ComputerBase Menü
Aktuelles

Wie Ports IP-basiert blocken

Blutschlumpf

Blutschlumpf

Fleet Admiral
Registriert
März 2001
Beiträge
20.627
Hatte folgendes vor:
Per VPN auf nen Rechner verbinden und mit der pseudolokalen VPN IP per Remote auf den Rechner einloggen.
Auf dem öffentlichen Interface wollt ich alles außer die Ports für FTP, Web- und Gameserver blocken.
Gibts ne Möglichkeit, wie ich unter Win2k mit der integrierten "Firewall" Ports abhängig von der verwendeten IP blocken kann.
Ich find da nur ne Einstellung für alle Interfaces.
Wollt nach Möglichkeit keine extra Firewall draufmachen.

Wenns nicht geht:
Gibts was schnelles, sicheres, und kostenloses als Alternative, was das kann ?
 
Hi, keiner ne Lösung parat ? :(
 
Im Win2k Firewall kannst Du nur Portbasierend blocken....

Da viele Gameserver auf unterschiedlichen Ports laufen, musst Du ziemlich viele Ports öffnen...

Aber von wegen Paranoia... (Hab ich ja auch.. nix schlimmes)

Haste zum Beispiel schon mal ein Portscanner laufen lassen?

Hab ich gemacht bei Win2k3 Servelaz... Im ganzen sind in der Standartkonfig (mit Active Directory!!, DHCP; DNS, NAT ohne Firewall) ca. 10 Ports offen... (Weiss aber ned, wies bei Win2k ist... Sonst kannst ja mal Portscanner laufen lasse, die Portnummern identifizieren und einfach jeden dazugehörigen, unnützen Service abstellen. Da gehen die Ports zu)

Die gehen auch nur auf, wenn der Server von intern ein Request bekommt.

Ein Firewall wird wohl auch so die gleiche Anzahl an Ports offen lassen...

Von dem her kannst Du's auch gleich sein lassen mit der FW...
 
Wenn dein Rechner an ner 100 MBit Leitung am Netz hinge, dann wärst du auch was paranoider :D
Und nach dem SQL Slammer will ich halt einfah so wenig Angriffsfläche wie möglich bieten. Ich brauch nach außen halt nur 1 Port (Webserver), Rest über VPN.
 
Jo türlich (Bin schon bei ner 2MB Leitung paranoid :D )

Aber der Slammer kam über einen bestimmten Port (1434 UDP) und zusätzlich mussten noch weitere Bedingungen erfüllt sein.

http://vil.mcafee.com/dispVirus.asp?virus_k=99992

This threat has a special Risk Assessment - it is "High" only for unpatched systems (only affects SQL servers not running SP3 for MS SQL/MSDE):

* Microsoft SQL Server 2000
* Microsoft Desktop Engine (MSDE) 2000

Das heisst, solange dieser Port von System (Sprich von entsprechenden Service) nicht geöffnet ist, bist Du dort nicht verwundbar.

Solange Du kein entsprechendes Programm gefunden hast (Weiss keins, kann Dir nicht weiterhelfen) würd ich mal die Methode mit dem Portsniffer probieren. Danach klemmst Du sämtliche dazugehörigen Service ab. Bin sicher, da könntest Du das ganze Ding auf ein paar lächerliche Ports schliessen.

Ich nehm an, dass Du eh ein bisschen über die neusten Sicherheitslöcher informiert bist, da kannst für die restlichen offenen Ports dann auch gleich die entsprechenden Patches hochladen.

Aber nun sagst Du, dass Du nur Port 80 für Webserver offen lassen willst... Wenn Du dir die Gameserverports sparen willst, kannst Du im Win2k Firewall sämtliche Ports schliessen lassen ausser 80 (HTTP), 21 (FTP) (Vieleicht auch 443 (HTTPS) und 2-3 ausgesuchte Gameserverports (Diese Liste musst Du dann aber wohl ständig nachpflegen, da wie gesagt, viele Gameserver auf der gleichen IP mehrere Ports offen haben)... Wäre so ne Bastellösung, bis Du einige Ports mal freigeschaltet hättest.

Sonst muss ich passen

HF
 
Aber was spricht gegen meine Lösung ?
So verhinder ich auch, dass was potentiell gefährliches nach außen kommt, außer es tunnel sich durch Port 80.

Ich hab keine Angst vorm Slammer direkt, sondern, dass andere Sachen auch potentiell Fehler enthalten könnten, die erst im Ernstfall entdeckt werden, wenns schon zu spät ist.

Und beim Remote Login wird nur die Netzwerkkarte als Device aufgelistet, die Device die über VPN laufen würde, erkennt der nicht, ergo kann ich den Login nur ganz unterbinden oder ganz erlauben.
 
Wenn Du mit Deiner Lösung die Firewall von Win2k meinst, dann spricht nix dagegen.

Wenn Du nur Port 80 offen lassen willst geht das ja voll Ok! Alles andere ist zusätlichen Schnickschnack und dadurch anfällig. (Bin der Meinung, wenn man was direkt mit in Windows integrierten Funktionen machen kann, sollte man das auch tun. Wozu noch mehr Geld zum Fenster rauswerfen?)

Hast Du dann aber auf dem Server den Routing und Ras Server installiert? Ich glaub der sollte dann automatisch die nötigen Ports und Services für VPN auch öffnen.

Probiers doch mal aus und gib Bescheid!
 
Ich glaub irgendwie dass du was anderes meinst als ich.
Ich will auf dem VPN Interface alle Ports offen lassen, nur auf dem normalen Netzwerkinterface Port dichtmachen. Und weder die Win2k Firewall noch das Menü wo ich auswähle, von wo aus Remote Login möglich ist erkennen Eingehende Verbindungen als Netzwerkadapter.
 
*DONK* Jetzt ist das 1000 Euro Stück gefallen :D

Alles klar... Ich weiss nu was Du meinst...

Ich hoffe, Du hast dies bei Dir auch so konfiguriert, wie ich mir das vorstelle. Damit Du das realisieren kannst, was Du willst (I-Net Interface nur Port 80 offen, VPN Interface alles offen) brauchst Du 2 Netzwerkkarten.


Nämlich

1. NIC -> Internet NIC

Konfiguration TCP/IP Protokoll:

IP: Weiss ned ob fix oder DHCP (Sprich automatisch)

Advanced -> Options -> TCP/IP Filtering :

Hier folgende Optionen

Permit Only: TCP Port 80 (Weiter Ports bei Gebrauch)

Auf keinen Fall das Häckchen "enable tcp/ip filtering all adapters" anwählen, sonst versaust du die Konfiguration des VPN NIC's!!!!!

2. NIC -> VPN NIC

Konfiguration TCP/IP Protokoll:

IP: Weiss ned ob fix oder DHCP (Sprich automatisch)

Sonst keine weiteren Konfigurationen, weil Du ja sonst alles offen willst


Weitere Infos:


Ich hoffe, Du bist des Englisch kundig...

Herrliches How-To für eine FW unter Win2k:

http://groups.google.ch/groups?q=ip...=UTF-8&selm=3kKPC8$IGW@bbs.kimo.com.tw&rnum=1

Hier auch wieder Englisch.. How-To für TCP/UDP Port Blocking..

http://groups.google.ch/groups?hl=d...45$m63.8009927@news5.aus1.giganews.com&rnum=1

Hast Du die VPN Zugriffe per Routing und RAS Konfiguriert?

HF und gib mal ein Status Check weis so läuft...
 
Hab ne 2. NIC eingebaut.
Der IP-Filter ist aber weiterhin nur für alle Adapter möglich.
Beim Versuch die öffentliche NIC für Remote zu sperren hab ich mich dann ganz ausgesperrt :p
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
[Kaufberatung] Openwrt-Router + Modem + Telefon - Telekom VDSL100 IP-Basiert
Antworten
3
Aufrufe
2.913
BlubbsDE
BlubbsDE
F
Fritzbox 7430 für IP-basierten Telekomanschluss per Tablet einrichten
Antworten
16
Aufrufe
1.148
Engaged
Engaged
resilient
IP basierter Anschluss mit TP-Link TD-W9980B N600 möglich?
Antworten
13
Aufrufe
4.254
mr999
mr999
EvilKnivel1
Umstellung auf IP-basierten Anschluss
Antworten
15
Aufrufe
2.471
diemaus
D
P
DSL-Kabel für den IP-basierten Anschluss: Länge kürzen?
Antworten
12
Aufrufe
10.626
freshprince2002
freshprince2002
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz