ดังนั้นฉันจึงมีคำถาม "การใช้ไฟร์วอลล์ขั้นสูง" เล็กน้อยใน Win10
ฉันมี VPN ทำงานใน VPS ด้วย เปิด VPN ทำงานเหมือนจับใจ และฉันต้องการกรองเครือข่ายทั้งหมดของ endhost ของฉัน (ในกรณีนี้คือ Win10)
สิ่งที่ฉันหมายถึงโดยการกรองคือการใช้นโยบายที่เข้มงวดของ "BlockInbound,BlockOutbound" ดังนั้นฉันสามารถเพิ่มกฎเพื่ออนุญาตให้สื่อสารกับ VPS ของฉันเพื่อสร้าง VPN Tunnel (ดังนั้นมันจะสร้างอินเทอร์เฟซ TUN ใหม่) จากนั้นปล่อยให้ อุปกรณ์สุดท้ายนี้ที่จะมี AllowOutbound
นี่คือแผนภาพเล็กน้อยของสถานการณ์ แม้ว่าจะไม่สมบูรณ์ก็ตาม
++----------------
| วาน |
| |
++----------------
^
|
|
|
|
|
วี
++----------------
|192.100.100.100 |
| VPS ของฉัน |
++----------------
10.8.0.1/24 ^ ^ พอร์ต VPN: 443
| |
| |
| |
| |
ทูนนิค| |
การ์ดไร้สาย 10.8.0.X/24 V V
++----------------
| |
| สิ้นสุด |
++----------------
ปัญหาในที่นี้คือระบบ Windows Firewall ที่ฉันเคยชิน ยูเอฟดับบลิว ใน linux และสามารถอธิบายชุดกฎได้ค่อนข้างมาก ในที่นี้เรามีข้อ จำกัด มากกว่านี้เล็กน้อย
1) การตั้งค่านโยบายเริ่มต้น
advfirewall netsh ตั้งค่าโปรไฟล์ทั้งหมด BlockInbound, BlockOutBound
2nd) ให้ Wireless NIC สร้างอุโมงค์ด้วย VPS - ตั้งค่าเซิร์ฟเวอร์ opevpn ให้บริการลูกค้าในพอร์ตเดียวกันของลูกค้า - หรือคุณสามารถตั้งกฎให้อนุญาตเฉพาะ IP ของ VPS (ไม่ต้องปรับแต่งเซิร์ฟเวอร์)
ไฟร์วอลล์ advfirewall netsh เพิ่มชื่อกฎ = "ยอมรับการรับส่งข้อมูลจาก VPN บน outter NIC" dir = ในการดำเนินการ = อนุญาต remoteip = 192.100.100.100 protocol = tcp
ไฟร์วอลล์ advfirewall netsh เพิ่มชื่อกฎ = "ยอมรับการรับส่งข้อมูลจาก VPN บน outter NIC" dir = out action = อนุญาต remoteip = 192.100.100.100 protocol = tcp
3rd) ให้อินเทอร์เฟซ TUN มีการเชื่อมต่อ WAN ที่ไม่จำกัด
ที่นี่เรามีข้อ จำกัด ใน Windows หากคุณตรวจสอบ ตาข่าย เพื่อสร้างกฎที่คุณสามารถทำได้
netsh>ไฟร์วอลล์ advfirewall เพิ่มกฎ ?
+--------------------------------------------- -----------------------
|การใช้งาน: เพิ่มชื่อกฎ=<string>
| dir=เข้า|ออก
| การกระทำ = อนุญาต | บล็อก | บายพาส
| [โปรแกรม=<เส้นทางโปรแกรม>]
| [บริการ=<ชื่อย่อบริการ>|ใดๆ]
| [รายละเอียด=<สตริง>]
| [เปิดใช้งาน=ใช่|ไม่ (ค่าเริ่มต้น=ใช่)]
| [โปรไฟล์=สาธารณะ|ส่วนตัว|โดเมน|ใดๆ[,...]]
| [localip=ใดๆ|<ที่อยู่ IPv4>|<ที่อยู่ IPv6>|<ซับเน็ต>|<ช่วง>|<รายการ>]
| [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
| <ที่อยู่ IPv4>|<ที่อยู่ IPv6>|<ซับเน็ต>|<ช่วง>|<รายการ>]
| [localport=0-65535|<ช่วงพอร์ต>[,...]|RPC|RPC-EPMap|IPHTTTPS|ใดๆ (ค่าเริ่มต้น=ใดๆ)]
| [remoteport=0-65535|<ช่วงพอร์ต>[,...]|ใดๆ (default=ใดๆ)]
| [โปรโตคอล=0-255|icmpv4|icmpv6|icmpv4:ประเภท,รหัส|icmpv6:ประเภท,รหัส|
| tcp|udp|ใดๆ (ค่าเริ่มต้น=ใดๆ)]
| [interfacetype=wireless|lan|ras|ใดๆ]
| [rmtcomputergrp=<สตริง SDDL>]
| [rmtusrgrp=<สตริง SDDL>]
| [edge=yes|deferapp|deferuser|no (default=no)]
| [ความปลอดภัย=รับรองความถูกต้อง|การรับรองความถูกต้อง|การรับรองความถูกต้อง|การรับรองความถูกต้อง|ไม่จำเป็น
| (ค่าเริ่มต้น=ไม่จำเป็น)]
+--------------------------------------------- ------------------------------
บันทึก!! [interfacetype=wireless|lan|ras|ใดๆ]
ไม่มี ชื่ออินเทอร์เฟซ เพื่อกรองทั้งสอง ประเภทอินเทอร์เฟซ ค่อนข้างแยกหมวดหมู่ของอินเตอร์เฟส TUN
โดยมีเงื่อนไขว่าเรามี
netsh>อินเตอร์เฟสแสดงอินเตอร์เฟส
ชื่ออินเทอร์เฟซประเภทสถานะสถานะผู้ดูแลระบบ
--------------------------------------------- -----------------------
เปิดใช้งานการเชื่อมต่อ OpenVPN เฉพาะ TAP-Windows6 -------------> เป้าหมาย
เปิดใช้งานการเชื่อมต่อบรอดแบนด์ PdaNet เฉพาะที่ถูกตัดการเชื่อมต่อ
เปิดใช้งาน Wi-Fi เฉพาะที่เชื่อมต่อแล้ว
เปิดใช้งานอีเธอร์เน็ตเฉพาะที่ถูกตัดการเชื่อมต่อ
ข้อมูลนี้ไม่ได้บอกข้อมูลใด ๆ เกี่ยวกับ interfacetype แต่หลังจากถามใน Chat ฉันได้รับแจ้งว่าอินเทอร์เฟซ TAP ถูกมองว่าเป็น interfacetype=lan
เนื่องจากการเชื่อมต่อจริงของฉันจะเป็น Wireless ฉันจึงมีชุดกฎที่เหมาะกับสถานการณ์ของฉัน
ไฟร์วอลล์ advfirewall netsh เพิ่มชื่อกฎ = "อนุญาตการรับส่งข้อมูลขาออกผ่านอินเทอร์เฟซ LAN (สำหรับ TUN)" dir = out action = อนุญาต interfacetype = lan remoteip = ใด ๆ
ไฟร์วอลล์ advfirewall netsh เพิ่มชื่อกฎ = "อนุญาตการรับส่งข้อมูล LAN" dir = out remoteip = localsubnet
ดังนั้นฉันจึงดำเนินการต่อและน่าเสียดายที่แผนไม่ได้ผล ก่อนอื่นฉันไม่ลงชื่อเข้าใช้แบบฟอร์มแอปพลิเคชัน LAN เพื่อรับ WAN (เพื่อที่ฉันจะปิดใช้งานไฟร์วอลล์ชั่วคราว) เมื่อฉันได้รับสัญญาเช่า IP ฉันเปิดใช้งานไฟร์วอลล์อีกครั้ง และข่าวดี ฉันเชื่อมต่อกับ VPS ของฉันแล้ว ดังนั้นฉันจึงดำเนินการเชื่อมต่อ OpenVPN ต่อ ดี!! แต่หน้าเว็บไม่ได้รับการโหลด คำขอ ping ไม่ผ่าน และฉันไม่สามารถอธิบายได้ว่าปัญหาดังกล่าวอยู่ที่ใด
ความคิดใด ๆ ?
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา