ICMP erlauben

[Bob.Dig]

Kurze Frage, macht es einen Unterschied, ob ich die bestehende Firewall Regel namens "File and Printer Sharing (Echo Request - ICMPv4-In)" aktiviere oder eine eigene Regel erstelle?

Eine Einschränkung, welche Adressen aus dem Internet einen Reply erhalten dürfen, kann ich vermutlich nur für IP-Adressen machen, nicht für Namen?

Danke fürs Lesen.

 

[tollertyp]

Was ist denn dein eigentliches Problem?

 

[Bob.Dig]

Was ist denn dein eigentliches Problem?

Ich möchte möglichst sicher unterwegs sein und mich wundert, dass die einzige ICMP-Regel, die ich vorfinde, etwas mit "File and Printer Sharing" im Namen hat, welches ich nicht über das Internet nutzen will, im Gegensatz zu Ping.

 

[KillerCow]

Das sind vordefinierte Regeln von MS, warum da "File and Printer Sharing" dran steht, ist ne gute Frage.
Schau dir die Regeln an und wenn sie dir nicht gefallen, bau deine eigenen Regeln. Daran ist absolut nichts verkehrt.

Und ja, in der Windows Firewall lassen sich meines Wissens nur IP Adressen direkt eingeben.

 

[xexex]

etwas mit "File and Printer Sharing" im Namen hat,

Die Regel macht das was sie soll. der Name ändert an der Funktion nichts.

 

[tollertyp]

Und was sind die Gründe, warum du denkst, du hättest mehr Ahnung wie es sicher ist als Microsoft?

Das erste, was ich mich mich frage:

Eine Einschränkung, welche Adressen aus dem Internet einen Reply

Wie kommt so ein Request "aus dem Internet" überhaupt zu deinem PC? Bist du ohne NAT/Router mit dem Internet verbunden?

 

[Bob.Dig]

@tollertyp Guckst Du mal in welchem Unterforum wir sind? Bist jetzt auf der Igno.

Ich entnehme @KillerCow, dass alles so ist wie gedacht und ich mir keine Sorgen machen muss.

Danke

 

[Yuuri]

Das hat doch eh keine Relevanz. Für IPv4 bist du sowieso hinterm Router in nem NAT und warum wölltest du dich vor Pings in deinem eigenen Netzwerk schützen? Für IPv6 allerdings ebenso, denn die sollte der Router auch nicht standardmäßig durch lassen.

Oder reden wir hier von nem Server direkt am Internet?

 

[Bob.Dig]

Oder reden wir hier von nem Server direkt am Internet?

Ja. Wie gesagt, einfach mal beim Topic bleiben und nicht wild spekulieren. 🙂

 

[Yuuri]

Ja. Wie gesagt, einfach mal beim Topic bleiben und nicht wild spekulieren.

Du sagst nicht, dass der Server am Netz hängt. Wir sind hier bei "Windows Server und professionelle Netzwerke", da kann es sich ergo auch um einen AD handeln oder sonstige lokale Installationen. Ergo müssen wir wild spekulieren, da du nicht alle Details preis gibst.

Ein Ping rettet dich zumindest nirgendwo. Wenn er reagiert, gibts halt ein Echo. Wenn nicht, dann wird das als Packet Loss verbucht. Vor nem DDOS rettet dich das nicht, denn dafür müsstest du ein anderes Gerät davor schalten, welches die ankommenden Pakete vor deinem eigentlichen Server verwirft. Also egal was... Die Pakete treffen den Server so oder so und die Last ist vorhanden. Die Frage ist nur ob ein Echo zurück geht oder nicht.

Jemand, der es auf dich abgesehen hat, wird aber nicht nach nem fehlerhaftem Ping stoppen, sondern mindestens alle bekannten Ports abgrasen und auf Responses warten (TCP und UDP, SSH, HTTP, FTP, IMAP, SMTP, POP, Datenbanken usw. - Ports 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 990, 993, 995, 3306, 5432, 6379, 9200, 27017, ...). Wenn die üblichen Ports nichts liefern, dann wird er eher weiter ziehen.

TL;DR: Sicherheit gewinnst du nicht. Du antwortest halt einfach nicht. Der gegenüber weiß aus irgend einem Grund natürlich trotzdem, dass du existierst.

 

[Bob.Dig]

Mit den Grundlagen bin ich vertraut, es ging mir wie gesagt um den Namen der Regel.

(Ports 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 990, 993, 995, 3306, 5432, 6379, 9200, 27017, ...).

Ich habe die Ports mal gegen prüfen lassen. Alles zu, was zu sein sollte. Also danke mindestens dafür. 😉

 

[Yuuri]

Das sind nicht meine Ports, sondern die von den "handelsüblichen" Diensten. Ich meine, irgendwas muss auf der Maschine ja auch laufen, oder? Und wenn das ein Windows Server ist, läuft dort mindestens RDP ggf. mit VPN davor. Die Ports werden natürlich auch mit geprüft und mindestens RDP steht auch gern mal "zu offen" im Netz.

Aber wie gesagt: Ein (entfallener) Ping bzw. das Echo "schützt" dich vor gar nichts, weil du ja irgendwo anders mindestens einen Dienst laufen haben musst. Sonst nützt dir der Server ja nix, wenn er auf nichts reagiert.

 

[tollertyp]

Ich habe immer noch nicht verstanden, was das Ziel ist, aber diesen Post liest der TE ja noch nicht mehr.

Will er, dass das System von außen über Ping erreichbar ist?
Will er, dass er vom System aus alles pingen kann?

Ich weiß, dass er keine Dateifreigabe ins Internet will - das kann ich verstehen. Aber das verhindert ein NAT normalerweise eigentlich (Ausnahmen bestätigen die Regel).

Und dann wird von "Ich möchte möglichst sicher unterwegs sein", was sich danach anhört, als würde auf dem System aktiv gearbeitet/gesurft.

 

[Bob.Dig]

@YuuriHab einen Backup-Mail- und OVPN-Server drauf laufen, aber für meine Internetleitung zu hause brauche ich gleich mehrere Ping-Ziele, um die Verfügbarkeit zu klären und da ich bei einem von 9 Gateways nachts immer (angeblich) Ausfälle habe, dachte ich mir, warum nicht meinen VPS dafür nutzen statt eines öffentlichen DNS-Servers. Außerdem muss ich für jedes Gateway eine andere IP definieren, so will pfSense das @Home. 😉

 

[tollertyp]

Kann mir jemand diese Frage beantworten:
Liegen die Ping-Ziele im Netzwerk des TE oder im Internet?
Ich würde ja annehmen im Internet, aber kann natürlich auch sein, dass sie von außen aus gepingt werden können sollen... was ich mir als spannend vorstelle.

 

[Bob.Dig]

@tollertyp Bist wieder ent-ignoriert, auch wenn Du nichts von Belang beizutragen hattest. 🤨