Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

VPN-сервер включен за брандмауэром

Фильтры пакетов для протокола PPTP

Для интерфейса Интернета и интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.

Фильтры для интерфейса Интернета

Настройте для интерфейса Интернета брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

  • В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).

    Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу.

  • В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).

    Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу.

  • В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).

    Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части "VPN-сервер включен перед брандмауэром" этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Настройте для интерфейса Интернета брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

  • В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).

    Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера.

  • В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).

    Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера.

  • В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).

    Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части "VPN-сервер включен перед брандмауэром" этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу от TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.