Windows Firewall - Programm lokal erlauben, global blockieren?

[zidius]

Ich dachte eigentlich das müsste eine einfache Sachen sein, aber irgendwie gestaltet es sich als schwierig:
Ein Programm soll Zugriff aufs lokale Netzwerk erhalten, allerdings soll der Zugang ins Internet blockiert werden. Win 11 Firewall.

Testweise probiere ich es mit dem edge Browser.
Ins Internet soll er nicht mehr dürfen, aber ein NAS weiterhin erreichen.

Egal was ich mache, entweder es klappt beides, oder alles ist geblockt.

Es scheint ja auch keine Möglichkeit in der Windows 11 Firewall zu geben, eine Ausnahme zu definieren. Also sowas wie: "Blockiere alle Zugriffe, bis auf 192.168.1.50"
Ich sehe nur die Möglichkeiten 2 ausgehende Regeln zu definieren:
Regel 1 blockt alles. Kein Zugriff erlaubt.
Regel 2 erlaubt den Zugriff auf: 192.168.1.50

Das klappt aber nicht.

Online finde ich auch keine Lösung.
Keine Ahnung, ich habe jetzt schon so viel rumprobiert.... vielleicht ist es ja ganz einfach und ihr bekommt das auf Anhieb hin.

 

[TheHille]

Das ist eher ne Sache für deine "Router-Firewall". Was ist denn da im Einsatz?

Ergänzung (14. Juli 2025)

Ich sehe nur die Möglichkeiten 2 ausgehende Regeln zu definieren:
Regel 1 blockt alles. Kein Zugriff erlaubt.
Regel 2 erlaubt den Zugriff auf: 192.168.1.50

Das geht so nicht. Entweder werden die Regeln von "oben nach unten" abgearbeitet, dann konsumiert Regel 1 Regel 2, oder aber die "weitere" Regel konsumiert die "speziellere".


Du musst also auf der Router-Firewall sagen, dass die IP 192.168.1.50 nicht ins Internet darf. Dann hast du dein Ergebnis.

 

[Wo bin ich hier]

Vermutlich müsstest du die ausgehenden Verbindungen generell blockieren (was aus Firewallsicht sowieso mehr Sinn macht, da das dem Vorgehen einer Whitelist entspricht):

Dann eine Erlaubtregel für den lokalen Zugriff erstellen.

 

[zidius]

... wie das immer so ist: Kaum hat man einen Beitrag im Forum geschrieben, findet man die Lösung(?)
https://www.computerbase.de/forum/t...fuers-internet-sperren.2167145/#post-28758959

Scheint zumindest im ersten Test zu klappen ^.^

 

[Zer0DEV]

@zidius ich wollts gerade schreiben, aber da hast Du meinen Beitrag von damals entdeckt

 

[MoonTower]

Teste mal:
Bei der "ausgehenden Regel" alles blocken für das Programm.
Und dann für "eingehende Regel" die Verbindung zulassen für das Programm mit entsprechendem IP-Bereich.

 

[zidius]

@TheHille fritz.box firewall, aber über diesen Weg kann ich doch nicht einzeln nach Programmen filtern(?)

@Wo bin ich hier d.h. du hast deine Firewall so eingerichtet, dass erst einmal alles was nach draußen kommunizieren will geblockt wird und du für jedes Programm eine neue "erlaubt"-Regel erstellst?
Das klingt durchaus logisch und sinnvoll.
Ist die Frage, ob es dann nicht schon "Konflikte" mit anderen Windows-Programmen und Diensten gibt, weil man diese ja dann auch alle händisch erst einmal den Zugang erlauben müsste(?) und bei der Masse an Programmen und sub-Programmen, diensten etc. übersieht man bestimmt leicht was.
Oder wie sind da eure Erfahrungen?

@Zer0DEV , Glück gehabt, dass ich deinen Beitrag doch noch vorher gefunden habe.
Komischerweise funktioniert es bei mir aber doch nur zu (geschätzt) 50%. (edit: okay, es lag an IPv6. Den Bereich musste ich natürlich auch sperren...)
Heimnetz ist erreichbar (war ja auch das Ziel)
Internet geht aber teilweise auch noch. Z.B. google.de, computerbase.de, chip.de oder wikipedia.org etc etc funktionieren weiterhin -.-
Dabei habe ich die Regel wie in deinem Post angelegt. Habe sie jetzt sogar noch enger gefasst.

@MoonTower klappt nicht. Dann ist alles geblockt und ich komme auch nicht mehr aufs NAS.

 

[0x8100]

Internet geht aber teilweise auch noch. Z.B. google.de, computerbase.de, chip.de oder wikipedia.org etc etc funktionieren weiterhin -.-

gleicher thread -> wahrscheinlich ipv6

 

[cartridge_case]

Ich würde trotzdem ganz allgemein WFC empfehlen.

Das macht es evtl. etwas bedienfreundlicher.