3

Итак, я понимаю, как работает NAT, но я не понимаю, как работает брандмауэр. С несимметричным NAT, если кто-то отправляет мне пакет, он блокируется, но если я отправляю кому-то пакет, и они получают этот пакет, а затем отправляют его мне, он проходит. На моем компьютере установлен брандмауэр Windows. Брандмауэр работает так же (как он блокирует ответы тоже?)?

Мой брандмауэр Windows имеет некоторые входящие и исходящие правила. Также имеется опция "весь входящий трафик заблокирован". Когда я выбираю "весь входящий трафик заблокирован" для всех сетей (общедоступных и частных), TeamViewer и Skype по-прежнему могут проходить (очевидно, у них есть входящие правила, которые были установлены при установке). Эти входящие правила позволяют им пройти? Как работают входящие / исходящие правила? Если я настрою "весь входящий трафик заблокирован", а затем отправлю кому-нибудь пакет, и он отправит его мне, будет ли он проходить? Или "весь входящий трафик заблокирован" предотвращает это?

Пожалуйста, объясните мне программный брандмауэр. Интернет-ресурсы отстой.

1 ответ1

2

TL; DR, да, это означает, что если вы делаете исходящее соединение, то служба, к которой вы подключились, может ответить. Однако они не могут подключаться к вам без запроса, если только вы не настроите правила переадресации портов, чтобы они могли это делать.

Во-первых, вы путаете асимметричный NAT с Stateful Packet Filtering. NAT на самом деле ничего не брандмауэр, он просто позволяет переводить порты из источника в пункт назначения. SPF отвечает за разрешение только запрашиваемых ответов на трафик.

TCP является протоколом, ориентированным на соединение, в котором обе стороны передачи согласовывают и поддерживают виртуальное соединение (поток связанных пакетов, так что порядок пакетов может поддерживаться, даже если они поступают не по порядку, искаженные или отсутствующие пакеты легко заметить, поэтому можно запросить повторную отправку и выполнить операции управления потоком, чтобы убедиться, что трафик не вызывает слишком большой перегрузки).

Эта ориентация соединения позволяет брандмауэру сообщать, запрашивает ли данный пакет новое соединение или часть существующего и установленного.

Обычно SPF настроен на разрешение всех попыток исходящего соединения и позволяет удаленным серверам, к которым было предпринято соединение, отвечать внутри канала в этом соединении (например, пакет приходит из правильного источника на правильном порту, имеет SYN/ Флаги ACK установлены правильно и имеют правильные значения SYN и ACK) для прохождения через NAT.

Что SPF обычно НЕ разрешает, так это удаленный сервер, инициирующий соединение со службой внутри стены NAT. Таким образом, вы можете запросить ресурсы удаленных серверов, и он может отправить их вам, но удаленный сервер не может запросить ваши ресурсы.

Переадресация портов или назначение NAT позволяет вам настроить службу так, чтобы внешние серверы могли инициировать подключения к ней для запроса ресурсов. Вы хотите сделать это только в случае крайней необходимости, так как это открывает сервис для потенциальных атак.

Обратите внимание, что в PortForwarding, даже если у вас есть порт, настроенный для предоставления внутренней службы, вы все равно должны разрешить этот порт через брандмауэр в качестве входящего соединения.

Что касается того, что вы видите в Skype и брандмауэре Windows, когда он говорит "заблокировать все входящие соединения", это означает, что он не позволит удаленному серверу создать нежелательное соединение с вашей коробкой. однако это НЕ означает, что он будет блокировать ответы, которые являются частью соединения, инициированного с вашего ПК, поэтому Skype может подключаться к серверам Skype, и эти серверы могут отвечать как часть этого соединения.

надеюсь, это поможет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .