4. [gelöst] IIS vom I-Net "abschotten"

[gelöst] IIS vom I-Net "abschotten"

  • J

    Hi Leute,
    ich hab heute mal IIS für meine ersten Gehversuche mit ASP.NET, die mal nich auf dem VS-Development-Server laufen sollen, installiert. Meine Frage ist:
    Wie kann ich den IIS vom restlichen Internet abschotten?
    Also wirklich nur vom Internet, im lokalen Netzwerk soll der Server noch Zugriff erlauben.
    Grund: 1. Will ich nicht, dass irgendjemand durch Zufall meine Gehversuche liest und 2. will ich aufgrund möglicher Sicherheitslücken des IIS 5.1 (die Version von XP Prof.) für Hacker nicht angreifbar sein.
    Normalerweise stellt man die Zugriffsberechtigung ja über die Firewall ein, aber für IIS hab ich leider keinen Eintrag gefunden.

    Weiß jemand wie ich das ganze richtig konfiguiere?

    MfG Jonas

    0
  • S
    Mod

    Die Einstellung machst du auf deinem Gateway/Firewall/Router - je nachdem wie dein Netzwerk aussieht.

    Das sind keine Settings des HTTP Servers.

    Prinzipiell sollte der Zugriff von aussen ja standardmäßig geblockt sein, so dass du eigentlich garnichts tun musst.

    -> https://www.grc.com/x/ne.dll?bh0bkyd2
    hier kannst du checken welche Ports bei dir offen sind.

    0
  • J

    Mmh, alle Ports grün, außer 113, der is blau. Also is Port 80 "Stealth" (was auch immer das heißen mag).
    Interessanterweise ist aber die angezeigte IP-Addr. auf der Website nicht gleich mit der, die mir ipconfig ausspuckt. Hängt das damit zusammen, dass ich mit nem Stick im Internet häng.?

    Zum Thema IIS: Hab erstmal die Standard-Website "beendet" (keine Ahnung welcher MS-Entwickler diesen Übersetzungsmist fabriziert hat) und der SMTP-Server is auch runtergefahren. Sollte sich also erstmal niemand in meinem System breitmachen. Mit der Firewall guck ich nochmal, Router hab ich keinen und Gateway sollte eigentlich auch keins benutzt werden (sicher bin ich mir da aber nicht).

    0
  • Z

    Du hängst doch hinter eine Konsumer-Router(zuhaus) am Internet? Bei diese muss man Port-Forwarding zu eine IP-Adresse(als Eingabe) hinterlegen, damit die Firewall weiß, zu welchem Rechner er diesen Dienst schicken soll. Das total egal, was bei dir im Local zu tun hat.

    Oder bist du direkt im Internet, oder im Firmemnetz?

    0
  • U

    UNd wenn Du das nicht mit dem Router hast dann ist es sowieso egal ob IIS oder nicht.

    Der IIS hört auf einer IPADRESSE auf einen definierten Port. Standard 80

    Sollte dein Rechner eine externe IP bekommen dann muss du die Webseite im IIS so einstellen das sie nur auf die INterne IP hört.
    Dadruch wird auf der externen auch kein Port geöffnet.

    0
  • J

    Sorry, dass ich erst jetzt antworten kann. Das rumgewerkel an den Sicherheitseinstellungen hat scheinbar alles durcheinander gebracht und mein I-Net-Stick wollte sich nich mehr authentifizieren. Egal, reboot hilft immer ;).

    Zurück zum Thema: Also meine Netzkonfiguration sieht so aus:

    Laptop-------------------------------------------------------------------+ LAN-Kabel     (<---IIS-Zugriff)
   |   (<----Kein IIS-Zugriff)                                           |
(Nicht immer verbunden)                                       (Selten verbunden)
   |                                                                     |
 Stick                                                               Desktop PC
   |   durch T-Mobile
Internet

    Der Zugriff auf den IIS soll also nur lokal und von über LAN verbundenen PCs möglich sein. Die Schwierigkeit besteht darin, dass die PCs nicht immer verbunden sind und so ein direktes freigeben von IP-Addressen schwierig wird, zumal demnächst noch ein weiterer PC ins Heimnetzwerk eingebunden werden soll.

    Normalerweise kann man ja bei der Firewall schön festlegen ob nur Internet, Subnetz oder benutzerdefinierte Maske. Aber ich bin mir, wie gesagt, nicht im klaren, wie ich der Firewall erstmal weißmachen soll, dass sie den IIS mit beobachten soll. Jedes Serverprogramm, dass ich mit .NET schreibe erkennt das Ding und wills blocken, aber hier beim IIS is aufeinmal alles gut und keine Gefährdung?!

    0
  • Z

    Läuft IIS auf dem Desktop oder Laptop.

    Bei Desktop.
    Keine Sorge dein Laptop sollte kein Router sein.

    Bei Laptop.
    Siehe Unix-Tom Thread.

    Zum Nachprüfen kannst du dir Ansehen auf welchen Schnittstellen die Standardweb-Site hört. (Site Bindings unter Win7 Engl.)

    0
  • J

    Also. Der Laptop ist mit IIS bestückt.
    Dieses Konfiguration auf nur eine Addresse, wie Unix-Tom es vorgschalgen hat, verstehe ich schon. Das Problem ist nur: Der Laptop ist wie gesagt nicht immer im Heimnetzwerk eingekoppelt und hat dementsprechend nicht immer die LAN-Addresse drin. Keine Ahnung was der IIS macht, wenn er seine Listen-IP nich immer gleich findet. Das weit größere Problem ist aber: Die LAN-Addressen werden doch dynamisch vergeben. Wenn ich meinen Laptop an meine Hornaltdesktopmühle ankoppel bekommt er erst eine 192.168.x.x Nummer zugewiesen. Die ist aber eben leider dynamisch vergeben und dementsprechend könnte mein Laptop bei Erweiterung meines Heimnetzes plötzlich wieder ne ganz andere IP zugewiesen kriegen.

    Ich hab schonmal irgendwo in den Netzwerkeinstellungen gelesen, dass man statt ner dynamisch generierten auch ne statische IP zuweisen kann. Hab ich aber, aus Angst vor möglichen Fehlern und damit verbundenen möglichen IP-Konflikten gelassen.
    Könnte mir jemand vielleicht mal erklären, worauf ich achten müsste, wenn ich eine statische IP verwende?

    EDIT: Ok, ich mal etwas länger nachgegooglet und hier herausgefunden, dass der Addressbereich 192.168.x.x für Lokale Netzwerke reserviert ist. Meine LAN-Verbindung is jetz einfach mal willkürlich auf 192.168.255.8 festgelegt; mal sehen was der IIS sagt.
    EDIT 2: Ok, jetz funktioniert alles. Musste noch an der Firewall für die LAN-Verbindung rumdoktorn, dass der Webserver Zugriff bekommt.
    Danke an alle, die mir geholfen haben. 🙂

    0
Anmelden zum Antworten