Windows Firewall: Alle öffentliche IPs sperren bis auf eine
Hallo,
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können und allen anderen soll der Zugriff verwährt werden. Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?
Vielen Dank im Voraus!
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können und allen anderen soll der Zugriff verwährt werden. Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 658275
Url: https://administrator.de/contentid/658275
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
bei den gängigen Firewalls gibt es für Regeln eine Reihenfolge.
Gruß,
Jörg
bei den gängigen Firewalls gibt es für Regeln eine Reihenfolge.
Gruß,
Jörg
Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
Falls der Webserver auch mit anderen Geräten spricht in einem privaten Netz, vergiss nicht auch diese IPs zu umschiffen nach dem selben Prinzip
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
Falls der Webserver auch mit anderen Geräten spricht in einem privaten Netz, vergiss nicht auch diese IPs zu umschiffen nach dem selben Prinzip
Zitat von @NetzwerkDude:
Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
Viel zu umständlich, in der Windows Firewall lassen sich natürlich Scopes mit Subnets oder auch einzelne IP Adressen definieren für welche die Inbound Regel gilt ...Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.
Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:
nehmen wir an deine öffentliche IP ist 100.110.120.130
Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255
nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.
https://i.imgur.com/Aq84P7t.png
Es reicht also die Stndard-Freigabe zu Port 80/443 durch eine Allow Regel mit entsprechender Source-IP Angabe zu ersetzen.
Gruß SK
Moin,
OK.
Das Büro befindet sich also an einem anderen Standort als der Server? Wo steht denn der Server? In Eurem RZ oder ist das eine Mietkiste bei $provider?
Gewähren aber verwehren. Aber das nur nebenbei.
Vernünftigerweise realsiert man sowas in der Firewall vor dem Server, indem man nur Pakete mit der gewünschten Quelladresse überhaupt zum Server durchlässt und schon vor dem "Betreten" des eigenen Netzes andere Pakete ablehnt.
<edit>Das ist mir gerade noch eingefallen. Wenn es in der externen FW nicht geht, weil Mietkiste, dann so:
https://www.c-sharpcorner.com/UploadFile/8d44fb/ip-address-and-domain-re ... </edit>
Liebe Grüße
Erik
OK.
Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können
Das Büro befindet sich also an einem anderen Standort als der Server? Wo steht denn der Server? In Eurem RZ oder ist das eine Mietkiste bei $provider?
und allen anderen soll der Zugriff verwährt werden.
Gewähren aber verwehren. Aber das nur nebenbei.
Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?
Vernünftigerweise realsiert man sowas in der Firewall vor dem Server, indem man nur Pakete mit der gewünschten Quelladresse überhaupt zum Server durchlässt und schon vor dem "Betreten" des eigenen Netzes andere Pakete ablehnt.
<edit>Das ist mir gerade noch eingefallen. Wenn es in der externen FW nicht geht, weil Mietkiste, dann so:
https://www.c-sharpcorner.com/UploadFile/8d44fb/ip-address-and-domain-re ... </edit>
Liebe Grüße
Erik
Hallo,
„gar nicht“
Es gibt keine IP-Adressen „aus Deutschland“
Es gibt zwar GeoIP-Dienste, welche eine gewisse regionale Zuordnung versprechen. Da sind jedoch so viele Unsicherheiten drin, dass Du es auch gleich sein lassen kannst.
Und, mal ehrlich: Nur weil ein Rechner in Deutschland steht, ist er noch lange nicht integer.
Wer kommt bei euch nur auf solche Ideen?!?
Gruß,
Jörg
„gar nicht“
Es gibt keine IP-Adressen „aus Deutschland“
Es gibt zwar GeoIP-Dienste, welche eine gewisse regionale Zuordnung versprechen. Da sind jedoch so viele Unsicherheiten drin, dass Du es auch gleich sein lassen kannst.
Und, mal ehrlich: Nur weil ein Rechner in Deutschland steht, ist er noch lange nicht integer.
Wer kommt bei euch nur auf solche Ideen?!?
Gruß,
Jörg
Kann man, aber dank VPNs können die Angriffe auch direkt aus Deutschland kommen, die Chinetzen tunneln nach DE und dann geht die Post von dort aus ab. Also besser gleich vernünftig absichern und zusätzlich bei Bedarf gleich ein VPN drum bauen.
GEOIP Blocking ist zwar schön und gut schützt aber heutzutage auch nicht mehr wirklich.
GEOIP Blocking ist zwar schön und gut schützt aber heutzutage auch nicht mehr wirklich.
Hallo,
die Frage ist, ob Du Computer ausschließen kannst, die in bestimmten Ländern stehen.
Und da lautet die Antwort ebenfalls „Nein“. Spätestens, wenn VPN o.Ä. genutzt werden.
Gruß,
Jörg
die Frage ist, ob Du Computer ausschließen kannst, die in bestimmten Ländern stehen.
Und da lautet die Antwort ebenfalls „Nein“. Spätestens, wenn VPN o.Ä. genutzt werden.
Gruß,
Jörg