Windwos-Firewall mit einigen Ausnahmen?
Hallo,
Situation:
ein paar Clients sollen nur surfen dürfen - d.h. also von und zu Public-IPs alles dürfen im Internet
für private IPs im Bereich 192.168.x.x sollen die gar nichts dürfen - d.h. also keinen anderen Rechner erreichen und darauf zugreifen - nichtmal ein PING rausschicken.
Problem:
das für alle verfügbare NAS, der Domain-Controller und das Personal-Anmelde-System liegen leider auch hinter solchen IPs und müssen erreichbar sein, d.h. dafür wird für eine Ausnahme gebraucht.
Lässt sich das irgendwie der normalen Windows-10 Firewall beibringen so auf die Art
192.168.0.0/24 komplett sperren außer für
192.168.0.3
192.168.0.4
192.168.0.5
LG,
Holliknolli
Situation:
ein paar Clients sollen nur surfen dürfen - d.h. also von und zu Public-IPs alles dürfen im Internet
für private IPs im Bereich 192.168.x.x sollen die gar nichts dürfen - d.h. also keinen anderen Rechner erreichen und darauf zugreifen - nichtmal ein PING rausschicken.
Problem:
das für alle verfügbare NAS, der Domain-Controller und das Personal-Anmelde-System liegen leider auch hinter solchen IPs und müssen erreichbar sein, d.h. dafür wird für eine Ausnahme gebraucht.
Lässt sich das irgendwie der normalen Windows-10 Firewall beibringen so auf die Art
192.168.0.0/24 komplett sperren außer für
192.168.0.3
192.168.0.4
192.168.0.5
LG,
Holliknolli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 489745
Url: https://administrator.de/forum/windwos-firewall-mit-einigen-ausnahmen-489745.html
Ausgedruckt am: 02.04.2025 um 06:04 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Was denn nun? Sie sollen nur surfen oder alles dürfen? Das Internet ist viel mehr als das WWW.
Also sollen sie doch auf andere Rechner zugreifen dürfen.
Ja, aber das wäre mir viel zu aufwendig und zu unsicher. Besser wäre eine Lösung mit VLANs:
VLAN 10 - Server
VLAN 20 - trusted clients
VLAN 30 - untrusted clients
Dann ein Router und eine FW zwischen die VLANs und Du hast volle Kontrolle über den Traffic zwischen den Netzen. Dann kannst Du jeglichen Traffic zwischen trusted und untrusted clients unterbinden, indem Du einfach keine Route zwischen den beiden Netzen definierst. Sollten da noch andere Server im Spiel sein, auf die kein Zugriff erfolgen soll, dann kommen die halt entweder in der VLAN 20 oder besser Du baust noch ein viertes.
hth
Erik
Zitat von @holliknolli:
Situation:
ein paar Clients sollen nur surfen dürfen - d.h. also von und zu Public-IPs alles dürfen im Internet
Situation:
ein paar Clients sollen nur surfen dürfen - d.h. also von und zu Public-IPs alles dürfen im Internet
Was denn nun? Sie sollen nur surfen oder alles dürfen? Das Internet ist viel mehr als das WWW.
für private IPs im Bereich 192.168.x.x sollen die gar nichts dürfen - d.h. also keinen anderen Rechner erreichen und darauf zugreifen - nichtmal ein PING rausschicken.
Problem:
das für alle verfügbare NAS, der Domain-Controller und das Personal-Anmelde-System liegen leider auch hinter solchen IPs und müssen erreichbar sein, d.h. dafür wird für eine Ausnahme gebraucht.
Problem:
das für alle verfügbare NAS, der Domain-Controller und das Personal-Anmelde-System liegen leider auch hinter solchen IPs und müssen erreichbar sein, d.h. dafür wird für eine Ausnahme gebraucht.
Also sollen sie doch auf andere Rechner zugreifen dürfen.
Lässt sich das irgendwie der normalen Windows-10 Firewall beibringen so auf die Art
Ja, aber das wäre mir viel zu aufwendig und zu unsicher. Besser wäre eine Lösung mit VLANs:
VLAN 10 - Server
VLAN 20 - trusted clients
VLAN 30 - untrusted clients
Dann ein Router und eine FW zwischen die VLANs und Du hast volle Kontrolle über den Traffic zwischen den Netzen. Dann kannst Du jeglichen Traffic zwischen trusted und untrusted clients unterbinden, indem Du einfach keine Route zwischen den beiden Netzen definierst. Sollten da noch andere Server im Spiel sein, auf die kein Zugriff erfolgen soll, dann kommen die halt entweder in der VLAN 20 oder besser Du baust noch ein viertes.
hth
Erik

Das "kann" man machen, wäre aber ehrlich gesagt Anfänger-Gefrickel, würde auch dringend zu VLANs raten! Entweder das oder einen transparenten Proxy dazwischen schalten dann sind Konfigurationsmaßnahmen auf Clients überflüssig. Solche einschränkenden Maßnahmen tätigt man niemals am Client, sondern an einer übergeordneten Instanz!
Auch wenn ich ich es unbedingt vermeiden würde machbar ist es, Grundlegende Regeln:
da mehrere Switches in unterschiedlichen Stockwerken auf unterschiedlichen Ports.
Dafür tag't man VLANS ja zwischen Switches auf den entsprechenden Ports dann ist auch das problemlos möglich. Jetzt sag nicht das ihr da einen "Unmanaged-Switch-Tannenbaum" betreibt?!Auch wenn ich ich es unbedingt vermeiden würde machbar ist es, Grundlegende Regeln:
# GET CURRENT GW AND DNS IPs
$activenet = Get-NetIPConfiguration | ?{$_.Netadapter.Status -eq 'up' -and $_.IPv4DefaultGateway.Nexthop -ne $null}
$GATEWAY = $activenet.IPv4DefaultGateway.Nexthop
$DNSSERVERS = $activenet.DNSServer.ServerAddresses
# DEFAULT OUTBOUND MODE OF PROFILES TO BLOCK
Get-NetFirewallProfile | Set-NetFirewallProfile -DefaultOutboundAction Block
# REMOVE INBOUND RULES
Get-NetFirewallRule -Direction Inbound -EA SilentlyContinue | Remove-NetFirewallRule
# REMOVE OUTBOUND RULES
Get-NetFirewallRule -Direction Outbound -EA SilentlyContinue | Remove-NetFirewallRule
# CREATE OUTBOUND RULES ##############################################################
# CREATE DNS ACCESS EXCEPTIONS
$DNSSERVERS | %{
New-NetFirewallRule -Displayname "ALLOW_DNS_TO_GW_TCP_($_)" -Direction Outbound -Enabled True -Action Allow -Protocol TCP -RemotePort 53 -RemoteAddress $_
New-NetFirewallRule -Displayname "ALLOW_DNS_TO_GW_UDP_($_)" -Direction Outbound -Enabled True -Action Allow -Protocol UDP -RemotePort 53 -RemoteAddress $_
}
# ALLOW ICMPv6
New-NetFirewallRule -DisplayName "ALLOW_ICMPv6" -Direction Outbound -Enabled True -Action Allow -Protocol icmpv6
# ALLOW GROUP OF INTERNAL HOSTS
New-NetFirewallRule -Displayname "ALLOW_GROUP_OF_HOSTS" -Direction Outbound -Enabled True -Action Allow -RemoteAddress "192.168.1.3-192.168.1.5"
# EXPLICIT BLOCK REST OF SUBNET
New-NetFirewallRule -DisplayName "BLOCK_SUBNET" -Direction Outbound -Enabled True -Action Block -RemoteAddress "192.168.1.1-192.168.1.2","192.168.1.6-192.168.1.254"
# ALLOW WEBACCESS TO ALL OTHER IPs
New-NetFirewallRule -DisplayName "ALLOW_WWW" -Direction Outbound -Enabled True -Action Allow -Protocol TCP -RemotePort 80,443
Moin,
Nein, das ist viel einfacher. Die Tags in die Switches einzutragen ist ein wenig Fleißarbeit. Und dann musst Du, um den Zugriff von dem einen in das andere Netz zu unterbinden genau nichts tun. Das Routing einzurichten zwischen dem Servernetz und den beiden VLANs mit Clients ist auch recht schnell erledigt. Routing ins Internet ist auch kein Problem und Du hast Ruhe.
Wenn Du das mit der Windows-Firewall erledigen willst, musst Du einen Haufen Regeln löschen, Dir komplexe neue Regeln überlegen und die auf jedem Client implementieren. Gut, dafür gibt es dann wieder eine GPO. Aber das ist ein elendiges Gefrickel, das immer wieder nachgebessert werden muss.
Liebe Grüße
Erik
Zitat von @holliknolli:
VLANs laufen da irgendwie nicht, da mehrere Switches in unterschiedlichen Stockwerken auf unterschiedlichen Ports. Das wird m.E. noch komplizierter.
Ja, aber das wäre mir viel zu aufwendig und zu unsicher. Besser wäre eine Lösung mit VLANs:
VLAN 10 - Server
VLAN 20 - trusted clients
VLAN 30 - untrusted clients
VLAN 10 - Server
VLAN 20 - trusted clients
VLAN 30 - untrusted clients
VLANs laufen da irgendwie nicht, da mehrere Switches in unterschiedlichen Stockwerken auf unterschiedlichen Ports. Das wird m.E. noch komplizierter.
Nein, das ist viel einfacher. Die Tags in die Switches einzutragen ist ein wenig Fleißarbeit. Und dann musst Du, um den Zugriff von dem einen in das andere Netz zu unterbinden genau nichts tun. Das Routing einzurichten zwischen dem Servernetz und den beiden VLANs mit Clients ist auch recht schnell erledigt. Routing ins Internet ist auch kein Problem und Du hast Ruhe.
Wenn Du das mit der Windows-Firewall erledigen willst, musst Du einen Haufen Regeln löschen, Dir komplexe neue Regeln überlegen und die auf jedem Client implementieren. Gut, dafür gibt es dann wieder eine GPO. Aber das ist ein elendiges Gefrickel, das immer wieder nachgebessert werden muss.
Liebe Grüße
Erik