corraggiouno
Goto Top

Ports auf dem Router freigeben bzw. weiterleiten

hallo zusammen,

hätte da mal ne Frage zur Portweiterleitung bzw. Portfreigabe.

Ich habe auf meinem Router weder den Port 25 (smtp) noch den Port 993 (imaps) freigegeben.

Warum können dann trotzdem E-Mails raus bzw. mein Mail-Client E-Mails empfangen?

Kann mir das jemand mal kurz erklären?

Content-ID: 227407

Url: https://administrator.de/forum/ports-auf-dem-router-freigeben-bzw-weiterleiten-227407.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

hausens
hausens 22.01.2014 um 14:42:04 Uhr
Goto Top
Hi,

Welche mailclient verwendest du?
Schickst du die Mails von einem Mailserver der in deinem Netzwerk steht?
Was ist das für ein Router?

lg Hausens
Corraggiouno
Corraggiouno 22.01.2014 um 14:44:19 Uhr
Goto Top
es ist ein d-link mit dd-wrt. Nein, ich habe keinen eigenen Mailserver. Empfang und Versand gehen über den Provider
orcape
orcape 22.01.2014 um 15:02:57 Uhr
Goto Top
Hi,
alles was Du im Internet anforderst, kommt auch über die Firewall des DD-WRT Routers wieder auf Deinen PC.
Zusätzlich kannst Du Anfragen, die aus dem Internet kommen, explizit freischalten, indem Du einen Port dafür frei gibst. Z.B.um einen Server zu erreichen, der sich in Deinem LAN befindet.
Gruß orcape
aqui
aqui 22.01.2014 aktualisiert um 15:07:50 Uhr
Goto Top
Du solltest mal Grundlegendes über die NAT Funktion lesen dann wüsstest du warum:
http://de.wikipedia.org/wiki/Network_Address_Translation
Einfache Router haben keine zusätzlich dedizierte Firewall, denn da ist das NAT selber die Firewall wenn man so will...

Bessere Router hingegen haben eine dynamische SPI Firewall die bei Outbound Sessions dann den Port für die korresponierende Antwort inbound öffnen sofern einen gültige Session gesteht. Die Öffnung besteht dann nur für die Zeit der aktiven Session.
Hier muss man aber zwischen reiner NAT Funktion und des damit verbunden quasi Firewall Verhaltens unterscheiden und aus einer kombinerten NAT und Firewall Funktion die aber nur bessere Router haben.
Corraggiouno
Corraggiouno 22.01.2014 um 15:07:16 Uhr
Goto Top
das heisst, dass die SPI-Firewall des Routers einfach die E-Mails durchlässt. Warum muss dann nicht der port 25 bzw. 993 freigegeben werden?
Pjordorf
Pjordorf 22.01.2014 um 15:08:38 Uhr
Goto Top
Hallo,

Zitat von @Corraggiouno:
Ich habe auf meinem Router weder den Port 25 (smtp) noch den Port 993 (imaps) freigegeben.
Ein oder Ausgehend? Ausserdem gibt es noch weitere Ports je nach Protokoll für E-Mail. Mir fallen da 465, 587, 995 und 994 ein.

Warum können dann trotzdem E-Mails raus bzw. mein Mail-Client E-Mails empfangen?
Weil ein Client kein Portforwarding braucht um ins Internet zu gelangen. Und wenn du ausgehend alles erlaubt hast kann er eben das. Und auch Mails Senden / Empfangen hat bei einem Client nichts mit Portforwarding zu tun. Da reicht es das der Client ausgehend alles darf und wenn DNS noch funktioniert.....

Gruß,
Peter
aqui
aqui 22.01.2014 um 15:15:35 Uhr
Goto Top
Das muss er ja zwingend wenn du nicht sowas wie CBAC machst:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
Das machen aber nur sehr wenige Router. Ein dummer Speedport z.B. nicht, der kann nur NAT.

NAT lässt alles das durch zu dem es einen bestehenden Session Eintrag in der NAT Tabelle gibt.
Bei einem nackten einfachen NAT Router z.B. und einer am WAN eingehenden POP3S oder SMTP Session wie oben von dir beschrieben, sieht der Router in seine NAT Session Tabelle. Gibt es keine bestehende Inbound Session weist der Router diese Verbindung ab bzw. dropt sie.
Das ist ja dann ein quasi Firewall Verhalten. Trotzdem kann aber die SMTP oder POP3S session die WAN IP erreichen und wird abgearbeitet.
Bei einer Firewall davor kommt es gar nicht erst soweit, wenn die eingehende Firewall diese Ports blockt. Dazu muss aber auch eine dedizierte Firewall Funktion vorhanden sein und diese Ports entsprechend geöffnet sein logischerweise.

Würde man das aber auf DSL Routern für Lieschen Müller machen wäre sie mit der Konfig überfordert. Deshalb geht es da bei Billigroutern ohne Firewall ab oder mit dynamischen Firewalls mit all deren Nachteieln.
Deshalb setzen Profis solche Billigsysteme auch nicht ein...nichtmal zuhause !
Corraggiouno
Corraggiouno 22.01.2014 um 15:29:30 Uhr
Goto Top
gesetzt den Fall ich betreibe den Router weiter und beispielsweise ein eigener E-Mails-Server steht im Lan dahinter, dann müsste auch hier keine expliziten Ports freigegeben werden (wegen der bestehenden INbound Session) ist das korrekt.

p.s. solche Router kosten ja sicherlich viel Geld.......................aber wie du ja schon beschrieben hast aqui, pfsense ist ja so eine Möglichkeit das sicherer zu gestalten. Könnte man in diesem Fall - unter Einsatz der pfsense - den "Billigrouter" weiterbetreiben? Oder ist dies nicht empfehlenswert?
aqui
aqui 22.01.2014 aktualisiert um 15:59:09 Uhr
Goto Top
Nee, die kosten wahrlich nicht viel Geld, einen Mikrotik 750 der das kann bekommst du für 35 Euro ein DD-WRT liegt nicht viel drüber. Richtig mit SPI dann ne pfSense usw.
Fragt sich immer was einem die eigene Sicherheit wert ist und das muss jeder für sich selber entscheiden ?!
Klar kann man den auch in einer Router Kaskade oder Router Firewall Kaskade betreiben. Sinniger ist es immer den als reines NUR Modem zu betreiben sofern die Konfig dieses zulässt.
Sicherheitstechnisch ist das absolut OK so, denn die letzte Hürde ist ja dann die Firewall.
IP technisch nicht immer ganz so elegant denn du machst 2 mal NAT in der Kaskade was Performnce technisch nicht so dolle ist und auch erhebliche Probleme bereiten kann mit Port Forwarding sofern man das machen will oder muss, denn das erfordert diese Prozedur immer 2mal. Machbar ist es aber....

Was die erste Frage anbetrifft:
müsste auch hier keine expliziten Ports freigegeben werden
ist das so korrekt. Allerdings kommst du ja nicht umhin ein NAT Port Forwarding einzurichten wenn du Sessions von außen aufbauen willst die nach innen sollen.
Wie gesagt das gilt nur für Dummrouter die nur NAT machen und keine explizite Firewall an Bord haben.
Viele Systeme die es aber an Bord haben erzwingen dann bei einem entsprechenden port Forwarding keinen extra Eintrag in der FW weil mit dem Port Forwarding automatisch dann auch der FW Eintrag gesetzt wird. Die pfSense macht sowas auch fragt aber brav den Administrator vorher wie es üblich ist bei solchen Systemen damit man kontrollieren kann wenn einer Löcher in die Firewall bohrt und welche !
Corraggiouno
Corraggiouno 22.01.2014 um 16:16:23 Uhr
Goto Top
ich denke mal, dass die Routing - Tabelle des "bllig-routers" man nicht anschauen oder leeren kann?
aqui
aqui 22.01.2014 aktualisiert um 17:07:25 Uhr
Goto Top
Meist nicht, denn es ist vom Hersteller nicht gewollt das ein User sich Zugang zum System verschafft. Pfiffige schaffen es dennoch denn zu 99,9% rennt Linux auf solchen Systemen und irgendwo ist ein JTAG Pin für ein Terminal...
So wird der Normaluser halt immer durch das GUI gegängelt. OK, man darf nicht vergessen das das für 99% aller nicht IT affinen Normalbürger auch reicht bzw. mehr oder weniger zwingend notwendig ist. face-wink
In der Regel lässt das nur Open Source Firmware wie OpenWRT, DD-WRT, Freetz, pfSense und Co. zu oder Hersteller die solche Möglichkeiten des Debugging zulassen wie Cisco, Lancom und Co.
Corraggiouno
Corraggiouno 22.01.2014 um 17:58:29 Uhr
Goto Top
Also auf folgender Graphik finde ich den Ablauf einer Abfrage sehr gut beschrieben

http://files.dyntec.de/SNAT.pdf

aber wie läuft es beispielsweise bei einer E-Mail ab, die über smtp (Port: 25) versendet wird.............
aqui
aqui 22.01.2014 um 19:33:58 Uhr
Goto Top
Genauso wie in deinem Diagramm. Der Destination Port wird NICHT verändert bei SNAT nur der Source Port.
Ansonsten läuft alles exakt so ab wie in deinem zitierten Diagramm.

Warum nimmst du dir nicht einen Wireshark oder tcpdump und snifferst das mal mit, dann hast du es schwarz auf weiß face-wink
108012
108012 22.01.2014 um 20:16:13 Uhr
Goto Top
Hallo,

es ist hier ganz klar zwischen dem Netzwerkverkehr der von intern (LAN)
angefordert wurde und dem Netzwerkverkehr extern (Internet) der nicht
von einem Klienten in Eurem (Deinem) angefordert wurde.

Dein Mailklient fordert ja bei einem Server (beim Provider) etwas (Mail) an und
nutzt dafür gewisse Protokolle und Ports die eben diesen Protokollen zugewiesen
sind, und wenn nun die Mail abgerufen wird, lässt der Router die Mail durch denn sie
wurde ja von einem PC im LAN angefordert, danach allerdings wird diese Verbindung
beendet und dann wird alles von außen ankommende, was nicht angefordert wurde
durch die SPI & NAT Funktion abgeblockt.

Hast Du einen eigenen Server in einer DMZ "stehen" der eine permanente Verbindung
zum Internet hat. muss dieser natürlich auch von außen erreichbar sein und dafür müssen
in der Regel dann auch Ports vorne am WAN Interface also dem Router oder der Firewall
geöffnet werden.

Gruß
Dobby