Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ports auf dem Router freigeben bzw. weiterleiten

Frage Netzwerke Router & Routing

Mitglied: Corraggiouno

Corraggiouno (Level 2) - Jetzt verbinden

22.01.2014 um 14:31 Uhr, 5628 Aufrufe, 14 Kommentare, 2 Danke

hallo zusammen,

hätte da mal ne Frage zur Portweiterleitung bzw. Portfreigabe.

Ich habe auf meinem Router weder den Port 25 (smtp) noch den Port 993 (imaps) freigegeben.

Warum können dann trotzdem E-Mails raus bzw. mein Mail-Client E-Mails empfangen?

Kann mir das jemand mal kurz erklären?
Mitglied: hausens
22.01.2014 um 14:42 Uhr
Hi,

Welche mailclient verwendest du?
Schickst du die Mails von einem Mailserver der in deinem Netzwerk steht?
Was ist das für ein Router?

lg Hausens
Bitte warten ..
Mitglied: Corraggiouno
22.01.2014 um 14:44 Uhr
es ist ein d-link mit dd-wrt. Nein, ich habe keinen eigenen Mailserver. Empfang und Versand gehen über den Provider
Bitte warten ..
Mitglied: orcape
22.01.2014 um 15:02 Uhr
Hi,
alles was Du im Internet anforderst, kommt auch über die Firewall des DD-WRT Routers wieder auf Deinen PC.
Zusätzlich kannst Du Anfragen, die aus dem Internet kommen, explizit freischalten, indem Du einen Port dafür frei gibst. Z.B.um einen Server zu erreichen, der sich in Deinem LAN befindet.
Gruß orcape
Bitte warten ..
Mitglied: aqui
22.01.2014, aktualisiert um 15:07 Uhr
Du solltest mal Grundlegendes über die NAT Funktion lesen dann wüsstest du warum:
http://de.wikipedia.org/wiki/Network_Address_Translation
Einfache Router haben keine zusätzlich dedizierte Firewall, denn da ist das NAT selber die Firewall wenn man so will...

Bessere Router hingegen haben eine dynamische SPI Firewall die bei Outbound Sessions dann den Port für die korresponierende Antwort inbound öffnen sofern einen gültige Session gesteht. Die Öffnung besteht dann nur für die Zeit der aktiven Session.
Hier muss man aber zwischen reiner NAT Funktion und des damit verbunden quasi Firewall Verhaltens unterscheiden und aus einer kombinerten NAT und Firewall Funktion die aber nur bessere Router haben.
Bitte warten ..
Mitglied: Corraggiouno
22.01.2014 um 15:07 Uhr
das heisst, dass die SPI-Firewall des Routers einfach die E-Mails durchlässt. Warum muss dann nicht der port 25 bzw. 993 freigegeben werden?
Bitte warten ..
Mitglied: Pjordorf
22.01.2014 um 15:08 Uhr
Hallo,

Zitat von Corraggiouno:
Ich habe auf meinem Router weder den Port 25 (smtp) noch den Port 993 (imaps) freigegeben.
Ein oder Ausgehend? Ausserdem gibt es noch weitere Ports je nach Protokoll für E-Mail. Mir fallen da 465, 587, 995 und 994 ein.

Warum können dann trotzdem E-Mails raus bzw. mein Mail-Client E-Mails empfangen?
Weil ein Client kein Portforwarding braucht um ins Internet zu gelangen. Und wenn du ausgehend alles erlaubt hast kann er eben das. Und auch Mails Senden / Empfangen hat bei einem Client nichts mit Portforwarding zu tun. Da reicht es das der Client ausgehend alles darf und wenn DNS noch funktioniert.....

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
22.01.2014 um 15:15 Uhr
Das muss er ja zwingend wenn du nicht sowas wie CBAC machst:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
Das machen aber nur sehr wenige Router. Ein dummer Speedport z.B. nicht, der kann nur NAT.

NAT lässt alles das durch zu dem es einen bestehenden Session Eintrag in der NAT Tabelle gibt.
Bei einem nackten einfachen NAT Router z.B. und einer am WAN eingehenden POP3S oder SMTP Session wie oben von dir beschrieben, sieht der Router in seine NAT Session Tabelle. Gibt es keine bestehende Inbound Session weist der Router diese Verbindung ab bzw. dropt sie.
Das ist ja dann ein quasi Firewall Verhalten. Trotzdem kann aber die SMTP oder POP3S session die WAN IP erreichen und wird abgearbeitet.
Bei einer Firewall davor kommt es gar nicht erst soweit, wenn die eingehende Firewall diese Ports blockt. Dazu muss aber auch eine dedizierte Firewall Funktion vorhanden sein und diese Ports entsprechend geöffnet sein logischerweise.

Würde man das aber auf DSL Routern für Lieschen Müller machen wäre sie mit der Konfig überfordert. Deshalb geht es da bei Billigroutern ohne Firewall ab oder mit dynamischen Firewalls mit all deren Nachteieln.
Deshalb setzen Profis solche Billigsysteme auch nicht ein...nichtmal zuhause !
Bitte warten ..
Mitglied: Corraggiouno
22.01.2014 um 15:29 Uhr
......gesetzt den Fall ich betreibe den Router weiter und beispielsweise ein eigener E-Mails-Server steht im Lan dahinter, dann müsste auch hier keine expliziten Ports freigegeben werden (wegen der bestehenden INbound Session) ist das korrekt.

p.s. solche Router kosten ja sicherlich viel Geld.......................aber wie du ja schon beschrieben hast aqui, pfsense ist ja so eine Möglichkeit das sicherer zu gestalten. Könnte man in diesem Fall - unter Einsatz der pfsense - den "Billigrouter" weiterbetreiben? Oder ist dies nicht empfehlenswert?
Bitte warten ..
Mitglied: aqui
22.01.2014, aktualisiert um 15:59 Uhr
Nee, die kosten wahrlich nicht viel Geld, einen Mikrotik 750 der das kann bekommst du für 35 Euro ein DD-WRT liegt nicht viel drüber. Richtig mit SPI dann ne pfSense usw.
Fragt sich immer was einem die eigene Sicherheit wert ist und das muss jeder für sich selber entscheiden ?!
Klar kann man den auch in einer Router Kaskade oder Router Firewall Kaskade betreiben. Sinniger ist es immer den als reines NUR Modem zu betreiben sofern die Konfig dieses zulässt.
Sicherheitstechnisch ist das absolut OK so, denn die letzte Hürde ist ja dann die Firewall.
IP technisch nicht immer ganz so elegant denn du machst 2 mal NAT in der Kaskade was Performnce technisch nicht so dolle ist und auch erhebliche Probleme bereiten kann mit Port Forwarding sofern man das machen will oder muss, denn das erfordert diese Prozedur immer 2mal. Machbar ist es aber....

Was die erste Frage anbetrifft:
müsste auch hier keine expliziten Ports freigegeben werden
ist das so korrekt. Allerdings kommst du ja nicht umhin ein NAT Port Forwarding einzurichten wenn du Sessions von außen aufbauen willst die nach innen sollen.
Wie gesagt das gilt nur für Dummrouter die nur NAT machen und keine explizite Firewall an Bord haben.
Viele Systeme die es aber an Bord haben erzwingen dann bei einem entsprechenden port Forwarding keinen extra Eintrag in der FW weil mit dem Port Forwarding automatisch dann auch der FW Eintrag gesetzt wird. Die pfSense macht sowas auch fragt aber brav den Administrator vorher wie es üblich ist bei solchen Systemen damit man kontrollieren kann wenn einer Löcher in die Firewall bohrt und welche !
Bitte warten ..
Mitglied: Corraggiouno
22.01.2014 um 16:16 Uhr
.............ich denke mal, dass die Routing - Tabelle des "bllig-routers" man nicht anschauen oder leeren kann?
Bitte warten ..
Mitglied: aqui
22.01.2014, aktualisiert um 17:07 Uhr
Meist nicht, denn es ist vom Hersteller nicht gewollt das ein User sich Zugang zum System verschafft. Pfiffige schaffen es dennoch denn zu 99,9% rennt Linux auf solchen Systemen und irgendwo ist ein JTAG Pin für ein Terminal...
So wird der Normaluser halt immer durch das GUI gegängelt. OK, man darf nicht vergessen das das für 99% aller nicht IT affinen Normalbürger auch reicht bzw. mehr oder weniger zwingend notwendig ist.
In der Regel lässt das nur Open Source Firmware wie OpenWRT, DD-WRT, Freetz, pfSense und Co. zu oder Hersteller die solche Möglichkeiten des Debugging zulassen wie Cisco, Lancom und Co.
Bitte warten ..
Mitglied: Corraggiouno
22.01.2014 um 17:58 Uhr
Also auf folgender Graphik finde ich den Ablauf einer Abfrage sehr gut beschrieben

http://files.dyntec.de/SNAT.pdf

aber wie läuft es beispielsweise bei einer E-Mail ab, die über smtp (Port: 25) versendet wird.............
Bitte warten ..
Mitglied: aqui
22.01.2014 um 19:33 Uhr
Genauso wie in deinem Diagramm. Der Destination Port wird NICHT verändert bei SNAT nur der Source Port.
Ansonsten läuft alles exakt so ab wie in deinem zitierten Diagramm.

Warum nimmst du dir nicht einen Wireshark oder tcpdump und snifferst das mal mit, dann hast du es schwarz auf weiß
Bitte warten ..
Mitglied: Dobby
22.01.2014 um 20:16 Uhr
Hallo,

es ist hier ganz klar zwischen dem Netzwerkverkehr der von intern (LAN)
angefordert wurde und dem Netzwerkverkehr extern (Internet) der nicht
von einem Klienten in Eurem (Deinem) angefordert wurde.

Dein Mailklient fordert ja bei einem Server (beim Provider) etwas (Mail) an und
nutzt dafür gewisse Protokolle und Ports die eben diesen Protokollen zugewiesen
sind, und wenn nun die Mail abgerufen wird, lässt der Router die Mail durch denn sie
wurde ja von einem PC im LAN angefordert, danach allerdings wird diese Verbindung
beendet und dann wird alles von außen ankommende, was nicht angefordert wurde
durch die SPI & NAT Funktion abgeblockt.

Hast Du einen eigenen Server in einer DMZ "stehen" der eine permanente Verbindung
zum Internet hat. muss dieser natürlich auch von außen erreichbar sein und dafür müssen
in der Regel dann auch Ports vorne am WAN Interface also dem Router oder der Firewall
geöffnet werden.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
2 Ports an EdgeMax Router zu Switch hinzufügen (8)

Frage von stephan902 zum Thema Router & Routing ...

Datenschutz
USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...