nur zum Internet alle Ports sperren außer 22,53,80?

Ich hab mal ne Frage. Ich habe meine Firewall mit yast2 konfiguriert und habe der gesagt übers Lan alles durchlassen, nur zum Internt alle Ports sperren außer 22,53,80, und noch zwei 400ter Ports.

So mein Bruder meint jetzt mit einem billigen Portscanner angeblich über semtliche Ports im Internet auch wieder Antworten über die gleichen Ports zurückbekommt.

Kann das sein. Ich wollte mal das alles eingenhändigt mit iptables machen und vpn, aber ich habe im Moment noch nicht die Zeit mich damit zu beschäftigen.

Dann prüfe das doch einfach selber nach. Es gibt mehrere Webseiten von denen man sich Portscannen lassen kann.

Eine davon ist grc.com. Klicke da solange auf 'shields up' bis Du an der entsprechenden Stelle bist.

guckst du hier mal:
http://www.port-scan.de/
oder mal hier:
http://check.lfd.niedersachsen.de/start.php
die adressen stehen aber auch schon seit längerem hier im board!!

(unter portscannen,sicherheit usw. findest du eine menge hier im board)
einfach mal die suchfunktion benutzen

Bist du dir sicher das man da Ports testen kann?

Sorry. Ich meinte den Martin Breidenbach

Ja. Ist etwas versteckt - Du mußt mehrfach auf 'Shields Up' klicken um Dich an die richtige Stelle durchzuhangeln (und zwischendurch ziemlich nach unten scrollen). Die beiden anderen Links gehen aber auch.

Wenn ich auf http://www.port-scan.de/ gehe und den Portscann zu TCP mache, dann zeigt der mir keinen einzigen Port an der Frei ist.Aber 80 muss ja mindestens frei sein.

Der braucht zwar lange, aber der hat angeblich schon 1221 Ports und noch keinen Frei.



Zitat
-----------------------------Port Status Dienstname--------------------------
3 % des TCP-Tests abgeschlossen
gescannte Ports: (2448)
0 offen, 0 geschlossen, 0 gefiltert,
-------------------------------------------------------------------------------------

Nein.

Wenn da Port 80 als offen angezeigt würde dann hättest Du einen Webserver.

Alle Ports zu bedeutet der Rechner nimmt keine eingehenden Verbindungen aus dem Internet an. Das sagt gar nichts über *AUSGEHENDE* Verbindungen aus - das können diese Programme auch nicht testen.

Schlau DEN habe ich auch.

Ausgehende sind mir egal. Ich will die eingehenden halt testen.

Das hat dein Port-Scan doch gemacht. Er hat deinen Rechner auf lauschende Ports getestet. Das bedeutet, dass auf deinen Rechner kein Programm einen Dienst anbietet.

Es kursieren eine Menge von Mythen und Legenden über Ports. Im besten Techtalk wird da eine Menge Unsinn erzählt woraus seltsame Vorstellungen resultieren. Vielleicht solltest du dich etwas mit den Grundlagen von TCP/IP beschäftigen, dann verstehst du besser was gemeint ist.

Wenn du einen Browser öffnest wird eine TCP-Verbindung zwischen deinem Browser und einem Webserver im Internet aufgebaut. Dabei spielen zwei Portnummern eine Rolle, die Zielportnummer und die Quellportnummer. Die Zielportnummer von deinem Rechner aus betrachtet beträgt 80 und die Quellportnummer ist > 1024 zum Beispiel 1122. Vom Webserver aus betrachtet sieht das umgekehrt aus, die Zielportnummer ist 1122 die Quellportnummer 80. Beide Datenströme also die Pakete vom Webbrowser zum Webserver und die vom Webserver zum Webbrowser gehören zu einer Verbindung. Da im Zuge des 3-Wege handshake von tcp die Verbindung von deinem Rechner initiiert wurde musste kein Port auf Pakete lauschen, die einen Verbindungsaufbau signalisieren. Trotzdem kommen natürlich die Pakete herein die zu der bestehenden Verbindung gehören, die von deinem Rechner aus initiiert wurden. Das kann ein Portscanner natürlich nicht testen, weil der Port nur temporär von einer Anwendung geöffnet wird und nicht automatisch auf einen Verbindungsaufbau reagiert. Das aber stellt ein Portscanner fest. Er sendet Pakete los die einen Verbindungsaufbau signalisieren und wartet ob ein Antwortpaket kommt. Auf dem Port 1122 in unserem Beispiel werden aber nur temporär Pakete angenommen, in denen sowohl beide IP-Nummern als auch beide Portnummern zu den ausgesandten Paketen passen, wobei Ziel und Quelle vertauscht sind. Bei tcp müssen zusätzlich die Segmentnummern passen und bestimmte Bits im TCP-Header gesetzt sein. Um das zu testen müsste ein Sniffer vor Ort installiert sein und auch dieser könnte nur temporär anhand aus- und eingehender Pakete feststellen was los ist.

Ob das funktioniert, also ob die Ports für Pakete bestehender Verbindungen offen sind lässt sich aber vom eigenen Rechner natürlich überprüfen. Mit

telnet server zielprotokollnummer

Zum Vergrößern anklicken....

kannst du testen, ob du von deinem Rechner aus Zugriff auf Server im Internet hast.

Um zu sehen welche bestehenden tcp-Verbindungen im Moment existieren hilft

netstat -t tcp

Zum Vergrößern anklicken....

Die Frage lautet also, was willst du eigentlich testen? Welche Dienste dein Rechner im Internet zur Verfügung stellt oder welche Dienste aus Benutzer von deinem Rechner aus nutzen können die im Internet angeboten werden? Im ersten Fall hilft dir ein externer Portscanner im zweiten Fall telnet, netstat und diverse andere tools.

mfG
gaw

Ich will nur Testen ob meine Firewall sicher ist. Und die ganze TCP/IP peep, da habe ich mich schon in Informatik durchgequält. Ich bin kein neewby mehr. Meine letzten posts sehen zwar so aus, aber ich kenne mich daschon ein bischen mit aus.

Und netstat kenne ich schon. Trozdem danke.

Aus deinen letzten Postings sind deine fundierten Fachkenntnisse tatsächlich nicht auf Anhieb zu erkennen, daher musst du meine Darstellung schon entschuldigen. Allerdings schadet eine Auffrischung nicht immer, oder?

Eine Firewall wird tatsächlich mit einem Portscanner von aussen und mit telnet von innen getestet. Es gibt darüberhinaus noch Programme wie satan mit denen sich das Netzwerk von innen testen lässt.


mfG
gaw