Иллюстрированный самоучитель по развертыванию виртуальных частных сетей › Приложение А. Конфигурация VPN-сервера Windows 2000 и брандмауэров. › VPN-сервер включен за брандмауэром [страница - 59] | Самоучители по операционным системам

VPN-сервер включен за брандмауэром

Фильтры пакетов для протокола PPTP

Для интерфейса подключения к Интернету и для интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.

Фильтры для интерфейса подключения к Интернету

Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения (destination port) 1723 (0x6BB).
Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу.
IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F).
Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу.
IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол CP, исходный порт (source port) 1723 (0x6BB).
Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в части VPN-сервер включен перед брандмауэром этого раздела. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, исходный порт 1723 (0x6BB).
Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера.
Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F).
Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера.
Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения 1723 (0x6BB).
Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в разделе VPN-сервер включен перед брандмауэром этого документа. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Фильтры для интерфейса сети периметра

Настройте для интерфейса сети периметра брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, исходный порт (source port) 1723 (0x6BB).
Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера.
Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F).
Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера.
Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения destination port) 1723 (0x6BB).
Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в разделе VPN-сервер включен перед брандмауэром этого документа. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Настройте для интерфейса сети периметра брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения 1723 (0x6BB).
Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу.
IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F).
Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу.
IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол TCP, исходный порт 1723 (0x6BB).
Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в разделе VPN-сервер включен перед брандмауэром этого документа. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.