众所周知,Windows 过滤平台架构由几层过滤(IPv4/6、入站/出站、流/数据报的组合)组成。
据我所知,它是唯一提供状态过滤的一个特定层是 ALE 层(应用层执行)。目的是确定数据包与特定 TCP 或 UDP“连接”(具有相同源/目标端口和 IP 地址的数据包)的关联性,而不是将每个数据包单独作为 IP 数据报进行检查。但是,据我了解,ALE 层仅允许用于在本地计算机中具有对等点的连接,并且其中具有处理其中一方的应用程序。
我的问题是,是否有一种简单的方法来处理有状态连接(特别是对于 UDP),以便在 WFP 内的转发层(不是入站或出站)中进行过滤?也就是说,按连接过滤未针对本地计算机的数据包。
我不想跌得这么低,但我考虑接收转发层 IP 数据包并重定向它们只是为了过滤(然后再次重定向)。