12
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
Hallo,
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können und allen anderen soll der Zugriff verwährt werden. Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?
Vielen Dank im Voraus!
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können und allen anderen soll der Zugriff verwährt werden. Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?
Vielen Dank im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 658275
Url: https://administrator.de/contentid/658275
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
bei den gängigen Firewalls gibt es für Regeln eine Reihenfolge.
Gruß,
Jörg
bei den gängigen Firewalls gibt es für Regeln eine Reihenfolge.
Gruß,
Jörg
Hallo,
verrate uns doch mal, wie das genau aussehen soll? Wo steht der Server? Soll lokal oder aus dem Internet darauf zugegriffen werden? Welche Firewalls sind vor / nach dem Server?
Für Zugriffe innerhalb eines Firmennetzwerks mit mehreren Standorten nutzt man besser VPN.
Grüße
lcer
verrate uns doch mal, wie das genau aussehen soll? Wo steht der Server? Soll lokal oder aus dem Internet darauf zugegriffen werden? Welche Firewalls sind vor / nach dem Server?
Für Zugriffe innerhalb eines Firmennetzwerks mit mehreren Standorten nutzt man besser VPN.
Grüße
lcer
Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
Falls der Webserver auch mit anderen Geräten spricht in einem privaten Netz, vergiss nicht auch diese IPs zu umschiffen nach dem selben Prinzip
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
Falls der Webserver auch mit anderen Geräten spricht in einem privaten Netz, vergiss nicht auch diese IPs zu umschiffen nach dem selben Prinzip
Zitat von @NetzwerkDude:
Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
Viel zu umständlich, in der Windows Firewall lassen sich natürlich Scopes mit Subnets oder auch einzelne IP Adressen definieren für welche die Inbound Regel gilt ...Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
https://i.imgur.com/Aq84P7t.png
Es reicht also die Stndard-Freigabe zu Port 80/443 durch eine Allow Regel mit entsprechender Source-IP Angabe zu ersetzen.
Gruß SK
Stimmt, hab vergessen das es nur ein webdienst ist mit bestimmten ports
Ich hoffe dieser 2019 Server ist nicht direkt im Internet ohne eine Firewall davor (an dieser wird die eine öffentliche IP durchgelassen)? Die Windows eigene Firewall ist kein Schutz dafür.
Moin,
OK.
Das Büro befindet sich also an einem anderen Standort als der Server? Wo steht denn der Server? In Eurem RZ oder ist das eine Mietkiste bei $provider?
Gewähren aber verwehren. Aber das nur nebenbei.
Vernünftigerweise realsiert man sowas in der Firewall vor dem Server, indem man nur Pakete mit der gewünschten Quelladresse überhaupt zum Server durchlässt und schon vor dem "Betreten" des eigenen Netzes andere Pakete ablehnt.
<edit>Das ist mir gerade noch eingefallen. Wenn es in der externen FW nicht geht, weil Mietkiste, dann so:
https://www.c-sharpcorner.com/UploadFile/8d44fb/ip-address-and-domain-re ... </edit>
Liebe Grüße
Erik
OK.
Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können
Das Büro befindet sich also an einem anderen Standort als der Server? Wo steht denn der Server? In Eurem RZ oder ist das eine Mietkiste bei $provider?
und allen anderen soll der Zugriff verwährt werden.
Gewähren aber verwehren. Aber das nur nebenbei.
Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?
Vernünftigerweise realsiert man sowas in der Firewall vor dem Server, indem man nur Pakete mit der gewünschten Quelladresse überhaupt zum Server durchlässt und schon vor dem "Betreten" des eigenen Netzes andere Pakete ablehnt.
<edit>Das ist mir gerade noch eingefallen. Wenn es in der externen FW nicht geht, weil Mietkiste, dann so:
https://www.c-sharpcorner.com/UploadFile/8d44fb/ip-address-and-domain-re ... </edit>
Liebe Grüße
Erik
Hallo, vielen Dank für Eure zahlreichen Kommentare.
Der Server steht bei einem Provider. Mietkiste, so habt ihr das schön ausgedrückt. Ich komme also nicht auf die Firewall davor drauf.
Er soll dann demnächst zu uns uns ins interne Netz wandern.
Nun haben sich die Umstände ein wenig geändert, da unsere Kunden doch noch teilweise darauf zugreifen sollen bzw. auf die Webanwendung.
Daher möchten wir gern zumindest etwaige Angriffe einschränken, indem wir nur IP-Adressen aus Deutschland darauf zugreifen lassen wollen.
Wie kann man das am Sinnvollsten umsetzen?
Der Server steht bei einem Provider. Mietkiste, so habt ihr das schön ausgedrückt. Ich komme also nicht auf die Firewall davor drauf.
Er soll dann demnächst zu uns uns ins interne Netz wandern.
Nun haben sich die Umstände ein wenig geändert, da unsere Kunden doch noch teilweise darauf zugreifen sollen bzw. auf die Webanwendung.
Daher möchten wir gern zumindest etwaige Angriffe einschränken, indem wir nur IP-Adressen aus Deutschland darauf zugreifen lassen wollen.
Wie kann man das am Sinnvollsten umsetzen?
Hallo,
„gar nicht“
Es gibt keine IP-Adressen „aus Deutschland“
Es gibt zwar GeoIP-Dienste, welche eine gewisse regionale Zuordnung versprechen. Da sind jedoch so viele Unsicherheiten drin, dass Du es auch gleich sein lassen kannst.
Und, mal ehrlich: Nur weil ein Rechner in Deutschland steht, ist er noch lange nicht integer.
Wer kommt bei euch nur auf solche Ideen?!?
Gruß,
Jörg
„gar nicht“
Es gibt keine IP-Adressen „aus Deutschland“
Es gibt zwar GeoIP-Dienste, welche eine gewisse regionale Zuordnung versprechen. Da sind jedoch so viele Unsicherheiten drin, dass Du es auch gleich sein lassen kannst.
Und, mal ehrlich: Nur weil ein Rechner in Deutschland steht, ist er noch lange nicht integer.
Wer kommt bei euch nur auf solche Ideen?!?
Gruß,
Jörg
Ok. Kann ich denn IP's aus bestimmten Ländern ausschließen?
Kann man, aber dank VPNs können die Angriffe auch direkt aus Deutschland kommen, die Chinetzen tunneln nach DE und dann geht die Post von dort aus ab. Also besser gleich vernünftig absichern und zusätzlich bei Bedarf gleich ein VPN drum bauen.
GEOIP Blocking ist zwar schön und gut schützt aber heutzutage auch nicht mehr wirklich.
GEOIP Blocking ist zwar schön und gut schützt aber heutzutage auch nicht mehr wirklich.
Hallo,
die Frage ist, ob Du Computer ausschließen kannst, die in bestimmten Ländern stehen.
Und da lautet die Antwort ebenfalls „Nein“. Spätestens, wenn VPN o.Ä. genutzt werden.
Gruß,
Jörg
die Frage ist, ob Du Computer ausschließen kannst, die in bestimmten Ländern stehen.
Und da lautet die Antwort ebenfalls „Nein“. Spätestens, wenn VPN o.Ä. genutzt werden.
Gruß,
Jörg
