Al usar el IPSec de Windows para el filtrado de IP cada vez que se agrega un filtro, debe tener una regla "espejo" (marcando la casilla "Reflejado. Hacer coincidir paquetes ...").
Debido a que el filtrado IPSec no tiene estado, si no tiene esta opción habilitada, no puede comunicarse en ambas direcciones. De este artículo , cito:
Si no refleja sus reglas, entonces no puedes comunicarte en ambos direcciones. IPsec no es "con estado" en la forma en que Firewall es - si tiene una regla de A a B sin la B a A componente, entonces IPsec en A caerá Todo el tráfico de B, incluso si es el respuesta a la solicitud enviada por A. Eso es parte de lo que hace tan difícil IPsec para usar de manera efectiva como un cortafuegos.
Si tengo una regla que dice:
Permitir conexiones entrantes a mi dirección IP al puerto 5666 desde cualquier puerto en el host remoto 172.16.3.200
Que se implementaría como:
netsh ipsec static add filter filterlist="NAGIOS NSClient" srcaddr=172.16.3.200 srcport=0 dstaddr=ME dstport=5666 mirrored=yes description="Inbound" protocol=TCP
La regla de "espejo" sería:
Permitir conexiones salientes desde mi dirección IP desde el puerto 5666 a cualquier puerto en el host remoto 172.16.3.200
¿Cuáles son los riesgos de seguridad de esta configuración con respecto al tráfico no deseado?