करता है।

यह मूल रूप से होस्ट-आधारित फ़ायरवॉल को ट्रैफ़िक के लिए अलग-अलग नियम रखने की अनुमति देता है, जो कि स्थानीय नेटवर्क के फ़ायरवॉल के माध्यम से एक सुरंग के माध्यम से आता है, ट्रैफ़िक के विपरीत जो कि स्थानीय नेटवर्क के फ़ायरवॉल के माध्यम से सीधे एक सुरंग द्वारा बिना लाइसेंस के भेजा गया था।

मुझे आश्चर्य है कि अगर iptables "मार्क" कार्यक्षमता इस पेटेंट के लिए पूर्व कला होगी? यह निश्चित रूप से ऐसा लगता है कि यह एक बहुत ही सहज बात करता है, यद्यपि एक और भी अधिक सामान्य फैशन में (क्योंकि आप उपयोगकर्ता-भूमि कोड को "निशान" पैकेट को लगभग किसी भी कारण से लिख सकते हैं यदि आप चाहते हैं)।

इवान एंडरसन
स्रोत
तो "सक्षम करना" एज ट्रैवर्सल उन पैकेटों को अनुमति देगा जो फ़ायरवॉल के माध्यम से अनएन्केप्स किए गए हैं? यदि हां, तो मुझे आश्चर्य है कि यह डिफ़ॉल्ट रूप से अस्वीकार कर दिया गया है ... निश्चित रूप से अधिकांश पैकेट उसी तरह भेजे जाते हैं? (या क्या मैं यहाँ अपनी समझ में पूरी तरह से गलत हूँ?)
जोंगो रेनहार्ड्ट
5
@ डिंगो: एज ट्रैवर्सल पैकेट को अस्वीकार / स्वीकार करने के बारे में नहीं है। एक पैकेट जो मेजबान पर समाप्त होने वाली एक सुरंग के माध्यम से आया था, उस मेजबान द्वारा बढ़त ट्रैवर्सल के माध्यम से आने पर विचार किया जाएगा। जब उस पैकेट को उसके टनलिंग प्रोटोकॉल से अलग किया जाता है, तो विघटित पैकेट को फ़ायरवॉल नियमों के अनुसार चलाया जाएगा और पैकेट को केवल उन नियमों के विरुद्ध जांचा जाएगा, जिनके किनारे का ट्रैवर्सल बिट सेट है।
इवान एंडरसन
मैं व्याख्या करता हूं कि जैसे कि एक नियम को एक विघटित पैकेट पर लागू किया जाता है, और उस नियम के पास अनुमति देने के लिए किनारे ट्रैवर्सल बिट सेट होता है, तो डिकैप्लेट किए गए पैकेट को अनुमति दी जाती है, यदि एज ट्रैवर्सल बिट को ब्लॉक करने के लिए सेट किया जाता है, तो डिक्रिप्ट किए गए पैकेट को अवरुद्ध कर दिया जाता है। कुछ अजीब हो सकता है अगर वहाँ 2 नियम हैं जो कि विघटित पैकेट के खिलाफ मेल कर सकते हैं, लेकिन वे विघटित पैकेट की अनुमति देने पर भिन्न होते हैं। पेटेंट पर चित्र 3 सबसे अधिक समझ में आता है!
CMCDragonkai
4

एक पुरानी पोस्ट, लेकिन अभी भी जोड़ने लायक है। ऐसा लगता है कि विंडोज सर्वर 2012 में, इस आइटम का अर्थ है "अन्य सबनेट से पैकेट की अनुमति दें"। कम से कम वह व्यवहार जो मैंने देखा है। IPSec VPN के साथ हमारे दो कार्यालय जुड़े हुए हैं। वीपीएन दो राउटर को जोड़ता है, जहां तक ​​विंडोज कंप्यूटर का संबंध है, यह बस दो अलग-अलग निजी सबनेट के बीच ट्रैफ़िक है। सेटिंग के साथ "ब्लॉक एज ट्रैवर्सल" विंडोज अन्य सबनेट से कनेक्शन की अनुमति नहीं देगा।

केविन कीन
स्रोत
2
यह इस सेटिंग के परीक्षण के हाथों में मेरा अनुभव नहीं है, और वास्तव में ऐसे लेख हैं जो इस व्याख्या को विवादित करते हैं। blog.boson.com/bid/95501/…
कैमरून
2

एज ट्रैवर्सल तब होता है जब भी आपके पास एक सुरंग इंटरफ़ेस होता है जो कम सुरक्षित नेटवर्क पर जाता है, जिसे किसी अन्य इंटरफ़ेस पर सुरंगित किया जाता है जो अधिक सुरक्षित नेटवर्क से जुड़ा होता है। इसका मतलब यह है कि मेजबान स्थानीय नेटवर्क व्यवस्थापक द्वारा स्थापित सुरक्षा सीमाओं में से एक को दरकिनार कर रहा है। उदाहरण के लिए, कॉर्पोरेट नेटवर्क से जुड़े एक भौतिक इंटरफ़ेस पर इंटरनेट पर किसी भी सुरंग के साथ, आपके पास "बढ़त ट्रैवर्सल" है।

विंडोज 7 में, माइक्रोसॉफ्ट के अंतर्निहित NAT ट्रैवर्सल तकनीक, टेरेडो को एज ट्रेवर्सल का उपयोग करने वाले नियमों का उपयोग करके फ़ायरवॉल के माध्यम से काम करने के लिए कॉन्फ़िगर किया जा सकता है। सिद्धांत रूप में, थर्ड पार्टी NAT NAT टनलिंग टेक्नॉलॉजीज भी ऐसा कर सकती थीं।

अमित तिवारी
स्रोत
1
ध्यान दें कि यदि सुरंग विंडोज होस्ट के बजाय किसी बाहरी डिवाइस पर समाप्त हो जाती है, तो विंडोज फ़ायरवॉल को एक किनारे पर नहीं देखा जा सकता है। सिस्को एसएसएल वीपीएन और क्लाइंट - इंटरनेट - वीपीएन डिवाइस - कॉरपोरेट नेट - विंडोज होस्ट, "ब्लॉक एज ट्रैवर्सल" जैसे पथ के साथ हमारे मामले में टीसीपी ट्रैफ़िक को ब्लॉक नहीं किया जाता है जो अन्यथा अनुमति है।
पॉल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.