4. Windows 7 Firewall - Remote IP Adressen einschränken?

Windows 7 Firewall - Remote IP Adressen einschränken?

  • ?

    Ich will auf meinem Windows 7 Rechner einen Serverdienst laufen lassen.
    Der Rechner selbst ist an einem normalen DSL Router angeschlossen und Portforwarding ist entsprechend eingerichtet, so dass Rechner von außen sich mit dem Serverdient verbinden können.

    Das Problem ist jetzt nur, ich möchte die IP Adressen die von außen auf den Server zugreifen dürfen einschränken, aber der DSL Router bietet keine Möglichkeit beim Portforwarding die IP Adressen einzuschränken.
    Es ist also immer der ganze IP Adressraum der an meinen Rechner weitergeleitet wird.

    Daher würde ich jetzt gerne wissen, ob man in der Windows Firewall den IP Adressbereich für den Serverdienst einschränken kann.
    Bei den Einstellungen für die Firewall von Windows 7 habe ich da unter dem Menüpunkt "eingehende Regeln" den entsprechenden Serverdienst ausgewählt und auf "Rechtsklick -> Eigenschaften -> Bereich" gibt es eine Möglichkeit Remote IP Adressen einzugeben.

    Jetzt frage ich mich nur, ob das bei NAT überhaupt so funktionieren kann.
    Ist es nicht so, dass der interne Rechner nur die IP des DSL Routers sieht und daher die äußeren IP Adressen in Windows gar nicht gesperrt werden können?

    Falls da der Denkfehler liegt, dann bitte korrigieren.

    In den Firewalleinstellungen des DSL Routers kann ich nur IP Adressräume und bestimmte IP Adressen sperren, ich kann aber nicht einstellen, alle IP Adressen für einen bestimmten Port sind gesperrt, bis auf eine.
    Diese Einstellungsmöglichkeit gibt es leider nicht. Ansonsten hätte ich es nämlich damit versucht.
    Ob so eine Regel für das Portforwarding etwas gebracht hätte, weiß ich allerdings nicht, da ich auch nicht weiß, welches OS der DSL Router verwendet.

    Bei Linux und iptables weiß ich zumindest, dass Portforwarding und lokale Portsperren getrennte Filterregeln haben.

    0

  • Haha, gute Frage. Ich bin mir nicht 100% absolut sicher, aber ziemlich sicher dass dein PC die public IP der eingehenden Verbindung sieht, nicht die IP des Routers.

    Hinter der Router-IP "versteckt" werden ja nur die internen IPs. Was nötig ist, weil diese halt nicht "public" sind, im Internet aber nur public IPs erlaubt sind. Umgekehrt ist das aber nicht nötig -- Connections die von aussen reinkommen kommen immer über public IPs rein, und damit sind Kollisionen mit internen, privaten IPs ausgeschlossen. Da es also nicht nötig ist, und gleichzeitig sehr unpraktisch wäre, gehe ich davon aus dass es nicht gemacht wird.

    Kannst du aber recht einfach ausprobieren.
    Und zwar indem du dafür sorgst dass eine Connection von draussen reinkommt, und dann per netstat -a -n guckst mit welcher IP dein Server verbunden ist.

    Bzw. falls die Verbindung immer zu schnell wieder getrennt wird, kannst du einfach per Windows Firewall nur genau diese eine IP erlauben und alles andere blocken. Wenn du dann noch connecten kannst, dann wird es passen. Bzw. wenn du sichergehen willst dass auch wirklich garantiert ganz ganz sicher andere IPs geblockt werden, kannst du ja mal probeweise die eine erlaubte IP ändern. Wenn du dann nicht mehr connecten kannst, kannst du denke ich beruhigt sein dass die Rule wie gewünscht funktioniert.

    0
Anmelden zum Antworten