This is topic DSL-"Router" --- welche Ports zulassen in forum Produktions- & DJ-Technik, Hard- & Software at technoforum.de.


Um den Thread anzusehen, klicke auf diesen Link:
https://forum.technoforum.de/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=6;t=003693
Geschrieben von: XcypherX (Usernummer # 3451) an :
 
Also, mein DSL-Router (eigentlich ist es ja nur ein Switch mit NAT und Firewall) soll so konfiguriert werden, das nur die Ports ins Internet zugelassen werden, die ich brauche.
Da hier ja einige DSLer sind, meine Frage welche ich da brauche außer:

5190 ICQ
8080 HTTP
20 FTP
21 FTP
6667 mIRC

SLSK?
Eudora? (normaler SMTP, gell?)
Emule?
?? (Winamp, Media Player etc.)

Danke im Voraus...
 

Geschrieben von: Neuro (Usernummer # 883) an :
 
In Richtung Internet kannst du alle Ports auflassen. Bei den einkommenden solltest du die Ports 1-1024 sperren, insofern du keine Dienste selber anbietest, sprich Web,Mail etc.

Du kannst bei Google auch nach Seiten suchen, die sich mit Firewalls beschäftigen. Dort gibt es meistens Listen die erläutern was dir gefährlich werden könnte. Prinzipiell reicht es aber, die ersten 1024 Ports zu blocken.
 

Geschrieben von: partylarry (Usernummer # 1636) an :
 
ohhhh...das würde mich auch mal interessieren, da ich in 2 wochen auch nen dsl-router bekomme und ich da nicht so viel ahnung habe!*g*
 
Geschrieben von: PigFace (Usernummer # 4299) an :
 
Zunächst solltest du mal abchecken welche Dienste dein Router bereits standardmässig unterstützt (RTFM), bei den meisten aktuellen Modellen muß man für Standard-Dienste wie z. B. FTP nichts mehr zusätzlich konfigurieren.
Bei exotischeren Diensten wie z. B. dem Esel findest du Infos zu Ports die das entsprechende Proggy benutzt idR in der Anleitung des Programms (RTFM) oder auf der Webseite des Software-Herstellers.
Infos zur Konfiguration von DSL-Routern gibt's z. B. hier.

[ 17-12-2002: Beitrag editiert von: PigFace ]
 

Geschrieben von: drehkopf (Usernummer # 921) an :
 
@xcypherx
ganz wichtig:
icq is nich immer 5190 und http hat nix mit outgoing 8080 zu tun.
da dein router masquerading macht musst du dich um die sachen wie icq und http keine sorgen machen.
für ftp musst du ab sofort passive mode benutzen (pasv).
sollte dein router socks5 können solltest du auch das anschalten und damit icq (wegen filetransfer) und kazaa versorgen, evtl auch ftp (wenn dein client das kann)

an sonsten, wie neuro sagt: raus alles.

rein: 1-1024 zu machen.
wenn du einen lokalen ftp laufen hast:
20+21 tcp via destination nat auf deinen lokalen rechner umleiten.

für emule
4662 tcp sowie 4672 udp (kannste aber unter einstellungen im emule auch ändern) auch via destination nat auf deinen lokalen rechner umleiten.
wenn du mehrere emules im netz laufen lassen willst (was ziemlich schwachsinnig wär) muss jeder emule zwei eigene ports bekommen.

wtf ist slsk ..
eudora funzt auch so (wegen masq)

hoffe das hilft.

//EDIT
@der C
bitte korrekturlesen und bestätigen

[ 17-12-2002: Beitrag editiert von: drehkopf ]
 

Geschrieben von: Thomas Broda (Usernummer # 72) an :
 
Wer bei eingehenden Verbindungen die Ports 1-1024 zumacht, braucht sich nicht zu wundern, wenn hinterher nichts mehr geht.

Essentiell dürften sein:

110 pop3,
25 smtp,
80 http,
443 https,
21 (ausgehend) ftp control,
20 (eingehend) ftp data,
53 (udp! und tcp) dns,
119 nntp und evtl.
22 ssh

8080 ist ein Standardport für HTTP-Proxys, in deinem Fall dürfte ein Proxy sich aber hinter der Firewall im internen LAN befinden, so daß dieser Port firewall-seitig geschlossen bleiben kann.
 

Geschrieben von: Thomas Broda (Usernummer # 72) an :
 
quote:
Ursprünglich geschrieben von drehkopf:

eudora funzt auch so (wegen masq)
bitte korrekturlesen und bestätigen

Nein, da ge-"masqueradeter" IP-Traffic letztlich auch steckenbleibt, wenn der Port TCP-seitig gesperrt ist.
 

Geschrieben von: drehkopf (Usernummer # 921) an :
 
@thomasbroda
das stimmt so nicht.
weil die ports die du angibts diejenigen sind ZU den du dich verbindest.
wenn er jetzt irgendwelche server laufen haben würde müsste er den entsprechenden port auf lassen, aber das ist nicht der fall.
soweit ich das dem posting entnehmen kann.
die ports an der lokalen maschine sind immer andere. eine mail wird nie auf outgoing port 25 rausgeschickt werden.

verbessert mich wenn meine bildung fürn a**** ist.

[EDIT]
STOP.
du musst hier unterscheiden zwischen incoming vom internet und incoming vom lokalen ethernet-interface. natürlich nur von internetseite sperren.
[/edit]

[ 17-12-2002: Beitrag editiert von: drehkopf ]

[ 17-12-2002: Beitrag editiert von: drehkopf ]
 

Geschrieben von: Neuro (Usernummer # 883) an :
 
Ist richtig so, clientseitig werden die hohen, unpriviligierten Ports verwendet, die sich serverseitig mit den niederen, priviligierten Ports verbinden. Deshalb sollten auch alle ausgehenden Ports offen bleiben. Wird nun ausgehend 1-1024 geblockt, geht natürlich nichts mehr.

[ 17-12-2002: Beitrag editiert von: Neuro ]
 

Geschrieben von: drehkopf (Usernummer # 921) an :
 
@neuro
*verneig* danke.


 

Geschrieben von: XcypherX (Usernummer # 3451) an :
 
Eudora ging nämlich schon mal nicht mit der Einstellung, also scheint Thomas recht zu haben. mal sehen, wie weit ich heute abend zu Hause komme...

*g*
 

Geschrieben von: drehkopf (Usernummer # 921) an :
 
also mit eudora habe ich ehrlich gesagt selbst weniger erfahrung, aber wenn das ding ganz normal wie ein smtp/pop3/imap client verhält, dann _muss_ es so funktionieren. ausser du hast andere fehler eingebaut.

wo wir schonmal dabei sind. mach am besten gleich die ports 54321 und 37321 zu
nur als vorsichtsmaßnahme
(kein scherz)

[EDIT]
uhuh..
@thomasbroda
sorry, bei einer sache hattest du recht. ftp 20 ist incoming. ja. aber:
deswegen mein tip mit dem pasv mode oder socks server. ganz einfach aus dem grund, daß er wohl mehrere rechner hat, und dadurch ein DNat nicht sinnvoll wäre.


[ 17-12-2002: Beitrag editiert von: drehkopf ]
 

Geschrieben von: XcypherX (Usernummer # 3451) an :
 
...er hat mehrere rechner.

es sieht (soweit ich mich an heute morgen erinnern kann) so aus, dass ich nicht nach aus- und eingehend unterscheiden kann...

aber das werde ich heute mal checken...
 

Geschrieben von: drehkopf (Usernummer # 921) an :
 
@xcypherx
sorry wegen der dritten form...

btw. dürft man mal wissen was für ne firewall das ist?


 

Geschrieben von: nicogrubert (Usernummer # 1292) an :
 
btw, welcher DSL Router ist denn zu empfehlen ?

ich hatte mir da mal den SMC 7004 ABR rausgesucht. kostet neu ca. 112 Euro.
 

Geschrieben von: Thomas Broda (Usernummer # 72) an :
 
quote:
Ursprünglich geschrieben von Thomas Broda:
Wer bei eingehenden Verbindungen die Ports 1-1024 zumacht, braucht sich nicht zu wundern, wenn hinterher nichts mehr geht.

Meinte natürlich bei ausgehenden Verbindungen.

Sorry...hatte am WE Veranstaltung.
 

Geschrieben von: drehkopf (Usernummer # 921) an :
 
@nicogrubert
ich persönlich bin freund von iptables

aber bei nem router würd ich firma bintec empfehlen.. ist allerdings nicht im bereich des bezahlbaren für privat...

@thomasbroda
allerdings geht es bei ausgehenden verbindungen auch nur um die destination-ports die du angibts.
es ist durchaus möglich das trotz gesperrten 1-1024 outgoing source-port immer noch alles funktioniert, nur nicht unbedingt immer. (falls ein programm einen priviligierten port will, hast pech gehabt.)


 

Geschrieben von: XcypherX (Usernummer # 3451) an :
 
Ich gucke heute abend mal nach...

edit: wegen Hersteller des Routers und somit auch der Firewall

[ 17-12-2002: Beitrag editiert von: XcypherX ]
 

Geschrieben von: Neuro (Usernummer # 883) an :
 
/*

*handreich* @ drehknopf

Gibt ja doch ein paar mehr Linuxfreunde hier. Ich wäre ja für eine TF-LUG.

/*
 

Geschrieben von: Thomas Broda (Usernummer # 72) an :
 
quote:
Ursprünglich geschrieben von drehkopf:

ich persönlich bin freund von iptables

Me too. Seitdem ich mich auf der Arbeit mit einem Novell Border Manager-System allerheftigst abfucken mußte und noch immer muß, weiß ich wieder, wie schön und logisch netfilter/iptables und /var/log/messages sind.

quote:

aber bei nem router würd ich firma bintec empfehlen.. ist allerdings nicht im bereich des bezahlbaren für privat...

Ich würde einen 486SX-25 mit zwei Netzwerkkarten, Linux und iptables nehmen. Einfache installation, jederzeit perfekte Kontrolle und volle Funktionalität (Routing, NAT, evtl. DHCP für die Clients). Außerdem läßt sich so eine Kiste mit squid auch noch als HTTP-Proxy benutzen, incl. ACL-gesteuertem Zugriff. Von den sonstigen Möglichkeiten z.B. mit Hinblick auf cron mal ganz abgesehen. Dagegen sieht so ein Router-Kästchen mit ein paar Blink-LEDs und Fernkonfiguration per Webbrowser ziemlich arm aus.
 

Geschrieben von: XcypherX (Usernummer # 3451) an :
 
@thomas

tja, wenn man sowas nicht hat und zudem keinen platz mehr und dann zuletzt noch einen hub kaufen muss...
 




(c) 1999/2ooo/y2k(+1/+2/+3+4+5+6+7+8+9+2010+2011+2012+2013+2014+2015+2016+2017+2018+2019+2020+2021+2022+2023+2024+2025) technoforum.de | www.techno-forum.de
Das Forum für Techno | House | Minimal | Trance | Downbeats | Drum & Bass | Grime | Elektro | IDM | Elektronika | Garage | AI Music Suno Udio | Schranz | Hardtrance | Future Bass | Minimal Music | Ambient | Udio.ai | Dub | 2Step | Breakcore | no Business Techno | Dubstep | Big Room Techno | Grime | Complextro | Mashups | mnml | Bootlegs | Chicago House | AI Music Suno Prompt | Acid House | Detroit Techno | Chillstep | Arenastep | IDM | Glitch | Grime | Reaktor Ensembles | NuWave | Experimental Music | Noise Music | Fidgethouse | Ableton Live 12 | Melbourne Bounce | Minimal Trap | Sinee | kvraudio alternative | EDM | Splice | Bandcamp Soundcloud | Free Techno Music Download | Progressive Electro House | Free VSTi |
Betreiberangaben & Impressum siehe readme.txt, geschenke an: chris mayr, anglerstr. 16, 80339 münchen / fon: o89 - 5oo 29 68-drei
E-Mail: webmaster ät diesedomain
similar sites: www.elektronisches-volk.de | Ex-Omenforum | techno.de | USB | united schranz board | technoboard.at | technobase | technobase.fm | technoguide | unitedsb.de | tekknoforum.de | toxic-family.de | restrealitaet restrealität | boiler room
Diese Seite benutzt Kuhkies und du erklärst dich damit bei Betreten und Benutzung dieser Seite damit einverstanden. Es werden keinerlei Auswertungen auf Basis ebendieser vorgenommen. Nur die Foren-Software setzt Kuhkies ausschließlich für die Speicherung von Nutzerdaten für den einfacheren Logon für registrierte Nutzer, es gibt keinerlei Kuhkies für Werbung und/oder Dritte. Wir geben niemals Daten an Dritte weiter und speichern lediglich die Daten, die du uns hier als Nutzer angegeben hast sowie deine IP-Adresse, d.h. wir sind vollkommen de es fau g o-genormt, nixdestotrotz ist das sowieso eine PRIVATE Seite und nix Gewerbliches.


Powered by Infopop Corporation
UBB.classicTM 6.5.0