Вопрос или проблема
В Windows Firewall под отдельным правилом вкладка области позволяет определить, какие IP адреса подлежат правилу. Один из встроенных вариантов — “Локальная подсеть”.
Как можно добавить дополнительную подсеть, чтобы Windows понимал, что это доверенный сетевой сегмент?
Мой вопрос непосредственно касается того, какие настройки Windows (или домена) могут быть применены для добавления подсетей напрямую в эту предопределенную группу “локальная подсеть”.
Локальные подсети представляют собой специальную группу адресов, определяемую исключительно подсетями сетевых адаптеров, подключенных к компьютеру. Вы не можете вручную указать, что включено в группу.
Я думаю, вы можете использовать, например, 192.168.0.0/16, чтобы блокировать или разрешать любые адреса, исходящие из подсети 192.168.x.x.
То есть, что если у меня установлены 2 сетевых интерфейса на машине, у меня есть настройка 192.168.x.x на LAN NIC и публичный IP, скажем, 105.181.x.y/28 на публичном NIC? Публичный IP теперь включен в мою локальную группу?
.
Ответ или решение
При настройке Windows Firewall, задача явно заключается в понимании того, что включает в себя группа "Local subnet". Этот термин действительно относится к локальным подсетям, к которым компьютер подключен через сетевые интерфейсы (NIC). Следовательно, "Local subnet" автоматически определяется конфигурацией сети вашего устройства и включает все подсети, к которым компьютер прямо подключен.
Почему "Local subnet" не может быть изменена вручную
Суть "Local subnet" заключается в том, что Windows автоматически определяет её на основе настроек IP всех сетевых адаптеров, установленных на компьютере. Это означает, что, по умолчанию, все IP-адреса и подсети, которые назначаются сетевым адаптерам, автоматически считаются "локальными". Вы не можете вручную добавить дополнительные подсети в эту категорию, поскольку это нарушило бы архитектуру и автоматическое поведение безопасности Windows Firewall.
Как работать с дополнительными подсетями
Если возникает необходимость добавить другие подсети в правила, необходимо это сделать путем точной настройки и добавления соответствующих IP-адресов в поля "These IP addresses" в настройках определенного правила в брандмауэре Windows:
-
Отправляйтесь в Панель управления: Найдите и откройте "Windows Defender Firewall" с дополнительными параметрами.
-
Откройте вкладку Scope для правила: Найдите конкретное правило, к которому вы хотите добавить подсеть, и откройте его.
-
Настройте IP-адреса: На вкладке "Scope" добавьте нужные IP-адреса или диапазоны в поле "Remote IP address". Например, чтобы разрешить диапазон 192.168.0.0/16, добавьте этот диапазон в своем правиле.
-
Сохраните изменения: Примените сделанные изменения и закройте правило.
Учет нескольких сетевых адаптеров
При наличии нескольких сетевых адаптеров – например, одного внутреннего (LAN) с IP 192.168.x.x и одного внешнего (public) с IP 105.181.x.y/28 – обе подсети будут считаться локальными. Это может привести к нежелательным эффектам, если внешний интерфейс с публичными IP также будет относиться к "Local subnet". В данном случае требуется ручная настройка брандмауэра для предотвращения нежелательного трафика через публичный интерфейс. Правильное использование IP-фильтров и других принципов безопасности жизненно важно для защиты вашей системы и данных.
Оставайтесь в курсе последних рекомендаций Microsoft, чтобы удостовериться, что ваши сетевые политики актуальны и безопасны. Непрерывное управление и мониторинг конфигурации сетевых интерфейсов и связанных правил в брандмауэре помогут поддерживать желаемый уровень безопасности вашей сети.