Ich haben hier einen ollen XP Rechner als Netzlaufwerk. Dieser hängt mit am Router. Welche Möglichkeiten habe ich den Internetzugriff aber nicht den Netzwerkzugriff auf dem PC zu unterbinden? Ich muß die Kiste noch über VNC Fernbedienen können…
Z.B. Softwarefirewall und die Router IP sperren? Der Rechner hat eine feste IP…
Oder gibt es Möglichkeiten über einen Router einen PC vom Internetverkehr auszuschließen?
Kann das die integrierte XP Firewall?
Ich haben hier einen ollen XP Rechner als Netzlaufwerk. Dieser
hängt mit am Router. Welche Möglichkeiten habe ich den
Internetzugriff aber nicht den Netzwerkzugriff auf dem PC zu
unterbinden? Ich muß die Kiste noch über VNC Fernbedienen
können…
Also…hinter Deinem Router ist ein weiterer Rechner. Zu diesem willst Du aus Deinm lokalen Netz Verbindung aufnehmen können um an die Netzlaufwerke zu kommen und von überall auf der Welt eine VNC Verbindung hin aufbauen können, verstehe ich das soweit richtig? Da der Rechner um den es geht, nicht der Router ist, ist er zunächst mal gar nicht von außen zu sehen. Allenfalls kann man vom Router aus ein Portforwarding einrichten, damit z.B. die VNC Verbindung, die von außen an den Router herangetragen wird, an den endsprechenden Rechner weitergereicht wird. Damit bist Du fertig, denn der Netzlaufwerkdienst des Rechners ist durch den Router ohne expliziete Weiterleitung der endsprechenden Ports nicht zu sehen.
Nicht ganz… VNC setze ich nur im Heimnetz ein. Die Kiste benötigt keine direkte Verbindung zum WWW.
ich bin nur darauf gekommen da hier WinXp als Server so verteufelt wird… ansonsten würde ich nämlich weiterhin FileZilla über DynDNS auf der Kiste laufen lassen.
Ich haben hier einen ollen XP Rechner als Netzlaufwerk. Dieser
hängt mit am Router. Welche Möglichkeiten habe ich den
Internetzugriff aber nicht den Netzwerkzugriff auf dem PC zu
unterbinden? Ich muß die Kiste noch über VNC Fernbedienen
können…
Was genau willst Du sperren? Dass der Rechner auf das Internet zugreift oder andere Hosts auf den Rechner.
Z.B. Softwarefirewall und die Router IP sperren? Der Rechner
hat eine feste IP…
Oder gibt es Möglichkeiten über einen Router einen PC vom
Internetverkehr auszuschließen?
Kann das die integrierte XP Firewall?
Wenn Du nicht möchtest, dass der Rechner eine Verbindung ins Internet aufnimmt, gibt es etliche Möglichkeiten:
Standardgateway herausnehmen
Proxy mit 127.0.0.1 eintragen
Macfilter im Router aktivieren
Port 80 in der Personal Firewall blocken
Auf allen PC im Lan weitere IP Adresse eines anderen Netzes vergeben und auf dem betroffenen PC nur diese verwenden.
Das alles kann aber Risiken und Nebenwirkungen nach sich ziehen.
Gruß
S.J.
ich bin nur darauf gekommen da hier WinXp als Server so
verteufelt wird… ansonsten würde ich nämlich weiterhin
FileZilla über DynDNS auf der Kiste laufen lassen.
Dann verstehe ich deine Frage nicht. Wenn du nicht willst, dass der Rechner aus dem Internet erreichbar ist, brauchst du doch nur auf dem Router das Portforwarding auszuschalten und DynDNS zu deaktivieren.
Oder soll der Rechner weiter als ftp-Server aus dem Internet erreichbar sein, andere Dienste aber nicht? Dann konfiguriere FileZilla für sftp und mache das Portforwarding ausschließlich auf Port 22. Wenn du den FileZilla dann noch aktuell hältst, hast du so auch unter XP einen hinreichend sicheren Aufbau.
HTH
Genau das hätte ich jetzt auch als nächstes gefragt…
Ich haben hier einen ollen XP Rechner als Netzlaufwerk. Dieser
hängt mit am Router. Welche Möglichkeiten habe ich den
Internetzugriff aber nicht den Netzwerkzugriff auf dem PC zu
unterbinden? Ich muß die Kiste noch über VNC Fernbedienen
können…
Von wo? Von überall aus der Welt oder nur aus dem LAN heraus? Wenn Letzteres, dann reicht es, dem ollen XP-Rechner sein Gateway zu nehmen. Einfach nichts eintragen.
Stefan
Er muss nicht zwingend als FTP Server erreichbar sein. Ich bin jetzt etwas irritiert weil XP als Server „verteufelt“ wird.
Bezieht sich das nicht auf einen FTP Dienst sondern nur die Möglichkeiten der Benutzerfreigaben wie z.B. Benutzerrechten auf Laufwerken usw…?
Also in den Einstellungen der Netzwerkkarte,wo auch die IP manuell eingetragen wurde den Gateway rausnehmen… OK. Danke
Er muss nicht zwingend als FTP Server erreichbar sein. Ich bin
jetzt etwas irritiert weil XP als Server „verteufelt“ wird.
Bezieht sich das nicht auf einen FTP Dienst sondern nur die
Möglichkeiten der Benutzerfreigaben wie z.B. Benutzerrechten
auf Laufwerken usw…?
Das kannst Du seitenweise nachlesen, wenn Du google danach fragst. Der wichtige Punkt dabei ist aber folgender: Ein Server stellt in der Regel gewollt Dienste zur Verfügung. Daher ist er über lange Zeiträume relativ ‚unbeaufsichtigt‘ von Nutzern dieser Dienste ansprechbar. Aus diesem Grunde muß hinter einem Server immer ein gewisses Sicherheitskonzept stehen, um einen Mißbrauch der Maschine oder der Dienste, die darauf vorgehalten werden abzuwenden. Nur: Wenn die Kiste nur für Dich zu Hause Dienste bereitstellt, und von anderen in der bösen großen weiten Welt gar nicht zu erreichen ist, fällt dieser Punkt eigentlich flach, es sei denn, Du hast Terroroisten in Deinem LAN.
Aha, ich dachte das XP als Server von extern übers WWW angreifbarer wäre. Dann bn ich erstmal beruhigt… für uns reicht XP in seinen Funktionen völlig aus…
Zitat: Du hast Terroroisten in Deinem LAN…
nö, nur DAU`s… kommt auf das gleiche raus 
Aha, ich dachte das XP als Server von extern übers WWW
angreifbarer wäre.
Das mag in einigen, sogar vielen Fällen stimmen, nur da Du so unsportlich bist und die endsprechenden Ports (Windows Fernwartung, FTP, etc.) nicht expliziet von Deinem Router aus an die Windowsmaschine weiterleitest, funktionieren viele denkbare Angriffsmöglichkeiten nur aus Deinem LAN und von sonst nirgendwo.
Sofern ich die IP des Servers nicht als DMZ eingetragen haben oder?
Sofern ich die IP des Servers nicht als DMZ eingetragen haben
oder?
Das ist egal. Wenn Deine Windowsmaschine selber raustelefonieren will kann sie das, wenn sie ds Gateway kennt. Die Anfrage geht an den Router, wird weitergeleitet, die Verbindung aufgebaut und gut ist. Wenn sich die Windowsmaschine passive verbinden soll, also nur auf einem Port lauscht und von woanders jemand eine Verbindung dortherantragen soll, muß der Router eine expliziete Anweisung folgender inhaltlicher Art haben: ‚Wenn auf Port 4711 TCP irgendwelche Pakete ankommen, dann leite die bitte weiter an IP Adresse 192.168.2.42 auf Port 5678.‘
Da Du das aber nicht tust, kann jeglicher Verbindungsaufbau von außerhalb Deines Netzes nur in leere laufen, weil der Router nichts damit anzufangen weiß.
Dann habe ich das wohl missverstanden. Ich habe bisher geglaubt das der Router alle Anfragen die auf seiner IP (vom ISP) anlangen auch auf die „DMZ IP“ weiterleitet.
Zumindest habe ich bei zwei Systemen jeweils den Server (mit Apache und Filezillaserver) als DMZ eingetragen, dann funktionierte es erst.
Ansonsten hätte ich wohl alle Ports in die NAT Tabelle eintragen müssen…
oder schmeiße ich da jetzt was durcheinander…?
Dann habe ich das wohl missverstanden. Ich habe bisher
geglaubt das der Router alle Anfragen die auf seiner IP (vom
ISP) anlangen auch auf die „DMZ IP“ weiterleitet.
Das hast du nicht missverstanden, genau so ist das. Daher ist die Einrichtung einer ‚DMZ‘ (dieser Begriff stellt hier einen astreinen Euphemismus dar) etwas, was man grundsätzlich unterlassen sollte. Es gibt keinen vernünftigen Grund für diese Einrichtung.
Zumindest habe ich bei zwei Systemen jeweils den Server (mit
Apache und Filezillaserver) als DMZ eingetragen, dann
funktionierte es erst.
Und warum hast du das gemacht? Anders gefragt: Bist du dir eigentlich selbst wenigstens annäherungsweise im Klaren, was du überhaupt willst? Wenn die Rechner aus dem Internet nicht erreichbar sein sollen, warum machst du dann so einen Unsinn? Wenn sie erreichbar sein sollen, warum behauptest du dann das Gegenteil? Und warum machst du dann so einen Unsinn?
Not clear thinking, Sir!
Die Webdienste waren eine private spielerei… sind nicht mehr im Gebrauch und werden nicht mehr mit hochgefahren.
Die PC`s sind inzwischen nur zum Backup im Betrieb. Was soll man sonst mit einem Athlon 900…
Das mit dem DMZ muß ich aber noch abschalten oder wenn ich mal Zeit habe die Ports/IPs in der Nat Tabelle eintragen.
Das ganze ging mir nur darum ein Netzlaufwerk im LAN zu betreiben aber wie man den PC von außen sperrt.
Das wurde ja mit dem Gateway eindeutig geklärt.
Sorry das ich die Frage nicht eindeutiger gestellt habe.
Dann habe ich das wohl missverstanden.
Wohl eher ich. Ich habe offenbar nicht richtig gelesen. Volle Zustimmung zu herrmanns Beitrag.