sabschap
Goto Top

Windows Firewall: Alle öffentliche IPs sperren bis auf eine

Hallo,
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können und allen anderen soll der Zugriff verwährt werden. Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?

Vielen Dank im Voraus!

Content-ID: 658275

Url: https://administrator.de/contentid/658275

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

117471
117471 03.03.2021 um 22:02:05 Uhr
Goto Top
Hallo,

bei den gängigen Firewalls gibt es für Regeln eine Reihenfolge.

Gruß,
Jörg
lcer00
lcer00 04.03.2021 um 07:31:28 Uhr
Goto Top
Hallo,

verrate uns doch mal, wie das genau aussehen soll? Wo steht der Server? Soll lokal oder aus dem Internet darauf zugegriffen werden? Welche Firewalls sind vor / nach dem Server?

Für Zugriffe innerhalb eines Firmennetzwerks mit mehreren Standorten nutzt man besser VPN.

Grüße

lcer
NetzwerkDude
NetzwerkDude 04.03.2021 um 07:32:13 Uhr
Goto Top
Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.

Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:

nehmen wir an deine öffentliche IP ist 100.110.120.130

Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255

nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.

Falls der Webserver auch mit anderen Geräten spricht in einem privaten Netz, vergiss nicht auch diese IPs zu umschiffen nach dem selben Prinzip
147669
147669 04.03.2021 aktualisiert um 07:51:37 Uhr
Goto Top
Zitat von @NetzwerkDude:

Die Windows Desktopfirewall ist leider etwas primitiv, da Sie "flach" - also keine Reihenfolge kennt.

Lösung: Du machst eine Deny Rule "um die zu erlaubende IP" herum, also:

nehmen wir an deine öffentliche IP ist 100.110.120.130

Nun blockst du IPs von 0.0.0.0 bis 100.110.120.129 und von 100.110.120.131 bis 255.255.255.255

nicht elegant, nicht übersichtlich, aber wenn man nur mit der win-desktop firewall arbeiten kann, gehts vermutlich nur so.


Viel zu umständlich, in der Windows Firewall lassen sich natürlich Scopes mit Subnets oder auch einzelne IP Adressen definieren für welche die Inbound Regel gilt ...
https://i.imgur.com/Aq84P7t.png
Es reicht also die Stndard-Freigabe zu Port 80/443 durch eine Allow Regel mit entsprechender Source-IP Angabe zu ersetzen.


Gruß SK
NetzwerkDude
NetzwerkDude 04.03.2021 um 08:05:51 Uhr
Goto Top
Stimmt, hab vergessen das es nur ein webdienst ist mit bestimmten ports
NordicMike
NordicMike 04.03.2021 aktualisiert um 08:20:35 Uhr
Goto Top
Ich hoffe dieser 2019 Server ist nicht direkt im Internet ohne eine Firewall davor (an dieser wird die eine öffentliche IP durchgelassen)? Die Windows eigene Firewall ist kein Schutz dafür.
erikro
erikro 04.03.2021 aktualisiert um 16:36:23 Uhr
Goto Top
Moin,

Zitat von @SabSchap:
wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver.

OK.

Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen IP's sperren. Nur unsere externe IP soll auf die Webseite zugreifen können. Also also Mitarbeiter aus dem Büro sollen die Webseite nutzen können

Das Büro befindet sich also an einem anderen Standort als der Server? Wo steht denn der Server? In Eurem RZ oder ist das eine Mietkiste bei $provider?

und allen anderen soll der Zugriff verwährt werden.

Gewähren aber verwehren. Aber das nur nebenbei. face-wink

Wie kann ich dies genau umsetzen? Ich nehme an, durch eine eingehende Regel, IP Adresse X zulassen. Aber wie sperren ich ALLE anderen aus?

Vernünftigerweise realsiert man sowas in der Firewall vor dem Server, indem man nur Pakete mit der gewünschten Quelladresse überhaupt zum Server durchlässt und schon vor dem "Betreten" des eigenen Netzes andere Pakete ablehnt.

<edit>Das ist mir gerade noch eingefallen. Wenn es in der externen FW nicht geht, weil Mietkiste, dann so:
https://www.c-sharpcorner.com/UploadFile/8d44fb/ip-address-and-domain-re ... </edit>

Liebe Grüße

Erik
SabSchap
SabSchap 22.03.2021 um 09:17:04 Uhr
Goto Top
Hallo, vielen Dank für Eure zahlreichen Kommentare.
Der Server steht bei einem Provider. Mietkiste, so habt ihr das schön ausgedrückt. Ich komme also nicht auf die Firewall davor drauf.
Er soll dann demnächst zu uns uns ins interne Netz wandern.
Nun haben sich die Umstände ein wenig geändert, da unsere Kunden doch noch teilweise darauf zugreifen sollen bzw. auf die Webanwendung.
Daher möchten wir gern zumindest etwaige Angriffe einschränken, indem wir nur IP-Adressen aus Deutschland darauf zugreifen lassen wollen.

Wie kann man das am Sinnvollsten umsetzen?
117471
117471 22.03.2021 um 09:23:18 Uhr
Goto Top
Hallo,

„gar nicht“

Es gibt keine IP-Adressen „aus Deutschland“

Es gibt zwar GeoIP-Dienste, welche eine gewisse regionale Zuordnung versprechen. Da sind jedoch so viele Unsicherheiten drin, dass Du es auch gleich sein lassen kannst.

Und, mal ehrlich: Nur weil ein Rechner in Deutschland steht, ist er noch lange nicht integer.

Wer kommt bei euch nur auf solche Ideen?!?

Gruß,
Jörg
SabSchap
SabSchap 22.03.2021 um 09:57:06 Uhr
Goto Top
Ok. Kann ich denn IP's aus bestimmten Ländern ausschließen?
147669
147669 22.03.2021 aktualisiert um 10:33:59 Uhr
Goto Top
Zitat von @SabSchap:

Ok. Kann ich denn IP's aus bestimmten Ländern ausschließen?
Kann man, aber dank VPNs können die Angriffe auch direkt aus Deutschland kommen, die Chinetzen tunneln nach DE und dann geht die Post von dort aus ab. Also besser gleich vernünftig absichern und zusätzlich bei Bedarf gleich ein VPN drum bauen.
GEOIP Blocking ist zwar schön und gut schützt aber heutzutage auch nicht mehr wirklich.
117471
117471 22.03.2021 um 10:26:39 Uhr
Goto Top
Hallo,

die Frage ist, ob Du Computer ausschließen kannst, die in bestimmten Ländern stehen.

Und da lautet die Antwort ebenfalls „Nein“. Spätestens, wenn VPN o.Ä. genutzt werden.

Gruß,
Jörg