Обязательные исключения брандмауэра для Teredo
Чтобы приложение получало трафик Teredo, приложению должно быть разрешено получать трафик IPv6 в брандмауэре узла, а приложению необходимо задать для параметра сокета IPV6_PROTECTION_LEVEL значение "PROTECTION_LEVEL_UNRESTRICTED". Чтобы включить этот тип сценария, необходимо реализовать исключения брандмауэра, описанные в этом документе.
Для обеспечения бесперебойного взаимодействия между брандмауэром и Teredo требуются следующие конфигурации брандмауэра:
Брандмауэр клиента должен разрешать teredo.ipv6.microsoft.com.
Порт UDP 3544 должен быть открыт, чтобы клиенты Teredo могли успешно взаимодействовать с сервером Teredo.
Брандмауэр должен получать динамические UDP-порты, используемые службой Teredo на локальном компьютере, путем вызова функции FwpmSystemPortsGet0 ; соответствующие порты относятся к типу FWPM_SYSTEM_PORT_TEREDO. Функция FwpmSystemPortsGet0 должна быть реализована вместо устаревших функций GetTeredoPort или NotifyTeredoPortChange .
Брандмауэр позволяет системе отправлять и получать пакеты UDP/IPv4 на UDP-порт 1900 в локальной подсети, так как это позволяет передавать трафик обнаружения UPnP и может повысить скорость подключения.
Примечание
Если это условие не выполняется, в сценариях возникают проблемы совместимости, связанные с обменом данными между определенными типами NAT; в частности, между симметричными и ограниченными NAимими.. В то время как симметричные NAT популярны в хот-спотах и ограниченные NAT популярны в домах, связь между ними может быть виновата на стороне ограниченного NAT.
Необходимо включить входящие и исходящие исключения ICMPv6 "Эхо-запрос" и "Эхо-ответ". Эти исключения необходимы, чтобы гарантировать, что клиент Teredo может выступать в качестве ретранслятора для конкретного узла Teredo. Ретранслятор для конкретного узла Teredo можно определить по дополнительному собственному IPv6-адресу или адресу 6to4, предоставленному с адресом Teredo.
Клиентские брандмауэры должны поддерживать следующие сообщения об ошибках ICMPv6 и функции обнаружения в соответствии с RFC 4443:
| Код | Описание |
|---|---|
| 135/136 | ICMPV6 Сосед и реклама |
| 133/134 | Запрос и объявление маршрутизатора |
| 128/129 | ICMPV6 Echo Request and Reply |
| 1 | Объект назначения недоступен |
| 2 | Слишком большой пакет |
| 3 | Превышено время |
| 4 | Недопустимый параметр |
Если эти сообщения не могут быть специально разрешены, в брандмауэре должно быть включено исключение всех сообщений ICMPv6. Кроме того, брандмауэр узла может заметить, что пакеты, классифицированные по кодам 135/136 или 133/134, исходят из службы пользовательского режима iphlpsvc , а не из стека. Эти пакеты не должны быть удалены брандмауэром узла. Служба Teredo реализуется главным образом в рамках вспомогательной службы IP-адресов в режиме пользователя.
С помощью API брандмауэра Windows INetFwPolicy2 для перечисления всех правил с установленным флагом обхода edge все приложения, которые хотят прослушивать незапрошенный трафик, перечисляются для исключения брандмауэра. Конкретные сведения об использовании параметра обхода Edge подробно описаны в разделе Получение незапрошенного трафика через Teredo.
Обратные вызовы не связаны со следующим примером кода перечисления; Настоятельно рекомендуется, чтобы сторонние брандмауэры периодически выполняли перечисление или всякий раз, когда брандмауэр обнаруживает новое приложение, пытающееся пройти через брандмауэр.
#include <windows.h>
#include <objbase.h>
#include <stdio.h>
#include <atlcomcli.h>
#include <strsafe.h>
#include <netfw.h>
#define NET_FW_IP_PROTOCOL_TCP_NAME L"TCP"
#define NET_FW_IP_PROTOCOL_UDP_NAME L"UDP"
#define NET_FW_RULE_DIR_IN_NAME L"In"
#define NET_FW_RULE_DIR_OUT_NAME L"Out"
#define NET_FW_RULE_ACTION_BLOCK_NAME L"Block"
#define NET_FW_RULE_ACTION_ALLOW_NAME L"Allow"
#define NET_FW_RULE_ENABLE_IN_NAME L"TRUE"
#define NET_FW_RULE_DISABLE_IN_NAME L"FALSE"
#import "netfw.tlb"
void DumpFWRulesInCollection(long Allprofiletypes, NetFwPublicTypeLib::INetFwRulePtr FwRule)
{
variant_t InterfaceArray;
variant_t InterfaceString;
if(FwRule->Profiles == Allprofiletypes)
{
wprintf(L"---------------------------------------------\n");
wprintf(L"Name: %s\n", (BSTR)FwRule->Name);
wprintf(L"Description: %s\n", (BSTR)FwRule->Description);
wprintf(L"Application Name: %s\n", (BSTR)FwRule->ApplicationName);
wprintf(L"Service Name: %s\n", (BSTR)FwRule->serviceName);
switch(FwRule->Protocol)
{
case NET_FW_IP_PROTOCOL_TCP: wprintf(L"IP Protocol: %s\n", NET_FW_IP_PROTOCOL_TCP_NAME);
break;
case NET_FW_IP_PROTOCOL_UDP: wprintf(L"IP Protocol: %s\n", NET_FW_IP_PROTOCOL_UDP_NAME);
break;
default:
break;
}
if(FwRule->Protocol != NET_FW_IP_VERSION_V4 && FwRule->Protocol != NET_FW_IP_VERSION_V6)
{
wprintf(L"Local Ports: %s\n", (BSTR)FwRule->LocalPorts);
wprintf(L"Remote Ports: %s\n", (BSTR)FwRule->RemotePorts);
}
wprintf(L"LocalAddresses: %s\n", (BSTR)FwRule->LocalAddresses);
wprintf(L"RemoteAddresses: %s\n", (BSTR)FwRule->RemoteAddresses);
wprintf(L"Profile: %d\n", Allprofiletypes);
if(FwRule->Protocol == NET_FW_IP_VERSION_V4 || FwRule->Protocol == NET_FW_IP_VERSION_V6)
{
wprintf(L"ICMP TypeCode: %s\n", (BSTR)FwRule->IcmpTypesAndCodes);
}
switch(FwRule->Direction)
{
case NET_FW_RULE_DIR_IN:
wprintf(L"Direction: %s\n", NET_FW_RULE_DIR_IN_NAME);
break;
case NET_FW_RULE_DIR_OUT:
wprintf(L"Direction: %s\n", NET_FW_RULE_DIR_OUT_NAME);
break;
default:
break;
}
switch(FwRule->Action)
{
case NET_FW_ACTION_BLOCK:
wprintf(L"Action: %s\n", NET_FW_RULE_ACTION_BLOCK_NAME);
break;
case NET_FW_ACTION_ALLOW:
wprintf(L"Action: %s\n", NET_FW_RULE_ACTION_ALLOW_NAME);
break;
default:
break;
}
InterfaceArray = FwRule->Interfaces;
if(InterfaceArray.vt != VT_EMPTY)
{
SAFEARRAY *pSa = NULL;
long index = 0;
pSa = InterfaceArray.parray;
for(long index= pSa->rgsabound->lLbound; index < (long)pSa->rgsabound->cElements; index++)
{
SafeArrayGetElement(pSa, &index, &InterfaceString);
wprintf(L"Interfaces: %s\n", (BSTR)InterfaceString.bstrVal);
}
}
wprintf(L"Interface Types: %s\n", (BSTR)FwRule->InterfaceTypes);
if(FwRule->Enabled)
{
wprintf(L"Enabled: %s\n", NET_FW_RULE_ENABLE_IN_NAME);
}
else
{
wprintf(L"Enabled: %s\n", NET_FW_RULE_DISABLE_IN_NAME);
}
wprintf(L"Grouping: %s\n", (BSTR)FwRule->Grouping);
wprintf(L"Edge: %s\n", (BSTR)FwRule->EdgeTraversal);
}
}
int __cdecl main()
{
HRESULT hr;
BOOL fComInitialized = FALSE;
ULONG cFetched = 0;
CComVariant var;
long Allprofiletypes = 0;
try
{
IUnknownPtr pEnumerator = NULL;
IEnumVARIANT* pVariant = NULL;
NetFwPublicTypeLib::INetFwPolicy2Ptr sipFwPolicy2;
//
// Initialize the COM library on the current thread.
//
hr = CoInitialize(NULL);
if (FAILED(hr))
{
_com_issue_error(hr);
}
fComInitialized = TRUE;
hr = sipFwPolicy2.CreateInstance("HNetCfg.FwPolicy2");
if (FAILED(hr))
{
_com_issue_error(hr);
}
Allprofiletypes = NET_FW_PROFILE2_ALL; // 0x7FFFFFFF
printf("The number of rules in the Windows Firewall are %d\n", sipFwPolicy2->Rules->Count);
pEnumerator = sipFwPolicy2->Rules->Get_NewEnum();
if(pEnumerator)
{
hr = pEnumerator->QueryInterface(__uuidof(IEnumVARIANT), (void **) &pVariant);
}
while(SUCCEEDED(hr) && hr != S_FALSE)
{
NetFwPublicTypeLib::INetFwRulePtr sipFwRule;
var.Clear();
hr = pVariant->Next(1, &var, &cFetched);
if (S_FALSE != hr)
{
if (SUCCEEDED(hr))
{
hr = var.ChangeType(VT_DISPATCH);
}
if (SUCCEEDED(hr))
{
hr = (V_DISPATCH(&var))->QueryInterface(__uuidof(INetFwRule), reinterpret_cast<void**>(&sipFwRule));
}
if (SUCCEEDED(hr))
{
DumpFWRulesInCollection(Allprofiletypes, sipFwRule);
}
}
}
}
catch(_com_error& e)
{
printf ("Error. HRESULT message is: %s (0x%08lx)\n", e.ErrorMessage(), e.Error());
if (e.ErrorInfo())
{
printf ("Description: %s\n", (char *)e.Description());
}
}
if (fComInitialized)
{
CoUninitialize();
}
return 0;
}