Clients das surfen untersagen

[Alforno 10]

Hallo,

 

ich bastele gerade an einer Testumgebung. Derzeit habe ich einen W2003 Server und 2 XP Clients im Netz. Alle hängen an einem Switch und dieser am Router.

 

Auf dem Server läuft nen mailserver (hmailserver). Angedacht ist dann auch noch ein WSUS.

 

Ich wollte gerne erreichen, dass die Clients sich die Mails vom mailserver holen und mit Windows Updates versorgt werden.

 

Die Clients sollen aber auf keinen Fall die Möglichkeit haben ins Internet zu kommen.

 

Reicht es, wenn ich bei den Clients einfach keinen Gateway eintrage?

 

Ich weiß, eine etwas einfachere Frage würde mich aber trotzdem über eine Antwort freuen.

 

Danke im Voraus.

 

mfg

Alforno

[LukasB 10]

Reicht es, wenn ich bei den Clients einfach keinen Gateway eintrage?

 

Solange die Leute keine lokalen Adminrechte haben - grundsätzlich ja.

 

Schön ist das aber nicht.

[Ciscler 10]

Hallo,

 

klar kannst das Gateway auf den Clients einfach weglassen.

Vorraussetzung dein Mail Server und WSUS Server sind im Selben Netz wie die Clients.

 

Gruß Dirk

[Alforno 10]

Danke euch für die schnellen Antworten.

Ja, alle werden lediglich mit Benutzerrechten ausgestattet.

 

@lukasB

Was wäre denn eine schöne Lösung.

 

Ich will ja nur verhindern, dass die User eine Möglcihkeit haben auf das Internet zuzugreifen. Ihre Mails bekommen sie dann vom lokalen Mailserver des Servers.

 

Danke.

 

mfg

Alforno

[Robi-Wan 10]

Hallo,

 

Du könntest auch per GPO verhindern, dass der IE/Firefox/... ausgeführt wird...

 

Grüße, Robert

[mseifert1980 10]

Hallo,

 

Du könntest auch per GPO verhindern, dass der IE/Firefox/... ausgeführt wird...

 

Grüße, Robert

 

 

Damit würde man aber auch jegliche webbasierte Anwendung verhindern.

 

Über elegante Lösungen lässt sich streiten.

 

Es gibt verschiedene wege das gewünschte Ziel zu realisieren.

 

Man kann z.b: ne Firewall bzw. Router ranhängen, der über Filterfunktionen verfügt.

Gibts mittlerweile für 60€.

 

Man Kann das Gateway weglassen usw.

[IThome 10]

Ich denke auch, dass die eleganteste Lösung die mit einem entsprechend konfigurierten Gateway ist ...

[Alforno 10]

als gateway benutze ich einen draytek 2200x.

kennt sich jemand damit aus und kann eventuell beantowrten, ob ich sich dies am Router sperren lässt?

 

Danke im Voraus.

 

mfg

Alforno

[IThome 10]

Du kannst Firewallregeln auf dem 2200er definieren, die den Zugang nur von der Server IP-Adresse zulassen. Auf dem Server läuft der Mailserver, der sich mit dem Internet verbindet und ebenso kannst Du da den WSUS installieren, so dass kein Client in´s Internet muss (und mit den Regeln auch nicht kann) ...

[Alforno 10]

@ithome

 

danke dir für die schnelle antwort.

werde ich mir gleich mal angucken.

 

macht es sinn die clients und den server direkt am router zu haben oder sollte man lieber im server 2 nics verbauen.

 

Also [Router----NICA_Server_NICB----Switch----Clients]

 

kann man sowas als sicher bezeichnen?

Danke im voraus.

 

mfg

Alforno

[IThome 10]

Auf jeden Fall sicherer als direkt, wenn der SBS als NAT-Router mit aktivierter Basisfirewall konfiguriert ist. Aber dann musst Du noch ein wenig mehr konfigurieren ...

[Alforno 10]

ist dir für dieses szenario nen passendes Tutorial bekannt?

 

Gehen wir mal davon aus, dass ich auf dem Draytek alle Ports schließe(von außen nach innen), soweit ich weiß ist das per default ja bereits der Fall.

 

Dann sollte doch erstmal niemand da durch kommen.

Müssen denn für den Mailverkehr Ports(von außen nach innen) geöffnet werden? Eigentlich doch nicht, oder?

 

Ich könnte doch dann sogar den integrierten VPN Dienst von Draytek verwenden. Problematisch sollte es doch erst werden, wenn die Firmware des Draytek Lücken hätte. Oder mache ich hier einen denkfehler?

 

Danke im Voraus.

 

mfg

Alforno

[IThome 10]

Der Router lässt von innen nach aussen erstmal gar nichts durch, von innen nach aussen aber alles. Du kannst auf einem Draytek sehr umfangreiche Firewallregeln definieren (hier mal ein Link).

Vigor Router FAQ

Wofür willst Du den VPN-Dienst des Draytek benutzen ?

[Alforno 10]

Danke, dir.

Ich gehe davon aus, dass du im ersten Satz von außen nach innen meintest, richtig?

 

Eigentlich wollte ich den VPN Zugang für administrative Zwecke nutzen.

Mir geht es eigentlich um die Sicherheit des Netzes.

 

Da von außen keine Dienste verfügbar gemacht werden sollen.

Werde ich dementsprechend auch keine Ports öffnen müssen. Dies sollte man dann doch als einigermaßen sicher bezeichnen dürfen.

 

Müssen denn für den Mailverkehr Ports von außen nach innen geöffnet werden?

 

danke.

mfg

Alforno

[IThome 10]

Danke, dir.

Ich gehe davon aus, dass du im ersten Satz von außen nach innen meintest, richtig?

Ähm, ja , klar :D

 

Für administrative Zwecke kannst Du natürlich auch VPN benutzen, was der 2200er ja bietet. Ob Du für den Mailverkehr Ports öffnen musst, kommt darauf an, wie er stattfindet. Rufst Du Mails via POP3 von Deinem Server ab, wird die Verbindung von innen initiiert. Ebenso, wenn der Server eine Mail via SMTP verschickt. Werden Dir die Mails allerdings via SMTP zugestellt (was ich nicht glaube), dann müsstest Du ein Forwarding einrichten ...