web-dev-qa-db-ja.com

Windows Advanced Firewall:「エッジトラバーサル」とはどういう意味ですか?

これは本当にシンプルなものになるはずです:

Advanced Windows FirewallonWindows Server 2008 +、プロパティ>詳細、 「Edge Traversal」はどういう意味ですか?

もちろんGoogleで検索したので、具体的な答えを出すことができませんでした。特に、次の Thomas Schinderのブログ を見てショックを受けました。

エッジトラバーサルオプションは、十分に文書化されていないため、興味深いものです。ヘルプファイルの内容は次のとおりです。

「エッジトラバーサル」これは、エッジトラバーサルが有効(Yes)か無効(No)かを示します。エッジトラバーサルが有効になっている場合、ルールが適用されるアプリケーション、サービス、またはポートはグローバルにアドレス指定可能で、ネットワークアドレス変換(NAT)またはエッジデバイスの外部からアクセスできます。」

これはどういう意味だと思いますか? NATサーバーの前のデバイスでポート転送を使用することにより、NATデバイス全体でサービスを利用できるようにすることができます。これはIPsecと関係があるのでしょうか? NAT-Tと何か関係があるのでしょうか?この機能のヘルプファイルの作成者も知らず、トートロジーを表す何かを作成したのでしょうか。

これが何をするのかはわかりませんが、わかった場合は、必ずこの情報をブログに含めます

私は彼の正直さに感謝しますが、 thisguy がわからない場合、誰が知っていますか?

マシンがルーターの反対側にあるとすぐにVPNに接続することが困難になり、これが役立つかどうか疑問に思っていましたか?だから、「エッジトラバーサル」が何をするのかについての適切な説明を聞くのはかなり切望しています!

22

このように見えます Microsoftの特許申請 今年の初めから、あなたが知りたいことを教えてくれるかもしれません。

私が収集できるものから、このフラグを使用すると、ファイアウォールルールを、たとえばネットワークの境界外から発信されたIPv6からIPv4へのトンネルによってカプセル化されたトラフィックに適用できます。特許はしばしばそうであるように、これは私が言えることから、あらゆる種類のトンネリングプロトコルに適用されるような一般的な方法で書かれています。

このカプセル化されたトラフィックのペイロードは、トンネルの反対側のネットワークにあるすべてのファイアウォールに対して不透明です。おそらく、これらのカプセル化されたパケットは、フィルタリングされずに通過して、トンネルのもう一方の端が終了した内部ホストに渡されます。そのホストはトラフィックを受信し、独自のファイアウォールを通過し、トラフィックをカプセル化解除し(独自のファイアウォールで許可されている場合)、カプセル化解除されたパケットをファイアウォールに戻します。パケットが2回目にファイアウォールを通過するとき(カプセル解放後)、「このパケットはネットワークエッジを通過しました」ビットが設定されているため、「エッジ通過」ビットが設定されているルールのみがパケットに適用されます。

その特許出願の図4は、プロセスをグラフィカルに説明しているようであり、7ページから始まる「詳細な説明」セクションでは、プロセスを非常に具体的に詳細に説明しています。

これにより、ローカルネットワークのファイアウォールを介してトンネルによって直接カプセル化されずに送信されたトラフィックとは対照的に、ホストベースのファイアウォールは、ローカルネットワークのファイアウォールを介してトンネル経由で着信したトラフィックに対して異なるルールを持つことができます。

Iptablesの「マーク」機能は、この特許の先行技術になるのでしょうか。さらに一般的な方法ではありますが、それは非常によく似ているようです(ユーザーランドコードを記述して、必要に応じて事実上あらゆる理由でパケットに「マーク」を付けることができます)。

14
Evan Anderson

古い投稿ですが、追加する価値があります。 Windows Server 2012では、この項目は単に「他のサブネットからのパケットを許可する」ことを意味しているようです。少なくともそれは私が観察した行動です。 IPSec VPNで接続された2つのオフィスがあります。 VPNは2つのルーターを接続するため、Windowsコンピューターに関する限り、2つの異なるプライベートサブネット間のトラフィックです。 「エッジトラバーサルをブロックする」設定では、Windowsは他のサブネットからの接続を許可しません。

4
Kevin Keane

エッジトラバーサルは、安全性の低いネットワークに接続するトンネルインターフェースがあり、安全性の高いネットワークに接続されている別のインターフェースを介してトンネルされる場合に発生します。これは、ホストがローカルネットワーク管理者が設定したセキュリティ境界の1つをバイパス(トンネリング)していることを意味します。たとえば、企業ネットワークに接続された物理インターフェイスを介したインターネットへのトンネルでは、「エッジトラバーサル」があります。

Windows 7では、Microsoftの組み込みNATトラバーサルテクノロジー、Teredoは、エッジトラバーサルを利用するルールを使用してファイアウォールを通過するように構成できます。原則として、サードパーティNATトンネリング技術を横断することも可能です。

3
Amit Tiwari

エッジトラバーサルオプションは、Teredo(およびおそらく他のトンネリングソフトウェア)からの一方的なトラフィックを許可するかどうかを制御します。 IPV6_PROTECTION_LEVELソケットオプションのドキュメントはこれを説明しています: https://docs.Microsoft.com/en-us/windows/win32/winsock/ipv6-protection-level

1
abcd