4. Firewall mit erweiterter Sicherheit - Serverprogramme auf LAN beschraenken

Firewall mit erweiterter Sicherheit - Serverprogramme auf LAN beschraenken

  • J

    Hi Leute,

    ich sitz grad an einem bescheuertem Problem. Aufgrund einiger Software, die (leider) Online-Zwang hat, muss ich meinen, eigentlich als lokalen Remotedesktop-Host gedachten, Server wohl oder uebel ans Internet haengen. Um die Angriffsmoeglichkeiten auf das System zu reduzieren will ich den Zugriff auf bestimmte Server-Programme, insbesondere die beiden Hauptangriffsflaechen Active Directory und Remote Desktop, vom Internet aus blockieren, bzw. nur Zugriff vom LAN aus gewaehren.
    Unter XP konnte man ja noch bei den Firewall-Ausnahmen zwischen "Alle Computer (einschliessl. Internet)", "Nur fuer eigenes Netzwerk (Subnetz)" und einer benutzerdefinierten Liste waehlen. Bei der neuen Firewall unter Server 2008 R2 und 7(?) blick ich aber nicht mehr durch. Da gibt es "lokale Addresse" und "Remoteadresse", wobei bei Remote-Adresse schon einige wenige Programme auf "Lokales Subnetz" stehen. Ich vermute, dass ich Remoteadresse bei allen eingehenden Regeln auf "Lokales Subnetz" stellen muss. Sicher bin ich mir aber nicht, deswegen wollte ich nochmal nachfragen.

    Und nochwas: Gibt es eine Moeglichkeit mehrere Regeln gleichzeitig zu bearbeiten? Sonst muesste ich knapp 100 Regeln von Hand aendern.

    Danke schonmal.

    0

  • Huch???

    Hast du keinen Router dazwischen oder wieso willst du das über die Software-Firewall von Windows regeln?

    0
  • J

    Genau das ist ja das Problem: Ich hab keinen Router. Wenn ich einen haette wuerde ich natuerlich eine Hardware-Firewall benutzen.
    Leider hab ich nur einen HUWEI E1750 / T Mobile Fusion II der dierekt am USB-Port haengt.

    0
  • ?

    besorg dir doch endlich mal eine gescheite verbindung, das kann man sich ja nicht mit anschauen... war doch schon zu der poker zeit so, als du darüber gejammert hast.

    falls du noch nicht alt genug bist, um das selbst in die hand zu nehmen, bring deine eltern dazu! falls du damit probleme hast, fang bei deiner mutter an *hint* und bearbeite dann deinen vater 😉

    0
  • ?

    exilcubaner schrieb:

    eine gescheite verbindung

    leitung war das wort, was mir gerade nicht eingefallen ist!

    0
  • J

    Das Problem ist, dass wir den Stickvertrag gemacht haben, 2 Monate bevor hier DSL ueber Kabel her kam. Jetz laueft das Ding ja noch ein ganzes Stueck und zwei Vertraege koennen wir uns leider nicht leisten.

    BTW: Mittlerweile ist die Verbindung durch UMTS/HSPA wesentlich schneller (wenn ich nicht gerade meine 3GB pro Monat aufgebraucht hab).

    0
  • ?

    dann geh doch mal auf kickstarter.com und starte ein projekt 'escape from umts slavery' und poste den link, für eine anständige leitung würd ich schon was zuzahlen.

    mehr als ein paar leute sollte es ja nicht brauchen, dich aus dem vertrag 'rauszukaufen' :p

    0
  • S

    Wie gehst du denn online wenn dein Stick am Server hängt?

    0
  • J

    Momentan T-Mobile Internet Manager; will ihn aber bald durch MWConn ersetzen.

    0
  • S

    Jonas OSDever schrieb:

    Momentan T-Mobile Internet Manager; will ihn aber bald durch MWConn ersetzen.

    also bietet dein "server" eine shared internet connection an?

    dann mach aus dem server doch einen dedizierten router, uU nimm billige alte hardware - dann kannst du alles machen was du willst 🙂

    0
  • J

    Der Server ist nicht fuer eine Shared-Inet-Connection gedacht, das waere nur wenn ich die ganze Sache hinkrieg, ein angenehmer Nebeneffekt. Hauptsaechlich agiert er, wie gesagt, als Domain Controller, RD-Sitzungshost und auch Druckserver. Insofern waere er definitiv kein dedizierter Router, aber Nebenher einen Software-Router laufen lassen koennte ich schon.
    Das Problem ist, dass ja dann soweit ich verstanden hab, jedes Paket zweimal Durchlaufen muss. Die Frage ist dann, ob RD und AD noch performant laufen.
    Vormerken werde ich mir die Moeglichkeit jedenfalls mal.

    Aber ich hab hier einen hornalten und einen alten Rechner stehen; beide werden bis jetzt nur selten mit meinem OS gequaelt. Mit nem einfachen Ubuntu drauf koennte man ja routen. Insofern waere ein dedizierter Software-Router durchaus eine Moeglichkeit.
    Ich mach mir nur sorgen um den Stromverbrauch, insbesondere bei diesen alten Stromfressern.

    Und mit der Windows-Firewall gibts wirklich keine Moeglichkeit? 😞

    0

  • Gibt es nicht bereits günstige Router die mit diesem USB-Drecksdingern umgehen können? Ein Linksys E3000 mit Tomato/Shibby Firmware müsste mMn. funktionieren.

    Ansonsten halt nen UMTS Router besorgen, die sollte es auch bereits für endliches Geld geben.

    0

  • Jonas OSDever schrieb:

    Und mit der Windows-Firewall gibts wirklich keine Moeglichkeit? 😞

    Das geht ziemlich sicher, nur wird es vermutlich nicht "angenehm" sein. Viele viele Regeln mit Hand umstellen. Bäh.

    0
  • J

    Nagut, auf das aendern der n+1 Regeln hab ich natuerlich nicht wirklich Lust. Werd wohl doch einen Router kaufen muessen. Ich begeb mich mal auf die Suche.

    Ansonsten wie laeuft das dann bei den UMTS-Routern? Einfach die Sim rein und PIN eingeben oder wie muss ich mir das vorstellen. Und koennen die dann auch HSPA, ist ja nur ne UMTS-Erweiterung?

    0
  • S

    Ja, du musst halt einen guten finden - das kann ein bisschen Suchen bedeuten. Und in den passenden Foren fragen.

    xdsl.at ist zB fuer Oesterreich das Forum fuer sowas.

    0
  • J

    Und in D.? Kennt da jemand ne gute Community?

    Langfristig brauche ich zwar einen Router, aber um das Programm moeglichst bald nutzen zu koennen, hab ich grad mal mit netsh versucht alle Firewallregeln mit einem Befehl auf das Subnetz zu setzen.

    netsh advfirewall firewall>set rule name=all new remoteip=localsubnet

    Aber ich bekomme immer als Ausgabe:

    Die Einstellung "Auf Benutzer zurückstellen" kann nur in einer Firewallregel ver
wendet werden, bei der Programmpfad und TCP/UDP-Protokoll ohne zusätzliche Berei
che angegeben wurden.

Syntax: set rule
      group=<Zeichenfolge> | name=<Zeichenfolge>
[...]Listing gekuerzt

    Weiss irgenjemand Rat?

    0
  • G

    Jonas OSDever schrieb:

    Ansonsten wie laeuft das dann bei den UMTS-Routern? Einfach die Sim rein und PIN eingeben oder wie muss ich mir das vorstellen. Und koennen die dann auch HSPA, ist ja nur ne UMTS-Erweiterung?

    Bei den billigen Dingern (z.B. TP-Link TL-MR3220) oder den Fritzboxen (z.B. 7270) steckt man einfach einen vorhandenen USB-UMTS-Stick rein (insbesondere Huawei Sticks können die meist gut leiden)

    0
  • J

    Kann das Ding auch HUAWEI-Sticks leiden?
    Die von dir gennante war ja ueber 100 Euro teuer und hatten auch noch WLAN, was ich nicht mal brauch (und wegen der Moeglichkeit ungewollt andere mitsurfen zu lassen auch gar nicht moechte).

    0
  • G

    Die Fritzboxen, die das können sind bei wikipedia mit einer 2) bei USB Host Version markiert:
    http://de.wikipedia.org/wiki/FRITZ!Box#Produktlinien

    ...die 2170 ist nicht dabei 😉

    0

  • Jonas OSDever schrieb:

    Kann das Ding auch HUAWEI-Sticks leiden?
    Die von dir gennante war ja ueber 100 Euro teuer und hatten auch noch WLAN, was ich nicht mal brauch (und wegen der Moeglichkeit ungewollt andere mitsurfen zu lassen auch gar nicht moechte).

    z.T. WLAN: du bekommst halt kaum ordentliche Router die kein WLAN haben. Kannst es ja einfach abdrehen wenn du es nicht brauchst. Und die mit WLAN sind auch nicht wirklich teurer, eher sogar umgekehrt.

    Was hast du gegen den Linksys E3000 den ich vorgeschlagen habe? Ich hab' den selbst mit Tomato Firmware laufen, und das haut prima hin. (Ob er mit Original-Firmware was mit einem UMTS Modem anfangen kann weiss nicht nicht, mit passender Tomato Firmware laut Internet schon).

    0
Anmelden zum Antworten