Firewall Hilfe: Portfreischaltungen
Inhaltsverzeichnis
- Vorbemerkung
- Ports für Exchange (msx.tu-dresden.de)
- Ports für BBB:
- Ports für D3SAP-DMS
- Ports für Zugriff auf Drucker
- Ports für Zugriff auf Druckserver
- Ports für Zugriff auf Webserver
- Ports für die Freischaltung des VPN-Service
- Ports für die Freischaltung des Active Directory Zugangs (Poolkonzept)
- Ports für die Teilnahme von Servern am Active Directory Forest (Bereichs-ADs)
- Portempfehlung für den Zugriff auf allgemeine Server (Windows/Unix)
Vorbemerkung
eine Einschränkung des ausgehenden Datenverkehrs aus Mitarbeiternetzen wird seitens des ZIH nicht empfohlen, sofern keine Sicherheitsvorfälle vorliegen. Zum Mitarbeiternetz hin sollten nur die notwendigen Ports frei geschaltet werden (s.u. z.B. Exchange)
Ports für Exchange (msx.tu-dresden.de)
ein- und ausgehend vom Clientnetz zu msx und umgekehrt frei zu schalten.
object-group service og_s_exchange-ports:
TCP/UDP 389
TCP/UDP 55000
TCP/UDP 55001
TCP/UDP 88
TCP/UDP domain
TCP 135
TCP 3268
TCP 5075-5077
TCP 587
TCP 6001-6004
TCP 64327
TCP 808
TCP 993
TCP 995
TCP www
TCP imap4
TCP pop3
TCP smtp
Ports für BBB:
object-group service og_s_bbb:
TCP 80
TCP 443
UDP 16384-32768
Ports für D3SAP-DMS
object-group service-tcp og_st_dms:
TCP 4430
TCP 4440
Ports für Zugriff auf Drucker
in Richtung Druckernetz frei schalten.
object-group service og_s_drucker-ports:
TCP/UDP 631
TCP 9100
TCP lpd
TCP domain
TCP/UDP snmp
Ports für Zugriff auf Druckserver
in Richtung Druckserver frei schalten.
object-group service og_s_druckserver-ports:
TCP/UDP 515
TCP/UDP 9100
Ports für Zugriff auf Webserver
in Richtung Webserver frei schalten:
object-group service-tcp og_st_web:
TCP www
TCP https
Ports für die Freischaltung des VPN-Service
aus dem Clientnetz heraus in die Welt oder zum speziellen VPN-Gateway frei schalten, da VPN je nach verwendeter VPN-Technik neben IP (UDP-Ports) das ESP bzw. GRE Protokoll benötigt.
object-group service og_s_vpn:
UDP 10000
UDP 4500
UDP isakmp
TCP/UDP 443
Protocol: ESP, GRE
Ports für die Freischaltung des Active Directory Zugangs (Poolkonzept)
aus dem Clientnetz heraus zu den Active Directory Servern und von den entsprechenden Active Directory Servern zurück zu den Clients sind diese Ports frei zu geben (da diese liste der Ports sehr lang ist und Microsoft mitunter Ports ändert, ist auch die Freischaltung des IP-Protokolls zwischen AD-Servern und Clients zu empfehlen).
object-group service og_s_windows_ad_domain:
TCP/UDP 42
TCP/UDP 53
TCP/UDP 88
UDP 123
TCP/UDP 135
TCP/UDP 137
TCP/UDP 138
TCP/UDP 139
TCP/UDP 389
TCP/UDP 445
TCP/UDP 464
TCP 593
TCP/UDP 636
TCP/UDP 749
TCP 1433
TCP/UDP 1512
TCP 3268-3269
TCP 5722
TCP 8530
TCP 8531
TCP 8192-8194
TCP 9389
TCP 49151-65535
icmp echo
icmp echo-reply
icmp unreachables
Ports für die Teilnahme von Servern am Active Directory Forest (Bereichs-ADs)
Freischaltung nur zwischen den beteiligten Active Directory Servern in beide Richtungen.
object-group service og_s_ad-forest:
TCP/UDP 53
TCP/UDP 88
TCP 135
TCP/UDP 389
TCP/UDP 445
TCP 3268
Portempfehlung für den Zugriff auf allgemeine Server (Windows/Unix)
Freischaltung von den Clients in Richtung Server.
object-group service og_s_ma-server:
TCP ssh
TCP https
TCP 902
TCP 445
TCP netbios-ssn
TCP netbios-ns
TCP www
icmp echo
icmp echo-reply