众所周知,Windows过滤平台架构包含多层过滤(IPv4 / 6组合,入站/出站,流/数据报)。
据我所知,一个特定的层是唯一提供有状态过滤的层是ALE层(应用层实施)。目的是确定分组与特定TCP或UDP“连接”(相同源/目的地端口和IP地址的分组)的亲和性,而不是仅将每个分组作为IP数据报检查。但是,据我所知,ALE层仅允许在本地计算机中具有对等体的连接,并且在其中具有处理其中的一方的应用程序。
我的问题是,是否有一种简单的方法可以处理有状态连接(特别是UDP),以便在WFP中过滤转发层(非入站或出站)?也就是说,对于没有为本地计算机进行过目标的连接数据包进行过滤。
我不想这么低,但我考虑接收转发层IP数据包并重定向它们只是为了过滤(然后再重定向)。