Firewall avançado do Windows: O que significa “Edge Traversal”?

isso deve ser realmente simples:

No Advanced Windows Firewall no Windows Server 2008+ , Propriedades> Avançado, o que significa " Edge Traversal "?

Eu pesquisei no Google, é claro, e não consegui encontrar uma resposta concreta, e fiquei especialmente chocado ao ver o seguinte no blog de Thomas Schinder :

A opção de travessia do Edge é interessante, porque não está muito bem documentada. Aqui está o que o arquivo da Ajuda diz:

“Travessia de borda Indica se a travessia de borda está ativada (Sim) ou desativada (Não). Quando a passagem de borda é ativada, o aplicativo, serviço ou porta à qual a regra se aplica é globalmente endereçável e acessível de fora de uma tradução de endereço de rede (NAT) ou dispositivo de borda. ”

O que você acha que isso pode significar? Podemos disponibilizar serviços em um dispositivo NAT usando o encaminhamento de porta no dispositivo NAT na frente do servidor. Isso poderia ter algo a ver com o IPsec? Poderia ter algo a ver com NAT-T? Será que o gravador de arquivos de Ajuda para esse recurso também não sabia e criou algo que representava uma tautologia?

Não sei o que isso faz, mas se descobrir, vou me certificar de incluir essas informações no meu blog.

Agradeço sua honestidade, mas se esse cara não sabe, quem sabe ?!

Estamos com dificuldades para conectar-se a uma VPN assim que a máquina estiver do outro lado de um roteador, e eu queria saber se isso pode ajudar. Então, eu estou muito interessado em ouvir uma descrição adequada do que o "Edge Traversal" faz!

Parece que esse pedido de patente da Microsoft do início deste ano pode lhe dizer o que você quer saber.

Pelo que pude entender, esse sinalizador permite que as regras de firewall se apliquem ao tráfego encapsulado por, por exemplo, um túnel IPv6 para IPv4 originário fora da borda da rede. Como costumam ser as patentes, esta é escrita de maneira genérica a ponto de aplicar-se a qualquer tipo diferente de protocolo de encapsulamento, pelo que posso dizer.

A carga útil desse tráfego encapsulado seria opaca a qualquer firewall na rede na outra extremidade do túnel. Presumivelmente, esses pacotes encapsulados seriam passados ​​sem filtragem para o host interno onde a outra extremidade do túnel terminava. Esse host receberia o tráfego, passaria por seu próprio firewall, decapsularia o tráfego (se permitido por seu próprio firewall) e passaria os pacotes decapsulados de volta ao firewall. Quando o pacote viaja pelo firewall na segunda vez (após o decapsulamento), ele possui um conjunto de bits "este pacote atravessou a borda da rede", de forma que somente as regras com o bit "atravessar a borda" também serão aplicadas ao pacote.

A Figura 4 desse pedido de patente parece descrever graficamente o processo, e a seção "Descrições detalhadas", iniciada na página 7, descreve o processo em detalhes dolorosamente específicos.

Isso basicamente permite que um firewall baseado em host tenha regras diferentes para o tráfego que entra através de um túnel através do firewall da rede local, em oposição ao tráfego que acaba de ser enviado sem o encapsulamento de um túnel diretamente através do firewall da rede local.

Gostaria de saber se a funcionalidade "mark" do iptables seria arte anterior a esta patente? Certamente parece que faz uma coisa muito semelhante, embora de uma maneira ainda mais genérica (já que você pode escrever um código de terra do usuário para "marcar" pacotes por praticamente qualquer motivo, se desejar).

Uma postagem mais antiga, mas ainda vale a pena adicionar. Parece que no Windows Server 2012, esse item significa simplesmente "permitir pacotes de outras sub-redes". Pelo menos esse é o comportamento que observei. Temos dois escritórios conectados com uma VPN IPSec. A VPN conecta os dois roteadores; portanto, no que diz respeito aos computadores Windows, é simplesmente o tráfego entre duas sub-redes privadas diferentes. Com a configuração "Block Edge Traversal", o Windows não permitirá conexões da outra sub-rede.

A travessia de borda ocorre sempre que você tem uma interface de encapsulamento que vai para uma rede menos segura, que é encapsulada em outra interface conectada a uma rede mais segura. Isso significa que o host está ignorando (encapsulando) um dos limites de segurança configurados pelo administrador da rede local. Por exemplo, com qualquer túnel para a Internet por meio de uma interface física conectada à rede corporativa, você tem "travessia de borda".

No Windows 7, a tecnologia NAT interna da Microsoft, Teredo, pode ser configurada para funcionar através do firewall usando regras que fazem uso do Edge Traversal. Em princípio, o NAT de terceiros que atravessa as tecnologias de encapsulamento também pode fazê-lo.