Netzwerken mit Windows 2003 - Seite 2

Basisfirewall: Auf jeden Fall aktivieren



Basisfirewall: Auf jeden Fall aktivieren

In den Eigenschaften der Internet Schnittstellen brauchen Sie die folgenden Optionen: Auf dem Reiter NAT/Basisfirewall wählen Sie die Option An das Internet angeschlossene, öffentliche Schnittstelle.

Zusätzlich zu dieser Option aktivieren Sie auch noch die Optionen NAT auf dieser Schnittstelle aktivieren und Basisfirewall auf dieser Schnittstelle aktivieren.

NAT auf dieser Schnittstelle aktivieren benötigten Sie, damit Sie von allen Rechnern im LAN auf das Internet zugreifen können. Bei NAT geht es darum dass alle Workstations im LAN normalerweise private . also nicht öffentliche . IP-Adressen haben. Die Sache sieht dann so aus, das sich zum Beispiel alle Workstations im Subnetz 192.168.169.x/255.255.255.0 befinden. Mit einer solchen privaten Adresse kann man aber im Internet nichts anfangen. Auf der anderen Seite verfügt man meist nur über eine einzelne öffentliche IP-Adresse, die vom ISP stammt.


Die Basis-Firewall schützt das System vor dem bösen Internet.

Anfragen ans Internet sollen im LAN nun an den NAT Rechner gesendet werden. Das geht ganz einfach, indem Sie den NAT Rechner auf den Workstations im LAN als Default-Router eintragen. Wenn Sie einen DHCP Server verwenden . wie, ist in einem anderen Premium-Beitrag auf dieser Site erläutert ., können Sie diese Einstellung automatisch in Ihrem LAN verbreiten lassen.

Der NAT Server erhält also die Anfrage ans Internet von einer Workstation auf dem privaten Interface, denn das befindet sich ja ebenfalls im Subnetz des LAN. Der Rechner merkt sich die (lokale) IP-Adresse des anfragenden Rechners und schickt die Anfrage weiter ins Internet. Dazu verwendet er aber nicht die ursprüngliche Adresse, sondern die öffentliche Adresse des öffentlichen Interfaces: Die Anfrage wird also von der einen Schnittstelle auf die andere Schnittstelle geroutet. Dabei wird die IP-Adresse von der lokalen in eine öffentliche übersetzt. Kommt die Antwort auf die Anfrage zurück, landet diese Antwort logischerweise wieder auf dem öffentlichen Interface. Der NAT Rechner kann die Antwort aber einer ursprünglichen Anfrage . und damit einer lokalen IP-Adresse - zuordnen und sendet dann die Antwort an diese lokale Adresse zurück. Das geht auch für mehrere Rechner gleichzeitig.

Dieser Mechanismus führt also dazu, dass die Workstations im LAN einen gemeinsamen Internet-Zugang verwenden können, obwohl insgesamt nur eine öffentliche IP-Adresse zur Verfügung steht.

Die Basisfirewall dient dem Schutz des Rechners. Später werden Sie diese Firewall noch etwas ausführlicher konfigurieren, für den ersten Zweck ist es ausreichend selbige zu aktivieren. Eine aktivierte Basisfirewall auf dem öffentlichen Interface führt dazu, dass der Rechner auf diesem Interface nur noch Pakete annimmt die als Reaktion auf eine ursprünglich aus dem LAN stammende Anfrage eingehen. Mit anderen Worten: Verbindungsversuche mit irgendwelchen Diensten auf dem Rechner werden nicht akzeptiert. Das schafft keinen absoluten Schutz, hilft aber gegen gängige Plagegeister wie zum Beispiel SQL-Slammer oder den aktuellen LOVESAN (Win32.Blaster).

Zusätzlich zu dieser Funktionalität können Sie noch spezielle Filter definieren. Dazu später mehr . jetzt soll zunächst einmal das Grundsystem laufen. Wenn Sie nicht nur über eine sondern über einen Pool von IP-Adressen verfügen, können Sie auch diesen nutzen. Dazu dient der Reiter Adresspool. Besondere Vorteile bringt das aber nicht . es sei denn Sie wollen dass bestimmte Workstations aus dem LAN nach außen hin immer mit einer bestimmten öffentlichen Adresse auftreten. Für typische Belange eines LANs ist das jedoch eher unbedeutend.