Я создал расписание для доступа в интернет для виртуальной машины (10.0.64.43/27), правило реализовано на интерфейсе WAN, но, похоже, не работает. Доступ в интернет должен быть разрешен между 21:30 и 21:45 каждый понедельник, четверг и воскресенье, но виртуальная машина имеет доступ в интернет все время.
Расписание -https://i.ibb.co/qm5FCMF/Schedules.png
Правило WAN -https://i.ibb.co/TgxLTY7/WAN-Rules.png
Правило неэффективно -https://i.ibb.co/QcBzVpD/Schedule-Failure.png
Может ли быть так, что NAT применяется к сети 10.0.64.0/27 до того, как пакеты достигают WAN, и поэтому правило неэффективно?
Есть ли у вас какие-либо мысли о том, что может быть не так в этом случае?
ОБНОВЛЯТЬ
Мне было трудно понять Вход и Выход брандмауэра относительно Источника и Назначения.
Насколько я понял, я реализовал, но эффективна только часть запланированного правила, сеть 192.168.28.0 имеет запланированный доступ в Интернет и работает нормально.Сеть 10.0.64.0, похоже, неэффективна..
Вся сеть с интернет-маршрутом для клиентской виртуальной машины -https://i.ibb.co/9gHG3y3/Dell-Network.png
Tracert от клиента (192.168.1.21 — это интерфейс 1_dellи192.168.47.2 — это сеть NAT в VMware Workstation) -https://i.ibb.co/PG8YKs5/W10-Tracert-Internet.png
Расписание -https://i.ibb.co/JFqL03v/Schedule.png
Сервер без Интернета, как в расписании -https://i.ibb.co/HVbMPcv/Server-No-Internet.png
Псевдоним для сетей RFC1918 -https://i.ibb.co/9HXZ7t0/RFC1918.png
Правило Интернета для 10.0.64.32 /27 -https://i.ibb.co/9Wn5RQv/firewallwm-RFC1918.png
Интернет все еще доступен -https://i.ibb.co/TB7jRhd/W10-Internet.png
Правило WAN -https://i.ibb.co/YN28rzs/firewallwm-WAN-Rule.png
Не уверен, неверно ли мое правило или это глюк, который я не понимаю, как реализовать.
решение1
Существует правило по умолчанию"выпустить что-либо из самого хоста брандмауэра"вы можете проверить наПлавающийправила брандмауэра.
Ваше правило просто говорит разрешить трафик в определенный временной интервал. Кроме того, вы настроили его как "первое совпадение". Брандмауэр работает так с вашим правилом:
- Проверяет ваше состояние для применения правила (в вашем случае — расписание, источник, пункт назначения и шлюз)
- Если условие выполнено, разрешить трафик и остановить обработку правил
- Если условие не выполнено, продолжить обработку правил
- В конечном итоге он обработает «выпуск всего из хоста брандмауэра», разрешив трафик
Таким образом, ваш брандмауэр никогда не будет блокировать трафик, а только разрешать «снова».
Чтобы решить эту проблему, измените расписание так, чтобы оно имело 2 интервала:
00:00 to 21:29и 21:46 to 23:59. Также измените действие правила брандмауэра на blockили reject.
Таким образом, будет создано правило, блокирующее движение.
решение2
Поэтому я добавляю ответ не для того, чтобы конкурировать с Эдуардо, который прекрасно ответил на этот вопрос, а чтобы объяснить варианты с помощью правильного форматирования.
Итак, как мы уже обсуждали, правило с расписанием будет активно только тогда, когда текущее время попадает во время, которое определяет расписание. Расписания не заботятся о блокировке или разрешении.
Также обратите внимание, что у вас есть правило Default Allow, которое разрешает весь трафик ( ALLOW From Any To Any on Any Port using Any Protocol at Any Time). Если вы хотите изменить способ обработки трафика, вы можете сделать это только с помощью правила Block, и оно должно быть указано перед правилом Default. Никакое правило Allow не может изменить способ обработки, поскольку все разрешено. конечный результат будет идентичным, независимо от того, какое правило обрабатывало трафик.
Есть два способа сделать то, что вы хотите.
Вот что предложил Эдуардо. Это отличный подход, если вы можете поместить два временных интервала в один график. Красиво и чисто.
Block From <VMSubnet> To Any on Any Port using Any Protocol at 00:00:00 - 21:29:59 or 21:45:00 - 23:59:59
ALLOW From Any To Any on Any Port using Any Protocol at Any Time
- ЕСЛИ трафик поступает с IP-адреса, отличного от виртуальной машины, он разрешен (правило по умолчанию)
- ЕСЛИ трафик поступает с IP-адреса виртуальной машины в 22:50, он блокируется (правило расписания)
- ЕСЛИ трафик поступает с IP-адреса виртуальной машины в 21:35, он разрешен (правило по умолчанию)
Другой подход — добавить правило блокировки, которое блокирует весь трафик от виртуальных машин все время, и правило разрешения, которое разрешает его в течение запланированного окна. В этом случае ваш график будет просто 21:30-21:45.
Allow From <VMSubnet> To Any on Any Port using Any Protocol at 21:30:00 - 21:45:00
Block From <VMSubnet> To Any on Any Port using Any Protocol at Any Time
ALLOW From Any To Any on Any Port using Any Protocol at Any Time
- ЕСЛИ трафик поступает с IP-адреса, отличного от виртуальной машины, он разрешен (правило по умолчанию)
- ЕСЛИ трафик поступает с IP-адреса виртуальной машины в 21:31, он разрешен (правило расписания)
- ЕСЛИ трафик поступает с IP-адреса виртуальной машины в 22:15, он блокируется (правило блокировки)
Надеюсь, это поможет прояснить ситуацию.