क्या घरेलू उपयोगकर्ताओं के लिए IPv6 के साथ विंडोज फ़ायरवॉल मोड "प्राइवेट" अप्रचलित है?

आमतौर पर होम यूजर्स से विंडोज फ़ायरवॉल को सेट करने की उम्मीद की जाती है निजी प्रोफ़ाइल जब वे अपने घर नेटवर्क से जुड़े होते हैं। सबसे आम सेटअप ISP राउटर से जुड़ा हुआ है।

यदि ISP IPv6 कनेक्टिविटी प्रदान करता है, तो कनेक्टेड कंप्यूटर में विश्व स्तर पर निष्क्रिय IPv6 पता होगा। इसका मतलब यह है कि यह सभी पोर्ट और एप्लिकेशन सीधे इंटरनेट के संपर्क में हैं। IPv4 के साथ आमतौर पर NAT होता है, जिसके बीच में एक फ़ायरवॉल होता है।

इसकी सुरक्षा इस बात पर निर्भर करती है कि कौन से अनुप्रयोग चल रहे हैं और कौन से पोर्ट खुले हैं। विशिष्ट विन्यास में कुछ चीजें सुलभ हो सकती हैं। बहुत कम से कम RPC संचार बंदरगाहों को साझा करने वाली विंडोज फ़ाइल होगी। ये कार्यविधियाँ अतीत में सुरक्षा मुद्दों से प्रभावित रही हैं।

कुछ राउटर्स (मेरा सहित) में एक "IPv6 फ़ायरवॉल" है जो बस सभी इनबाउंड IPv6 ट्रैफ़िक को गिरा देता है। लेकिन अगर मैं वास्तव में कुछ एप्लिकेशन (जैसे रिमोट डेस्कटॉप) के लिए कम से कम एक इनबाउंड पोर्ट खोलना चाहता हूं, तो मेरे पास कोई विकल्प नहीं है सब कुछ सेवा मेरे हर कोई ।

क्या इसका मतलब यह नहीं है कि IPv6- सक्षम कंप्यूटर को चुनना होगा जनता प्रोफ़ाइल क्योंकि कोई भी (केवल विश्वसनीय उपकरण नहीं) कनेक्ट कर सकता है?

न तो विंडोज फ़ायरवॉल और न ही एक सक्षम राउटर का फ़ायरवॉल "सभी या कुछ नहीं" है।

आम तौर पर होम यूजर्स से अपेक्षा की जाती है कि वे अपने होम नेटवर्क से कनेक्ट होने पर प्राइवेट फ़ायरवॉल को प्राइवेट प्रोफाइल में सेट करें

"निजी" मोड वास्तव में सभी कनेक्शनों को अनुमति नहीं देता है हर जगह : अधिकांश डिफ़ॉल्ट नियम केवल "इस सबनेट" तक सीमित हैं, जो कि आईपीवी 6 के लिए इसका मतलब है कि इस मोड में भी उसी / 64 के भीतर केवल अन्य होस्ट (जैसे कि आपके घर का हेक्टवर्क) स्वीकार किया जाएगा। विदेशी संबंध अवरुद्ध रहते हैं।

(यह भी ध्यान दें कि अंतर्निहित विंडोज फ़ायरवॉल को केवल टीसीपी पोर्ट की तुलना में उच्चतर परतों के बारे में पता है: यह व्यक्तिगत आरपीसी सेवाओं तक पहुंच को सीमित कर सकता है, भले ही वे साझा पोर्ट पर चल रहे हों। इसका मतलब यह भी है कि एसएमबी फ़ाइल-शेयरिंग एक्सेस नहीं है। टी आवश्यक रूप से स्वचालित रूप से RPC-over-SMB पहुँच प्रदान करें।)

"समान सबनेट" को डिफ़ॉल्ट होने के अपवाद हैं (उदा। दूरस्थ डेस्कटॉप MS ट्रस्टों NLA के रूप में व्यापक रूप से खुला है), लेकिन उन के माध्यम से बदलना आसान wf.msc।

जो दूसरे कारण से लाता है: भले ही प्रोफ़ाइल में खराब चूक थी, बस होने दो अनुकूलन प्रोफाइल अपने आप में कई उन्नत उपयोगकर्ताओं (जो अभी भी विभिन्न सुरक्षा स्तरों के लिए कम से कम कस्टम नियमों को कॉन्फ़िगर करने में सक्षम होंगे) द्वारा उपयोगी एक सुविधा है।

IPv4 के साथ आमतौर पर NAT होता है, जिसके बीच में एक फ़ायरवॉल होता है।

NAT एक फ़ायरवॉल के रूप में कार्य नहीं करता है; इसका प्रयोग किया जाता है के अतिरिक्त एक फ़ायरवॉल के लिए। हां, आप कह सकते हैं कि यह दूर के हमलावरों के खिलाफ एक अतिरिक्त परत प्रदान करता है - क्योंकि निजी लैन पते इंटरनेट पर अप्राप्य हैं - लेकिन इसका वास्तविक पैकेट से कोई लेना-देना नहीं है छानने कि एक फ़ायरवॉल करता है।

यदि आपके पास सिर्फ NAT है लेकिन पैकेट फ़िल्टरिंग का कोई अन्य रूप नहीं है, तो आपके तत्काल WAN पड़ोसियों के पास अभी भी आपके LAN के अंदर पहुंचने के तरीके हैं ip route add।

कुछ राउटर्स (मेरा सहित) में एक "IPv6 फ़ायरवॉल" है जो बस सभी इनबाउंड IPv6 ट्रैफ़िक को गिरा देता है। लेकिन अगर मैं वास्तव में कुछ एप्लिकेशन (जैसे रिमोट डेस्कटॉप) के लिए कम से कम एक इनबाउंड पोर्ट खोलना चाहता हूं, तो मेरे पास सब कुछ उजागर करने के अलावा कोई विकल्प नहीं है।

यह आपके राउटर के फर्मवेयर में एक महत्वपूर्ण चूक है। यदि इसका फ़ायरवॉल आने वाले IPv4 के लिए कस्टम "अनुमति-विशिष्ट, इनकार-सभी" नियमों का समर्थन करता है, तो है कोई कारण नहीं यह IPv6 के लिए समान समर्थन नहीं कर सकता है।

IPv4 और IPv6 दोनों में, यह एक राउटर के लिए एक फ़ायरवॉल को लागू करने के लिए तुच्छ है जो केवल एक विशिष्ट होस्ट के लिए इनबाउंड कनेक्शन से गुजरता है, और / या केवल एक विशिष्ट पोर्ट के लिए। अधिकांश घरेलू राउटर अपने स्वयं के कार्यान्वयन भी नहीं करते हैं; वे मानक लिनक्स iptables जहाज करते हैं, इसलिए उनके पास कोई बहाना नहीं है।

यदि आप पूरी तरह से आश्वस्त हैं कि आपका राउटर कस्टम IPv6 नियमों की पेशकश नहीं करता है (वे हो सकते हैं नामित "वर्चुअल सर्वर" या "पोर्ट फ़ॉरवर्डिंग" DNAT को शामिल नहीं करने के बावजूद), जांचें कि क्या कोई फर्मवेयर अपडेट उपलब्ध है।