Remote Port oder Local Port definieren?

#1 Hallo,
bestimmte Dienste haben bestimmte Ports (z.B. ftp=port21).
Nun ist es aber so, daß (ich habe es jedenfalls immer so
gelesen) nur einer der beiden Ports (local bzw. remote)
mit dieser speziellen Zahl definiert werden muß, der
andere muß komplett frei sein. So muß zum Beispiel
der Remoteport 53 für DNS freigegeben sein, aber
als Localport jeder über 1024.
Mich interessiert nun nach welcher Regel entweder
der Remoteport oder Localport definiert werden muß.
Ich dachte bisher immer, daß beide PC's nur mit demselben Port
überhaupt kommunizieren können, aber scheinbar stimmt das
nicht, sonst müßte ich doch jedesmal für beide Ports denselben
Wert, also z.B. 53 für DNS verwenden können.
Bitte um Hilfe-besten Dank.

#2 Zu definieren von welchem Port der Dienst lokal startet, oder starten darf ist in den meisten Fällen nicht sinnig, da es sowieso auf einen grösseren Port-Range hinausläuft. Wichtiger ist es den Port festzulegen über den ein
Dienst oder Protokoll sich mit Gegenstellen "unterhält", Daten versendet und empfangen darf. DNS z.B läuft auf Port 53, UDP ab und beide Rechner verwenden diesen Port um sich über "das Thema DNS" zu unterhalten.
Ich persönlich verwende keine Einstellungen für den lokalen Port, den DNS jetzt
verwendet. Das eigentliche "Tor" nach draussen ist Port 53 und das würde ich im Ruleset definieren.
Hoffe deine Frage richtig verstanden zu haben.
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 ja joschi hat recht es ist sinnlos den localen port zu definieren man kann es zwar aber es bringt ja nichts ein paar port auszuklamern wenn noch 1000 offen sind. dieses ändert sich jedoch wenn du z.b einen webserver hast dann wäre es genau andersrum

das nur die ports mit der gleichen nummer kommunizieren können hatte ich auch erst gedacht ist aber völllig falsch
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#4 Naja, ganz richtig ist es nicht, aber auch nicht falsch. Eine DNS Anfrage läuft so ab, daß Deine Rechner über Port 53 eine Anfrage an einen DNS Server shcickt, dort auch Port 53. Der Server antwortet Dir aber auf einem Port oberhalb von 1024.

l.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 ...interessant. Nur damit ich es richtig verstehe : der Server antwortet oberhalb von Port 1024. Das Paket ist aber für meinen Rechner an Port 53 adresseirt !?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Meiner Erfahrung nach nicht - ich hatte da einmal an einem Cisco Router und entsprechenden Access-Lists mörderische Probleme, als ich nur Port 53 UDP Incomming zu lies - DNS ging nicht mehr.

Ich lass mich gern eines besseren belehren!

l.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#7 Hat mich jetzt auch interessiert...
Bei mir läuft der gesamte DNS-Verkehr über port 53, sowohl local als auch remote (jedenfalls laut Kerio-log).
WinRoute (läuft bei mir als Soft-Router) horcht auch nur an port 53, UDP.
Das blocken von port 53, UDP incoming bringt auch keine Nachteile...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8 Ich bedanke mich für eure zahlreichen Antworten!
Wie ich das so sehe, ist die Sache mehreren Leuten
nicht so ganz klar.
Aber zum Beitrag von lewisit:
Mein Rechner kann eine DNS-Anfrage nicht mit Port 53
stellen und der Nameserver kann auch nicht mit einem
Port oberhalb 1024 antworten, wenn du dir folgende
Zeilen meiner Firewall ansiehst und ich dir sage, das
DNS bei mir funktioniert:
iptables -A INPUT -p UDP --dport 1024:65535 --sport 53 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A INPUT -p TCP --dport 1024:65535 --sport 53 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 1024:65535 --dport 53 -j ACCEPT

Außerdem wird alles, was nicht dezidiert erlaubt ist, abgewiesen.
MFG.

#9 Tschuldigung, ich glaube ich bin da etwas verwirrt. Also DNS Anfragen vom Host werden über einen Port über 1024 mit Zielport 53 des DNS Servers abgesetzt. Die Antwort kommt dann auch auf Port über 1024.

Stimmt das jetzt

l.

- ich sollte mehr schlafen -
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#10 Hallo,
die Antwort des Servers auf einem Port über 1024 kann nicht stimmen,
denn meine Firewall würde einen Input auf einem Port über 1024
abblocken.
Wie ich gesehen habe, wird meistens der serverseitige Port
spezifiziert, der des Clientpc's hat einen von 1024-65535.
Mich würde nun erstens interessieren, warum bestimmte Dienste
bestimmte Ports zugewiesen haben, wo es doch so ist - und für
mich ist das ganz neu - daß auch unterschiedliche Ports
miteinander kommunizieren können, und zweitens, wie es bei
anderen Diensten aussieht, wo nicht nur die serverseitigen Ports
spezifiziert sind; z.B. sind die NetBIOS-Ports (137-139) teilweise
auch auf Hostseite definiert, wo normalerweise eine Freigabe
von 1024-65535 gegeben ist.
Es muß doch irgendeine Regel geben, nach der man sich richten kann!?
MFG.

#11 IMHO ist es so, daß wenn dei Verbindung von Dir ausgeht, die Antwort auf jedem Port akzeptiert wird bzw. auf dem, auf dem Du gesendet hast. Der DNS Server weiß ja gar nicht, ob Du irgendeinen anderen Port offen hast, für Ihn gibt es Deine IP und den Port.

Es werden immer die Ports für spezielle Dienste definiert, da es sonst ein heilloses Durcheinander geben würde. Was weiß ich ob Server x den selben Port für HTTP wie Server y - einfache Standards, dei jederzeit bei Bedarf verändert werden können.

l.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#12 Danke für deine Hilfe-
ich denke zu 90% habe ich´s kapiert,
der Rest wird sich hoffentlich noch ergeben.
Ach ja: bleib schön unschuldig!
BYE.

#13 Betrifft DNS
Bei eingeschalteter Firewall kann keine Namensauflösung über den Provider erfolgen.
Ein dynamische IP-Adresse wird zugewiesen.
Wird die Firewall abgeschaltet ist alles OK.
Welcher Port muß geöffnet werden.

#14 im prinzip nur 53UDP

das hätte sich aber aus dem Text rauslesen lassen

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#15 Sorry,
aber wenn DNS Anfragen über 1024 abgesetzt werden und vom Server mit Port 53 geantwortet wird reicht allein doch nicht Port 53. ODER?