"Intranet" in der Windows Firewall
- Ersteller Bob.Dig
- Erstellt am
- Registriert
- Juni 2018
- Beiträge
- 7.513
Intranet müsste das gesamte Subnetz sein, in dem der Client aktuell ist. Und ändern kann man daran wahrscheinlich nichts.
- Registriert
- Dez. 2006
- Beiträge
- 4.286
@kartoffelpü Macht keinen direkten Sinn, weil Subnet ja bereits ein eigener Punkt ist. Auf meiner Problemkiste war Filesharing auf einmal deaktiviert gewesen, was wohl mein Problem erklärt. Frage aus dem ersten Post bleibt aber bestehen, irgendwer hier müsste doch die Antwort kennen. 😉
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Die vordefinierten Sets habe ich nie verwendet und ich finde tatsächlich auch keinerlei Dokumentation oder anderweitige offizielle Quelle dazu. Viel Spekulation, aber nichts handfestes.
Ich gehe davon aus, dass dort jeweils eine Auflistung bestimmter IPs bzw. Subnetze hinterlegt ist, die durchaus auch dynamisch ist. So ist ja beispeilsweise "Local Subnet" bei Quell-IPs der SMB-Regeln standardmäßig ausgewählt. Das ist dementsprechend ein Platzhalter für die tatsächlich an den Interfaces eingestellten Subnetze.
Wofür nun der Platzhalter "Intranet" steht, kann ich dir offen gestanden auch nicht sagen. Das sollte sich aber so oder so nur auf das Matching der jeweiligen IP-Adressen (Quelle+Ziel) der Regel beziehen, aktiviert also im Hintergrund keine zusätzlichen Regeln oder so. Heißt: Wenn man statt der vordefinierten Sets einfach die tatsächlichen IP-Adressen bzw. Subnetze händisch einträgt, hat das denselben Effekt, wenngleich die Regel sich so natürlich nicht anpassen kann, wenn man zB die IP-Adresse bzw. das Subnetz an einer Schnittstelle ändert.
Ich gehe davon aus, dass dort jeweils eine Auflistung bestimmter IPs bzw. Subnetze hinterlegt ist, die durchaus auch dynamisch ist. So ist ja beispeilsweise "Local Subnet" bei Quell-IPs der SMB-Regeln standardmäßig ausgewählt. Das ist dementsprechend ein Platzhalter für die tatsächlich an den Interfaces eingestellten Subnetze.
Wofür nun der Platzhalter "Intranet" steht, kann ich dir offen gestanden auch nicht sagen. Das sollte sich aber so oder so nur auf das Matching der jeweiligen IP-Adressen (Quelle+Ziel) der Regel beziehen, aktiviert also im Hintergrund keine zusätzlichen Regeln oder so. Heißt: Wenn man statt der vordefinierten Sets einfach die tatsächlichen IP-Adressen bzw. Subnetze händisch einträgt, hat das denselben Effekt, wenngleich die Regel sich so natürlich nicht anpassen kann, wenn man zB die IP-Adresse bzw. das Subnetz an einer Schnittstelle ändert.
- Registriert
- Juni 2018
- Beiträge
- 7.513
Scheint so, dass MS das nicht öffentlich dokumentiert hat. Man findet diverse ähnliche Fragen bei reddit, serverfault und co, aber alle ohne konkrete Links von MS.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
In meinen Augen ist der Nutzen solcher vordefinierten Sets auch eher eingeschränkt. Selbst wenn irgendwo dokumentiert wäre was dort enthalten ist, kann man sie wohl nicht ändern.
Vergleicht man das einer fortgeschrittenen Firewall (Non-Windows-Intern), hat man in der Regel die Möglichkeit individuelle Platzhalter zu erstellen, die einerseits IP-Adressen, Subnetze oder auch Ports enthalten können. So könnte man beispielsweise ein Set aus "Firmen-Subnetze" bauen, um dann entsprechende Regeln zu definiereren (zB bei einer Cisco ASA, einem EdgeRouter oder vermutlich auch bei pfSense, Sophos und Co). Das ist sinnvoll, um zu vermeiden, jede Regel separat zu konfigurieren und spätestens dann, wenn ein zusätzliches "Firmen-Subnetz" hinzukommt, ergänzt man einfach den Platzhalter.
Bei diesen Windows-eigenen Sets hat man aber wie es aussieht keine Konfigurationsmöglichkeit und dann ist der Nutzen eher überschaubar - abgesehen von offensichtlichen Sets wie "local subnet" oder "default gateway", die mutmaßlich im Hintergrund aus den IP-Einstellungen generiert werden.
Vergleicht man das einer fortgeschrittenen Firewall (Non-Windows-Intern), hat man in der Regel die Möglichkeit individuelle Platzhalter zu erstellen, die einerseits IP-Adressen, Subnetze oder auch Ports enthalten können. So könnte man beispielsweise ein Set aus "Firmen-Subnetze" bauen, um dann entsprechende Regeln zu definiereren (zB bei einer Cisco ASA, einem EdgeRouter oder vermutlich auch bei pfSense, Sophos und Co). Das ist sinnvoll, um zu vermeiden, jede Regel separat zu konfigurieren und spätestens dann, wenn ein zusätzliches "Firmen-Subnetz" hinzukommt, ergänzt man einfach den Platzhalter.
Bei diesen Windows-eigenen Sets hat man aber wie es aussieht keine Konfigurationsmöglichkeit und dann ist der Nutzen eher überschaubar - abgesehen von offensichtlichen Sets wie "local subnet" oder "default gateway", die mutmaßlich im Hintergrund aus den IP-Einstellungen generiert werden.
- Registriert
- Dez. 2006
- Beiträge
- 4.286
@Raijin Interesse und Feintuning. Momentan behelfe ich mir mit "any". Klar kann ich dort auch Netzmasken usw. eingeben. Aber "Intranet" wäre ggf. die beste Lösung, wenn denn jemand wüsste, was es damit auf sich hat.
Und irgendwas muss bei mir auf einer Kiste was verstellt haben, sonst hätte ich mich nicht wieder dem Thema widmen müssen.
Und irgendwas muss bei mir auf einer Kiste was verstellt haben, sonst hätte ich mich nicht wieder dem Thema widmen müssen.
Windows Firewall. Internet and Intranet Predefined set of computers. (microsoft.com)
Hier in dem letzten Beitrag, hat es wohl einer getestet. Laut ihm wird als "Intranet" immer das lokale Subnet (nicht mehre) definiert.
Viele Grüße
Hier in dem letzten Beitrag, hat es wohl einer getestet. Laut ihm wird als "Intranet" immer das lokale Subnet (nicht mehre) definiert.
Viele Grüße
![Kenny [CH]](https://pics.computerbase.de/forum/avatars/s/368/368069.jpg?1218633259){kind=avatar}
