Windows Server 2003: Routing und Firewall

Spezielle Dienste freischalten

Über den Reiter "Dienste und Ports" können Sie die Konfiguration der Basisfirewall beeinflussen. Normalerweise akzeptiert die Firewall keine Verbindungsversuche von außen. Für einen Internet-Gateway-Rechner ist das auch genau das erwünschte Verhalten. Läuft allerdings beispielsweise ein Webserver, müssen Verbindungsanfragen akzeptiert und beantwortet werden.

Genau das erreichen Sie auf diesem Reiter, indem Sie einzelne Dienste freischalten. Aktivieren Sie zum Beispiel die Option "Webserver (http)", dann werden Anfragen von außen akzeptiert, die an den Port 80 des Rechners gesendet werden - Sie können also Webseiten ausliefern lassen. Die vorgeschlagene Liste enthält nur die wichtigsten Standarddienste. Wenn auf dem Server eigene Dienste laufen, die auch im Netz angeboten werden sollen, ist es möglich, die Liste per "Hinzufügen" selbst zu erweitern. Dabei ist ein Name für den Dienst und das Protokoll sowie der Eingangsport anzugeben. Außerdem können Sie die private Adresse auf der lokalen Maschine und optional einen ausgehenden Port angeben. Letzteren brauchen Sie, wenn der Dienst seine Antworten auf einem anderen Port versendet.

Schließlich gibt es noch den Reiter "ICMP", über den Sie einzelne ICMP-Methoden einschalten: Dies ist hauptsächlich für die Fehlersuche von Interesse. Läuft alles wie geplant, sollten Sie die ICMP-Nachrichten komplett ausschalten. Damit ist der Rechner zum Beispiel für Pings nicht mehr sichtbar. Da die meisten Angreifer zunächst per Ping die Anwesenheit eines Rechners und die verfügbare Bandbreite ermitteln, nehmen Sie diesen Personen auf diese Art und Weise ein wichtiges Hilfsmittel beim Ausloten von Lücken in Ihrem System. Script-Kiddies werden Sie dadurch fast zu 100 Prozent los.

Die Schnittstelle "LAN" muss nicht sonderlich konfiguriert werden. Hier aktivieren Sie einfach die Option "An ein privates Netzwerk angeschlossene, private Schnittstelle". Der RRAS übernimmt dann alle restlichen Aufgaben selbstständig und kümmert sich darum, dass NAT aus dem LAN ins Internet reibungslos funktioniert.