ICMP erlauben

Bob.Dig

Commander
Dabei seit
Dez. 2006
Beiträge
2.168
Kurze Frage, macht es einen Unterschied, ob ich die bestehende Firewall Regel namens "File and Printer Sharing (Echo Request - ICMPv4-In)" aktiviere oder eine eigene Regel erstelle?

Eine Einschränkung, welche Adressen aus dem Internet einen Reply erhalten dürfen, kann ich vermutlich nur für IP-Adressen machen, nicht für Namen?

Danke fürs Lesen.
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.168
Zuletzt bearbeitet:

KillerCow

Lt. Commander
Dabei seit
Jan. 2012
Beiträge
1.211
Das sind vordefinierte Regeln von MS, warum da "File and Printer Sharing" dran steht, ist ne gute Frage.
Schau dir die Regeln an und wenn sie dir nicht gefallen, bau deine eigenen Regeln. Daran ist absolut nichts verkehrt.

Und ja, in der Windows Firewall lassen sich meines Wissens nur IP Adressen direkt eingeben.
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
13.004
Das hat doch eh keine Relevanz. Für IPv4 bist du sowieso hinterm Router in nem NAT und warum wölltest du dich vor Pings in deinem eigenen Netzwerk schützen? Für IPv6 allerdings ebenso, denn die sollte der Router auch nicht standardmäßig durch lassen.

Oder reden wir hier von nem Server direkt am Internet?
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.168

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
13.004
Ja. Wie gesagt, einfach mal beim Topic bleiben und nicht wild spekulieren.
Du sagst nicht, dass der Server am Netz hängt. Wir sind hier bei "Windows Server und professionelle Netzwerke", da kann es sich ergo auch um einen AD handeln oder sonstige lokale Installationen. Ergo müssen wir wild spekulieren, da du nicht alle Details preis gibst.

Ein Ping rettet dich zumindest nirgendwo. Wenn er reagiert, gibts halt ein Echo. Wenn nicht, dann wird das als Packet Loss verbucht. Vor nem DDOS rettet dich das nicht, denn dafür müsstest du ein anderes Gerät davor schalten, welches die ankommenden Pakete vor deinem eigentlichen Server verwirft. Also egal was... Die Pakete treffen den Server so oder so und die Last ist vorhanden. Die Frage ist nur ob ein Echo zurück geht oder nicht.

Jemand, der es auf dich abgesehen hat, wird aber nicht nach nem fehlerhaftem Ping stoppen, sondern mindestens alle bekannten Ports abgrasen und auf Responses warten (TCP und UDP, SSH, HTTP, FTP, IMAP, SMTP, POP, Datenbanken usw. - Ports 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 990, 993, 995, 3306, 5432, 6379, 9200, 27017, ...). Wenn die üblichen Ports nichts liefern, dann wird er eher weiter ziehen.

TL;DR: Sicherheit gewinnst du nicht. Du antwortest halt einfach nicht. Der gegenüber weiß aus irgend einem Grund natürlich trotzdem, dass du existierst.
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.168

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
13.004
Das sind nicht meine Ports, sondern die von den "handelsüblichen" Diensten. Ich meine, irgendwas muss auf der Maschine ja auch laufen, oder? Und wenn das ein Windows Server ist, läuft dort mindestens RDP ggf. mit VPN davor. Die Ports werden natürlich auch mit geprüft und mindestens RDP steht auch gern mal "zu offen" im Netz.

Aber wie gesagt: Ein (entfallener) Ping bzw. das Echo "schützt" dich vor gar nichts, weil du ja irgendwo anders mindestens einen Dienst laufen haben musst. Sonst nützt dir der Server ja nix, wenn er auf nichts reagiert. ;)
 

tollertyp

Lt. Commander
Dabei seit
Feb. 2020
Beiträge
1.307
Ich habe immer noch nicht verstanden, was das Ziel ist, aber diesen Post liest der TE ja noch nicht mehr.

Will er, dass das System von außen über Ping erreichbar ist?
Will er, dass er vom System aus alles pingen kann?

Ich weiß, dass er keine Dateifreigabe ins Internet will - das kann ich verstehen. Aber das verhindert ein NAT normalerweise eigentlich (Ausnahmen bestätigen die Regel).

Und dann wird von "Ich möchte möglichst sicher unterwegs sein", was sich danach anhört, als würde auf dem System aktiv gearbeitet/gesurft.
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.168
@YuuriHab einen Backup-Mail- und OVPN-Server drauf laufen, aber für meine Internetleitung zu hause brauche ich gleich mehrere Ping-Ziele, um die Verfügbarkeit zu klären und da ich bei einem von 9 Gateways nachts immer (angeblich) Ausfälle habe, dachte ich mir, warum nicht meinen VPS dafür nutzen statt eines öffentlichen DNS-Servers. Außerdem muss ich für jedes Gateway eine andere IP definieren, so will pfSense das @Home. 😉
 
Zuletzt bearbeitet:

tollertyp

Lt. Commander
Dabei seit
Feb. 2020
Beiträge
1.307
Kann mir jemand diese Frage beantworten:
Liegen die Ping-Ziele im Netzwerk des TE oder im Internet?
Ich würde ja annehmen im Internet, aber kann natürlich auch sein, dass sie von außen aus gepingt werden können sollen... was ich mir als spannend vorstelle.
 
Top