21
Firewall-Regel für eine IP setzen
Hallo
es soll ein Dienst aus einem privaten Netzwerk über das Internet verfügbar sein, und zwar für genau einen Client. Client und Host sind jeweils über Router ans Internet gekoppelt und haben über einen dynDNS-Dienst eine feste Adresse.
Client-seitig sind die Firewalls(Windows und Router) so konfiguriert, dass alle ausgehenden Verbindungen akzeptiert werden.
Host-seitig habe ich bereits für diesen speziellen Port sowohl in der Windows-Firewall als auch in der des Routers diesen Port freigegeben.
Allerdings würde ich eingehende Verbindungen für meine_IP_Host.dynDNS.de nur zulassen wollen, wenn die Anfrage von meine_IP_Client.dynDNS.de kommt. Wie richtet man das in der Windows 10 Firewall ein?
Gruß Tom
es soll ein Dienst aus einem privaten Netzwerk über das Internet verfügbar sein, und zwar für genau einen Client. Client und Host sind jeweils über Router ans Internet gekoppelt und haben über einen dynDNS-Dienst eine feste Adresse.
Client-seitig sind die Firewalls(Windows und Router) so konfiguriert, dass alle ausgehenden Verbindungen akzeptiert werden.
Host-seitig habe ich bereits für diesen speziellen Port sowohl in der Windows-Firewall als auch in der des Routers diesen Port freigegeben.
Allerdings würde ich eingehende Verbindungen für meine_IP_Host.dynDNS.de nur zulassen wollen, wenn die Anfrage von meine_IP_Client.dynDNS.de kommt. Wie richtet man das in der Windows 10 Firewall ein?
Gruß Tom
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1547064755
Url: https://administrator.de/contentid/1547064755
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
21 Kommentare
Neuester Kommentar
Der Client meine_IP_Client.dynDNS.de hat ja wechselnde und zufällige IPs im Internet, da du dich damit ja in unterschiedlichen IP Netzen bewegst. Allein das macht das Unterfangen schon nicht einfach...
Dazukommt das es unsinnig ist dem Client eine DynDNS IP zu geben oder diese announcen zu lassen an einen Dienst.
Wenn du dich in Hotel, Hotspot Diensten oder auch nur in Mobilnetzen befindest die private RFC 1918 IPs nutzen sind diese Adressen nutzlos. Auch wenn als Client IP dir die öffentliche IP eines Hotelnetzes usw. übermittelt wird hast du dann wieder das Problem von oben, denn wieviel mögliche IP Netze willst du in die Firewall eintragen ?
Dazukommt das es unsinnig ist dem Client eine DynDNS IP zu geben oder diese announcen zu lassen an einen Dienst.
Wenn du dich in Hotel, Hotspot Diensten oder auch nur in Mobilnetzen befindest die private RFC 1918 IPs nutzen sind diese Adressen nutzlos. Auch wenn als Client IP dir die öffentliche IP eines Hotelnetzes usw. übermittelt wird hast du dann wieder das Problem von oben, denn wieviel mögliche IP Netze willst du in die Firewall eintragen ?
Das einzige was funktioniert mit einem Revers Proxy ist das du filtern nach "dynDNS.de" kannst.
Ich würde das aber eh mit einen VPN lösen dann hast du das Problem nicht.
Ich würde das aber eh mit einen VPN lösen dann hast du das Problem nicht.
Das kann die Windows Firewall nicht.
Aber sowas erledigt man eh immer an der Perimeter-Firewall. Dort hinterlegt man eine Adressliste welche automatisch Hostnamen zu IPs auflösen kann und benutzt diese in einer entsprechenden Firewall-Allow-Regel.
Alternativ nutzt man eben gleich ein VPN statt unsichere Löcher in die Firewall zu bohren. Gerade Windows Server würde ich eh nie ohne vorgeschaltete Instanz direkt ans Internet hängen, ein Zero-Day und die Kisten mutieren gleich zu Zombies.
Aber sowas erledigt man eh immer an der Perimeter-Firewall. Dort hinterlegt man eine Adressliste welche automatisch Hostnamen zu IPs auflösen kann und benutzt diese in einer entsprechenden Firewall-Allow-Regel.
Alternativ nutzt man eben gleich ein VPN statt unsichere Löcher in die Firewall zu bohren. Gerade Windows Server würde ich eh nie ohne vorgeschaltete Instanz direkt ans Internet hängen, ein Zero-Day und die Kisten mutieren gleich zu Zombies.
also VPN.
Ich danke euch
Gruß Tom
Ich danke euch
Gruß Tom
Zitat von @TomKrist:
Client-seitig sind die Firewalls(Windows und Router) so konfiguriert, dass alle ausgehenden Verbindungen akzeptiert werden.
Host-seitig habe ich bereits für diesen speziellen Port sowohl in der Windows-Firewall als auch in der des Routers diesen Port freigegeben.
Host-seitig habe ich bereits für diesen speziellen Port sowohl in der Windows-Firewall als auch in der des Routers diesen Port freigegeben.
und was spricht dann gegen NAT vom Router zu diesem Client? Würde mich da nicht mit der Windows Firewall noch zusätzlich rumschlagen.
LG
und was spricht dann gegen NAT vom Router zu diesem Client?
Macht er doch wenn er nur mit einfachem Port Forwarding arbeitet wie es der TO ja oben schildert.Er kommt mit einer x-belibigen Internet IP und z.B. Port TCP 80 (HTTP, Webserver) am Router um auf einem lokalen Webserver zuzugreifen.
Der Router macht NAT indem er die Zieladresse in die des lokalen WebServers NATet.
Klassisches Port Forwarding aus dem Bilderbuch.
Es geht ihm darum die am Router eigehende Client IP Adresse zu filtern was technisch natürlich unmöglich ist, da man darauf nirgendow einen Einfluss hat.
Auf Hostnamen wie der DynDNS IP kann man nur filtern wie es der Kollege @149569 oben beschrieben hat. Die ACL bzw. FW am Router muss ja erstmal die aktuelle IP zum dynamischen Client Hostnamen ermitteln um sie dann dynamisch in ein Regelwerk zu fassen. Mit entsprechender FW Hardware einfach zu realisieren. Mit der Winblows Firewall sicher nicht.
Hallo holliknolli
ich verstehe deine Frage nicht.
Clientseitig ist doch alles easy, weil bereits standardmäßig eingerichtet. Da brauchte ich doch gar nix machen.
Und Host-seitig bräuchte ich die Windows-Firewall auch nicht mehr anfassen, da bei dieser der Port ja offen ist. Es würde reichen, die Einschränkung im Router zu setzen.
Ich habe nach der Windows-Firewall gefragt, weil ich annahm, das ließe sich dort bewerkstelligen und diese ist allgemein bekannt und ich könnte dann die Vorgehensweise auf den betreffenden Router übernehmen.
Gruß Tom
ich verstehe deine Frage nicht.
Clientseitig ist doch alles easy, weil bereits standardmäßig eingerichtet. Da brauchte ich doch gar nix machen.
Und Host-seitig bräuchte ich die Windows-Firewall auch nicht mehr anfassen, da bei dieser der Port ja offen ist. Es würde reichen, die Einschränkung im Router zu setzen.
Ich habe nach der Windows-Firewall gefragt, weil ich annahm, das ließe sich dort bewerkstelligen und diese ist allgemein bekannt und ich könnte dann die Vorgehensweise auf den betreffenden Router übernehmen.
Gruß Tom
aqui, haben Provider nicht einen festen IP-Bereich, aus dem sie zur Verfügung stellen? Wenn man auf diesen Bereich einschränken würde?
Doch das haben sie. Aber diese weltweit rauszubekommen und einzutragen dafür reicht der Speicher nicht. Es sei denn du betreibst den Client nur an einer Handvoll vorhersehbarer Standorte und nicht mehr. Dann ist das natürlich problemlos machbar.
Zitat von @TomKrist:
aqui, haben Provider nicht einen festen IP-Bereich, aus dem sie zur Verfügung stellen? Wenn man auf diesen Bereich einschränken würde?
https://bgpview.io/asn/3320#prefixes-v4aqui, haben Provider nicht einen festen IP-Bereich, aus dem sie zur Verfügung stellen? Wenn man auf diesen Bereich einschränken würde?
Bringt dir aber nicht viel, wenn sich der Attacker dann per VPN einwählt und seinen Angriff startet ...
Wenn man öffentlich Dienste bereitstellt sollte man auch die Eier haben und das Wissen nutzen und das vernünftig abzusichern. "Security by obscurity" hat noch nie funktioniert. Vor allem nicht bei Windosen.
verstehe, doch komplexer als gedacht.
hacktor, aber wieso "Security by obscurity"?
Mein Ziel war regelhaft filtern, was ja nun mal der Sinn einer Firewall ist
Zitat von @TomKrist:
hacktor, aber wieso "Security by obscurity"?
Mein Ziel war regelhaft filtern, was ja nun mal der Sinn einer Firewall ist
Weil das einschränken auf Provider-Blocks auch nur ein Verstecken ist hacktor, aber wieso "Security by obscurity"?
Mein Ziel war regelhaft filtern, was ja nun mal der Sinn einer Firewall ist
. Ein Hacker besorgt sich dann per VPN eine IP aus dem Bereich und schon ist deine Firewall umgangen.Eine direkte Portweiterleitung auf einen Windows Server ist nun mal von Haus aus etwas was man generell vermeiden sollte. Der Server dahinter ist allem ausgesetzt was da so am Port alles ankommt ob DDOS oder Zero-Day, sollte einem bewusst sein.
Ok, hab verstanden. Also VPN.
Spricht was gegen einen integrierten VPN im Router, ein Router von Telekom?
Gruß Tom
Spricht was gegen einen integrierten VPN im Router, ein Router von Telekom?
Gruß Tom
Nein, VPNs m besten immer am Perimeter terminieren.
.
ein Router von Telekom?
Wenn einen der Würg-Reflex nicht stört .
1
Ok.
Dann besten Dank bis hier
Gruß Tom
Dann besten Dank bis hier
Gruß Tom
Wen einen der Würg-Reflex nicht stört
Treffender hätte man das nicht sagen können ! 🤣
Erst neulich wieder ein Telekom Opfer verarzten müssen. Der Kunde wollte nur Magenta TV abonnieren und den HDMI-Dongle für den Ferneher nutzen, und dem haben sie dann gleich einen neuen Router angedreht, weil der Hotliner ihm anscheinend gesagt hat das das mit anderen Routern als Speedport Smart nicht funktioniert ... jaaaa klar 
... what the fuck. Das sind doch ehrlich gesagt echte A-Löcher ... die da auf ihren Stangen hocken und den leuten was vom Pferd vorgackern.
... what the fuck. Das sind doch ehrlich gesagt echte A-Löcher ... die da auf ihren Stangen hocken und den leuten was vom Pferd vorgackern.
Ja, in der Tat...schlimm ! 
Zumal die Telekom groß und breit auf ihrer Webseite schreibt das man mit dem HDMI Dongle nichtmal im Telekom Netz sein muss. Die (Telekom) Welt wird immer dümmer...
Zumal die Telekom groß und breit auf ihrer Webseite schreibt das man mit dem HDMI Dongle nichtmal im Telekom Netz sein muss. Die (Telekom) Welt wird immer dümmer...
Fritzbox besser?
Ich lese gerade was von Portknocking, was haltet Ihr davon?
Lancom besser ?
Bintec besser ?
Cisco besser ?
Mikrotik besser ?
TP-Link besser ?
...
Bintec besser ?
Cisco besser ?
Mikrotik besser ?
TP-Link besser ?
...
Portknocking, was haltet Ihr davon?
Kann man machen, muss man aber nicht.
