Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

nur zum Internet alle Ports sperren außer 22,53,80?

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Benutzeravatar
Hugch
Member
Member
Beiträge: 86
Registriert: 7. Sep 2004, 12:50
Kontaktdaten:

nur zum Internet alle Ports sperren außer 22,53,80?

Beitrag von Hugch »

Ich hab mal ne Frage. Ich habe meine Firewall mit yast2 konfiguriert und habe der gesagt übers Lan alles durchlassen, nur zum Internt alle Ports sperren außer 22,53,80, und noch zwei 400ter Ports.

So mein Bruder meint jetzt mit einem billigen Portscanner angeblich über semtliche Ports im Internet auch wieder Antworten über die gleichen Ports zurückbekommt.

Kann das sein. Ich wollte mal das alles eingenhändigt mit iptables machen und vpn, aber ich habe im Moment noch nicht die Zeit mich damit zu beschäftigen.
Windows ist ein Echtzeitsystem, wer mit Windows arbeitet muss ECHT Zeit haben.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Dann prüfe das doch einfach selber nach. Es gibt mehrere Webseiten von denen man sich Portscannen lassen kann.

Eine davon ist grc.com. Klicke da solange auf 'shields up' bis Du an der entsprechenden Stelle bist.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
koepi
Member
Member
Beiträge: 71
Registriert: 21. Jul 2004, 20:43
Wohnort: unna
Kontaktdaten:

Beitrag von koepi »

guckst du hier mal:
http://www.port-scan.de/
oder mal hier:
http://check.lfd.niedersachsen.de/start.php
die adressen stehen aber auch schon seit längerem hier im board!!
:wink: :wink:
(unter portscannen,sicherheit usw. findest du eine menge hier im board)
einfach mal die suchfunktion benutzen :lol: :lol:
Benutzeravatar
Hugch
Member
Member
Beiträge: 86
Registriert: 7. Sep 2004, 12:50
Kontaktdaten:

Beitrag von Hugch »

Bist du dir sicher das man da Ports testen kann?
Windows ist ein Echtzeitsystem, wer mit Windows arbeitet muss ECHT Zeit haben.
Benutzeravatar
Hugch
Member
Member
Beiträge: 86
Registriert: 7. Sep 2004, 12:50
Kontaktdaten:

Beitrag von Hugch »

Sorry. Ich meinte den Martin Breidenbach
Windows ist ein Echtzeitsystem, wer mit Windows arbeitet muss ECHT Zeit haben.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Ja. Ist etwas versteckt - Du mußt mehrfach auf 'Shields Up' klicken um Dich an die richtige Stelle durchzuhangeln (und zwischendurch ziemlich nach unten scrollen). Die beiden anderen Links gehen aber auch.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
Hugch
Member
Member
Beiträge: 86
Registriert: 7. Sep 2004, 12:50
Kontaktdaten:

Beitrag von Hugch »

Wenn ich auf http://www.port-scan.de/ gehe und den Portscann zu TCP mache, dann zeigt der mir keinen einzigen Port an der Frei ist.Aber 80 muss ja mindestens frei sein.

Der braucht zwar lange, aber der hat angeblich schon 1221 Ports und noch keinen Frei.



Zitat
-----------------------------Port Status Dienstname--------------------------
3 % des TCP-Tests abgeschlossen
gescannte Ports: (2448)
0 offen, 0 geschlossen, 0 gefiltert,
-------------------------------------------------------------------------------------
Zuletzt geändert von Hugch am 19. Dez 2004, 22:55, insgesamt 1-mal geändert.
Windows ist ein Echtzeitsystem, wer mit Windows arbeitet muss ECHT Zeit haben.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Nein.

Wenn da Port 80 als offen angezeigt würde dann hättest Du einen Webserver.

Alle Ports zu bedeutet der Rechner nimmt keine eingehenden Verbindungen aus dem Internet an. Das sagt gar nichts über *AUSGEHENDE* Verbindungen aus - das können diese Programme auch nicht testen.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Benutzeravatar
Hugch
Member
Member
Beiträge: 86
Registriert: 7. Sep 2004, 12:50
Kontaktdaten:

Beitrag von Hugch »

Schlau DEN habe ich auch.

Ausgehende sind mir egal. Ich will die eingehenden halt testen.
Windows ist ein Echtzeitsystem, wer mit Windows arbeitet muss ECHT Zeit haben.
gaw
Hacker
Hacker
Beiträge: 464
Registriert: 28. Sep 2004, 16:33

Beitrag von gaw »

Das hat dein Port-Scan doch gemacht. Er hat deinen Rechner auf lauschende Ports getestet. Das bedeutet, dass auf deinen Rechner kein Programm einen Dienst anbietet.

Es kursieren eine Menge von Mythen und Legenden über Ports. Im besten Techtalk wird da eine Menge Unsinn erzählt woraus seltsame Vorstellungen resultieren. Vielleicht solltest du dich etwas mit den Grundlagen von TCP/IP beschäftigen, dann verstehst du besser was gemeint ist.

Wenn du einen Browser öffnest wird eine TCP-Verbindung zwischen deinem Browser und einem Webserver im Internet aufgebaut. Dabei spielen zwei Portnummern eine Rolle, die Zielportnummer und die Quellportnummer. Die Zielportnummer von deinem Rechner aus betrachtet beträgt 80 und die Quellportnummer ist > 1024 zum Beispiel 1122. Vom Webserver aus betrachtet sieht das umgekehrt aus, die Zielportnummer ist 1122 die Quellportnummer 80. Beide Datenströme also die Pakete vom Webbrowser zum Webserver und die vom Webserver zum Webbrowser gehören zu einer Verbindung. Da im Zuge des 3-Wege handshake von tcp die Verbindung von deinem Rechner initiiert wurde musste kein Port auf Pakete lauschen, die einen Verbindungsaufbau signalisieren. Trotzdem kommen natürlich die Pakete herein die zu der bestehenden Verbindung gehören, die von deinem Rechner aus initiiert wurden. Das kann ein Portscanner natürlich nicht testen, weil der Port nur temporär von einer Anwendung geöffnet wird und nicht automatisch auf einen Verbindungsaufbau reagiert. Das aber stellt ein Portscanner fest. Er sendet Pakete los die einen Verbindungsaufbau signalisieren und wartet ob ein Antwortpaket kommt. Auf dem Port 1122 in unserem Beispiel werden aber nur temporär Pakete angenommen, in denen sowohl beide IP-Nummern als auch beide Portnummern zu den ausgesandten Paketen passen, wobei Ziel und Quelle vertauscht sind. Bei tcp müssen zusätzlich die Segmentnummern passen und bestimmte Bits im TCP-Header gesetzt sein. Um das zu testen müsste ein Sniffer vor Ort installiert sein und auch dieser könnte nur temporär anhand aus- und eingehender Pakete feststellen was los ist.

Ob das funktioniert, also ob die Ports für Pakete bestehender Verbindungen offen sind lässt sich aber vom eigenen Rechner natürlich überprüfen. Mit
telnet server zielprotokollnummer
kannst du testen, ob du von deinem Rechner aus Zugriff auf Server im Internet hast.

Um zu sehen welche bestehenden tcp-Verbindungen im Moment existieren hilft
netstat -t tcp
Die Frage lautet also, was willst du eigentlich testen? Welche Dienste dein Rechner im Internet zur Verfügung stellt oder welche Dienste aus Benutzer von deinem Rechner aus nutzen können die im Internet angeboten werden? Im ersten Fall hilft dir ein externer Portscanner im zweiten Fall telnet, netstat und diverse andere tools.

mfG
gaw
Benutzeravatar
Hugch
Member
Member
Beiträge: 86
Registriert: 7. Sep 2004, 12:50
Kontaktdaten:

Beitrag von Hugch »

Ich will nur Testen ob meine Firewall sicher ist. Und die ganze TCP/IP peep, da habe ich mich schon in Informatik durchgequält. Ich bin kein neewby mehr. Meine letzten posts sehen zwar so aus, aber ich kenne mich daschon ein bischen mit aus.

Und netstat kenne ich schon. Trozdem danke.
Windows ist ein Echtzeitsystem, wer mit Windows arbeitet muss ECHT Zeit haben.
gaw
Hacker
Hacker
Beiträge: 464
Registriert: 28. Sep 2004, 16:33

Beitrag von gaw »

Aus deinen letzten Postings sind deine fundierten Fachkenntnisse tatsächlich nicht auf Anhieb zu erkennen, daher musst du meine Darstellung schon entschuldigen. Allerdings schadet eine Auffrischung nicht immer, oder?

Eine Firewall wird tatsächlich mit einem Portscanner von aussen und mit telnet von innen getestet. Es gibt darüberhinaus noch Programme wie satan mit denen sich das Netzwerk von innen testen lässt.


mfG
gaw
Antworten