Как запретить трафик из одной сети в другую через windows server 2019?

Question

[lexalex1983]

Как запретить трафик из одной сети в другую через windows server 2019?
пробовал через фаервольное правило, указав "local ip adress" и "remote IP adress" - но это не помогло.. там вообще есть нормальный фаервол? чтобы можно было просто указать :
откуда - куда - и что с этим делать. или там фаервол только для внутрь / из самой винды?

Answer 1

[Alexey Dmitriev]

Хороший вопрос - был поставлен в тупик, а лабы нет под рукой, чтобы посмотреть.
Транзитным трафиком\маршрутизацией с настройками в Windows Server ведает роль Remote Access (RRAS). можете установить ее и покопаться.
Но скорее всего вы правы - "там фаервол только для внутрь / из самой винды"

Answer 2

[MVV]

Кроме встроенного брандмауэра (который по умолчанию занимается локальным трафиком) в Windows в RRAS есть фильтры пакетов. Это - более примитивный инструмент: они могут только блокировать или пропускать весь трафик кроме указанного в списке исключений, они настраивается для конкретного интерфейса, они работают только в одну сторону (для входящего и исходящего трафика фильтры отдельные), они не отслеживает сессии (но есть возможность избирательного блокирования пакетов подключения по TCP). Но, думаю, для решения вашей задачи фильтров хватит.
Доступ к настройке фильтров находится в свойствах каждого интерфейса в узле General для протоколов IP (v4 и v6).
В вашем случае можно на интерфейсе каждой сети в настройках входящего фильтра следует указать, что надо пропускать весь трафик, кроме трафика, направленного в другую сеть (указать в исключениях адрес и маску этой сети).