VPN-сервер включен за брандмауэром
Фильтры пакетов для протокола PPTP
Для интерфейса Интернета и интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.
Фильтры для интерфейса Интернета
Настройте для интерфейса Интернета брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:
- В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).
Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу.
- В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).
Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу.
- В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).
Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части "VPN-сервер включен перед брандмауэром" этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.
Настройте для интерфейса Интернета брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:
- В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).
Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера.
- В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).
Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера.
- В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).
Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении "маршрутизатор-маршрутизатор". Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части "VPN-сервер включен перед брандмауэром" этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу от TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.