Windows Server - Internet Verbindung kappen

[winmadness 79]

Hallo,

würde es den Betrieb von Windows Servern 2016 (VMs mit Exchange 2016, Fileser, DC) beeinträchtigen, wenn ich den kompletten ausgehenden Internet-Verkehr in der vorgeschalteten Firewall blockieren würde. Bis auf den Port für ActiveSync (NICHT Standardport 443) würde ich gerne alle anderen Ports ins Internet sperren. Mir würde noch folgende IPs einfallen, welche ich freigeben müsste: WSUS . EMails werden intern über einen MTA zugestellt.  Hat hier jemand bereits Erfahrungen gesammelt?

bearbeitet 20. März 2021 von winmadness

[daabm 1.366]

Das interessiert den Server keinen Deut. Nahezu kein Server bei uns kann ins Internt, und denen geht's im großen und ganzen nicht schlecht

[NorbertFe 2.086]

vor 9 Stunden schrieb winmadness:

Bis auf den Port für ActiveSync (NICHT Standardport 443) würde ich gerne alle anderen Ports ins Internet sperren.

Der ist ein- und nicht ausgehend.

[winmadness 79]

vor 3 Stunden schrieb NorbertFe:

Der ist ein- und nicht ausgehend.

Nein, er ist beides. Wenn ich in der OPNSense Firewall den gesamten ausgeheneden Verkehr sperre, dann werden auch die Antwort-Pakete für ActiveSync blockiert. Deshalb benötige ich hierfür eine Ausnahme-Regel.

 

@daabm: Danke für den Tipp - ich werde es mal testen.

 

[NorbertFe 2.086]

Die is nicht stateful? Naja... kenn ich von anderen Firewalls „besser“. ;)

[winmadness 79]

Doch, ist eine Stateful Firewall. Hast Du schon mal einen Test mit einer Statefull Firewall gemacht - ich ja!

[NorbertFe 2.086]

Eingehender Traffic muss üblicherweise nicht ausgehend erlaubt werden. Aber vielleicht versteh ich ja was falsch und du machst das schon. ;)

bearbeitet 21. März 2021 von NorbertFe