Keine Dienstumleitung für Internetverbindungsfirewall

In Microsoft Windows XP verwenden das Feature "Internetverbindungsfirewall" (Internet Connection Firewall = ICF), das in Windows XP Service Pack 2 "Windows-Firewall" (WF) genannt wird, und das Feature "Gemeinsame Nutzung der Internetverbindung" (Internet Connection Sharing = ICS) eine gemeinsame Schnittstelle, um die Dienste zu konfigurieren, auf die von Internetbenutzern zugegriffen werden kann. Mit ICS ist es möglich, einem Host auf einem internen Netzwerk Dienste zuzuordnen. ICF/WF bietet diese Funktionalität hingegen nicht. ICF/WF ermittelt mithilfe der Dienstinformationen, welche Dienste die Firewall passieren dürfen, ignoriert jedoch die Informationen, die den Empfänger für die Daten des entsprechenden Dienstes bestimmen. Ist also nur ICF/WF aktiviert, kann der Datenverkehr für den entsprechenden Dienst die Firewall passieren und eine Verbindung zu einer externen Schnittstelle herstellen. Hört der angegebene Dienst nicht die externe Schnittstelle des Windows XP ICF/WF-Hosts ab, funktioniert die Verbindung nicht. Wenn Sie einen Dienst auf einen internen Host umleiten möchten, müssen Sie ICS aktivieren.

Konfigurieren Sie auf der Registerkarte Dienste in den erweiterten Einstellungen der Eigenschaften für eine Netzwerkverbindung die Dienste sowohl für ICS als auch für ICF/WF. Durch das Konfigurieren eines Dienstes auf dieser Registerkarte wird es Paketen dieses Dienstes ermöglicht, die Internetverbindungsfirewall (ICF/WF) zu passieren (sofern diese für die angegebene Netzwerkverbindung aktiviert ist). Ist ICS für diese Verbindung ebenfalls aktiviert, weist das Feld Name oder IP-Adresse im Dialogfeld Diensteinstellungen ICS an, wohin die Anfragen für die aktivierten Dienste zu senden sind. Standardmäßig ist dies der lokale Computer. Bei ICS können die Anfragen für den Dienst jedoch auch auf einen Computer in dem privaten Netzwerk umgeleitet werden.

Wenn ICS deaktiviert und ICF/WF aktiviert ist, könnten Sie einen Dienstfilter erstellen, der nicht den gewünschten Effekt hat. Wenn Sie beispielsweise sämtlichen Webverkehr vom Internet auf den internen Host umleiten möchten, ICF/WF auf der Schnittstellenverbindung zum Internet aktiviert und ICS deaktiviert ist, können Sie den Namen bzw. die IP-Adresse des internen Hosts im Dialogfeld Diensteinstellungen angeben. Ist lediglich ICF/WF aktiviert, kann der Verkehr zwar die Firewall passieren, aber nicht auf einen internen Host umgeleitet werden. In diesem Fall werden Verbindungsversuche aus dem Internet auf TCP-Port 80 durch die Firewall gelassen, aber an die Internetverbindung des Windows XP-basierten Hosts weitergeleitet. Wenn es keinen Dienst gibt, der auf der mit dem Internet verbundenen Schnittstelle den TCP-Port 80 abhört, funktioniert die Verbindung nicht. Dieses Verhalten könnte ein Sicherheitsrisiko darstellen, da ICF/WF Pakete passieren lässt, obwohl der Dienst möglicherweise nicht vorhanden ist. Wenden Sie eine der folgenden Methoden an, um dieses Sicherheitsrisiko zu eliminieren:

• Aktivieren Sie ICS, damit der Dienst auf den entsprechenden internen Host umgeleitet werden kann.
• Deaktivieren Sie die Dienstzuordnungen für die internen Hosts, falls ICS deaktiviert ist.

ICS aktivieren

1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, klicken Sie auf Netzwerk- und Internetverbindungen, und klicken Sie anschließend auf Netzwerkverbindungen.
2. Zeigen Sie die Eigenschaften für die Schnittstelle zum Internet an.
3. Klicken Sie auf der Registerkarte Erweitert auf Einstellungen.
4. Aktivieren Sie unter Gemeinsame Nutzung der Internetverbindung das Kontrollkästchen Anderen Benutzern im Netzwerk gestatten, die Internetverbindung dieses Computers zu verwenden.

Dienstzuordnungen konfigurieren

1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, klicken Sie auf Netzwerk- und Internetverbindungen, und klicken Sie anschließend auf Netzwerkverbindungen.
2. Zeigen Sie die Eigenschaften für die Schnittstelle zum Internet an.
3. Vergewissern Sie sich, dass auf der Registerkarte Erweitert, entweder ICF/WF oder ICS aktiviert ist. Ist weder ICF/WF noch ICS aktiviert, ist die Schaltfläche Einstellungen nicht verfügbar und eventuell aufgelistete Dienstzuordnungen werden ignoriert.
4. Klicken Sie auf Einstellungen.
   
   Hinweis: Auf einem Computer mit Windows XP SP2 klicken Sie im Abschnitt Gemeinsame Nutzung der Internetverbindung auf Einstellungen.
5. Gehen Sie auf der Registerkarte Dienste folgendermaßen vor:
   1. Deaktivieren Sie die Kontrollkästchen von Diensten, die nicht ausgeführt werden.
   2. Deaktivieren Sie die Kontrollkästchen von Diensten, auf die Internetbenutzer keinen Zugriff haben sollen.
   3. Ist ICS deaktiviert und ICF/WF aktiviert, deaktivieren Sie die Kontrollkästchen für Dienste, die nicht auf dem Windows XP-basierten Computer ausgeführt werden und die Schnittstelle zum Internet abhören. Aktivieren Sie also keine Kontrollkästchen für Dienste, die ausschließlich auf internen Hosts ausgeführt werden, wenn ICS nicht ebenfalls ist.
   4. Aktivieren Sie die Kontrollkästchen nur für Dienste, auf die Internetbenutzer Zugriff haben sollen.
6. Ist ICS für eine Verbindung aktiviert, gehen Sie folgendermaßen vor, damit ein Dienst auf einen internen Host umgeleitet wird:
   1. Klicken Sie auf den Dienst in der Liste und stellen Sie sicher, dass das entsprechende Kontrollkästchen aktiviert ist.
   2. Klicken Sie auf Bearbeiten.
   3. Geben Sie im Feld Name oder IP-Adresse den Namen bzw. die IP-Adresse des internen Hosts ein, auf dem der Dienst ausgeführt wird.
      
      In der Regel ist es eine gute Idee, dabei den vollqualifizierten DNS-Namen zu verwenden. Im Falle von Windows XP benutzt ICS MSHOME.NET als Domänennamen. Heißt der interne Server SERV1, lautet der vollqualifizierte Name also SERV1.MSHOME.NET.
7. Klicken Sie auf OK, um das Dialogfeld Diensteinstellungen zu schließen.
8. Klicken Sie auf OK, um das Dialogfeld Erweiterte Einstellungen zu schließen.
9. Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Netzwerkverbindung zu schließen.