最近我一直在研究VPN提供商,我注意到Vypyr VPN提供了一个额外的月费的防火墙 。 在他们的防火墙页面上说:
当你连接到VyprVPN时,你可以通过你的无线路由器,并获得自己的专用连接到互联网。 此连接不共享,所以…未被请求的入站扫描不再被阻止。
HMA是我正在看的另一个提供商,我注意到他们没有提及防火墙。 于是我把它们拍了下来,发给了以下回复:
VPN不会绕过你的操作系统/路由器防火墙。 而VPN也不能作为防火墙。 我们不提供附加防火墙服务。 您需要一个好的防病毒/防火墙保护套件来防止恶意软件和入侵。
那么谁是对的? VPN连接是否绕过路由器防火墙? 我刚刚读了Vypyr的网站吗?
VPN本身不会绕过防火墙,而是通过它们“隧道”。 让我试着更详细地解释这一点。
当您的计算机想要获取特定网页的内容时,它会创build一个HTTP请求。 这个数据包被封装成一个TCP数据包,网站的名字被parsing为一个IP地址,TCP数据包被移交给IP层进行路由。 IP层根据IP地址及其路由表决定发送数据包的位置(下一跳路由器,通常是您的默认网关)。 它将TCP数据包封装成一个IP数据报,将下一跳路由器的MAC地址放入其中,并将其传送到以太网接口,从而将整个数据传输到networking上。
防火墙在整个机器的IP层工作(当然,他们通常是这样做的)。 你正常的SOHO路由器/网关/调制解调器设备将有一个防火墙,允许传出连接和任何返回数据包。
现在当你build立一个VPN连接时会发生什么? VPN客户端创build到其他地方的VPN服务器的连接。 最重要的部分是它也会改变你的路由表,这通常会导致IP层现在将所有或部分外出stream量路由到VPN客户端,而不是直接从接口中出来。 然后,VPN客户端将整个IP数据报封装到另一个TCP数据包中(此时原始数据包变得对IP层不可见),并且这个数据包现在被发送到VPN服务器(解包并随后将其传递)。
这个效应的实质是一个“隧道”。 防火墙和通常适用于数据包的路由规则是通过VPN连接推送数据包而“绕过”的。 这也意味着,如果VPN隧道处理所有出站stream量,那么在SOHO路由器上应用的任何保护机制现在都是无效的。
我希望这解释了在这种情况下“绕过”的含义。
对于最大lulz,他们都是错误的 – 都是正确的。
VPN将允许可能被中间防火墙阻止的stream量通过,这仅仅是因为stream量看起来不像防火墙规则devise的那样阻塞。 例如,如果防火墙被configuration为阻止所有到达内部机器的传入连接,那么如果防火墙封装在VPN中,那么该防火墙不会阻止该防火墙,原因很简单,从防火墙的angular度来看,stream量看起来像VPNstream量。
另一方面,如果防火墙configuration为这样(这将意味着您的VPN不起作用),那么防火墙仍然有能力阻止VPNstream量本身(无论VPNstream量是什么)所以你在这方面需要注意你的防火墙规则。
此外,VPN端点上的防火墙可能会影响stream量,因为它们可以看到stream量从VPN隧道出来并成为正常stream量。 我怀疑Vypyr的防火墙服务是在stream量进入VPN并传送到您的端点之前对其进行过滤,从而为您节省运输stream量的成本,从而节省您的stream量。
“不绕过你的路由器防火墙”。 是错误的,至less直观的理解“绕过”:你得到的是你的计算机上的一个networking接口,似乎直接连接到他们的networking。 所以我会认为OS防火墙适用,但路由器不能看到任何数据包。 Vypr是正确的。