Pare-feu avancé Windows: qu'est-ce que "Edge Traversal" signifie?

Cela devrait être vraiment simple:

Dans Advanced Firewall Windows sur Windows Server 2008+ , properties> Avancé, qu'est-ce que " Edge Traversal " signifie?

Je l'ai googlé, bien sûr, et j'ai été incapable de find une réponse concrète, et j'ai été particulièrement choqué de voir ce qui suit dans le blog de Thomas Schinder :

L'option Edge traversal est intéressante, car elle n'est pas très bien documentée. Voici ce que le file d'aide dit:

"Passage de bordure Indique si la traversée de bord est activée (Oui) ou désactivée (Non). Lorsque la traversée de bord est activée, l'application, le service ou le port auquel s'applique la règle sont globalement adressables et accessibles depuis l'extérieur d'une traduction d'adresse réseau (NAT) ou périphérique de bord ".

Que pensez-vous que cela pourrait signifier? Nous pouvons rendre les services disponibles sur un périphérique NAT en utilisant le transfert de port sur le périphérique NAT devant le server. Cela pourrait-il avoir quelque chose à voir avec IPsec? Peut-il avoir quelque chose à voir avec NAT-T? Est-ce que le rédacteur de files d'aide pour cette fonctionnalité ne savait pas non plus, et a créé quelque chose qui représentait une tautologie?

Je ne sais pas ce que cela fait, mais si je le découvre, je m'assurerais d'inclure cette information dans mon blog.

J'apprécie son honnêteté, mais si ce type ne sait pas, qui fait?

Nous avons du mal à nous connecter à un VPN dès que la machine se trouve de l'autre côté d'un routeur, et je me demandais si cela pourrait vous aider? Je suis donc très désireux d'entendre une bonne description de ce que "Edge Traversal" fait!

Il semble que ce repository de brevet Microsoft depuis cette année pourrait vous indiquer ce que vous voulez savoir.

À partir de ce que je peux rassembler, ce drapeau permet aux règles de pare-feu d'appliquer au trafic qui a été encapsulé par exemple par un tunnel IPv6 à IPv4 originaire à l'extérieur de la frontière du réseau. Comme les brevets le sont souvent, celui-ci est écrit de manière aussi générique que pour s'appliquer à tout type de protocole de tunneling, de ce que je peux dire.

La charge utile de ce trafic encapsulé serait opaque pour tout pare-feu sur le réseau à l'autre extrémité du tunnel. On peut supposer que ces packages encapsulés seraient passés par non filtrés à l'hôte interne où l'autre extrémité du tunnel s'est terminée. Cet hôte recevrait le trafic, le transmettrait par son propre pare-feu, décapsulerait le trafic (si permis par son propre pare-feu) et passerait les packages décapsulés à son pare-feu. Lorsque le package se déplace à travers le pare-feu la deuxième fois (après la décapsulation), il a un "set de packages parcouru le bord du réseau" défini de sorte que seules les règles avec le bit "bord traversant" également défini s'appliqueront au package.

La figure 4 de cette request de brevet semble décrire graphiquement le process, et la section "Descriptions détaillées" commençant à la page 7 décrit le process dans des détails douloureusement spécifiques.

Cela permet essentiellement à un pare-feu basé sur l'hôte d'avoir des règles différentes pour le trafic entrant par un tunnel via le pare-feu du réseau local, par opposition au trafic qui vient d'être envoyé non encapsulé par un tunnel directement via le pare-feu du réseau local.

Je me request si la fonctionnalité "mark" d'iptables serait l'état de la technique de ce brevet? Il semble certainement qu'il existe une chose très semblable, même si elle est encore plus générique (puisque vous pouvez écrire le code user-terre pour "marquer" les packages pour quasiment n'importe quelle raison si vous le souhaitez).

Un post plus ancien, mais qui vaut la peine d'être ajouté. Il semble que dans Windows Server 2012, cet élément signifie simplement "autoriser les packages provenant d'autres sous-réseaux". Au less, c'est le comportement que j'ai observé. Nous avons deux bureaux connectés à un VPN IPSec. Le VPN connecte les deux routeurs, en ce qui concerne les ordinateurs Windows, c'est simplement le trafic entre deux sous-réseaux privés différents. Avec le paramètre "Block Edge Traversal", Windows ne permettra pas les connections de l'autre sous-réseau.

La traversée de bord se produit chaque fois que vous avez une interface de tunnel qui se dirige vers un réseau less sécurisé, qui est tunnelé sur une autre interface qui est attachée à un réseau plus sécurisé. Cela signifie que l'hôte contourne (tunneling) l'une des limites de security configurées par l'administrateur du réseau local. Par exemple, avec n'importe quel tunnel sur Internet sur une interface physique rattachée au réseau de l'entreprise, vous avez un «passage de bord».

Dans Windows 7, la technologie de navigation NAT incorporée de Microsoft, Teredo, peut être configurée pour fonctionner à travers le pare-feu en utilisant des règles qui utilisent Edge Traversal. En principe, les technologies de tunneling traversant NAT tierces pourraient également le faire.