ICMP erlauben

Bob.Dig

Commander
Dabei seit
Dez. 2006
Beiträge
2.949
Kurze Frage, macht es einen Unterschied, ob ich die bestehende Firewall Regel namens "File and Printer Sharing (Echo Request - ICMPv4-In)" aktiviere oder eine eigene Regel erstelle?

Eine Einschränkung, welche Adressen aus dem Internet einen Reply erhalten dürfen, kann ich vermutlich nur für IP-Adressen machen, nicht für Namen?

Danke fürs Lesen.
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.949
Zitat von tollertyp:
Ich möchte möglichst sicher unterwegs sein und mich wundert, dass die einzige ICMP-Regel, die ich vorfinde, etwas mit "File and Printer Sharing" im Namen hat, welches ich nicht über das Internet nutzen will, im Gegensatz zu Ping.
 
Zuletzt bearbeitet:

KillerCow

Lt. Commander
Dabei seit
Jan. 2012
Beiträge
1.405
Das sind vordefinierte Regeln von MS, warum da "File and Printer Sharing" dran steht, ist ne gute Frage.
Schau dir die Regeln an und wenn sie dir nicht gefallen, bau deine eigenen Regeln. Daran ist absolut nichts verkehrt.

Und ja, in der Windows Firewall lassen sich meines Wissens nur IP Adressen direkt eingeben.
 
  • Gefällt mir
Reaktionen: Bob.Dig

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
13.675
Das hat doch eh keine Relevanz. Für IPv4 bist du sowieso hinterm Router in nem NAT und warum wölltest du dich vor Pings in deinem eigenen Netzwerk schützen? Für IPv6 allerdings ebenso, denn die sollte der Router auch nicht standardmäßig durch lassen.

Oder reden wir hier von nem Server direkt am Internet?
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
13.675
Zitat von Bob.Dig:
Ja. Wie gesagt, einfach mal beim Topic bleiben und nicht wild spekulieren.
Du sagst nicht, dass der Server am Netz hängt. Wir sind hier bei "Windows Server und professionelle Netzwerke", da kann es sich ergo auch um einen AD handeln oder sonstige lokale Installationen. Ergo müssen wir wild spekulieren, da du nicht alle Details preis gibst.

Ein Ping rettet dich zumindest nirgendwo. Wenn er reagiert, gibts halt ein Echo. Wenn nicht, dann wird das als Packet Loss verbucht. Vor nem DDOS rettet dich das nicht, denn dafür müsstest du ein anderes Gerät davor schalten, welches die ankommenden Pakete vor deinem eigentlichen Server verwirft. Also egal was... Die Pakete treffen den Server so oder so und die Last ist vorhanden. Die Frage ist nur ob ein Echo zurück geht oder nicht.

Jemand, der es auf dich abgesehen hat, wird aber nicht nach nem fehlerhaftem Ping stoppen, sondern mindestens alle bekannten Ports abgrasen und auf Responses warten (TCP und UDP, SSH, HTTP, FTP, IMAP, SMTP, POP, Datenbanken usw. - Ports 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 990, 993, 995, 3306, 5432, 6379, 9200, 27017, ...). Wenn die üblichen Ports nichts liefern, dann wird er eher weiter ziehen.

TL;DR: Sicherheit gewinnst du nicht. Du antwortest halt einfach nicht. Der gegenüber weiß aus irgend einem Grund natürlich trotzdem, dass du existierst.
 
  • Gefällt mir
Reaktionen: xexex und Bob.Dig

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.949
Mit den Grundlagen bin ich vertraut, es ging mir wie gesagt um den Namen der Regel.
Zitat von Yuuri:
(Ports 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 990, 993, 995, 3306, 5432, 6379, 9200, 27017, ...).
Ich habe die Ports mal gegen prüfen lassen. Alles zu, was zu sein sollte. Also danke mindestens dafür. 😉
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
13.675
Das sind nicht meine Ports, sondern die von den "handelsüblichen" Diensten. Ich meine, irgendwas muss auf der Maschine ja auch laufen, oder? Und wenn das ein Windows Server ist, läuft dort mindestens RDP ggf. mit VPN davor. Die Ports werden natürlich auch mit geprüft und mindestens RDP steht auch gern mal "zu offen" im Netz.

Aber wie gesagt: Ein (entfallener) Ping bzw. das Echo "schützt" dich vor gar nichts, weil du ja irgendwo anders mindestens einen Dienst laufen haben musst. Sonst nützt dir der Server ja nix, wenn er auf nichts reagiert. ;)
 

tollertyp

Vice Admiral
Dabei seit
Feb. 2020
Beiträge
7.114
Ich habe immer noch nicht verstanden, was das Ziel ist, aber diesen Post liest der TE ja noch nicht mehr.

Will er, dass das System von außen über Ping erreichbar ist?
Will er, dass er vom System aus alles pingen kann?

Ich weiß, dass er keine Dateifreigabe ins Internet will - das kann ich verstehen. Aber das verhindert ein NAT normalerweise eigentlich (Ausnahmen bestätigen die Regel).

Und dann wird von "Ich möchte möglichst sicher unterwegs sein", was sich danach anhört, als würde auf dem System aktiv gearbeitet/gesurft.
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.949
@YuuriHab einen Backup-Mail- und OVPN-Server drauf laufen, aber für meine Internetleitung zu hause brauche ich gleich mehrere Ping-Ziele, um die Verfügbarkeit zu klären und da ich bei einem von 9 Gateways nachts immer (angeblich) Ausfälle habe, dachte ich mir, warum nicht meinen VPS dafür nutzen statt eines öffentlichen DNS-Servers. Außerdem muss ich für jedes Gateway eine andere IP definieren, so will pfSense das @Home. 😉
 
Zuletzt bearbeitet:

tollertyp

Vice Admiral
Dabei seit
Feb. 2020
Beiträge
7.114
Kann mir jemand diese Frage beantworten:
Liegen die Ping-Ziele im Netzwerk des TE oder im Internet?
Ich würde ja annehmen im Internet, aber kann natürlich auch sein, dass sie von außen aus gepingt werden können sollen... was ich mir als spannend vorstelle.
 
Top