Windows Server - Internet Verbindung kappen

[winmadness 44]

Hallo,

würde es den Betrieb von Windows Servern 2016 (VMs mit Exchange 2016, Fileser, DC) beeinträchtigen, wenn ich den kompletten ausgehenden Internet-Verkehr in der vorgeschalteten Firewall blockieren würde. Bis auf den Port für ActiveSync (NICHT Standardport 443) würde ich gerne alle anderen Ports ins Internet sperren. Mir würde noch folgende IPs einfallen, welche ich freigeben müsste: WSUS . EMails werden intern über einen MTA zugestellt.  Hat hier jemand bereits Erfahrungen gesammelt?

Edited March 20 by winmadness

[daabm 593]

Das interessiert den Server keinen Deut. Nahezu kein Server bei uns kann ins Internt, und denen geht's im großen und ganzen nicht schlecht

[NorbertFe 584]

vor 9 Stunden schrieb winmadness:

Bis auf den Port für ActiveSync (NICHT Standardport 443) würde ich gerne alle anderen Ports ins Internet sperren.

Der ist ein- und nicht ausgehend.

[winmadness 44]

vor 3 Stunden schrieb NorbertFe:

Der ist ein- und nicht ausgehend.

Nein, er ist beides. Wenn ich in der OPNSense Firewall den gesamten ausgeheneden Verkehr sperre, dann werden auch die Antwort-Pakete für ActiveSync blockiert. Deshalb benötige ich hierfür eine Ausnahme-Regel.

 

@daabm: Danke für den Tipp - ich werde es mal testen.

 

[NorbertFe 584]

Die is nicht stateful? Naja... kenn ich von anderen Firewalls „besser“. ;)

[winmadness 44]

Doch, ist eine Stateful Firewall. Hast Du schon mal einen Test mit einer Statefull Firewall gemacht - ich ja!

[NorbertFe 584]

Eingehender Traffic muss üblicherweise nicht ausgehend erlaubt werden. Aber vielleicht versteh ich ja was falsch und du machst das schon. ;)

Edited March 21 by NorbertFe