sinn und art der vergabe von registrierten/dynamischen ports

#1 Hallo Forum

nachdem ich lange alle warnungen wohl wissentlich ignoriert habe, habe ich mir nun doch eine Firewall angeschafft. (KPF 2.1.5)
Ich habe mich möglichst an die auf der zum Forum gehörenden Hompage befindlichen Tipps zu konfiguration gehalten. Dort und auch in anderen Threads ist beschrieben, dass zB ICQ nur wenige ports oder sogar nur einen (zB 5190) benötigt.
ICQ und auch andere Programme hätten aber gerne noch "ein paar hundert" anderer ports. Beim IE habe ich zudem festgestellt, dass ich ohne diese ports zB gar nicht auf protecus.de surfen kann oder nur sehr langsam.

meine frage ist, nach welchen kriterien registrierte/dynamische Ports (also aus dem berreich 1024-65535) an programme verteilt werden und in wie weit diese notwendig sind. sollte man sie generell blocken oder machen sie zB hinsichtlich der performance sinn.

ist das ganze vielleicht aber auch ausschliesslich von der jeweiligen anwendungen abhängig

Vielen Dank!

- jmk -

#2 hi

zu der port vergabe schau mal hier
http://www.theguardianangel.com/steps_ports_port_assignments.htm

was dein problem betrifft:

zur kommunikation Server-Client ist immer ein port paar notwendig (bei IP)
server horchen meist auf den "well known ports"

nun muss sich dein client (bsp. ie) einen lokalen port raussuchen, damit der eingehende pakete zuordnen kann meist werden dabei registered ports verwendet, oft auch dynamic/private

unter unix/linux kann man den clients bestimmte portranges vorgeben, aus denen sie sich einen port nehmen sollen (bei aktiven ftp besonders sinnvoll)

bei windows geht das wohl auch, weiß aber net wie

du musst quasi sämtliche lokalen ports für die anwendung zulassen, sonst nervt sie immer

im prinzip stellt das keine gefahr für eine stateful fw dar, die auf application layer arbeitet
denn es ist ja kein verbrechen, port 35555 oder 61232 zu verwenden

dennoch musst du bei den rulesets aufpassen, dass du dir keine löcher bohrst (bzw. net zu viele)
der remote port sollte immer statisch in deiner rule zugewiesen werden (bei einigen ftp servern und streaming programmen wird das zum prob)

ich hoffe geholfen zu haben

greez

#3 Mmh, also so ganz kann ich die Ausführunge nicht nachvollziehen und auch nicht bestätigen.

Bei den meisten Anwendungen ist es so, daß die Verbindung über einen definierten Port (HTTP - 80) aufgebaut wird. Für die Kommunikation werden dann noch dynamisch Ports allokiert. Dies geschieht in vielen Fällen (beispielsweise beim IE) so, daß diese Ports durch den Kommunikationspartner angefordert werden und somit zur Verbindung gehören - dies hat den Vorteil, daß keine weiteren Ports in der Firewall geöffnet werden müssen.

Bei FTP beispielsweise wird zur Datenübertragung eine weitere Verbindung aufgabut - somit muß für diese auch ein weiterer Eintrag vorgenommen - oder passives FTP verwendet werden.

ICQ benötigt zur reinen Kommunikation via Chat nur Port 5190 - alles andere sind Verbindungen die am Server vorbei gehen und somit andere Ports benötigen!

Ports über 1024 können von jeder Anwendung frei gewählt werden - da gibt es keine Regularien. Ein generelles Blocken ist sinnlos, da sie dynamisch benötigt werden.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 vielen dank für eure ausführlichen bemühungen.

also icq benötigt lediglich weitere ports, wenn direkte verbindungen aufgebaut werden. für die kommunikation über die icq server reicht ein port.
das hört sich schonmal ganz gut an.

ansonsten scheine ich mich jedoch undeutlich ausgedrückt zu haben.
das zB der IE lokale ports zwischen 1024 und 65535 zur kommunikation benötigt ist mir bewusst. jedoch verlangt er für jede neue instanz des IE die ich öffne eine verbindung nicht nur zu port 80 sondern zu einem registrierten/dynamischen port auf dem remote rechner.
wenn ich also ein IE fenster öffne, dann will das dingen einen registrierten/dynamischen port auf dem remote rechner. danach kann ich in dem fenster surfen, wie ich lustig bin. sobald ich ein weiteres IEfenster öffne, verlangt der IE einen weiteren registrierten/dynamischen port auf dem remote. dies geschieht unabhängig davon, wohin ich surfe. Es passiert sogar, wenn ich mir in zwei fenstern die gleichen Inhalte anzeigen lasse.

- jmk -

#5 @jmk

das kann net sein.
wenn du normale seiten ansurfst wie www.web.de, dann kann er nicht einmal remote port 61222 nehmen und dann wieder port 34552 - die meisten server horchen auf port80

check mal dein sys nach malware...
oder: der IE braucht immer noch ein loopback
wie schaut denn die IP aus, an die sich der "komische" dynamische remote port klinken will?
127.0.0.1?

@robert
was gibts da falsch zu verstehen?
ein client öffnet einen port und sendet eine verbindungsanfrage an einen server und dessen port
evtl. hast einige dinge oben missverstanden?
oder was genau stimmt nicht?
kann ja nur dazu lernen

greez

#6 oh mein gott, bin ich ein dummer idiot.
du hast recht emba. es ist der loopback. ich hatte vergessen, den auch für den IE frei zu machen und habe anschliessend nur noch auf die ports und nicht mehr auf die ip geguckt. naja, eine schwierige geburt, aber jetzt lauft es.

Vielen dank!

Ich habe mal über IE und Loopback nachgedacht. Das der IE ihn benötigt weiss ich ja jetzt. Andere Browser benötigen ihn jedoch nicht und mir fällt auch keine sinnvolle Begründung dafür ein, weshalb der browser den localhost ansprechen müsste. Habt ihr da auch ncoh eine Antwort drauf?

Ansonsten nochmal ein dickes Danke!!! Sind immer diese kleinen Dinge mit denen man Ärger hat.

#7 @emba - genau das ist es - der IE benötigt zum Zielhost keine weiteren Ports! Er braucht den loopback - richtig!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...