8
TCP IP Filter Windows 2003 Server
Hallo Admins und IT Pro's,
ich habe mir einen WIN Webserver angeschafft. Leider schafft es der Support nicht anzuworten.
Egal, da ich ja durch meinen Beruf einige Erfahrung mit dem BS Win 2003 habe mach ich das meisste selber.
Problem aber wo ich ins stocken komme:
Auf dem Server ist das TCP/IP Filtering aktiviert. Ports die Freigeschaltet sind: TCP: 21 FTP , 53 DNS , 80 HTTP , 3389 RDP und UDP ebenfalls 53 DNS.
Entweder ich habe was vergessen und stehe auf dem Schlauch. Aber ich kann keine Ping mit DNS Namen durchführen und auch normales Surfen ist nicht möglich.
Wie gesagt sobald ich eine IP pinge oder mit dem Browser auf die IP von z.B. Google zugreife bekomme ich Antwort. Das komische ist das wenn der Filter aus ist das es geht.
Also muss es was mit dem Filter zu tun haben.
Nun jetzt aber die Frage: Es sind doch alle nötigen Ports frei oder hab ich was vergessen ?
Vielen Dank für eure Hilfe.
MfG
Klaus Hahn
ich habe mir einen WIN Webserver angeschafft. Leider schafft es der Support nicht anzuworten.
Egal, da ich ja durch meinen Beruf einige Erfahrung mit dem BS Win 2003 habe mach ich das meisste selber.
Problem aber wo ich ins stocken komme:
Auf dem Server ist das TCP/IP Filtering aktiviert. Ports die Freigeschaltet sind: TCP: 21 FTP , 53 DNS , 80 HTTP , 3389 RDP und UDP ebenfalls 53 DNS.
Entweder ich habe was vergessen und stehe auf dem Schlauch. Aber ich kann keine Ping mit DNS Namen durchführen und auch normales Surfen ist nicht möglich.
Wie gesagt sobald ich eine IP pinge oder mit dem Browser auf die IP von z.B. Google zugreife bekomme ich Antwort. Das komische ist das wenn der Filter aus ist das es geht.
Also muss es was mit dem Filter zu tun haben.
Nun jetzt aber die Frage: Es sind doch alle nötigen Ports frei oder hab ich was vergessen ?
Vielen Dank für eure Hilfe.
MfG
Klaus Hahn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 59251
Url: https://administrator.de/contentid/59251
Printed on: April 27, 2024 at 04:04 o'clock
8 Comments
Latest comment
Bei FTP hast du den Port 20 vergessen, ferner für HTTPS den Port 443 TCP.
DNS Namensauflösung ist 53 UDP. RDP 3389 fürs Internet freischalten ist bei Firmenservern bedenklich, wenn hohe Sicherheit notwendig ist (zu schwache Verschlüsselung).
Es ist ausserdem wichtig zu wissen, ob einkommend oder ausgehend gefiltert wird.
Desweiteren musst du bedenken, dass ANKOMMENDE Pakete von Clients die den SErver kontakten immer auf Ports höher als 1024 reinkommen, und dies dynamisch. Sprich, es reicht nicht ne bestimmte Handvoll Ports zu öffnen die die Dienste die der Server anbietet nutzen, sondern du musst auch die Richtung (einkommend / ausgehend) sowie die Ports der anfragenden Clients berücksichtigen (Source Port / Destination Port).
Ich weiss auch nicht ob du die TCP Filter Funktion, oder eine Firewall einsetzt?
Die TCP Filter Funktion würd ich weglassen, u. mit der Windows Firewall arbeiten, wenn es nur um Intranet Access geht.
Ist der Server auch von aussen erreichbar (Internet) würde ich eine Kombination aus NAT und Firewall oder ACLs einsetzen und auf dem Server selbst wohl garnix filtern (bringt meist eher Probleme als Vorteile).
DNS Namensauflösung ist 53 UDP. RDP 3389 fürs Internet freischalten ist bei Firmenservern bedenklich, wenn hohe Sicherheit notwendig ist (zu schwache Verschlüsselung).
Es ist ausserdem wichtig zu wissen, ob einkommend oder ausgehend gefiltert wird.
Desweiteren musst du bedenken, dass ANKOMMENDE Pakete von Clients die den SErver kontakten immer auf Ports höher als 1024 reinkommen, und dies dynamisch. Sprich, es reicht nicht ne bestimmte Handvoll Ports zu öffnen die die Dienste die der Server anbietet nutzen, sondern du musst auch die Richtung (einkommend / ausgehend) sowie die Ports der anfragenden Clients berücksichtigen (Source Port / Destination Port).
Ich weiss auch nicht ob du die TCP Filter Funktion, oder eine Firewall einsetzt?
Die TCP Filter Funktion würd ich weglassen, u. mit der Windows Firewall arbeiten, wenn es nur um Intranet Access geht.
Ist der Server auch von aussen erreichbar (Internet) würde ich eine Kombination aus NAT und Firewall oder ACLs einsetzen und auf dem Server selbst wohl garnix filtern (bringt meist eher Probleme als Vorteile).
Hi,
das dürfte eigentlich kein Problem des IP Filters sein, dann stimmt irgendwas mit Deinen DNS Einstellungen nicht, würde ich zumindest vermuten.
Hast Du lokal einen DNS Server laufen udn dort Weiterleitungen zu einem externen DNS Server
eingerichtet?
Gruß
cykes
P.S. Ein Beitrag hätte auch gereicht!
das dürfte eigentlich kein Problem des IP Filters sein, dann stimmt irgendwas mit Deinen DNS Einstellungen nicht, würde ich zumindest vermuten.
Hast Du lokal einen DNS Server laufen udn dort Weiterleitungen zu einem externen DNS Server
eingerichtet?
Gruß
cykes
P.S. Ein Beitrag hätte auch gereicht!
Hi,
wie schon genannt ist es ein Webserver und keiner der in einem Internen Firmennetz oder sonstiges steht.
Ebenfalls ist es seltsam das wenn der TCP IP Filter ausgeschaltet ist das Surfen und Pingen auf DNS Namen "funktioniert".
Werde eben mal den Port 20 und 443 freigeben. Leider kann ich in dem Filter nicht einsehen ob diese Filterungen Eingehend oder Ausgehend sind. Scheint mir aber so als wäre sowohl als auch.
Da ich mich mit NAT oder einem Software Firewall auskenne dachte ich das diese Filterung das nächst beste ist. Sie blockt auch gut wie man sieht.
Bis gleich.
wie schon genannt ist es ein Webserver und keiner der in einem Internen Firmennetz oder sonstiges steht.
Ebenfalls ist es seltsam das wenn der TCP IP Filter ausgeschaltet ist das Surfen und Pingen auf DNS Namen "funktioniert".
Werde eben mal den Port 20 und 443 freigeben. Leider kann ich in dem Filter nicht einsehen ob diese Filterungen Eingehend oder Ausgehend sind. Scheint mir aber so als wäre sowohl als auch.
Da ich mich mit NAT oder einem Software Firewall auskenne dachte ich das diese Filterung das nächst beste ist. Sie blockt auch gut wie man sieht.
Bis gleich.
Wie ich gerade sehe gibt es in dem Filter drei Spalten TCP / UDP / IP-Protokoll.
Bei TCP und UDP sind wie gesagt nun die genannten Port freigaben. Müsste ich Port 80 etc. noch beim IP Protokoll eintragen ?
Gruß
Klaus
Bei TCP und UDP sind wie gesagt nun die genannten Port freigaben. Müsste ich Port 80 etc. noch beim IP Protokoll eintragen ?
Gruß
Klaus
Also ich hatte jetzt auch mal unter IP Protokoll 80 und 53 eingetragen aber auch keine Besserung. Irgendwas muss ich doch übersehen ?
Kann es sein das dieser TCP IP Filter von MS nur bei eingeschaltetem Zustand alles ausgehende blockt und man nur Eingehend freigeben kann ?
Kann es sein das dieser TCP IP Filter von MS nur bei eingeschaltetem Zustand alles ausgehende blockt und man nur Eingehend freigeben kann ?
So ich nochmal,
also ich habe es mal getestet. Habe den Filter Aktiv und einfach mal alles auf Erlauben gesetzt.
Nach einem Neustart läuft alles.
Ich kann surfen und Adressen pingen. Auch meine WIN Updates laufen bzw. mein AV aktualisiert sich auch. Also wie gewohnt.
Heisst somit das der Filter nicht nur für eingehende Sachen relevant ist und alles ausgehende sperrt.
Sondern das alle Freigegebenen Ports sowohl für eingehend und ausgehend stehen.
Wieso nur funktioniert das gewohnte surfen nicht obwohl die benötigten Ports: TCP 80 HTTP , TCP 443 HTTPS und DNS 53 UDP auf erlauben gestellt sind ?
Ich bin ratlos....
also ich habe es mal getestet. Habe den Filter Aktiv und einfach mal alles auf Erlauben gesetzt.
Nach einem Neustart läuft alles.
Ich kann surfen und Adressen pingen. Auch meine WIN Updates laufen bzw. mein AV aktualisiert sich auch. Also wie gewohnt.
Heisst somit das der Filter nicht nur für eingehende Sachen relevant ist und alles ausgehende sperrt.
Sondern das alle Freigegebenen Ports sowohl für eingehend und ausgehend stehen.
Wieso nur funktioniert das gewohnte surfen nicht obwohl die benötigten Ports: TCP 80 HTTP , TCP 443 HTTPS und DNS 53 UDP auf erlauben gestellt sind ?
Ich bin ratlos....
So Hallo an alle,
da kein Feedback weiter kam hab ich hier und da nochmal gesucht.
Ich kann jedem nur Empfehlen diesen TCP IP Filter nicht zu benutzen. Man wird aus Ihm nichtr schlau und macht nichts richtiges.
IPSec ist die beste Alternative bzw. besser als eine Alternative sogar eher als erstes zu nehmen.
Bis dahin,
Gruß Klaus
da kein Feedback weiter kam hab ich hier und da nochmal gesucht.
Ich kann jedem nur Empfehlen diesen TCP IP Filter nicht zu benutzen. Man wird aus Ihm nichtr schlau und macht nichts richtiges.
IPSec ist die beste Alternative bzw. besser als eine Alternative sogar eher als erstes zu nehmen.
Bis dahin,
Gruß Klaus
Hallo
hab den thread grad erst entdeckt.
Ping funktioniert über ICMP. Da helfen dir die anderen Ports auch nix.
Google mal danach
gruss
hab den thread grad erst entdeckt.
Ping funktioniert über ICMP. Da helfen dir die anderen Ports auch nix.
Google mal danach
gruss