# Firewalls - Welche Ports müssen offen bleiben?



## mR.fLopPy (28. August 2003)

Hallo,

Ich hab jetzt schon unzählige Threads abgeklappert in der Hoffnung einen zu finden wo Ports aufgelistet sind die für den Alltag verwendet werden. (vergeblich)

Meine Frage ist nun welche Ports müssen/sollten allgemein offen sein?

Für FTP bzw. ICQ (wenn man 21 als Alternative wählt) weiß ich mal das Port: 21 und 20 od. 22 wichtig ist.
Fürs Internet Port: 80

Nur wie siehts aus mit Spiele? Bsp. Counterstrike. Nicht das es mich interessiert, nur wissenswert wäre es.
Welcher Port muss für den E-Mail verkehr offen sein?
Fürs Einloggen auf Internetsites muss glaub ich auch wiederum ein eigener Port frei geschalten werden.

Außerdem versucht andauernd meine SVCHOST.exe eine Verbindung aufzubauen. An Ports die mir ein bisschen fremd sind. Sind so im 1000er bereich.
Irgendwo hab ich mal gelesen das gewisse Ports im 1000er Bereich ebenso freigeschalten bleiben sollen.

Kann mir auch einer sagen welche der Standardports für eingehend, ausgehend oder beides freigeschalten werden sollen?

Fragen über Fragen. Sorry. 

Ich danke jedenfalls schon mal im Voraus für Antworten!

mfg
floppy


----------



## Sinac (28. August 2003)

Für Mail brauchste 110 (POP3) und 25 (SMTP)
Für die anderen musste mal googlen


----------



## mR.fLopPy (28. August 2003)

Hab ich bereits, nur im Google findet er mehr über Ports im Sinne von Anschlüssen. (USB usw.)

Irgendwie komm ich mit keiner Firewall zurecht.


----------



## Scorp (28. August 2003)

Naja, hier haste mal ne Portliste, auch mit sämtlichen Trojanern usw.
Am besten schaltest du nur das notwendigste frei und wenn irgendwas nicht funktionieren sollte, kannst du immernoch den Port freischaufeln....

Portliste


----------



## Sinac (28. August 2003)

Du willst mir doh nicht echt erzählen das du bei Google nich über tcp ports findest? Das ist doch n witz, oder?
HIER! 

Wieso kommst du mit keiner Firewall klar? Welch haste denn? Also Norton Personal Firewall ist nun echt nix bei!
Und es ist immer das gleiche Prinzip:
Erst einmal alles dicht, und dann aufmachen was du brauchst )nicht andres rum) 

Also wenn du jetzt mit IPTABLES Probleme hättetst ok, aber ansonsten...

Greetz...
Sinac


----------



## mR.fLopPy (29. August 2003)

Danke für die Liste Scorp! Baah. so viele Viren. Wenn das so weiter geht meld ich gleich meinen Internetanschluss ab.
--

@ Sinac: Ne im Ernst! Ich hab anscheinend andauernd die flaschen Stichwörter zum Suchen verwendet. Danke, ein paar Seiten sind echt gut. ;-) 

Ich komm deswegen mit (m)einer Firewall nicht klar, weil eben wie du schon gesagt hast, die am Anfang so viele Fragen stellen und ich hab kA was ich davon Akzeptieren od. Ablehnen soll. Deswegen hab ich so eine Liste gebraucht wo die Ports oben stehen die von Programmen entweder benützt werden od. umgekehrt (auch nicht schlecht) die von Viren, Trojanern, Backdoors usw. benützt werden.

Keiro 2.1.6 ist/war echt gut. Zumindest kannte ich mich mit dieser Firewall am schnellsten aus. Nur die hat mich regelrecht zugelöchert mit Fragen und das war nicht einmal die höchste Sicherheitsstufe.

Norton ist auch nicht schlecht genau das komplette Gegenteil, ich hab mal diese Testversion von Chip.de gerade auf meinem Rechner und langsam frage ich mich ob die wirklich sicher ist. Gerade mal eine Meldung und das war bei ICQ. (Port 21) Deswegen hab ich die Sicherheitsstufe mal auf Mittel geschalten.
Bisschen fragen schadet ja nie.  

Ich weiß nicht ist Norton gut?
Jeder regt sich über deren Software auf (generell).

mfg
floppy


----------



## lohokla (29. August 2003)

Also ich bin von Zonealarm über Norton zu Kerio (ist am schnellsten und benutzerfreundlichsten - wird einen ausserdem oft im Internet empfohlen) gekommen. Bin auch Anfänger von PFW, aber nach einiger Zeit kommt man echt gut klar mit Kerio, wenn man mit den Regeln richtig umgehen kann und sich so ungefähr denken kann, welche Verbiungen man braucht und welche gefährlich sein könnten. 

Dabei handhabe ich es so, dass ich bei nach der Installation erstmal ein paar Regeln definiert, die Ports und Protokolle geschlossen haben, die mir als überflüssig vorkammen (reinkommende ICMP deaktiviert, und Port 445 und 135 für TCP/UDP geblockt wegen den RPC-Würmern). Port 80 dann standardmässig für IE und Opera freigeschaltet und ansonnsten kann man die Regeln von Zeit zu Zeit definieren: Also z.B. Wenn ich ein Spiel zocke, poppt dann beim ersten Mal starten, die Warnmeldung von Kerio auf, dann definert man schnell eine Regel die der exe-Datei des Spieles ein Transfer ins Internet erlaubt -Fertig  
Das geht alles äußerst schnell und mittlerweile kommen nur noch sehr wennige Warnungen (eigentlich gar keine!). 

Achja und wennn sich sowas wie svhost.exe ins Internet verbinden will, wo man nicht genau weiß was es macht, dann definiert man erstmal die Regel, dass Transfer unterbunden wird. Wenn dann ein Internetprogramm nicht funktioniert, dann löscht man die Regel und liest sich evtl unter google durch, wozu die Datei gebrauch wird von Windows - alles ganz easy


----------



## JohannesR (12. Oktober 2003)

Also ich benutze die allmächtigen IPTables, die in keinem vernünftigen Kernel fehlen sollten.  Bei mir sind nur HTTP, SSH und die Mail-relevante-protokolle freigeschaltet.

Ist euch mal aufgefallen, dass SSH und FTP-Data sich einen Port teilen? (22)

Edit: Ich nehme alles zurück und behaupte das Gegenteil!


----------



## Sinac (13. Oktober 2003)

> Ist euch mal aufgefallen, dass SSH und FTP-Data sich einen Port teilen? (22)



Öhm, ists nicht so das ftp auf 21 läuft und dann noch zufällige Ports die nicht im Well-Known Bereich liegen nutzt?

-Las mich auch gerne eines besseren belehren


----------



## JohannesR (13. Oktober 2003)

> _Original geschrieben von Sinac _
> *Öhm, ists nicht so das ftp auf 21 läuft und dann noch zufällige Ports die nicht im Well-Known Bereich liegen nutzt?*



Ups, mein Fehler, FTP-Command läuft auf 21, FTP-Data auf Port 20... 
Port 22 gehört also immernoch SSH allein.


----------



## webfreak (28. Dezember 2003)

Ich würde an deiner Stelle so vorgehen:
Pot 80,20,21,22,25,110 bleiben offen, alle andere zu.
Und wenn du dann noch Programme hast die nicht ins Internet kommen und du weis was die Programme machen(also du bist dir sicher dass diese auch wirklich ins www sollen) dann schalte diese Ports frei.

webfreak


----------



## Klon (30. Dezember 2003)

> _Original geschrieben von webfreak _
> *Ich würde an deiner Stelle so vorgehen:
> Pot 80,20,21,22,25,110 bleiben offen, alle andere zu.
> Und wenn du dann noch Programme hast die nicht ins Internet kommen und du weis was die Programme machen(also du bist dir sicher dass diese auch wirklich ins www sollen) dann schalte diese Ports frei.
> ...



Bei weiteren Programmen dann auch zwischen incoming/outgoing und den Protokollen differenzieren, so weit das bei deiner FW möglicht ist, nicht einfach auf einen Port all incoming/outgoing Traffic, egal welchen Protokolls zulassen.

Testen kannst du die Settings beispielsweise hier:
http://scan.sygate.com/


----------



## hulmel (30. Dezember 2003)

Ich würde ja alle Dienste abstellen, oder nicht an das externe Interface binden. Eine Anleitung für 2000 und XP gibt es hier.
Hat den Vorteil: Man braucht sich über zusätzliche Software keine gedanken zu machen...


----------



## beelzebubi (30. Dezember 2003)

Hast du nicht die Möglichkeit  alles von deinem Host rauszulassen und von deinem  Host aufgebaute Verbindungen zuzulassen (Etablished)?


----------

