办公室 VLAN 上的工作站分配有 10.10.0.0/16 范围内的 IP 地址。它被定义为“工作”网络,并使用“私有”防火墙规则集。我们使用中央防火墙/路由器在 VLAN 和不同 IP 范围之间传递流量。
其中一个 IP 范围已分配给我们的 VPN 解决方案,即 10.100.0.0/16。出于某种原因,Windows 防火墙(至少在 Windows 7 中)阻止了来自 10.100 地址的所有传入流量,包括 ping 和 SMB 流量。
为什么要阻止这些流量?我以为“专用”连接的规则比较宽松。是因为流量来自 LAN 的网络掩码/子网之外吗?一些“专用”规则的措辞表明了这一点,但我不能 100% 确定。
是否可以允许交通没有创建新的防火墙规则?相反,如果真的是网络掩码/子网导致了问题,有没有办法让网络配置或 Windows 防火墙认为它是正常的?创建新规则是可行的,我只是不想去每个工作站手动应用它。我们还没有域,所以没有组策略推送。
答案1
默认情况下,Windows 7 会阻止 ICMP 回显请求,因此除了在防火墙中创建例外之外,唯一的其他选择就是完全禁用防火墙。
答案2
经过进一步研究:
- 在处理“私人”网络(如“家庭”和“工作”网络)时,Windows 防火墙将仅有的如果原始 IP 来自同一子网,则将连接视为来自“私有”网络。
- 无法将其他子网添加到被视为“私有”的列表中
- 无法修改现有的防火墙规则以直接将子网添加到其白名单中。
看起来我要么需要逐个复制所有需要的防火墙规则,要么更改我们的 VPN 使用的 IP 范围。