[XDestroy]

Hallo zusammen,

default Setting in der Windows Firewall ist es, alle ausgehenden Connections zu erlauben. Will ich nicht mehr. Daher habe ich mal eine Rule erstellt mit folgenden Settings:

Protocol: TCP
Local Port: 80, 443
Remote Port: 80, 443

Leider funktioniert danach das Surfen nicht mehr. Kurios: Wenn ich Local Port auf "any" umstelle geht es wieder. Warum muss der lokale Port ein anderer als 80 bzw. 443 sein? Ist das irgendein Random Port? Was geht?

Danke!
Gruß
XD

[RalphS]

NUR die Remote-Ports sind die interessanten. Die lokalen Ports werden zufällig gewählt.

Heißt:

- Lokal kannst Du 80/tcp und 443/tcp blocken - ES SEI DENN Du möchtest dort HTTP(s) bereitstellen.
- Ports über 1024 OFFEN LASSEN wenn Du nicht weißt, ob und was daran läuft.
- Remote-Ports 80/tcp und 443/tcp öffnen.

- Und: die Remote-Ports 20/tcp und 21/tcp EBENFALLS offenlassen. Sonst gibt's kein FTP.

[mush]

Port 53 TCP für DNS wäre auch sinnvoll.

[RalphS]

Naja, ich ging jetzt nicht davon aus, daß da wirklich mutwillig ALLES blockiert werden würde

Ansonsten hast Du natürlich Recht.

Offen bleiben MÜSSEN:

- Port 67/udp und 68/udp (DHCP)
- Port 53/tcp und 53/udp (DNS) (ja, das sind zwei verschiedene Ports)
- Ports 80/tcp und 443/tcp (plus 443/udp) (HTTP und HTTPs)
- Ports 20/tcp und 21/tcp (FTP)
- Port 25/tcp (SMTP, Mailversand)
- Port 143/tcp und/oder 993/tcp (plus 993/udp) (IMAP / IMAPs, falls verwendet)
- Port 110/tcp und/oder 995/tcp (plus 995/udp) (POP3 / POP3s, falls verwendet)
- Ports 137/tcp und 137/udp, 138/udp sowie 139/tcp (fürs Windows-Netzwerk)

Außerdem:
- SSH verwendet 22/tcp
- Remote Desktop verwendet 3389/tcp und 3389/udp
- UPNP verwendet 1900/tcp und 1900/udp
- Proxies verwenden eigene Ports, je nach eingesetzter Software
- Wenn der Rechner in einer Domain steckt oder auf sonstwelche, zusätzliche Ports zuzugreifen versucht - welcher Natur auch immer -- wird das NICHT funktionieren. Insbesondere würde beispielsweise das Freetz-WebInterface auf einer Fritzbox nicht mehr funktionieren (das läuft an Port 81/tcp) und sonstwelche Webserver, die auf non-Standardports wie 8080 laufen, ebensowenig.

Liste ist vermutlich unvollständig... aber, für eine echte Firewallkonfiguration sollte man sich ohnehin nicht auf die reinen Ports beschränken (zB reicht es, DNS nur für den Router und/oder die DNS-Server des Providers zu erlauben... im Gegenzug bringt es aber außer Ärger herzlich wenig, DHCP zu blockieren. Nicht mal dann, wenn man es nicht verwendet).

Dieser Beitrag wurde von RalphS bearbeitet: 07. April 2013 - 13:24

[RalphS]

Na, so ganz einfach ist es auch nicht. Aber eine Garantie hat man tatsächlich nicht, insbesondere, wenn es um den Hersteller der Firewallsoftware selber geht.

Was die Windows-Firewall taugt, kann und will ich nicht beurteilen. Ich nutz die nämlich nicht.

Wenn man allerdings wen NICHT nach Hause telefonieren lassen will, braucht man eine Application-Layer Firewall. Heißt: a) Software; oder b) Sauteuer. Oder c) beides, natürlich.

[XDestroy]

Ja also ich wüsste gerade auch nicht, wie ich nach Hause telefonieren mit meinem D-Link Router verhindern könnte. Der ist zwar eine Firewall insofern, weil ich ja forwarden müsste um überhaupt den PC angreifbar zu machen (Sicherheitslücken vom Router mal ignoriert), aber ein nach Hause telefonieren lässt sich damit wohl nicht verhindern.

Aber genau darum geht es mir. Ich will vermeiden, dass die ganzen Tools rumtelefonieren. Das scheinen die nämlich zu machen und da hab ich kein Bock mehr drauf.

Ich wusste aber nicht, dass der Browser einen zufälligen Port nimmt, wenn der Remote Port 80 ist. Also hab ich keinen Einfluss auf den local Port? Kann ich das eingrenzen? Wobei: Soweit ich das sehen kann, ist es für das verhindern von nach Hause telefonieren nicht relevant. Entscheidend ist ja, dass ich bestimmte Remote Ports. Beispielsweise Remote Port 80 nur für den Browser freischalten und gut ist. Local Ports dann halt auf Any stellen und damit müsste ja eigentlich schon verhindert sein, dass die anderen Tools wild rum telefonieren. Korrekt? Eine Manipulation der Firewall selbst durch Schadsoftware jetzt mal ignoriert.
Es ist ja auch viele sog. seriöse Software die rumtelefoniert. Die wird zwar nicht so weit gehen die Windows Firewall zu manipulieren, jedoch wird da auch viel nach Hause geschickt. Und das müsste doch auf diese Weise schon unterbunden sein, oder sehe ich das falsch?

Gruß
XD

[Holger_N]

Naja also mir wäre das zu kompliziert. Ich habe einfach zwei Rechner (ok 5 aber das Verfahren erklärt sich besser mit 2) na jedenfalls hat einer eine Internetverbindung, auf dem laufen Firefox und Thunderbird unter Linux und so ein paar Kleinigkeiten wie Kate und dann hab ich noch einen Rechner mit Windows 7 für die "produktive Arbeit" und der hat keine Internetverbindung. Ok ganz "aggressive" Softeware könnte mich bestimmt austricksen, weil eine physische Verbindung besteht natürlich per Netzwerk aber im Router ist der Rechner per Kindersicherung blockiert.

[XDestroy]

Bremst das nicht den Speed total, wenn man einen Rechner quasi als Durchlauferhitzer noch dazwischen hat?

@Darkness4ever: Es spricht nichts dagegen, aber ich will das explizit erlauben. Ich will einfach vermeiden, dass ein Tool das macht ohne mich zu fragen.

Gruß
XD

[Holger_N]

Die Frage ging sicher an den TE. Aber ich antworte mal kurz für meinen Fall. Mich stört es nicht, wenn die Programme nach Updates suchen aber sie tun es immer dann, wenn ich es am wenigsten gebrauchen kann. Es ist ja bei der heutigen Leistungsfähigkeit kein Problem mehr aber ich möchte nicht, dass irgendeine Anwendung von sich aus plötzlich losmacht und Ressourcen in Anspruch nimmt, während ich eine DVD brenne oder im TV mitschneide. Klar kann man jedes einzelne Programm dahingehend konfigurieren aber da wird man ja auf Dauer bekloppt. Und so handhabe ich das so, dass ich regelmäßig das Tor aufmache, dann darf sich alles updaten und danach ist wieder zu und ich arbeite in Ruhe.
Ich streite aber auch nicht ab, dass da ein wenig Paranoia bei mir dabei ist oder besser gesagt, aus der Paranoia-Phase von früher sind noch Verhaltensmuster da.

Zitat (XDestroy: 08. April 2013 - 16:30)

Bremst das nicht den Speed total, wenn man einen Rechner quasi als Durchlauferhitzer noch dazwischen hat?
…

Wen meinst du damit bzw. was ist wo zwischen?

[RalphS]

Jede vernünftige Software-Firewall sollte das können - ich selber nutze die ESET SmartSecurity und bin sehr zufrieden damit.

Wichtig ist halt, daß außer IPs und Ports auch noch die Endstellen (also die Programme, die das entgegennehmen) verwaltet werden können; daß man also beispielsweise Firefox und Chrome den Zugriff auf Port 80 erlauben kann, dem IE und beliebiger anderer Software aber nicht (wobei man noch die Wahl hat zwischen Verbieten und Nachfragen).

Irgendwo gabs noch die Frage, ob man auf lokale Ports Einfluß nehmen kann: nein, kann man nicht. Braucht man auch nicht. Eine Verbindung gibt es ja nur, wenn Lokale IP+Lokaler Port auf Remote IP+Remote Port geroutet werden kann; wenn nur eins davon geblockt ist, klappt die gesamte Verbindung nicht.

Nur der Vollständigkeit halber: es muß auch das richtige Übertragungsprotokoll (TCP oder UDP) freigegeben sein und, je nach Anwendung und Protokoll, gegebenenfalls auch mehrere. Deswegen kanns auch passieren, daß TROTZeine Freischaltung in der Firewall die Verbindung blockiert BLEIBT. Insbesondere, wenn es um (gewollte) Zugriffe von außen geht (Stichwort Onlinespiele).