[erledigt]system mit router verbinden, welcher port?

[IchWeissNicht]

hallo,
habe xp prof. und auf dem system eine software firewall. ich will bei der Fw alle eingehenden ports schliessen. problem ist nur wenn ich alle schleisse kann ich mich nicht mehr mit dem router verbinden. das einzige was ich weiss ist dass ich die svhost.exe auf ein und ausgehend stellen muss da sich anscheinend der rechner über diesen prozess mit dem router verbindet.
ich müsste jetzt nur noch wissen über welchen port die verbindung zwischen pc und router stattfindet damit ich alle eingehenden ports bis auf den/die jenigen sperren kann.
bitte keine antworten wie" du hast einen HW firewall wozu denn noch eine software FW"

danke im vorraus für die hilfe

 

[mamu]

hallo,

ich hoffe ich habe dich richtig verstanden.
du solltest alle ports offen lassen über die du arbeitest
port 80 für http, port 25/110 für pop3 imap etc

du verbindest dich nicht mit dem router, sondern mit dem server auf der anderen seite und der antwortet auf dem port mit dem du ankommst.

bin der meinung das ist soweit richtig. kenne mich aber mit fw nicht so ganz aus.

lasse mich aber gerne von den profis belehren

gruss mamu

 

[IchWeissNicht]

nunja, mir geht es um eingehende ports nicht um ausgehende. bei ausgehenden habe ich natürlich die http und pop3 ports usw. alle offen. beim router habe ich alle eingehenden ports bereits gesperrt, nun will ich das auch bei der software Fw auch machen, nur geht das nicht so einfach denn wenn ich alle eingehenden blocke findet keine verbindung mehr zum router statt und dann kann ich auch nicht mehr ins internet.
ich muss einfach nur wissen welcher port für die komunikation zwischen router und pc verwendet wird.

 

[mamu]

hallo,

die kommunizieren über keinen port sondern über tcp/ip.
müsste (grübel-grübel) laut OSI eine schicht tiefer sein.

nur wenn du über die weboberfläche direkt drauf gehst verwendest du
port 80 vom browser her.

ich hoffe soweit richtig.

gruss mamu

 

[CaptainCrunch]

Hallo mamu

das ist nicht so ganz richtig. TCP/IP ist im OSI Modell nicht genau definierbar. Man kann grundsätzlich sagen, dass TCP/IP sich in den Schichten 3 und 4 befindet. Allerdings geht es auch bis in Schicht 5 über und kann sogar bis Schicht 7 zusammenfassbar sein. Um dem Rechnung zu tragen hat man ein eigenes TCP/IP Referenzmodell geschaffen.

Der Router ansich ist ein Kopplungssegment in Schicht 3 in dem sich auch das IP Protokoll befindet.

Ports sind ein integrierter Bestandteil von TCP/IP. Die Portadresse setzt auf der IP Adresse auf und beschreibt einen Dienst hinter der IP Adresse. Dafür werden die Posrts mit Diensten "verknüpft", die hinter der IP Adresse "warten".

In Schicht 4 befindet sich außer TCP, welches gesicherten Datentransport (verbindungsorientiert, mit Flußkontrolle (d. h. Empfangsbestätigung, etc.) durch Windowing ermöglicht, auch UDP (User Datagram Protocol), in welchem verbindungsloser und ungesicherter Transport festgelegt ist. Beide Protokolle erlauben durch die Einführung von sogenannten Ports den Zugriff mehrerer Anwendungsprogramme gleichzeitig auf ein- und dieselbe Maschine.

Zum Beispiel der Port 25 für smtp hinter einer IP Adresse.

Wie bei allen verbindungsorientierten Diensten muß zunächst eine Virtuelle Verbindung aufgebaut und bei Beendigung der Kommunikation wieder abgebaut werden. "Verbindungsaufbau" bedeutet hier eine Vereinbarung beider Stationen über die Modalitäten der Übertragung (z. B. Fenstergröße, Akzeptieren eines bestimmten Dienstes, usw.). Ausgangs- und Endpunkte einer virtuellen Verbindung werden wie bei UDP durch Ports identifiziert. Allgemein verfügbare Dienste werden über 'well known' Ports (--> feste zugeordnete Portnummer) erreichbar. Andere Portnummern werden beim Verbindungsaufbau vereinbart.

 

[mamu]

uff,

hilft im zwar nicht weiter aber ich bin ne ecke schlauer

danke mamu

 

[maximal1981]

nur mal so eine frage zwischendurch an CaptainCrunch was bist du von Beruf?

 

[IchWeissNicht]

uff,

hilft im zwar nicht weiter aber ich bin ne ecke schlauer

danke mamu

ich freu mich für dich dass du nun klüger bist
geholfen hats mir nicht das stimmt

 

[CaptainCrunch]

@maximal

Ich betreue mit ein paar Kollegen zusammen unsere Netze innerhalb der Firma.

@IchWeissNicht
Was für eine Firewall benutzt Du denn bzw. willst Du benutzen. Am einfachsten ist eine Firewall mit einem Zonenkonzept. In dieser kannst Du dann die Zonen zum internen Datenverkehr freigeben dann kommt zumindest eine Verbindung mit dem Router zustande. Die Zonen, die nicht der Internen entsprechen kannst Du dann erstmal blocken mit der Option (wenn die Firewall das unterstützt) auf Anfrag wieder zu öffnen.

Dazu ist allerdings viel Geduld und auch viel Handarbeit nötig.

 

[microsoft]

Hallo

Folgende Ports solltest du offen lassen.

135-139 > netbios-dienste

445 microsoft-ds

Diese Ports sind wichtig, damit unter anderem die Freigaben und die Erkennung anderer Rechner möglich sind.

 

[CaptainCrunch]

Hallo

Folgende Ports solltest du offen lassen.

135-139 > netbios-dienste

445 microsoft-ds

Diese Ports sind wichtig, damit unter anderem die Freigaben und die Erkennung anderer Rechner möglich sind.

Und damit fängt das Dilemma schon an . Ich würd gar keine Desktop Firewall auf Portebene sondern auf Anwendungsebene definieren. Einige Trojaner zum Beispiel die auf der Basis von Nuke benutzen die Ports 137 - 139 um nach draussen zu telefonieren. Sind die Ports offen für eine Zone die ins Internet darf ist auch der Weg für den Trojaner frei.

 

[IchWeissNicht]

danke für die ratschläge,
zu den unten genannten ports muss ich sagen dass ich diese und auch noch einige mehr dieser "kitischer" ports alle geschlossen habe sowohl beim router ein und ausgehend als auch bei der PFW.
@CaptainCrunch,
also ich benutze die panda 2k7 Is mit firewall und kann auch die zonen einstellen. bei mir sieht es zz folgendermassen aus und da hab ich auch gleich paar fragen zu.
ich habe bei"security profiles" eine anzeige da steht "network adapters"(paketplaner miniiport) damit wärre wohl der router gemeint, und rechts davon zone, nun kann ich dort einstellen "secure zone" oder restricted zone". nun gehe ich auf "advanced connection rules" dort kann ich ports udp tcp usw... freigeben und sperren. als zone habe ich da zur auswahl "alle", "secure zone(lan)" nonsecure zone(internet)", "a pc defined by its ip"(dort kann ich die ip z.b. des routers eingeben) und die "mac adresse"

nun habe ich vorher den paketplaner miniport als secure eingestuft(original einstelllungen waren restricted), jetzt sperre ich alle eingehenden ports tcp und udp und wähle als zone "nonsecure(internet)" jetzt müsste die FW alles einkommende aus dem internet blocken aber den router und alles was am lan hängt durchlassen.
soweit richtig? denn jetzt kommen paar fragen,
woher weiss der rechner bzw die PFW welche daten aus dem internet kommen und welche nur vom router bzw netzwerk, denn ich bin ja über das netzwerk mit dem router verbunden(netzwerk verbindungen-->>lan verbindung)
wie unterscheidet das system in diesem fall netzwerk und internet?
als ich noch keinen router hatte war es ja ganz einfach, DFÜ verbindung(dsl)= internet und lan is halt das interne netzwerk.
die PFw hat es mir auch angezeiht dsl verbindung und lan verbindung, da war beides ersichtlich und getrennt. aber jetzt wie gesagt geht alles über die lan verbindung zum router.

bitte erklärt mir wie das inet und lan nun getrennt werden bzw wie die pfw die beiden voneinander unterscheidet, und vieleicht noch wo der grundsätzliche unterschied zwische restricted und secure zone besteht. ist es nur der zonenname damit man internet und lan unterscheiden kann oder sind die port regeln anders
und was hat die svhost.exe mit der verbindung zum router zu tun? wenn ich den dienst blocke bekomm ich keine verbindung, gibt es nicht einen bestimmten port mit dem der rechner sich mit dem router verbindet?
mann hab ich wissensdurst

 

[maximal1981]

Es gibt mehrere Versionen der svhost / svhost.exe - aber alle die ich kenne, gehören Viren an.
Nicht zu verwechseln mit dem Windows Prozess Svchost.exe!
Zum einen wäre da der Wurm W32/Mydoom-I. Dieser kopiert sich als svhost.exe in das Systemverzeichnis. Einen Registryeintrag wird unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run--> Eintrag: SVHOST erstellt.

Der Wurm Bat/Boohoo-A nutzt auch eine Datei namens svhost.exe Weiterführende Informationen :
http://www.sophos.de/virusinfo/analyses/batboohooa.html
Als letztes möchte ich noch "Backdoor.Agobot.LW" erwähnen. Eine Erklärung der Verhaltensweise dieses Schädlings finden Sie hier.

und noch viele andere!!!

HINWEIS: Führen Sie mit ihren Virenscanner regelmässig Onlineupdates aus, und Scannen Sie ihr System regelmässig! Weitere Informationen erhalten sie auf den gängigen Virenscanner und Virenlexikaseiten.

 

[IchWeissNicht]

@maximal
ja sorry, ich meinte natürlich die svchost.exe, und mein systen is absolut sauber da achte ich schon sehr drauf. virenscanner und spybot immer alles auf dem neusten stand und mit dem security task manager schau ich regelmässig nach ob irgendwelche verdächtigen dienste laufen.
das hat jetzt zwar alles überhauptnix mit meiner frage/problem zu tun aber trotzdem danke

 

[maximal1981]

und was hat die svhost.exe mit der verbindung zum router zu tun? wenn ich den dienst blocke bekomm ich keine verbindung, gibt es nicht einen bestimmten port mit dem der rechner sich mit dem router verbindet?

Die svchost / svchost.exe ist ein Systemprozess. Mit ihrer Hilfe werden dll - Dateien ausgeführt.
Die svchost.exe taucht öfter in Ihrem Task Manager auf? Das ist kein Fehler, der Task Manager ist nur nicht in der Lage alle Prozesse namentlich getrennt aufzuführen.
Windows XP-User die wissen wollen was dahinter steckt, klicken auf:
START--->AUSFÜHREN geben Sie cmd ein und drücken RETURN. Im aufgehenden Eingabefenster geben Sie Tasklist/svc | more ein. Die einzelnen Prozesse der svchost.exe werden aufgelistet.
Hinweis: Die svchost.exe ist nicht mit den ähnlich klingenden Prozessen svhost.exe, svchosts.exe, syshost.exe oder svchost2.exe zu verwechseln! Dieses sind Viren. Weitere Dateien mit ähnlichen Namen existieren. Deshalb genau lesen was im Task Manager steht!
Eine Erklärung was .dll Dateien sind, finden Sie auf AlleInfos.de

 

[IchWeissNicht]

schön und gut, aaaaaaber was genau hat dieser prozess mit der verbindung zwischen pc und router zu tun? ohne router komme ich auch ins internet wenn ich den prozess ganz sperre, mit router muss ich ihn offen lassen.
und wie gesagt, weiss jemand den genauen port? pc-->>port-->>router?


MFG, Dave

 

[CaptainCrunch]

Hi,

die Firewall von Panda kenne ich nicht.
Klick mal hier für eine Erklärung zur svchost.exe

 

[IchWeissNicht]

habs jetzt raus, router braucht port 123/1900 und 53.
danke für die antworten.