Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

FritzBox 7270 Firewall prüfen bzw Ports sperren?

Gast NeuerOPF
Gast NeuerOPF
in Security

Empfohlene Antworten

Veröffentlicht

Hallo.

Da ich in Zukunft von unterwegs auf meinen PC zu Hause zugreifen möchte, benutze ich DynDNS.

Nun habe ich festgestellt, dass ich eine "Antwort" auf den Ping von meinen DynDNS-Namen bekomme.

Welche Ports muss ich in der Fritzbox sperren, damit ich keine Antwort auf meinen Ping mehr kriege.

mfg

NeuerOPF

Portsperren bringen nichts, da nicht dein lokaler PC auf den Ping antwortet, sondern das externe Interface deiner Fritzbox.

Dagegen lässt sich nichts machen... nehme ich mal an oder?

Naja... man müsste mal schauen, ob ICMP Replys auf dem externen Interface der FB geblockt werden können. Ist dann allerdings die Frage, ob DynDNS dann noch läuft.

Jemand eine Idee?

Also laut CT Netzwerkcheck kriege ich folgende Erkenntnisse:

Ihr System antwortet auf ICMP-Pakete.

Und es sind 18 Ports offen.

Naja... Antwort auf ICMP heisst ja nur, dass sie anpingbar ist... mehr nicht... also weder böse noch gut.

Welche Ports nun von extern offen sind, sein sollten oder besser nicht offen sein sollten kann man dir nur beantworten, wenn du mal sagst, welche Ports angemeckert werden.

Na gut... dann leiste ich mal meinen Offenbarungseid. :)

Die Ports sind:

Port Name Status Erläuterung

25 smtp gefiltert Mail-Server (SMTP)

53 domain gefiltert DNS

80 www gefiltert Web-Server

135 loc-srv gefiltert MS-RPC

137 netbios-ns gefiltert NetBIOS Name Service

138 netbios-dgm gefiltert NetBIOS Datagram Service

139 netbios-ssn gefiltert NetBIOS Session Service

443 https gefiltert Web Server (HTTPS)

445 microsoft-ds gefiltert SMB over TCP

1214 kazaa gefiltert Kazaa Standard-Port

1433 ms-sql-s gefiltert MS SQL Server

1900 nicht reserviert gefiltert Universal PnP

3389 nicht reserviert gefiltert MS Terminal Services

4662 nicht reserviert gefiltert Standard-Port eDonkey

5800 nicht reserviert gefiltert VNC via HTTP

5900 nicht reserviert gefiltert VNC

6667 ircd gefiltert IRC Server

6881 nicht reserviert gefiltert Bittorrent Standard-Port

"Gefiltert" heisst, dass die Ports eben nicht erreichbar sind.

heise Security - c't-Netzwerkcheck

Hast du einen Scan auf deinen Rechner oder deinen Router durchgeführt?

Auf meinen Rechner.

Die ICMP-Pakete lassen sich nicht blocken?!?!?

Jetzt hab ich nochmal einen Router-Scan durchgeführt.

Dabei kommt das raus:

Port Name Status Erläuterung

21 gefiltert FTP-Server

22 gefiltert Secure Shell (SSH)

23 gefiltert Telnet-Server

53 gefiltert DNS

69 gefiltert Trivial FTP

80 gefiltert Web-Server

113 geschlossen identd (Auth)

443 gefiltert Web Server (HTTPS)

515 gefiltert Druck-Server (LPD)

631 gefiltert Druck-Server (IPP/Cups)

1701 gefiltert VPN-Server (L2TP)

1723 gefiltert VPN-Server (PPTP)

1900 gefiltert Universal PnP

5000 gefiltert Universal PnP

8080 gefiltert HTTP Proxy

?!?!?
Ist das nun eine Frage oder ein Ausruf oder wird hier eine Aussage bestätigend in Frage gestellt oder soll eine Frage bekräftigt werden oder was soll das?

Und ansonsten ist das auf der Heise Seite ziemlich nett beschrieben.

Ist natürlich eine Frage. :)

Ihr System antwortet auf ICMP-Pakete.

Das ist das normale Verhalten eines Systems ohne vorgeschaltete Firewall. Da von diesen Ping-Anfragen keine direkte Gefahr ausgeht, müssen Sie das nicht ändern. Allerdings können Angreifer damit sehr einfach feststellen, dass die Adresse gerade benutzt wird, sie also ein potenzielles Opfer gefunden haben.

Bearbeitet von NeuerOPF
Hinzufügen von Text

1. Solange Du nur die Portweiterleitungen im Router eingetragen hast, die Du benötigst, können auch nur diese Ports offen sein (außer UPnP ist eingeschaltet und irgend ein Dienst im LAN fordert eine Öffnung an, deswegen sollte UPnP deaktiviert werden).

2. Deswegen solltest Du bei den Diensten, die Du nach außen über DynDNS veröffentlichen willst (auch wenn nur Du die Adresse kennst - per zufäligem Portscan auf den IP-Adressbereich, in dem der Router hängt, kann man die Dienste ja auch lokalisieren), sicherstellen dass diese keine Sicherheitslücken haben, die den Rechner ggf. angreifbar machen.

Ein Fernzugriff auf ein System erfolgt grundsaetzlich verschluesselt, sonst brauchst Du keine Firewall.

Einfach nur DynDNS aktivieren und dann mit -im Normalfall- unverschluesselten Protokollen wie VNC oder nur sehr schwach verschluesselten Protokollen wie RDP (RemoteDesktop) weiter auf einen Windows-PC reicht nicht aus.

D.h. Du solltest Dich weiter informieren bevor Du Deinen PC aus dem Internet erreichbar machst.

Bearbeitet von hades

Wobei die FB 7270 mit der aktuellen Firmware einen eigenen VPN Server mitbringt, der Zugriff auf die USB-Devices ermöglicht.

Siehe bei AVM im Serviceportal zur FB 7270 und in der aktuellen c't (9/1009) auf Seite 174.

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.