Windows-Firewall-Regel basierend auf Domänenname anstelle von IP

8

Ich versuche, einen Dienst für eine Reihe von Computern über die Windows-Firewall zuzulassen. Ich möchte meinen Heimcomputer zur Firewall hinzufügen, aber mein Heimcomputer hat eine dynamische IP-Adresse. Ich benutze Dyndns, damit ich einen Hostnamen habe, mit dem ich mich immer verbinden kann. Ich versuche also herauszufinden, ob es eine Möglichkeit gibt, meinen Hostnamen anstelle einer IP zu verwenden.

Vielen Dank

Aktualisieren

Lassen Sie mich ein wenig mehr Informationen hinzufügen, vielleicht gibt es andere Möglichkeiten, mein Problem zu lösen. Der Server ist ein von RackSpace gehosteter Webserver. Ich möchte nur RDP-Zugriff von meiner Arbeit (statische IP, also kein Problem) und von zu Hause (dynamisch) zulassen. Meine private IP ändert sich nicht zu oft, nur oft genug, um mich zu ärgern. Vielleicht gibt es einen besseren Weg, dies zu tun ... vielleicht VPN?

ip windows-firewall Denny Ferrassoli
quelle
Obwohl Sie eine dynamische IP-Adresse haben, wie oft ändert sich diese tatsächlich?
Joeqwerty
Bevor ich eine statische Aufladung bekam, hatte ich fast ein Jahr lang dieselbe IP, was mich wirklich überraschte. Ist es ein No-Go, eine statische IP für Ihren Heimcomputer zu erhalten?
Cop1152
1
Leider bietet mein Heim-ISP nur Geschäftskonten statische IP-
Adressen an

Antworten:

3

Hier sind einige Optionen:

  • Verwenden Sie anstelle einer einzelnen IP-Adresse Ihren gesamten dynamischen Portbereich, der Ihnen von Ihrem Internetdienstanbieter zugewiesen wurde. Dadurch wird Ihre Exposition gegenüber Maschinen in Ihrer Nähe begrenzt.
  • Verwenden Sie einen SSL-Tunnel, um eine Verbindung zum Computer herzustellen und die RDP-Verbindungen zum lokalen Host zu beschränken. Das ist viel sicherer, macht aber auch die Verbindung etwas komplexer, da Sie zuerst den Tunnel einrichten müssen. Sie können auch Client-Zertifikate für Verbindungen vorschreiben, wodurch diese sehr sicher sind, ohne dass Sie den akzeptierten IP-Bereich für eingehende Verbindungen einschränken müssen. Stunnel kann solche Dinge für Sie tun. Oder ncat .
  • Versuchen Sie als letztes, mit IPSec ein VPN für Ihren Computer zu erstellen. Die Einrichtung ist jedoch komplex und das Durchlaufen von Firewalls nicht allzu einfach.
Stephane
quelle
1

Warum arbeiten Sie nicht einfach mit VPN und RDP mit Ihrem Arbeitscomputer und stellen dort eine Verbindung zum Rackspace-Server her? Ich hüpfe und tunnle die ganze Zeit durch andere Kunden.

Tatas
quelle
0

Soweit ich weiß, können Sie dies nur tun, wenn Sie ein Skript schreiben, um die Suche durchzuführen und die Regel anzupassen.

Aber ehrlich gesagt sollten Sie das nicht tun: DNS ist kein wirklich sicherer Dienst, es sei denn, Sie verwenden DNSSEC (was ich bezweifle). Außerdem sollten Sie das eigentlich nicht tun müssen, es sei denn, Sie haben Einschränkungen für Ihre ausgehenden Verbindungen von einem externen Computer. Was versuchst du wirklich hier zu tun?

Stephane
quelle
Was hat dieser zweite Absatz mit der Frage zu tun? Es sieht so aus, als würden Sie eine ganz andere Frage beantworten.
John Gardeniers
Ich stimme John zu. Ich konnte Ihren zweiten Absatz oder seine Beziehung zur Frage nicht verstehen.
Joeqwerty
Entschuldigung, wenn es nicht klar ist. Meine Punkte sind 1 / Sie sollten keine DNS-Suche verwenden, um Ihre Firewall-Regeln zu erstellen, da dies für eine externe Partei eine sehr einfache Möglichkeit ist, die Funktionsweise dieser Regeln zu steuern. 2 / Ich kann mir kein Setup vorstellen, bei dem dies erforderlich wäre, es sei denn, Sie sprechen von ausgehenden Verbindungen. Da ich das vom OP beschriebene Setup nicht wirklich verstehe (welcher Computer versucht, eine Verbindung zu welchem ​​anderen Computer herzustellen) und es nicht wirklich sinnvoll ist, die ausgehende Verbindung auf einem lokalen Computer zu steuern, frage ich, was genau er versucht machen. Ist diese Beschreibung besser?
Stephane
Ich habe meine Frage mit weiteren Informationen aktualisiert.
Denny Ferrassoli
@Stephane DSN-Regeln sind nicht so einfach zu steuern, wenn eine Suche zweimal durchgeführt wird: Rückwärts / Vorwärts und die Ergebnisse müssen übereinstimmen.
Veniamin
0

Diese Art von Dingen sollte wirklich auf der Perimeter-Firewall ausgeführt werden, nicht auf der Server-Firewall. Trotzdem ist mir kein zufriedenstellender Weg bekannt, um das zu tun, wonach Sie suchen. In diesem Fall wäre es weitaus vorzuziehen, eine Technik zu verwenden, die nicht auf Vorkenntnissen der Quelladresse beruht. Port Knocking wäre eine gute Technik, aber ich weiß nicht, ob dies unter Windows ohne weiteres möglich ist.

John Gardeniers
quelle
0

Unterstützt Rackspace IPv6? In diesem Fall können Sie von einem Tunnelbroker (z. B. Hurricane Electric oder SixXS) eine statische v6-Zuweisung für Ihre Heimmaschine erhalten.

Gerald Combs
quelle