Welche IP-Ports sollen gesperrt/offen sein (Firewall)

bsd69

Gitarrist & Cabriofahrer
Hallo Zusammen,
ich gehe davon aus, dass die meisten ihren Internetanschluss über irgend einen Provider haben. Somit wird ein Kabelmodem geliefert. Direkt angeschlossen wird dann wahrscheinlich ein Router mit integrierter Firewall (oder auch einzeln, je nachdem). Der genaue Aufbau ist auch nicht so relevant.

Welche Ports sollten eurer Meinung nach zwingend gesperrt sein? Oder anders: welche Ports sollten/müssen offen sein, damit die "normalen" Sachen wie surfen, etc. möglich sind? Klar, Port 80+443 auf jeden Fall :D

Würde mich über Feedbacks freuen :)

Greetz Mäsa
 

Flex6

Well-Known Member
Wenn du keine Dienste anbietest, also keine Server oder sowas betreibst und nur surfst brauch gar kein port geöffnet werden und es wird gefiltert. Also bei den Billig-Routern ist die Einstellung eh sehr auf das einfachste begrenzt. Ich hatte jetzt einen in der Hand da kann man schon nichtmal mehr den DNS ändern oder angeben...,also schon und gut aber es hat auch seine Kehrseite.
Gruß
 

morromett

Well-Known Member
Oder anders: welche Ports sollten/müssen offen sein, damit die "normalen" Sachen wie surfen, etc. möglich sind? Klar, Port 80+443 auf jeden Fall :D
Genau, aus dem Netz meines AG kann ich nur Dienste erreichen die auf den Ports 80 und 443 lauschen. D. h. kein vpn, kein ssh, kein ftp, kein irc, kein jabber, etc.

EDIT:

Klar kann man auch über die Ports 80 und/oder 443, Löcher in die Firewall bohren. ;-)
 
Zuletzt bearbeitet:

kira12

Well-Known Member
Hallo,

warum willst du irgendwelche Ports sperren? Mir fällt keiner ein den ich sperren sollte. Was soll das auch bewirken?

Gruß ré
 

mark05

Well-Known Member
hi

also bei mir sieht das so aus

Code:
block all log on wan_if 
pass out quick on wan_if inet proto {tcp,udp} from <allowed-hosts> to any keep state
und ja man kann loecher via port 80 und 443 bohren bestes beispiel skype.

holger
 

Bummibaer

Registered Schwarzbär
Hi,
zum Thema Skype z.B. kann man schon was dagegen tun wenn man das nicht möchte.
Für gewöhnlich nutzt des UDP source port 1247 für den initialen Aufbau vom control channel. Wenn der Aufbau erfolgt ist nutzt es normal TCP SRC im Portbereich 2940 bis 3000. Falls die Bärlis das schon wieder geändert haben sollten oder im Client was anderes eingestellt ist gibt es noch eine weitere Möglichkeit: du kannst 443 SSL Traffic der User oifach durch en speziellen Proxy jagen. In der Praxis nutzt Skype als Fallback dann nämlich SSL mit Port 443 und wird dann mit dem Proxy dort Ärger haben. Ein Squid Proxy kann da z.B. ganz nett sein. Im Proxy kannst Du dann mittels Access Lists dann in Griff bekommen:
Code:
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
http_access deny connect numeric_IPs all

Grundsätzlich blockst Du am besten alle eingehenden Ports erst einmal und machst das so wie mark05 gesagt hat. Solang Du keine Dienste anbietest ist es nicht sinnvoll was anderes zu machen.

Gruß Bummibär
 

bsd69

Gitarrist & Cabriofahrer
Hallo,

warum willst du irgendwelche Ports sperren? Mir fällt keiner ein den ich sperren sollte. Was soll das auch bewirken?

Gruß ré

Hallo,

danke für die Feedbacks. Vielleicht ist mein Post falsch rübergekommen. Ich meinte nicht die Ports auf meinem Rechner zu sperren, sondern auf'm Router (mit integrierter FW). DIrekt nach dem Kabelmodem.

Der Grund, warum ich sperren möchte ist Folgender:
Ich bekam vom Provider ein Schreiben, welches lautete:

Code:
Bitte kontrollieren Sie die DNS Einstellungen des Routers. Unter folgender Adresse können Sie die Infrastruktur prüfen:
http://www.thinkbroadband.com/tools/dnscheck.html
Offene DNS Resolver werden unter anderem für DDoS Attacken missbraucht.
Falls Sie bei diesem Test die Meldung " Warning! We detected your IP address as (die Ihnen zugewiesene IP Adresse) 
and found an open DNS resolver running." erhalten, empfehlen wir Ihnen ein Firmware update des Routers durchzuführen, 
oder den Port 53 auf der Firewall WAN seitig zu sperren.

Anschliessend habe ich den erwähnten Port geperrt und alles ist i.O. Ich dachte nun, dass es ev. sinnvoll wäre, präventiv noch weitere Ports zu sperren.

Bin immer noch an weitere Empfehlungen/Denkanstösse interessiert :)
 

Flex6

Well-Known Member
Zur Sache nochmal, hast du den den dns-check gemacht und war der port offen. Das was dir dein Provider geschickt hat ist nur eine Mitteilung/Hinweis, keine Benachrichtigung das deine ports offen sind und ein Problem besteht. Vielleicht gabs ja bei anderen Kunden Probs und verschicken das.
Gruß
 

bsd69

Gitarrist & Cabriofahrer
Zur Sache nochmal, hast du den den dns-check gemacht und war der port offen. Das was dir dein Provider geschickt hat ist nur eine Mitteilung/Hinweis, keine Benachrichtigung das deine ports offen sind und ein Problem besteht. Vielleicht gabs ja bei anderen Kunden Probs und verschicken das.
Gruß

Der dns-Check war zuerst genau so:

Code:
" Warning! We detected your IP address as (die Ihnen zugewiesene IP Adresse) 
and found an open DNS resolver running."

Nach dem Sperren meinerseits von Port 53 war die Meldung:

Code:
Success! We detected your IP address as xx.xx.xx.xx and did not find an open DNS resolver running.
 

Flex6

Well-Known Member
Ist das Gerät vom Provider und voreingestellt, eigentlich ist ja bei den Hardwareroutern von Haus aus eh alles zu, also auch dein dns-port sollte zu gewesen sein..., und ist wenn du ihn nicht aufgemacht hast schon etwas eigenartig. An deiner Stelle würde ich das Handbuch runterladen und das Ding mal durchgucken. Hier kannst du ihn mal testen:
http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

es gibt natürchlich über Suchdienste noch mehr Seiten zum Vergleich des Tests das die ports bzw. das Gerät richtig funktioniert. FreeBSD hat ja auch tools zum checken.
Gruß
 

bsd69

Gitarrist & Cabriofahrer
Ist das Gerät vom Provider und voreingestellt, eigentlich ist ja bei den Hardwareroutern von Haus aus eh alles zu, also auch dein dns-port sollte zu gewesen sein..., und ist wenn du ihn nicht aufgemacht hast schon etwas eigenartig. An deiner Stelle würde ich das Handbuch runterladen und das Ding mal durchgucken. Hier kannst du ihn mal testen:
http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

es gibt natürchlich über Suchdienste noch mehr Seiten zum Vergleich des Tests das die ports bzw. das Gerät richtig funktioniert. FreeBSD hat ja auch tools zum checken.
Gruß

Danke für die Info. Ne, ne. Der Router ist privat, aber so "eingestellt" geliefert worden. Nur das Kabelmodem ist vom Provider. Und nein, ich habe den Port ganz sicher nicht geöffnet.

Also zusammengefasst:
Ich biete keinerlei Dienste etc. an. Internet ist primär für's Surfen da. Somit werde ich im Router/FW schauen, ob ich nur die Ports 80+443 offen halten kann. Die restlichen würde ich sperren. Oder siehst' Du's anders?

Greetz
 

KobRheTilla

used register
Somit werde ich im Router/FW schauen, ob ich nur die Ports 80+443 offen halten kann. Die restlichen würde ich sperren. Oder siehst' Du's anders?

Greetz

Hmm, wenn keine Dienste auf dem Router laufen, sind auch keine Ports offen. Ports muss man nur explizit freigeben, wenn sie via port-forwarding in das hintere Netz durchgeleitet werden sollen.

Rob
 

Flex6

Well-Known Member
mach mal irgendwo ein test ob deine ports offen oder geschlossen sind und schreib nochmal das Ergebnis, bzw. im Router gibts bestimmt auch ein Syslog oder sowas mit Ausgaben. Die Sache ist die, da du das Gerät ja eh schon länger besitzt und auch nur durch die Meldung des Providers auf die Konfiguration aufmerksam geworden bist ist es vielleicht gut auch nach paar anderen Sachen wie, Update Firmware etc mal bei Netgear vorbeizuschauen und dies zu tätigen und auch ins Handbuch zu schauen und alles zu überprüfen. Weißt ja wie das heute ist und die Stunde sollte man sich und dem Gerät schon gönnen.
Eventuell schreibe auch mal den genauen Typ des Gerätes.
Gruß
 

morromett

Well-Known Member
... welche Ports sollten/müssen offen sein, damit die "normalen" Sachen wie surfen, etc. möglich sind? Klar, Port 80+443 auf jeden Fall ...

... Ich meinte nicht die Ports auf meinem Rechner zu sperren, sondern auf'm Router (mit integrierter FW).
Dir sollte auch klar sein, ob es um eine Verbindung aus dem Internet zu deinem Router bzw. Rechner geht oder um eine Verbindung von deinem Rechner bzw. Router ins Internet. In deinem 1. Beitrag (siehe Zitat oben) geht es um die Verbindung von deinem Rechner ins Internet (Dienste im Internet zu erreichen, die auf den Ports 80 und 443 lauschen). Nach deinem Test hast Du richtigerweise den Port 53 (dns-Dienst) für eine Verbindung aus dem Internet zu deinem Router (dieser lauschte auf Port 53 auch nach Verbindungen aus dem Internet) gesperrt.
 

bsd69

Gitarrist & Cabriofahrer
Dir sollte auch klar sein, ob es um eine Verbindung aus dem Internet zu deinem Router bzw. Rechner geht oder um eine Verbindung von deinem Rechner bzw. Router ins Internet. In deinem 1. Beitrag (siehe Zitat oben) geht es um die Verbindung von deinem Rechner ins Internet (Dienste im Internet zu erreichen, die auf den Ports 80 und 443 lauschen). Nach deinem Test hast Du richtigerweise den Port 53 (dns-Dienst) für eine Verbindung aus dem Internet zu deinem Router (dieser lauschte auf Port 53 auch nach Verbindungen aus dem Internet) gesperrt.

Also mir ist es klar ;) Aus dem Internet zum Router :D Danke für deinen Hinweis.
 
Oben