Welche Ports sperren (In -> Out)?

[Citrix]

Guten Morgen,

habe einen ISDN-Router und möchte gerne alle Ports sperren damit dieser sich nur noch bei Internet, POP3 Mail und Kaspersky-Antivirus Update rauswählen kann.

Welche Ports muss /kann / darf ich sperren?

Weil dieser Router zu oft Online ist und ich nicht weiss warum. Haben schon auf jedem Rechner zusätzlich eine Personal Firewall die fragt bei jedem Programm das raus darf. Aber irgendwas wählt sich trotzdem immer raus. Deswegen kurzen Prozess ich will die Ports zumachen.

 

[Holzmich'lkille]

hallo gehe mal hier drauf und teste alle ports die offen sind , dann setze dein router mal in werkseinstellungen zurück!

 

[Tunguska]

zum Thema ->Personal Firewall<-

Sicherheit gibt es da keine, wie du ja auch schon erkannt hast.
Zur Portsperrung gilt grundsätzlich:

IN -> alles sperren außer die Ports, die man braucht (Informationen zu den benötigten offenen Ports geben die Programme meist selbst)

OUT -> alles offen (damit Kommunikation auch problemlos möglich ist) mit Ausnahme der kritischen Ports:

alles rund um NetBIOS (135, 137, 138, 139 sowie Port 445)

 

[Citrix]

Wie gesagt, die Kommunikation von innen nach aussen soll unterdrückt werden. Minimalste Funktionalität reicht.

Das heisst ich möchte am liebsten alles sperren von 0 - 65535, aber das geht ja nicht. Welche Ports brauch denn dann offen?

Internet Port 80
eMail 25 und 110
Da mein Router als DNS fungiert noch Port 53

Was ist mit den restlichen Ports? Welche sind wichtig damit ich überhaupt noch rauskomme ins Internet?

FTP braucht man Port 20 und 21. Geht dann aber nur im Normal Mode.

 

[Tunguska]

Also ...

1. ist nicht jeder offene Port gefährlich (hinter dem Port steht ein Dienst mit speziellen Aufgaben, den man nicht für andere Aufgaben "mißbrauchen" kann)
2. Kannst du kaum abschätzen, welche Ports gebraucht werden.

Eine kleine Anschauung:

- Internetverbindung starten
- Browser aufrufen (z.B. Firefox )
- "Eingabeaufforderung starten" und dort den Befehl netstat -an -o eingeben
Dort siehst du (hinter der IP deines Computers) die geöffneten Ports + die PID (<- und die ist jetzt wichtig!)
- Windows Task Manager starten (Strg-Alt-Entf), Karteikartenreiter Prozesse aufrufen (und eventuell unter Ansicht->Spalten auswählen->PIDs aktivieren)

Und schon stellst du fest, dass dein Browser nebenbei noch weitere Ports geöffnet hat, je nachdem, wo du dich gerade aufhältst.

 

[Citrix]

Nein, mir gehts einfach darum welche Ports man unbedingt braucht für Windows und Stadardprogramme und welche nicht... weiss nicht was du mir da immer erlären willst Tunguska

Ich "muss" alles sperren und "will" wissen welche Port auf jeden Fall freibleiben müssen für

1. Windows
2. Internet und eMail

mehr nicht.

Danke

 

[netzwerker]

Also ich würde zulassen: HTTP, HTTPS, DNS, SMTP, POP3 und evtl. NNTP. SMTP und POP3 kannst Du ja noch auf die genutzten Mailserver einschränken.

Mirko

 

[*cerox*]

Kannst du bei deinem ISDN Router überhaupt Ports nach außen sperren? Die meisten NAT-Geräte können nur Ports forwarden - d.h. nach innen sind standardmäßig alle Ports dicht, jedoch geht es hier ja um Verbindungen nach außen.

Für Passive FTP brauchst du nicht nur Port 20/21 sondern auch noch einige Ports von 1024 bis 65535 - da du die Ranges der FTP-Server, mit denen du dich verbindest ja nicht vorassehen kannst, müsstest du theoretisch doch wieder alles öffnen.

Die Frage ist also wieder ob dein Router solche Regeln aufstellen kann, so dass z.B. Passive FTP mit einer großen Portrange nur für eine bestimmte Ziel-IP-Adresse erlaubt wird.

Wie wäre es sonst mit einem kleinen Linux-Rechner zwischen ISDN-Router und Switch als Firewall?