Firewall-Regel für eine IP setzen

Hallo

es soll ein Dienst aus einem privaten Netzwerk über das Internet verfügbar sein, und zwar für genau einen Client. Client und Host sind jeweils über Router ans Internet gekoppelt und haben über einen dynDNS-Dienst eine feste Adresse.

Client-seitig sind die Firewalls(Windows und Router) so konfiguriert, dass alle ausgehenden Verbindungen akzeptiert werden.
Host-seitig habe ich bereits für diesen speziellen Port sowohl in der Windows-Firewall als auch in der des Routers diesen Port freigegeben.

Allerdings würde ich eingehende Verbindungen für meine_IP_Host.dynDNS.de nur zulassen wollen, wenn die Anfrage von meine_IP_Client.dynDNS.de kommt. Wie richtet man das in der Windows 10 Firewall ein?

Gruß Tom

Content-Key: 1547064755

Url: https://administrator.de/contentid/1547064755

Ausgedruckt am: 27.11.2021 um 16:11 Uhr

Mitglied: aqui
Lösung aqui 24.11.2021 um 11:36:31 Uhr
Goto Top
Der Client meine_IP_Client.dynDNS.de hat ja wechselnde und zufällige IPs im Internet, da du dich damit ja in unterschiedlichen IP Netzen bewegst. Allein das macht das Unterfangen schon nicht einfach...
Dazukommt das es unsinnig ist dem Client eine DynDNS IP zu geben oder diese announcen zu lassen an einen Dienst.
Wenn du dich in Hotel, Hotspot Diensten oder auch nur in Mobilnetzen befindest die private RFC 1918 IPs nutzen sind diese Adressen nutzlos. Auch wenn als Client IP dir die öffentliche IP eines Hotelnetzes usw. übermittelt wird hast du dann wieder das Problem von oben, denn wieviel mögliche IP Netze willst du in die Firewall eintragen ?
Mitglied: Xerebus
Lösung Xerebus 24.11.2021 um 11:46:51 Uhr
Goto Top
Das einzige was funktioniert mit einem Revers Proxy ist das du filtern nach "dynDNS.de" kannst.
Ich würde das aber eh mit einen VPN lösen dann hast du das Problem nicht.
Mitglied: hacktor
Lösung hacktor 24.11.2021 aktualisiert um 11:49:57 Uhr
Goto Top
Das kann die Windows Firewall nicht.

Aber sowas erledigt man eh immer an der Perimeter-Firewall. Dort hinterlegt man eine Adressliste welche automatisch Hostnamen zu IPs auflösen kann und benutzt diese in einer entsprechenden Firewall-Allow-Regel.
Alternativ nutzt man eben gleich ein VPN statt unsichere Löcher in die Firewall zu bohren. Gerade Windows Server würde ich eh nie ohne vorgeschaltete Instanz direkt ans Internet hängen, ein Zero-Day und die Kisten mutieren gleich zu Zombies.
Mitglied: TomKrist
TomKrist 24.11.2021 um 13:12:11 Uhr
Goto Top
also VPN.

Ich danke euch

Gruß Tom
Mitglied: holliknolli
holliknolli 24.11.2021 um 14:34:04 Uhr
Goto Top
Zitat von @TomKrist:

Client-seitig sind die Firewalls(Windows und Router) so konfiguriert, dass alle ausgehenden Verbindungen akzeptiert werden.
Host-seitig habe ich bereits für diesen speziellen Port sowohl in der Windows-Firewall als auch in der des Routers diesen Port freigegeben.

und was spricht dann gegen NAT vom Router zu diesem Client? Würde mich da nicht mit der Windows Firewall noch zusätzlich rumschlagen.

LG
Mitglied: aqui
aqui 24.11.2021 aktualisiert um 15:56:54 Uhr
Goto Top
und was spricht dann gegen NAT vom Router zu diesem Client?
Macht er doch wenn er nur mit einfachem Port Forwarding arbeitet wie es der TO ja oben schildert.
Er kommt mit einer x-belibigen Internet IP und z.B. Port TCP 80 (HTTP, Webserver) am Router um auf einem lokalen Webserver zuzugreifen.
Der Router macht NAT indem er die Zieladresse in die des lokalen WebServers NATet.
Klassisches Port Forwarding aus dem Bilderbuch.
Es geht ihm darum die am Router eigehende Client IP Adresse zu filtern was technisch natürlich unmöglich ist, da man darauf nirgendow einen Einfluss hat.
Auf Hostnamen wie der DynDNS IP kann man nur filtern wie es der Kollege @hacktor oben beschrieben hat. Die ACL bzw. FW am Router muss ja erstmal die aktuelle IP zum dynamischen Client Hostnamen ermitteln um sie dann dynamisch in ein Regelwerk zu fassen. Mit entsprechender FW Hardware einfach zu realisieren. Mit der Winblows Firewall sicher nicht.
Mitglied: TomKrist
TomKrist 24.11.2021 um 15:55:13 Uhr
Goto Top
Hallo holliknolli

ich verstehe deine Frage nicht.
Clientseitig ist doch alles easy, weil bereits standardmäßig eingerichtet. Da brauchte ich doch gar nix machen.

Und Host-seitig bräuchte ich die Windows-Firewall auch nicht mehr anfassen, da bei dieser der Port ja offen ist. Es würde reichen, die Einschränkung im Router zu setzen.

Ich habe nach der Windows-Firewall gefragt, weil ich annahm, das ließe sich dort bewerkstelligen und diese ist allgemein bekannt und ich könnte dann die Vorgehensweise auf den betreffenden Router übernehmen.

Gruß Tom
Mitglied: TomKrist
TomKrist 24.11.2021 um 15:58:04 Uhr
Goto Top
aqui, haben Provider nicht einen festen IP-Bereich, aus dem sie zur Verfügung stellen? Wenn man auf diesen Bereich einschränken würde?
Mitglied: aqui
aqui 24.11.2021 aktualisiert um 16:07:53 Uhr
Goto Top
Doch das haben sie. Aber diese weltweit rauszubekommen und einzutragen dafür reicht der Speicher nicht. Es sei denn du betreibst den Client nur an einer Handvoll vorhersehbarer Standorte und nicht mehr. Dann ist das natürlich problemlos machbar.
Mitglied: hacktor
hacktor 24.11.2021 aktualisiert um 16:19:50 Uhr
Goto Top
Zitat von @TomKrist:

aqui, haben Provider nicht einen festen IP-Bereich, aus dem sie zur Verfügung stellen? Wenn man auf diesen Bereich einschränken würde?
https://bgpview.io/asn/3320#prefixes-v4

Bringt dir aber nicht viel, wenn sich der Attacker dann per VPN einwählt und seinen Angriff startet ...

Wenn man öffentlich Dienste bereitstellt sollte man auch die Eier haben und das Wissen nutzen und das vernünftig abzusichern. "Security by obscurity" hat noch nie funktioniert. Vor allem nicht bei Windosen.
Mitglied: TomKrist
TomKrist 24.11.2021 um 16:24:16 Uhr
Goto Top

verstehe, doch komplexer als gedacht.

hacktor, aber wieso "Security by obscurity"?
Mein Ziel war regelhaft filtern, was ja nun mal der Sinn einer Firewall ist
Mitglied: hacktor
hacktor 24.11.2021 aktualisiert um 16:41:10 Uhr
Goto Top
Zitat von @TomKrist:
hacktor, aber wieso "Security by obscurity"?
Mein Ziel war regelhaft filtern, was ja nun mal der Sinn einer Firewall ist
Weil das einschränken auf Provider-Blocks auch nur ein Verstecken ist :-) face-smile. Ein Hacker besorgt sich dann per VPN eine IP aus dem Bereich und schon ist deine Firewall umgangen.
Eine direkte Portweiterleitung auf einen Windows Server ist nun mal von Haus aus etwas was man generell vermeiden sollte. Der Server dahinter ist allem ausgesetzt was da so am Port alles ankommt ob DDOS oder Zero-Day, sollte einem bewusst sein.
Mitglied: TomKrist
TomKrist 24.11.2021 um 17:16:35 Uhr
Goto Top
Ok, hab verstanden. Also VPN.

Spricht was gegen einen integrierten VPN im Router, ein Router von Telekom?

Gruß Tom
Mitglied: hacktor
hacktor 24.11.2021 aktualisiert um 17:21:38 Uhr
Goto Top
Zitat von @TomKrist:
Spricht was gegen einen integrierten VPN im Router,
Nein, VPNs m besten immer am Perimeter terminieren.
ein Router von Telekom?
Wenn einen der Würg-Reflex nicht stört :-) face-smile.
Mitglied: TomKrist
TomKrist 25.11.2021 um 09:19:41 Uhr
Goto Top
Ok.

Dann besten Dank bis hier

Gruß Tom
Mitglied: aqui
aqui 25.11.2021 um 11:47:18 Uhr
Goto Top
Wen einen der Würg-Reflex nicht stört
Treffender hätte man das nicht sagen können ! 🤣
Mitglied: hacktor
hacktor 25.11.2021 aktualisiert um 12:09:09 Uhr
Goto Top
Erst neulich wieder ein Telekom Opfer verarzten müssen. Der Kunde wollte nur Magenta TV abonnieren und den HDMI-Dongle für den Ferneher nutzen, und dem haben sie dann gleich einen neuen Router angedreht, weil der Hotliner ihm anscheinend gesagt hat das das mit anderen Routern als Speedport Smart nicht funktioniert ... jaaaa klar :-D face-big-smile :-D face-big-smile ... what the fuck. Das sind doch ehrlich gesagt echte A-Löcher ... die da auf ihren Stangen hocken und den leuten was vom Pferd vorgackern.
Mitglied: aqui
aqui 25.11.2021 um 12:11:42 Uhr
Goto Top
Ja, in der Tat...schlimm ! :-( face-sad
Zumal die Telekom groß und breit auf ihrer Webseite schreibt das man mit dem HDMI Dongle nichtmal im Telekom Netz sein muss. Die (Telekom) Welt wird immer dümmer...
Mitglied: TomKrist
TomKrist 25.11.2021 um 17:55:14 Uhr
Goto Top
Fritzbox besser?
Mitglied: TomKrist
TomKrist 25.11.2021 um 17:55:43 Uhr
Goto Top
Ich lese gerade was von Portknocking, was haltet Ihr davon?
Mitglied: aqui
aqui 25.11.2021 aktualisiert um 17:58:29 Uhr
Goto Top
Lancom besser ?
Bintec besser ?
Cisco besser ?
Mikrotik besser ?
TP-Link besser ?
...
Portknocking, was haltet Ihr davon?
Kann man machen, muss man aber nicht.
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement7 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Reinigung der Apple Watch gelöst honeybeeVor 19 StundenFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
HP Notebook startet nicht mehrben1300Vor 21 StundenFrageHardware5 Kommentare

Hallo zusammen, mein HP Notebook Modell 17-ca1300ng startet nicht mehr. Wenn ich den Power Knopf drücke, blinkt die LED neben der Ladebuchse 3x weiß. Jemand ...