Tham gia Đăng nhập
Điểm:0
freddie_ventura avatar Server

Sử dụng chính sách mặc định BlockOutbound trong Win10 để tạo đường hầm đầy đủ cho tất cả lưu lượng mạng WAN thông qua giao diện TUN/TAP

lá cờ th
freddie_ventura

Vì vậy, tôi nhận được một câu hỏi nhỏ "cách sử dụng tường lửa nâng cao" trong Win10.

Tôi có một VPN đang chạy trong VPS với openvpn , chạy như một bùa mê và tôi muốn lọc tất cả mạng của máy chủ lưu trữ cuối của mình (trong trường hợp này là Win10) Ý của tôi khi lọc là áp dụng chính sách nghiêm ngặt "BlockInbound,BlockOutbound", vì vậy tôi chỉ có thể thêm các quy tắc để cho phép giao tiếp với VPS của mình để thiết lập Đường hầm VPN, (vì vậy nó sẽ tạo giao diện TUN mới) và sau đó để Thiết bị cuối cùng này có AllowOutbound.

Đây là một sơ đồ nhỏ về tình hình, mặc dù không hoàn hảo.

             ++-----------------
             | mạng LAN |
             | |
             ++-----------------
                 ^        
                 |        
                 |        
                 |        
                 |        
                 |        
                 V        
             ++-----------------
             |192.100.100.100 |
             | VPS CỦA TÔI |
             ++-----------------
    10.8.0.1/24 ^ ^ Cổng VPN: 443
                 | |
                 | |
                 | |
                 | |
          TUẤN nic| |
    Thẻ không dây 10.8.0.X/24 V V
             ++-----------------         
             | |
             | KẾT THÚC |
             ++-----------------

Vấn đề ở đây là với hệ thống Tường lửa của Windows, tôi đã quen với uww trong linux và có thể mô tả khá rõ bộ quy tắc, ở đây chúng tôi bị hạn chế hơn một chút

1) Đặt chính sách mặc định

netsh advfirewall đặt tất cả cấu hình BlockInbound,BlockOutBound

2) Để Wireless NIC thiết lập đường hầm với VPS - Đặt máy chủ opevpn để phục vụ các máy khách trên cùng một đầu vào của máy khách - Hoặc bạn có thể đặt rule chỉ cho phép IP của VPS (không cần chỉnh server)

netsh advfirewall tường lửa thêm tên quy tắc="Chấp nhận lưu lượng truy cập từ VPN trên NIC bên ngoài" dir=in action=allow remoteip=192.100.100.100 giao thức=tcp 
netsh advfirewall tường lửa thêm tên quy tắc="Chấp nhận lưu lượng truy cập từ VPN trên NIC bên ngoài" dir=out action=allow remoteip=192.100.100.100 giao thức=tcp

3) Để giao diện TUN có kết nối WAN không bị hạn chế Ở đây chúng tôi có một giới hạn trong Windows, Nếu bạn kiểm tra lưới để tạo quy tắc, bạn có thể

 netsh>advfirewall tường lửa thêm quy tắc?
 +--------------------------------------------- -----------------------
 |Cách sử dụng: thêm tên quy tắc=<chuỗi>
 | dir=vào|ra
 | hành động=cho phép|chặn|bỏ qua
 | [chương trình=<đường dẫn chương trình>]
 | [dịch vụ=<tên viết tắt của dịch vụ>|bất kỳ]
 | [mô tả=<chuỗi>]
 | [bật=có|không (mặc định=có)]
 | [hồ sơ=công khai|riêng tư|miền|bất kỳ[,...]]
 | [localip=any|<địa chỉ IPv4>|<địa chỉ IPv6>|<mạng con>|<phạm vi>|<danh sách>]
 | [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
 | <Địa chỉ IPv4>|<Địa chỉ IPv6>|<mạng con>|<phạm vi>|<danh sách>]
 | [localport=0-65535|<phạm vi cổng>[,...]|RPC|RPC-EPMap|IPHTTPS|bất kỳ (mặc định=bất kỳ)]
 | [remoteport=0-65535|<phạm vi cổng>[,...]|bất kỳ (mặc định=bất kỳ)]
 | [giao thức=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
 | tcp|udp|bất kỳ (mặc định=bất kỳ)]
 | [giao diện=không dây|lan|ras|bất kỳ]
 | [rmtcomputergrp=<chuỗi SDDL>]
 | [rmtusrgrp=<chuỗi SDDL>]
 | [edge=yes|deferapp|deferuser|no (mặc định=không)]
 | [bảo mật=xác thực|authenc|authdynenc|authnoencap|không bắt buộc
 | (mặc định=không bắt buộc)]
 +--------------------------------------------- ------------------------------
 
GHI CHÚ!! [giao diện=không dây|lan|ras|bất kỳ]

Không có tên giao diện để lọc không kiểu giao diện khá phân biệt danh mục giao diện TUN

Với điều kiện là chúng ta có

netsh>giao diện hiển thị giao diện

Quản trị viên Trạng thái Loại trạng thái Tên giao diện
--------------------------------------------- -----------------------
Đã bật OpenVPN chuyên dụng được kết nối TAP-Windows6 -------------> MỤC TIÊU
Đã bật kết nối băng thông rộng PdaNet chuyên dụng đã ngắt kết nối
Đã bật Wi-Fi chuyên dụng được kết nối
Đã bật Ethernet chuyên dụng đã ngắt kết nối

Thông tin này không thực sự cho tôi biết bất kỳ thông tin nào về interfacetype , nhưng sau khi hỏi trong Trò chuyện, tôi được cho biết rằng các giao diện TAP được coi là giao diện = lan Vì vậy, vì kết nối thực tế của tôi sẽ là Không dây, nên tôi có một bộ quy tắc phù hợp với tình huống của mình

netsh advfirewall tường lửa thêm tên quy tắc="Cho phép lưu lượng truy cập đi qua các giao diện LAN (đối với TUN)" dir=out action=allow interfacetype=lan remoteip=any
netsh advfirewall tường lửa thêm tên quy tắc = "Cho phép lưu lượng truy cập mạng LAN" dir=out remoteip=localsubnet

Vì vậy, tôi tiếp tục và không may là kế hoạch không hoạt động. Trước hết, tôi không đăng nhập vào biểu mẫu đăng ký mạng LAN để nhận mạng WAN (vì điều đó tôi tạm thời tắt tường lửa). Khi tôi nhận được hợp đồng thuê IP, tôi kích hoạt lại tường lửa và tin tốt là tôi có kết nối với VPS của mình, vì vậy tôi tiến hành kết nối OpenVPN, Nó kết nối. Tốt!! Nhưng các trang web không được tải, các yêu cầu ping không được thực hiện và tôi không thể mô tả vấn đề có thể xảy ra ở đâu.

Bất kỳ ý tưởng?

44
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.