10.07.2025
2268
9
0Erlauben und verbieten Windows Firewall
Hallo!
Ich versuche eine Ausnahme für eine Windows-Firewall-Regeln zu stellen.
Generell soll die Verbindung zu einem bestimmten Host verboten sein, nur ein bestimmtes Programm soll es dennoch dürfen.
So weit ich gelesen habe, ist die Windows Firewall keine richtige ausgestattete Firewall. Regelreihenfolgen gibt es nicht.
Wahrscheinlich klappt mein Vorhaben gar nicht.
Die Verbotsregel ist sehr weit gefasst, die Erlaubnis ist auf ein Programm gesetzt, dazu noch Ziel und Quellport, in der Hoffnung,dass diese Regel Vorrang bekommen würde....sieht aber nicht so aus...
Ich versuche eine Ausnahme für eine Windows-Firewall-Regeln zu stellen.
Generell soll die Verbindung zu einem bestimmten Host verboten sein, nur ein bestimmtes Programm soll es dennoch dürfen.
So weit ich gelesen habe, ist die Windows Firewall keine richtige ausgestattete Firewall. Regelreihenfolgen gibt es nicht.
Wahrscheinlich klappt mein Vorhaben gar nicht.
Die Verbotsregel ist sehr weit gefasst, die Erlaubnis ist auf ein Programm gesetzt, dazu noch Ziel und Quellport, in der Hoffnung,dass diese Regel Vorrang bekommen würde....sieht aber nicht so aus...
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673793
Url: https://administrator.de/forum/windows-firewall-ausnahme-regeln-673793.html
Ausgedruckt am: 15.07.2025 um 23:07 Uhr
9 Kommentare
Neuester Kommentar
learn.microsoft.com/en-us/windows/security/operating-system-secu ...
Rule precedence for inbound and outbound rules
In many cases, allowing specific types of inbound traffic is required for applications to function in the network. Administrators should keep the following rule precedence behaviors in mind when configuring inbound exceptions:
1. Explicitly defined allow rules take precedence over the default block setting.
2. Explicit block rules take precedence over any conflicting allow rules.
3. More specific rules take precedence over less specific rules, except if there are explicit block rules as mentioned in 2. For example, if the parameters of rule 1 include an IP address range, while the parameters of rule 2 include a single IP host address, rule 2 takes precedence.
In many cases, allowing specific types of inbound traffic is required for applications to function in the network. Administrators should keep the following rule precedence behaviors in mind when configuring inbound exceptions:
1. Explicitly defined allow rules take precedence over the default block setting.
2. Explicit block rules take precedence over any conflicting allow rules.
3. More specific rules take precedence over less specific rules, except if there are explicit block rules as mentioned in 2. For example, if the parameters of rule 1 include an IP address range, while the parameters of rule 2 include a single IP host address, rule 2 takes precedence.
2
Kenne ich, geht's mal detaillierter?
Genauere Regeln gehen vor ungenaueren Regeln?
Genauere Regeln gehen vor ungenaueren Regeln?
geht's mal detaillierter?
Oh Mann, der war gut.@BiberMan hat doch etwas fett gedruckt, das lies mal: Explizite Verbote, also z.B. ausgehender Verkehr zu IP... haben Vorrang gegenüber allen anderen damit in Konflikt stehenden Regeln. Unter Konflikt fällt auch deine gewünschte Ausnahme.
Das einzige was möglich wäre: ausgehenden Verkehr generell verbieten und jegliche Erlaubnisse als extra-Regeln aufstellen. Das ginge, da 1. greift: " Explicitly defined allow rules take precedence over the default block setting."
2
Natürlich war der gut!
Wenn man eine ordentliche Firewall von Linux gewöhnt ist, irritiert die MS-Doku nur!
Da denkt man sich dauernd: WTF!
Wenn man eine ordentliche Firewall von Linux gewöhnt ist, irritiert die MS-Doku nur!
Da denkt man sich dauernd: WTF!
2
Englisch, ... schwere Sprache 😂
1
ja was ist eine explicit block rule oder eine more explicit block rule...?
Das letztere hast du dir selbst zusammengereimt das steht da nicht, Achte auf den exakten Wortlaut.
Also nochmal auf Deutsch:
Regel NR.1 besagt, das eine Allow- Regel die definierte Standard-Regel des Firewall-Profils übersteuert.
Regel NR. 2 besagt, das Block-Regeln immer bestehende Allow-Regeln übersteuern.
Regel NR. 3 besagt, das spezifischere Allow-Regeln unspezifischere Regeln übersteuern. Dies gilt aber nur wenn keine Block-Regel dafür existiert, denn nach Regel NR. 2 übersteuern Block-Regeln ja immer die Allow-Regeln.
Spezifischere Regeln bedeuten das eine Regel mit mehr Kriterien eingeschränkt wird als eine andere.
Bsp. Es existiert eine Regel mit IP-Adresse und Port , und eine Regel nur mit einer IP-Adresse aber ohne Port. In diesem Fall wird also nur die erste Regel angewendet welche den zusätzlichen Port enthält aber nur sofern beide Regeln auf den Traffic zutreffen würden.
Hoffe das war jetzt klar
Also nochmal auf Deutsch:
Regel NR.1 besagt, das eine Allow- Regel die definierte Standard-Regel des Firewall-Profils übersteuert.
Regel NR. 2 besagt, das Block-Regeln immer bestehende Allow-Regeln übersteuern.
Regel NR. 3 besagt, das spezifischere Allow-Regeln unspezifischere Regeln übersteuern. Dies gilt aber nur wenn keine Block-Regel dafür existiert, denn nach Regel NR. 2 übersteuern Block-Regeln ja immer die Allow-Regeln.
Spezifischere Regeln bedeuten das eine Regel mit mehr Kriterien eingeschränkt wird als eine andere.
Bsp. Es existiert eine Regel mit IP-Adresse und Port , und eine Regel nur mit einer IP-Adresse aber ohne Port. In diesem Fall wird also nur die erste Regel angewendet welche den zusätzlichen Port enthält aber nur sofern beide Regeln auf den Traffic zutreffen würden.
Hoffe das war jetzt klar
2
Ansonsten gibt es auch aufgesetzte Tools: binisoft.org/wfc
ACHTUNG: hab ich selber nicht getestet! Lese da auch keinen Preis.
Ziel ist es wohl auch, wie bei den guten alten Firwalls wie Sygate früher über GUI Interaktion schnell zum Erfolg zu kommen.
Wenn es natürlich Regeln zerschießt u.ä. kann es theoretisch mehr Schaden als nutzen. Aber der Vollständigkeit halber einmal erwähnt!
ACHTUNG: hab ich selber nicht getestet! Lese da auch keinen Preis.
Ziel ist es wohl auch, wie bei den guten alten Firwalls wie Sygate früher über GUI Interaktion schnell zum Erfolg zu kommen.
Wenn es natürlich Regeln zerschießt u.ä. kann es theoretisch mehr Schaden als nutzen. Aber der Vollständigkeit halber einmal erwähnt!
Nach Zusatzsoftware hatte ich schon geguckt, hilft mir nicht wirklich.
Im Moment habe ich ein Firewallscript, das kann ich schön mit einer GPO verteilen.
Ich hatte überlegt, nur die Windowsdienste zu blocken, dass kann die Windows-FW mit Bordmitteln.
Es geht ja nur darum, das nach Hause telefonieren abzustellen.
Oder nach User blocken....
Im Moment habe ich ein Firewallscript, das kann ich schön mit einer GPO verteilen.
Ich hatte überlegt, nur die Windowsdienste zu blocken, dass kann die Windows-FW mit Bordmitteln.
Es geht ja nur darum, das nach Hause telefonieren abzustellen.
Oder nach User blocken....
