Windows Server 2012 Firewall mit 2 Netzwerkkarten - Domain Profil, public Profil
Hi,
ich hab da so ein Gedankenexperiment...
Mal angenommen ich stell mir einen Root Server ins Netz mit einem Windows 2012 R2 , ActiveDirectory und 2 Netzwerkkarten.
1 Netzwerkkarte wird extern genannt und soll die Anbindung an das Internet sein
die andere Netzwerkkarte heißt "intern" und soll für weitere Root Server sein welche dann Domänen Members wären / werden.
zur Frage:
könnte man jetzt nich theoretisch in der Windows Server 2012 Firewall alle eingehenden regeln für das "öffentliche Profil" löschen oder deaktivieren?
--> einzig den RDP mach ich mir auf ne feste ip auf...
und der internen Karte gibt man das Profil "Domäne" und würde sie auf standard belassen? die interne ip wäre z.b. 192.168.10.10 und die weiteren server wären identisch aufgebaut
kann ich mir das dann so vorstellen das der Domänen relevante traffic automatisch über die interne Karte geht da er ja nur dort antwort bekommt?
und nein, eine Hardware Firewall davor setzen ist nicht möglich für das gedankenexperiment ;)
Gruß und danke für input / ideen
ich hab da so ein Gedankenexperiment...
Mal angenommen ich stell mir einen Root Server ins Netz mit einem Windows 2012 R2 , ActiveDirectory und 2 Netzwerkkarten.
1 Netzwerkkarte wird extern genannt und soll die Anbindung an das Internet sein
die andere Netzwerkkarte heißt "intern" und soll für weitere Root Server sein welche dann Domänen Members wären / werden.
zur Frage:
könnte man jetzt nich theoretisch in der Windows Server 2012 Firewall alle eingehenden regeln für das "öffentliche Profil" löschen oder deaktivieren?
--> einzig den RDP mach ich mir auf ne feste ip auf...
und der internen Karte gibt man das Profil "Domäne" und würde sie auf standard belassen? die interne ip wäre z.b. 192.168.10.10 und die weiteren server wären identisch aufgebaut
kann ich mir das dann so vorstellen das der Domänen relevante traffic automatisch über die interne Karte geht da er ja nur dort antwort bekommt?
und nein, eine Hardware Firewall davor setzen ist nicht möglich für das gedankenexperiment ;)
Gruß und danke für input / ideen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328947
Url: https://administrator.de/contentid/328947
Ausgedruckt am: 05.11.2024 um 19:11 Uhr
4 Kommentare
Neuester Kommentar
einen Root Server ins Netz mit einem Windows 2012 R2
Ganz schlechte Idee. Nur Dummies exponieren ein Windows OS direkt ins Internet. Kannst du dir gleich ausrechnen was da passiert.Die Windows interne Firewall ist keine um das System sicher zu schützen.
Theoretisch könntest du Recht haben aber du merkst am Konjunktiv in diesem Satz das dein TCP/IP Wissen nicht vorhanden ist oder du hast es schlicht und einfach ignorierst.
Du benötigst weitere Protokolle wie DNS, ARP, ICMP usw. zwingend zur Netzwerk Kommunikation. Sperrst du alles das aus ist auch nada mit RDP.
Wenn, dann könnte man Server und eine richtige SPI Firewall wie z.B. pfSense in einer VM laufen lassen und es so anbinden.
Dann hättest du wenigstens eine Firewall vor dem Server die den Namen auch verdient und wenigstens stateful ist.
Aber Firewalls gehören normalerweise nicht in VMs aus nachvollziehbaren Gründen.
Solche Designs sind generell laienhaft, denn man exponiert niemals das OS direkt im Internet. Wenn überhaupt dann schaltet man besagte Firewall davor, macht die komplett dicht außer für ein VPN wie z.B. IPsec und greift gesichert und verschlüsselt über ein VPN per RDP zu.
Das wäre state of the art und nicht so eine Frickelei wie oben.
und nein, eine Hardware Firewall davor setzen ist nicht möglich für das gedankenexperiment
War schon klar, deshalb auch der Vorschlag einer VM für die FW.kann ich mir das dann so vorstellen das der Domänen relevante traffic automatisch über die interne Karte
Nein, denn Winblows kann kein Policy oder Application based Routing.
Hallo,
Firewall oder den Router und den Server.
Gruß
Dobby
und nein, eine Hardware Firewall davor setzen ist nicht möglich für das gedankenexperiment ;)
Nimm eine pfSense Firewall oder einen MikroTik Router davor und eventuell noch einen Proxy Server zwischen dieFirewall oder den Router und den Server.
Gruß
Dobby