neueradmuser
Goto Top

Windows Server 2012 Firewall mit 2 Netzwerkkarten - Domain Profil, public Profil

Hi,
ich hab da so ein Gedankenexperiment...

Mal angenommen ich stell mir einen Root Server ins Netz mit einem Windows 2012 R2 , ActiveDirectory und 2 Netzwerkkarten.
1 Netzwerkkarte wird extern genannt und soll die Anbindung an das Internet sein
die andere Netzwerkkarte heißt "intern" und soll für weitere Root Server sein welche dann Domänen Members wären / werden.

zur Frage:
könnte man jetzt nich theoretisch in der Windows Server 2012 Firewall alle eingehenden regeln für das "öffentliche Profil" löschen oder deaktivieren?
--> einzig den RDP mach ich mir auf ne feste ip auf...
und der internen Karte gibt man das Profil "Domäne" und würde sie auf standard belassen? die interne ip wäre z.b. 192.168.10.10 und die weiteren server wären identisch aufgebaut

kann ich mir das dann so vorstellen das der Domänen relevante traffic automatisch über die interne Karte geht da er ja nur dort antwort bekommt?

und nein, eine Hardware Firewall davor setzen ist nicht möglich für das gedankenexperiment ;)

Gruß und danke für input / ideen

Content-ID: 328947

Url: https://administrator.de/forum/windows-server-2012-firewall-mit-2-netzwerkkarten-domain-profil-public-profil-328947.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

aqui
aqui 09.02.2017 aktualisiert um 18:21:47 Uhr
Goto Top
einen Root Server ins Netz mit einem Windows 2012 R2
Ganz schlechte Idee. Nur Dummies exponieren ein Windows OS direkt ins Internet. Kannst du dir gleich ausrechnen was da passiert.
Die Windows interne Firewall ist keine um das System sicher zu schützen.
Theoretisch könntest du Recht haben aber du merkst am Konjunktiv in diesem Satz das dein TCP/IP Wissen nicht vorhanden ist oder du hast es schlicht und einfach ignorierst.
Du benötigst weitere Protokolle wie DNS, ARP, ICMP usw. zwingend zur Netzwerk Kommunikation. Sperrst du alles das aus ist auch nada mit RDP.
Wenn, dann könnte man Server und eine richtige SPI Firewall wie z.B. pfSense in einer VM laufen lassen und es so anbinden.
Dann hättest du wenigstens eine Firewall vor dem Server die den Namen auch verdient und wenigstens stateful ist.
Aber Firewalls gehören normalerweise nicht in VMs aus nachvollziehbaren Gründen.
Solche Designs sind generell laienhaft, denn man exponiert niemals das OS direkt im Internet. Wenn überhaupt dann schaltet man besagte Firewall davor, macht die komplett dicht außer für ein VPN wie z.B. IPsec und greift gesichert und verschlüsselt über ein VPN per RDP zu.
Das wäre state of the art und nicht so eine Frickelei wie oben.
und nein, eine Hardware Firewall davor setzen ist nicht möglich für das gedankenexperiment
War schon klar, deshalb auch der Vorschlag einer VM für die FW.
kann ich mir das dann so vorstellen das der Domänen relevante traffic automatisch über die interne Karte
Nein, denn Winblows kann kein Policy oder Application based Routing.
neueradmuser
neueradmuser 09.02.2017 um 18:27:29 Uhr
Goto Top
hi aqui,
also kann man unterm strich sagen das rootserver mit direkter server installation rotz sind?
für mich hört es sich jetzt halt so an das ich mindestens eine pfsense in einer vm installieren müßte, daneben den server 2012 und dem server 2012 sagen müßte --> alles geht durch pfsense

verhält sich das anders wenn ich auf dem server lediglich einen IIS installieren würde?
weil wenn "nein", dann machen rootserver sowie auch cloudserver aus meiner sicht jetzt irgendwie nicht soviel sinn *grübel*

oder ich übersehe einfach das ausschlaggebende Kriterium für die dinger


Gruß
nighthawk1981
nighthawk1981 09.02.2017 um 20:49:03 Uhr
Goto Top
Hi,

ehm unter einem IIS läuft ein Windows als Betriebssytem, also wärst du wieder beim Ausgangspunkt.

Gruß


P.S tausch mal deine Tastatur, deine Shift Taste schein kaputt zu sein
108012
108012 10.02.2017 um 01:32:35 Uhr
Goto Top
Hallo,

und nein, eine Hardware Firewall davor setzen ist nicht möglich für das gedankenexperiment ;)
Nimm eine pfSense Firewall oder einen MikroTik Router davor und eventuell noch einen Proxy Server zwischen die
Firewall oder den Router und den Server.

Gruß
Dobby