acer123
Goto Top

Port 80 Sperren

Kurtz und knapp...
Kann man auf einem 2003 Standard Port 80 Sperren?

Hallo.
Kleine Frage. Kann ich auf einem 2003 Standard Port 80 in der Basisfirewall sperren?
Hat den Hintergrund, dass User aus dem Intranet nicht über den Server Webseiten Browsen können.
Sie sollen den Proxy nutzen. Brauche aber die Nat funktion damit sachen wie VPN HBCI usw. funktionieren.

Was muss ich wie wo eintragen um 80 zu sperren?

Lg..

Content-Key: 162052

Url: https://administrator.de/contentid/162052

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: mrtux
mrtux 04.03.2011 um 14:05:55 Uhr
Goto Top
Hi !

Zitat von @Acer123:
Hat den Hintergrund, dass User aus dem Intranet nicht über den Server Webseiten Browsen können.

Hä? Wie meinen? Dürfen die User an den Server sitzen und da drüber surfen? Oder wie muss ich mir das vorstellen? Läuft der Server als TS? Oder ist der Server auch das Gateway ins Internet für das lokale Netzwerk? Schlechte Idee!

mrtux
Mitglied: Acer123
Acer123 04.03.2011 um 14:14:10 Uhr
Goto Top
Hi.
Der Server ist nur die verbindung für die User ins netz.
Auf ihm ist ein proxy install.


So sieht es dann aus....

User---------Server (Proxy)---------Router--------Internet
|
|----Server (daten)
|
|----Server (VPN)------Router------Internet

Lg Acer123
Mitglied: Pjordorf
Pjordorf 04.03.2011 um 15:21:44 Uhr
Goto Top
Hallo,

Zitat von @Acer123:
Der Server ist nur die verbindung für die User ins netz.
Auf ihm ist ein proxy install.
Wenn auf dem Server kein Port 80 (aus deinem Intranet heraus) benötigt wird, dann kannst du den Port doch für deinen uns unbekannten Proxy Zugriff deiner Clients verwenden.

Gruß,
Peter
Mitglied: Acer123
Acer123 04.03.2011 um 15:30:40 Uhr
Goto Top
Hi


Zitat von @Pjordorf:
Hallo,

Wenn auf dem Server kein Port 80 (aus deinem Intranet heraus) benötigt wird, dann kannst du den Port doch für deinen uns
unbekannten Proxy Zugriff deiner Clients verwenden.



Jetzt bin ich verwirrt?!?!?!


Mein problem ist ja das auf dem server der jetzt als proxy da steht auch die Nat funktion von windows an ist.
Jetzt können die User über den proxy surfen oder sie stellen im I-Explorer einfach die proxy einstellungen aus und sie surfen trozdem.
Möchte über die nat natürlich nur bestimmte sachen freigeben.
Brauche die Nat funktion aber damit die User von ihren pc's weiterhin vpn usw. verbindungen zu xyz herstellen können.

Hoffe, mein problem nun besser beschrieben zu haben..

Lg face-smile
Mitglied: mrtux
mrtux 04.03.2011 um 15:50:11 Uhr
Goto Top
Hi!

Zitat von @Acer123:
Jetzt bin ich verwirrt?!?!?!

Peter meint damit, dass Du den Proxy transparent aufsetzen sollst, damit die User den Proxy nicht mehr so leicht umgehen können...

mrtux
Mitglied: Acer123
Acer123 04.03.2011 um 16:13:04 Uhr
Goto Top
Hi.

Ok... Das habe ich jetzt im wiki gelesen und verstanden.
Aber wie setze ich es nun auch um...?

Der Hintergrund der ganzen Sache ist:

1. Ich möchte bestimmten usern spontan das internet entziehen.
2. Ein protokoll für die User um im falle eines falles zu sehen wer was gemacht bzw. besucht hat.
3. Bestimmte Seiten sperren.

Dabei ist mir die Proxysache unter die Finger gekommen.
Wobei ich mich schon an Squid für ubuntu versucht habe aber... naja....
Zur Zeit als Proxy: FreeProxy geht recht gut...

Lg
Mitglied: Pjordorf
Pjordorf 04.03.2011 um 17:15:28 Uhr
Goto Top
Hallo

Zitat von @Acer123:
Aber wie setze ich es nun auch um...?
Nun, was hast du bis jetzt (gemacht)? Was hast du wo eingestellt?

1. Ich möchte bestimmten usern spontan das internet entziehen.
Machst du im/am Proxy

2. Ein protokoll für die User um im falle eines falles zu sehen wer was gemacht bzw. besucht hat.
Machst du im/am Proxy

3. Bestimmte Seiten sperren.
Machst du im/am Proxy

Zur Zeit als Proxy: FreeProxy geht recht gut...
Und der ist auf deinen Server 2003 installiert und hört auf welchen Port?
Der Server 2003 ist auch dein Gateway für deine Clients?
Der Server 2003 macht auch Routing/RAS?
Der Server hat mehr als 1 Netzwerkkarte?
DHCP ist am laufen?
Proxy Einstellungen hast du wie verteilt (Per Turnschuh oder GPO)?

Gruß
Peter
Mitglied: Acer123
Acer123 04.03.2011 um 17:56:51 Uhr
Goto Top
Hi.

Hier sind die Antworten auf deine Fragen:

Und der ist auf deinen Server 2003 installiert und hört auf welchen Port? --> Proxy hört auf 8080 im I-Explorer
Der Server 2003 ist auch dein Gateway für deine Clients? --> Server 2003 ist auch Gateway
Der Server 2003 macht auch Routing/RAS? --> Server 2003 Routing/RAS ist eingerichtet (VPN von außen kommt aber auf einem anderen Anschluss)
Der Server hat mehr als 1 Netzwerkkarte? --> Der Server hat 2 Netzwerkkarten
DHCP ist am laufen? --> DHCP ist auf einem Anderen Server (der selbe, der für vpn genutzt wird)
Proxy Einstellungen hast du wie verteilt (Per Turnschuh oder GPO)? --> Proxy Einstellungen kommen über gpo

auf die Frage "Nun, was hast du bis jetzt (gemacht)? Was hast du wo eingestellt?"

1. FreeProxy install eingerichtet
2. über DHCP die ip-daten erneuert (Gateway / DNS)
3. GPO die Proxydaten verteielt für IE
4. festgestellt, dass auch ohne IE-Proxy-einstellung noch über das Gateway zugang besteht.
5. Gateway abgestellt
6. Benutzer können keine VPN mehr nach außen herstellen
7. ratlosigkeit.....
8. bitten um Hilfe.....


Lg Acer
Mitglied: Pjordorf
Pjordorf 04.03.2011 um 18:08:24 Uhr
Goto Top
Hallo,

Zitat von @Acer123:
Und der ist auf deinen Server 2003 installiert und hört auf welchen Port? --> Proxy hört auf 8080 im I-Explorer
Ändern des Proxy Port auf Port 80.

Der Server 2003 ist auch dein Gateway für deine Clients? --> Server 2003 ist auch Gateway
OK

Proxy Einstellungen hast du wie verteilt (Per Turnschuh oder GPO)? --> Proxy Einstellungen kommen über gpo
OK

1. FreeProxy install eingerichtet
2. über DHCP die ip-daten erneuert (Gateway / DNS)
Gateway ist dein server wie gehabt.

3. GPO die Proxydaten verteielt für IE
Hier Port 80 Einstellen oder ganz Rausnehmen (Testen)

4. festgestellt, dass auch ohne IE-Proxy-einstellung noch über das Gateway zugang besteht.
Klar, Standardgateway (Port 80)

5. Gateway abgestellt
6. Benutzer können keine VPN mehr nach außen herstellen
Klar, kein Gateway, kein Weg nach draussen.

7. ratlosigkeit.....
Gateway wieder einstellen.
Sicherstellen das kein webserver (IIS, Apache, ...auf deinen Server den Port 80 belegt.
Port 80 für deine proxy einstellen und verwenden
Proxy Einstellungen am Client ausschalten oder auf Port 80 stellen (Testen).

Im Proxy dann den Benutzern (Rechnern) Zugriff gewähren / Sperren je nach deiner Vorstellung. Logs des Proxy verwenden.

Gruß,
Peter
Mitglied: Acer123
Acer123 04.03.2011 um 18:36:01 Uhr
Goto Top
Hi.

Es hat sich an der Funktion ja leider noch nix geändert
Ich kann immernoch am proxy vorbei ins www.
und ohne Gateway kein VPN...

Was mache ich da jetzt noch falsch.
Mitglied: Pjordorf
Pjordorf 04.03.2011 um 20:10:50 Uhr
Goto Top
Hallo,

Zitat von @Acer123:
Es hat sich an der Funktion ja leider noch nix geändert
Ich kann immernoch am proxy vorbei ins www.
Dein Proxy hört auf Port 80?
Im Proxy alles erlaubt?

und ohne Gateway kein VPN...
gfateway wieder einschalten...

Was mache ich da jetzt noch falsch.
Meine Glaskugel ist schon wieder zur reparatur. Ist in letzter Zeit immer Dunkel geblieben.face-smile

Gruß,
Peter
Mitglied: loonydeluxe
loonydeluxe 04.03.2011 um 20:32:42 Uhr
Goto Top
Hallo,

kannst du evt. die IP-Adressen, Gateway, DNS eines Clients, des Servers und des Routers preisgeben, dazu evt. noch ein "route print" vom Client?
Vielleicht kann das die Glaskugel zum leichten Glimmen bringen face-smile

Grüße, loonydeluxe
Mitglied: Acer123
Acer123 04.03.2011 um 20:35:53 Uhr
Goto Top
Hi

Ja die gute alte Glaskugel... face-smile

Proxy habe ich auf 80 gestellt
Habe dann im IE die Daten auf 80 gestellt alles ok ich surfe über den proxy (habe mich im proxy gesperrt sehe also eine Meldung)
die daten aus dem IE wieder entfernt schwupp kann ich alle seiten erreichen...


Gateway ist wieder an...


So war bei mir der letzte test.....
Mitglied: Acer123
Acer123 04.03.2011 um 20:43:03 Uhr
Goto Top
Hi.


Ip client:

IP: 192.168.55.25
DNS1: 192.168.55.1
DNS2: 192.168.55.5
Gateway: 192.168.55.5


Ip Server (proxy):

IP: 192.168.55.5 (nic1)
IP: 156.185.36.236 (nic2)
DNS1: 10.xxx.xxx.xxx (nic2)
DNS2: 10.xxx.xxx.xxx (nic2)
Gateway: 156.185.36.237 (nic2)
(zum test es ist gerade kein router an nic2 es hängt direkt an einem SDSL)


Lg Acer123
Mitglied: Pjordorf
Pjordorf 04.03.2011 um 20:44:28 Uhr
Goto Top
Hallo,

Zitat von @Acer123:
Habe dann im IE die Daten auf 80 gestellt alles ok ich surfe über den proxy (habe mich im proxy gesperrt sehe also eine
Meldung)
die daten aus dem IE wieder entfernt schwupp kann ich alle seiten erreichen...
Was sperrst du im Proxy? Den Benutzer oder den Rechner? Benutzer <> Rechner. Benutzer hat Benutzername / domäne und Passwort. Rechner hat nur eine IP.

Gruß,
Peter
Mitglied: Pjordorf
Pjordorf 04.03.2011 um 20:57:46 Uhr
Goto Top
Hallo,

Zitat von @Acer123:
Zur Zeit als Proxy: FreeProxy geht recht gut...
Du meinst einer von diesen Ungefähr 2.090.000 Ergebnisse (0,17 Sekunden) wenn man bei der Suchmaschine deiner Wahl "FreeProxy" eingibt? Da wird dir keiner helfen können mit irgendwelchen EinstellungenD

Gruß,
Peter
Mitglied: loonydeluxe
loonydeluxe 04.03.2011 um 21:10:49 Uhr
Goto Top
Sieht gut aus, hatte ich aber auch nicht anders erwartet face-smile

Öffne mal die Routing und RAS-Konsole, gehe zu IP-Routing --> NAT/Basisfirewall. Öffne dann deine interne Schnittstelle.
Hier kannst du jetzt Filter erstellen. Versuch mal, einen eingehenden Filter zu erstellen, um den (am Server von intern) eingehenden Verkehr zu regeln. Konfiguriere eine neue Regel, Nur Quellnetzwerk-Häkchen aktivieren, Quell-IP 192.168.55.0/255.255.255.0, Zielnetz bleibt frei, das Protokoll auf TCP, Quellport bleibt leer, Zielport auf 80. Wähle im Dialogfeld "Alle Pakete EMPFANGEN außer ..."
Damit sollte dann der Verkehr vom internen Netz nach extern mit Zielport 80 blockiert werden. Kann ich gerade nicht testen, da ich keinen NATtenden Windows Server hier habe. Ausgehend mit Ziel 80 auf dem externen Interface würd ich nicht sperren, da so auch ein Admin am Server selbst wohl keinen Inet-Zugriff mehr haben dürfte (z. B. für Updates, ...).

Grüße, loonydeluxe
Mitglied: Acer123
Acer123 05.03.2011 um 00:40:08 Uhr
Goto Top
Hey danke für die super Erklärung. Ich werde mich morgen mal an die Umsetzung machen.
Ich lasse es dich dann wissen ob es klappt. Bzw. Geklappt hat.