Soms moet je het IP-adres van een online-aanvaller blokkeren op jouw computer, maar hoe doe je dat precies in Windows 11/10? Windows heeft hiervoor de advanced firewall, een vrij geavanceerde firewall.

Als je wat meer thuis bent in de stappen hieronder, dan kun je de Windows firewall ook gebruiken om de toegang tot internet blokkeren voor een applicatie (programma). Dit is een uitgaande regel die het een programma verbiedt om met internet verbinding te maken.

Als je dit artikel volgt om IP-adressen te blokkeren in de Windows firewall, en hierbij een klein foutje maakt, dan kan je je eigen internetverbinding om zeep helpen! Pas hiervoor op en uiteraard accepteer ik geen verantwoordelijkheid. :)

Windows Defender Firewall met geavanceerde beveiliging GUI:

Je opent de Windows Defender Firewall met geavanceerde beveiliging GUI met de opdracht wf.msc, of je zoekt het op via de Start knop:

Windows Defender Firewall met geavanceerde beveiliging openen als administrator

Eénmaal geopend klik je door naar Regels voor binnenkomende verbindingen. En dan kies je aan de rechterkant, in het Acties-venster voor Nieuwe regel…

De onderstaande stappen en schermafbeeldingen loodsen je door het proces om het IP-adres 203.0.113.15 te blokkeren. Ook laat het nog eventjes zien hoe je de hele range (het netblock of subnet) opgeeft.

In het Regeltype venster kies je voor Aangepast:

En onze blokkade geldt voor Alle programma’s:

In dit voorbeeld wil ik de kwaadwillende volledig blokkeren, en dus niet specifiek voor een poort of protocol (HTTP, 80 bijvoorbeeld). Zet dit dus op Willekeurig:

Geef aan dat het een extern IP-adres betreft en klik op Toevoegen…:

Geef het IP-adres van de aanvaller in, of het subnet:

Het subnet kun je ook als een bereik opgeven. Bijvoorbeeld als het bereik kleiner moet zijn dan de /24: 203.0.113.5 tot en met 203.0.113.105.

In het overzicht zie je de bevestiging dat dit IP-adres is ingegeven als Scope, en klik op Volgende.

Geef aan dat de verbinding moet worden geblokkeerd: De verbinding blokkeren

en voor welk netwerk het geldt

Als laatste moet je de regel een duidelijke, herkenbare naam geven

ITFAQ.nl voorbeeld IP block in Windows Defender Firewall met geavanceerde beveiliging

De Windows Defender Firewall met geavanceerde beveiliging beheren met de CMD opdrachtprompt en PowerShell

Je opent Windows Defender with Advanced Security gui met de opdracht wf.msc. Maar je kunt IP-adressen ook eenvoudig via de CMD opdrachtprompt blokkeren met netsh advfirewall.

Open eerst een CMD opdrachtprompt als beheerder:

CMD als beheerder uitvoeren in Windows 11 / Windows10

Om het IP-adres 203.0.113.15 te blokkeren geef je in:

netsh advfirewall firewall add rule name="IP Block" ^
dir=in interface=any action=block remoteip=203.0.113.15

Hier is ^ een scheidingsteken om de opdrachtprompt aan te geven dat het commando op de volgende regel verder gaat. Gebruik netsh advfirewall firewall /? om de help-informatie op te vragen.

Als je het gehele subnet 203.0.113.0/24, waarvan 203.0.113.15 onderdeel is, wilt blokkeren, dan kun je het volgende ingeven:

netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=203.0.113.0/24

Je kunt de geblokkeerde regels terug vinden met de show rule opdracht van netsh advfirewall firewall:

C:\WINDOWS\system32>netsh advfirewall firewall show rule "IP Block"
Rule Name: IP Block
----------------------------------------------------------------------
Enabled: Yes
Direction: In
Profiles: Domain,Private,Public
Grouping:
LocalIP: Any
RemoteIP: 203.0.113.0/24
Protocol: Any
Edge traversal: No
Action: Block

En met delete rule verwijder je alle regels die de opgegeven naam matchen.

Let op: het IP-adres subnet 203.0.113.0/24 is een gereserveerd testblok voor documentatie- en voorbeelddoeleinden: https://en.wikipedia.org/wiki/Reserved_IP_addresses

PowerShell:

# Block IP adres 203.0.113.15 in een firewall regel "IP Block"
New-NetFirewallRule -DisplayName "IP Block" -Direction Inbound -Action Block -RemoteAddress "203.0.113.15"
Show 4 Comments

4 Comments

  1. Rein Jong

    Dank voor de uitleg. Helder te volgen.
    Dit is een blacklist oplossing. Is er in de Windows Firewall ook een Whitelist oplossing?
    Ik wil graag alles blokkeren behalve toegestane IP-nummers om een verbinding met RDP te maken.

    Dat zou ik graag uitgelegd zien.
    En/OF een script om na x foute aanmeldingen automatisch een blacklist toevoeging te maken.

    Alvast mijn dank

    • Dank je voor je reactie Rein.

      Als je het hebt over een omgeving met RDP en Firewalls, dan heb je het meestal over een bedrijfsnetwerk. Dan maak je een whitelist het beste aan d.m.v een GPO. Maar ongeacht hoe waar je dit instelt, als je een nieuwe binnenkomende verbindingsregel maakt voor RDP (Vooraf gedefinieerd > Extern bureaublad) en kiest voor “De verbinding toestaan”, dan kun je daarna de 3 regels (het zijn er 3) wijzigen en toegestane IP-adressen opgeven via het tab Bereik IP-adressen opgeven die toegang mogen hebben. Denk er dan om dat het om een Extern IP-adres gaat.

      Extern Bureaublad - Gebruikersmodus (TCP-In) whitelist bereik

      En voor wat betreft het blokkeren na een x-aantal foute aanmeldpogingen: op gebruikersbasis regel je dat het beste in een Account Lockout Policy.

  2. Met dank! Ik word lastig gevallen door een Oekraïner. Inmiddels al twee rules aangemaakt via je voorbeeld, maar ik wil eigenlijk alle IP adressen van deze contreien blokkeren. De Rus wisselt simpelweg van IP-adres en begint dan weer vrolijk opnieuw met zijn inbraakpogingen.
    Is dat ook mogelijk en zo ja heb je daar een voorbeeldje van?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *