Обязательные исключения брандмауэра для Teredo
Для получения трафика Teredo приложение должно быть разрешено получать трафик IPv6 в брандмауэре узла, и приложению необходимо задать параметр сокета IPV6_PROTECTION_LEVEL значение "PROTECTION_LEVEL_UNRESTRICTED". Чтобы включить этот тип сценария, необходимо реализовать исключения брандмауэра, описанные в этом документе.
Для обеспечения плавной взаимодействия между брандмауэром и Teredo требуются следующие конфигурации брандмауэра:
Брандмауэр клиента должен разрешить разрешение teredo.ipv6.microsoft.com.
Порт UDP 3544 должен быть открыт, чтобы клиенты Teredo могли успешно взаимодействовать с сервером Teredo.
Брандмауэр должен получить динамические порты UDP, используемые службой Teredo на локальном компьютере, вызвав функцию FwpmSystemPortsGet0; соответствующие порты имеют тип FWPM_SYSTEM_PORT_TEREDO. Функция FwpmSystemPortsGet0 должна быть реализована вместо устаревших функций GetTeredoPort или NotifyTeredoPortChange.
Брандмауэр позволяет системе отправлять и получать пакеты UDP/IPv4 в порт UDP 1900 в локальной подсети, так как это позволяет передавать трафик обнаружения UPnP и может повысить скорость подключения.
Заметка
Если это условие не выполнено, в сценариях возникают проблемы совместимости, связанные с обменом данными между определенными типами NAT; в частности между симметричными nats и ограниченными nats. В то время как симметричные NAT популярны в горячих точках и Ограниченные NATs популярны в домах, связь между ними может привести к ошибке на стороне Ограниченного NAT.
Входящий и исходящий ICMPv6 "Эхо-запрос" и исключения "Эхо-ответ" должны быть включены. Эти исключения необходимы для обеспечения того, чтобы клиент Teredo может выступать в качестве ретранслятора для конкретного узла Teredo. Ретранслятор, зависящий от узла Teredo, можно определить дополнительным собственным IPv6-адресом или адресом 6to4, предоставленным с адресом Teredo.
Брандмауэры клиента должны поддерживать следующие сообщения об ошибках ICMPv6 и функции обнаружения для RFC 4443:
| Код | Описание |
|---|---|
| 135/136 | Запросы и объявление соседей ICMPV6 |
| 133/134 | Запрос и объявление маршрутизатора |
| 128/129 | Запрос и ответ ICMPV6 |
| 1 | Неустранимый целевой объект |
| 2 | Слишком большой пакет |
| 3 | Превышено время |
| 4 | Недопустимый параметр |
Если эти сообщения не могут быть специально разрешены, исключение всех сообщений ICMPv6 должно быть включено в брандмауэре. Кроме того, брандмауэр узла может заметить, что пакеты, классифицируемые кодами 135/136 или 133/134, исходят или предназначены для службы пользовательского режима iphlpsvc, а не из стека. Эти пакеты не должны быть удалены брандмауэром узла. Служба Teredo реализуется в основном в вспомогательной службе IP-адресов в режиме пользователя.
Используя INetFwPolicy2 API брандмауэра Windows для перечисления всех правил с набором флагов Edge Traversal, все приложения, которые хотят прослушивать незапрошенный трафик, перечисляются для исключения брандмауэра. Конкретные сведения об использовании параметра обхода edge подробно описаны в получении неопрошенного трафика через Teredo.
Обратные вызовы не связаны со следующим примером кода перечисления; Настоятельно рекомендуется периодически выполнять перечисление сторонними брандмауэрами или всякий раз, когда брандмауэр обнаруживает новое приложение, пытающееся пройти через брандмауэр.
#include <windows.h>
#include <objbase.h>
#include <stdio.h>
#include <atlcomcli.h>
#include <strsafe.h>
#include <netfw.h>
#define NET_FW_IP_PROTOCOL_TCP_NAME L"TCP"
#define NET_FW_IP_PROTOCOL_UDP_NAME L"UDP"
#define NET_FW_RULE_DIR_IN_NAME L"In"
#define NET_FW_RULE_DIR_OUT_NAME L"Out"
#define NET_FW_RULE_ACTION_BLOCK_NAME L"Block"
#define NET_FW_RULE_ACTION_ALLOW_NAME L"Allow"
#define NET_FW_RULE_ENABLE_IN_NAME L"TRUE"
#define NET_FW_RULE_DISABLE_IN_NAME L"FALSE"
#import "netfw.tlb"
void DumpFWRulesInCollection(long Allprofiletypes, NetFwPublicTypeLib::INetFwRulePtr FwRule)
{
variant_t InterfaceArray;
variant_t InterfaceString;
if(FwRule->Profiles == Allprofiletypes)
{
wprintf(L"---------------------------------------------\n");
wprintf(L"Name: %s\n", (BSTR)FwRule->Name);
wprintf(L"Description: %s\n", (BSTR)FwRule->Description);
wprintf(L"Application Name: %s\n", (BSTR)FwRule->ApplicationName);
wprintf(L"Service Name: %s\n", (BSTR)FwRule->serviceName);
switch(FwRule->Protocol)
{
case NET_FW_IP_PROTOCOL_TCP: wprintf(L"IP Protocol: %s\n", NET_FW_IP_PROTOCOL_TCP_NAME);
break;
case NET_FW_IP_PROTOCOL_UDP: wprintf(L"IP Protocol: %s\n", NET_FW_IP_PROTOCOL_UDP_NAME);
break;
default:
break;
}
if(FwRule->Protocol != NET_FW_IP_VERSION_V4 && FwRule->Protocol != NET_FW_IP_VERSION_V6)
{
wprintf(L"Local Ports: %s\n", (BSTR)FwRule->LocalPorts);
wprintf(L"Remote Ports: %s\n", (BSTR)FwRule->RemotePorts);
}
wprintf(L"LocalAddresses: %s\n", (BSTR)FwRule->LocalAddresses);
wprintf(L"RemoteAddresses: %s\n", (BSTR)FwRule->RemoteAddresses);
wprintf(L"Profile: %d\n", Allprofiletypes);
if(FwRule->Protocol == NET_FW_IP_VERSION_V4 || FwRule->Protocol == NET_FW_IP_VERSION_V6)
{
wprintf(L"ICMP TypeCode: %s\n", (BSTR)FwRule->IcmpTypesAndCodes);
}
switch(FwRule->Direction)
{
case NET_FW_RULE_DIR_IN:
wprintf(L"Direction: %s\n", NET_FW_RULE_DIR_IN_NAME);
break;
case NET_FW_RULE_DIR_OUT:
wprintf(L"Direction: %s\n", NET_FW_RULE_DIR_OUT_NAME);
break;
default:
break;
}
switch(FwRule->Action)
{
case NET_FW_ACTION_BLOCK:
wprintf(L"Action: %s\n", NET_FW_RULE_ACTION_BLOCK_NAME);
break;
case NET_FW_ACTION_ALLOW:
wprintf(L"Action: %s\n", NET_FW_RULE_ACTION_ALLOW_NAME);
break;
default:
break;
}
InterfaceArray = FwRule->Interfaces;
if(InterfaceArray.vt != VT_EMPTY)
{
SAFEARRAY *pSa = NULL;
long index = 0;
pSa = InterfaceArray.parray;
for(long index= pSa->rgsabound->lLbound; index < (long)pSa->rgsabound->cElements; index++)
{
SafeArrayGetElement(pSa, &index, &InterfaceString);
wprintf(L"Interfaces: %s\n", (BSTR)InterfaceString.bstrVal);
}
}
wprintf(L"Interface Types: %s\n", (BSTR)FwRule->InterfaceTypes);
if(FwRule->Enabled)
{
wprintf(L"Enabled: %s\n", NET_FW_RULE_ENABLE_IN_NAME);
}
else
{
wprintf(L"Enabled: %s\n", NET_FW_RULE_DISABLE_IN_NAME);
}
wprintf(L"Grouping: %s\n", (BSTR)FwRule->Grouping);
wprintf(L"Edge: %s\n", (BSTR)FwRule->EdgeTraversal);
}
}
int __cdecl main()
{
HRESULT hr;
BOOL fComInitialized = FALSE;
ULONG cFetched = 0;
CComVariant var;
long Allprofiletypes = 0;
try
{
IUnknownPtr pEnumerator = NULL;
IEnumVARIANT* pVariant = NULL;
NetFwPublicTypeLib::INetFwPolicy2Ptr sipFwPolicy2;
//
// Initialize the COM library on the current thread.
//
hr = CoInitialize(NULL);
if (FAILED(hr))
{
_com_issue_error(hr);
}
fComInitialized = TRUE;
hr = sipFwPolicy2.CreateInstance("HNetCfg.FwPolicy2");
if (FAILED(hr))
{
_com_issue_error(hr);
}
Allprofiletypes = NET_FW_PROFILE2_ALL; // 0x7FFFFFFF
printf("The number of rules in the Windows Firewall are %d\n", sipFwPolicy2->Rules->Count);
pEnumerator = sipFwPolicy2->Rules->Get_NewEnum();
if(pEnumerator)
{
hr = pEnumerator->QueryInterface(__uuidof(IEnumVARIANT), (void **) &pVariant);
}
while(SUCCEEDED(hr) && hr != S_FALSE)
{
NetFwPublicTypeLib::INetFwRulePtr sipFwRule;
var.Clear();
hr = pVariant->Next(1, &var, &cFetched);
if (S_FALSE != hr)
{
if (SUCCEEDED(hr))
{
hr = var.ChangeType(VT_DISPATCH);
}
if (SUCCEEDED(hr))
{
hr = (V_DISPATCH(&var))->QueryInterface(__uuidof(INetFwRule), reinterpret_cast<void**>(&sipFwRule));
}
if (SUCCEEDED(hr))
{
DumpFWRulesInCollection(Allprofiletypes, sipFwRule);
}
}
}
}
catch(_com_error& e)
{
printf ("Error. HRESULT message is: %s (0x%08lx)\n", e.ErrorMessage(), e.Error());
if (e.ErrorInfo())
{
printf ("Description: %s\n", (char *)e.Description());
}
}
if (fComInitialized)
{
CoUninitialize();
}
return 0;
}