W2K3 Server Internetgateway / Basisfirewall

[mic72 10]

Hallo,

 

ich wollte mal testen wie weit ich mit einem Internetgateway basierend auf Windows Server 2003 komme. Grundsätzlich muss ich sagen, dass es recht einfach war. Es funktioniert eigentlich wunderbar, bis auf eine Kleinigkeit. Aber hier erst einmal meine Konfiguration:

 

NIC1 - lokales Netzwerk - 192.168.5.1

NIC2 - Internet

 

Auf dem Server läuft Windows 2003 Server und ein Webserver (Port 80). Ich möchte nun mit RRAS und Basisfirewall diesen Server als Internetgateway nutzen. Das funktioniert auch wunderbar, nur leider kann mein komplettes internes Netzwerk (4 Rechner; 192.168.5.10 - 192.168.5.13) jetzt im Internet surfen (am Client 192.168.5.1 als Std.-Gateway eingestellt). Das soll natürlich nicht sein. Es sollte lediglich der PC mit IP 192.168.5.10 und 192.168.5.12 im Internet surfen dürfen (HTTP[80]; HTTPS[443]; FTP[21]).

 

Ich denke das funktioniert mit den Paketfiltern, nur wie und auf welcher Schnittstelle ?

 

Zu berücksichtigen ist, dass alle Rechner über die interne Schnittstelle des Servers auf den dort installierten Webserver mit Port 80 kommen müssen.

 

Ist für euch bestimmt nur eine Kleinigkeit.

 

Für eure Hilfe bedanke ich mich schon einmal im Vorraus.

 

Gruß

Mic72

[ChristianHemker 10]

Hallo,

 

du könntest einen Ausschlussfilter auf dem Ausgang der externen Netzwerkkarte knofigurieren.

[mic72 10]

Hallo,

 

danke für die schnelle Antwort, aber irgebndwie funktioniert das nicht. Ich habe folgendes gemacht:

 

- In Verwaltung "Routing und RAS" Konsole geöffnet.

- Dort unter 2Meingerätename"(lokal) -> IP-Routing -> NAT/Basisfirewall gegangen.

- Doppelklick auf die NIC2 (Internet)

- Bei statische Paketfilter auf den Ausgehend Button geklickt

- Neuen Filter hinzugefügt:

Quellnetzwerk 192.168.5.10 Subnetzmaske 255.255.255.255 Zielnetzwerk: Beliebig Port beliebig

Gleiches für die IP 192.168.5.12 eingestellt.

- Bei Filteraktion "Alle Pakete verwerfen außer den Paketen, die die unten aufgeführten Kriterien erfüllen"

 

Leider tut sich da nichts mehr d.h. ich kamm mit meinem Rechner (IP 192.168.5.10) nicht surfen.

 

Hilfe !!!

 

Gruß

mic72

[kalgani 10]

wieso löschst du nicht einfach das gateway bei denen die nicht ins internet müssen?

den webserver müssten sie dann doch trotzdem über das netzwerk erreichen können.

[mic72 10]

Hallo,

 

hm, das wäre natürlich eine Lösung, aber nicht gerade sicher. Auf dem Server wird später ein Proxy laufen über den die drei anderen PC´s surfen können sollen. Eben nur die beiden PC´s sollen direkt ohne Proxy, durch die Firewall surfen können.

 

Gruß

mic72

 

PS: Unter SuSE konfiguriere ich das ganz einfach per SuSE Firewall und Squid. Will aber einen Windows 2003 Server benutzen.

[IThome 10]

Auf der INTERNEN Schnittstelle EINGEHENDE Filter konfigurieren (Alle Pakete verwerfen ausser den Paketen, die die unten aufgeführten Kriterien erfüllen) .

1. Filter

Quelle: 192.168.5.10/32 - Ziel: Alle - Protokoll: TCP - Quellport: Alle - Zielport: 80

2. Filter

Quelle: 192.168.5.12/32 - Ziel: Alle - Protokoll: TCP - Quellport: Alle - Zielport: 80

3. Filter

Quelle: 192.168.5.0/24 - Ziel: 192.168.5.1/32 - Protokoll: beliebig

Das wäre HTTP nach aussen und alles zum Server. Wenn die beiden auch HTTPS usw. machen sollen, dann füge entsprechende Filter oberhalb von dem letzten Filter zu ...

[mic72 10]

Wunderbar,

 

so funktioniert es. Vielen Dank.

 

Gruß

mic72

[IThome 10]

Wenn ich es mir jetzt recht überlege, ist meine Filterreihenfolge ziemlich doof :D Naja, kommt ja darauf an, was mehr benutzt wird, der Server oder das Internet ...