Windows Firewall: Alle öffentliche IPs sperren bis auf eine

Mitglied: SabSchap

SabSchap (Level 1) - Jetzt verbinden

03.03.2021 um 21:06 Uhr, 874 Aufrufe, 12 Kommentare

Hallo,
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können und allen anderen soll der Zugriff verwährt werden. Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?

Vielen Dank im Voraus!
Mitglied: altmetaller
03.03.2021 um 22:02 Uhr
Hallo,

bei den gängigen Firewalls gibt es für Regeln eine Reihenfolge.

Gruß,
Jörg
Bitte warten ..
Mitglied: lcer00
04.03.2021 um 07:31 Uhr
Hallo,

verrate uns doch mal, wie das genau aussehen soll? Wo steht der Server? Soll lokal oder aus dem Internet darauf zugegriffen werden? Welche Firewalls sind vor / nach dem Server?

Für Zugriffe innerhalb eines Firmennetzwerks mit mehreren Standorten nutzt man besser VPN.

Grüße

lcer
Bitte warten ..
Mitglied: NetzwerkDude
04.03.2021 um 07:32 Uhr
Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.

Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:

nehmen wir an deine öffentliche IP ist 100.110.120.130

Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255

nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.

Falls der Webserver auch mit anderen Geräten spricht in einem privaten Netz, vergiss nicht auch diese IPs zu umschiffen nach dem selben Prinzip
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
04.03.2021, aktualisiert um 07:51 Uhr
Zitat von @NetzwerkDude:

Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.

Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:

nehmen wir an deine öffentliche IP ist 100.110.120.130

Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255

nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.


Viel zu umständlich, in der Windows Firewall lassen sich natürlich Scopes mit Subnets oder auch einzelne IP Adressen definieren für welche die Inbound Regel gilt ...
https://i.imgur.com/Aq84P7t.png
Es reicht also die Stndard-Freigabe zu Port 80/443 durch eine Allow Regel mit entsprechender Source-IP Angabe zu ersetzen.


Gruß SK
Bitte warten ..
Mitglied: NetzwerkDude
04.03.2021 um 08:05 Uhr
Stimmt, hab vergessen das es nur ein webdienst ist mit bestimmten ports
Bitte warten ..
Mitglied: NordicMike
04.03.2021, aktualisiert um 08:20 Uhr
Ich hoffe dieser 2019 Server ist nicht direkt im Internet ohne eine Firewall davor (an dieser wird die eine öffentliche IP durchgelassen)? Die Windows eigene Firewall ist kein Schutz dafür.
Bitte warten ..
Mitglied: erikro
04.03.2021, aktualisiert um 16:36 Uhr
Moin,

Zitat von @SabSchap:
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver.

OK.

Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können

Das Büro befindet sich also an einem anderen Standort als der Server? Wo steht denn der Server? In Eurem RZ oder ist das eine Mietkiste bei $provider?

und allen anderen soll der Zugriff verwährt werden.

Gewähren aber verwehren. Aber das nur nebenbei. ;-) face-wink

Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?

Vernünftigerweise realsiert man sowas in der Firewall vor dem Server, indem man nur Pakete mit der gewünschten Quelladresse überhaupt zum Server durchlässt und schon vor dem "Betreten" des eigenen Netzes andere Pakete ablehnt.

<edit>Das ist mir gerade noch eingefallen. Wenn es in der externen FW nicht geht, weil Mietkiste, dann so:
https://www.c-sharpcorner.com/UploadFile/8d44fb/ip-address-and-domain-re ... </edit>

Liebe Grüße

Erik
Bitte warten ..
Mitglied: SabSchap
22.03.2021 um 09:17 Uhr
Hallo, vielen Dank für Eure zahlreichen Kommentare.
Der Server steht bei einem Provider. Mietkiste, so habt ihr das schön ausgedrückt. Ich komme also nicht auf die Firewall davor drauf.
Er soll dann demnächst zu uns uns ins interne Netz wandern.
Nun haben sich die Umstände ein wenig geändert, da unsere Kunden doch noch teilweise darauf zugreifen sollen bzw. auf die Webanwendung.
Daher möchten wir gern zumindest etwaige Angriffe einschränken, indem wir nur IP-Adressen aus Deutschland darauf zugreifen lassen wollen.

Wie kann man das am Sinnvollsten umsetzen?
Bitte warten ..
Mitglied: altmetaller
22.03.2021 um 09:23 Uhr
Hallo,

„gar nicht“

Es gibt keine IP-Adressen „aus Deutschland“

Es gibt zwar GeoIP-Dienste, welche eine gewisse regionale Zuordnung versprechen. Da sind jedoch so viele Unsicherheiten drin, dass Du es auch gleich sein lassen kannst.

Und, mal ehrlich: Nur weil ein Rechner in Deutschland steht, ist er noch lange nicht integer.

Wer kommt bei euch nur auf solche Ideen?!?

Gruß,
Jörg
Bitte warten ..
Mitglied: SabSchap
22.03.2021 um 09:57 Uhr
Ok. Kann ich denn IP's aus bestimmten Ländern ausschließen?
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
22.03.2021, aktualisiert um 10:33 Uhr
Zitat von @SabSchap:

Ok. Kann ich denn IP's aus bestimmten Ländern ausschließen?
Kann man, aber dank VPNs können die Angriffe auch direkt aus Deutschland kommen, die Chinetzen tunneln nach DE und dann geht die Post von dort aus ab. Also besser gleich vernünftig absichern und zusätzlich bei Bedarf gleich ein VPN drum bauen.
GEOIP Blocking ist zwar schön und gut schützt aber heutzutage auch nicht mehr wirklich.
Bitte warten ..
Mitglied: altmetaller
22.03.2021 um 10:26 Uhr
Hallo,

die Frage ist, ob Du Computer ausschließen kannst, die in bestimmten Ländern stehen.

Und da lautet die Antwort ebenfalls „Nein“. Spätestens, wenn VPN o.Ä. genutzt werden.

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 23 StundenFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...