Inoffizielles Vodafone-Kabel-Forum

Verfasst: **11.10.2009, 09:37**

Hallo,

ich habe die Homebox von Kabel Deutschland mit der Firmware 54.04.76. Die Box benutze ich für Internet und Internettelefonie bei KD.
Bei der Firewall habe ich zwei kleine Probleme: wenn ich von einem externen Server einen Portscan auf meine IP laufen lasse, bekomme ich bei einem ausführlichen Portscan einen offenen Port 5060 (SIP) und einen geschlossenen Port 113 angezeigt:

Code: Alles auswählen

[klada@tor data]$ nmap 91.67.167.xx

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-10-10 20:16 MEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap finished: 1 IP address (0 hosts up) scanned in 2.023 seconds

[klada@tor data]$ nmap 91.67.167.xx -P0

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-10-10 20:50 MEST
Interesting ports on 91-67-167-xx-dynip.superkabel.de (91.67.167.xx):
Not shown: 1678 filtered ports
PORT     STATE  SERVICE
113/tcp  closed auth
5060/tcp open   sip

Nmap finished: 1 IP address (1 host up) scanned in 279.250 seconds

Ist es wirklich nötig, dass der Port 5060 von außen erreichbar sein muss? Intern brauche ich den Port für VoIP, aber warum der nach draußen geht, verstehe ich nicht.
Portfreigaben etc. habe ich keine eingerichtet, UPNP ist auch deaktiviert.

Bekomme ich den Port 5060 (und nach Möglichkeit auch den Port 113) irgendwie auf der FB dicht? Eine Alternative wäre eine Portweiterleitung an meine innere Firewall und dort die Pakete zu droppen, aber es muss doch auch einfacher (und vor allem sauberer) gehen...

Danke und Grüße,
direx

Verfasst: **11.10.2009, 13:18**

Wenn du die Homebox von KabelD benutzt läuft darüber deine Telefonie und da das VoiP ist ist auch der Port 5060 offen.

Verfasst: **11.10.2009, 17:33**

Was ist bitte ein geschlossener Port 113? Soll das heissen, Pakete werden abgelehnt, statt verworfen?
Wenn ja, dann ist das sicher ein DAU Feature der FritzBox. Auf TCP Port 113 läuft IDENT, und es ist sehr sinnvoll, dort Pakete abzulehnen statt zu verwerfen.
Der Grund dafür ist, dass ein Server zu dem du dich verbindest, welcher Ident nutzen möchte, dann sofort weiß, dass du keinen Ident-Server bereit stellst. Würden die Pakete verworfen, wartet der Server unter Umständen einen Timeout ab, bis er weitermacht.

FTP Server sind so ein Fall. Wenn du mal zu einem FTP Server verbindest, kommt es schonmal vor, dass nach dem Connect 30 Sekunden lang nichts passiert, ehe das Directory-Listing herein kommt. Das liegt dann daran, dass der FTP-Server zu deinem Ident-Server verbinden wollte, und den Timeout abwarten musste, weil deine Firewall die Anfrage verschluckt hat, statt sie abzuweisen.

Naja, und 5060 muss hald offen sein, wenn du via VoIP angerufen werden willst, das ist ja bereits geklärt

Verfasst: **11.10.2009, 18:07**

RFZ hat geschrieben:Was ist bitte ein geschlossener Port 113? Soll das heissen, Pakete werden abgelehnt, statt verworfen?

Nein, "closed" bedeutet, dass die Pakete abgelehnt werden. Ich habe diesen Port noch nie benötigt, deshalb wollte ich alle Pakete an Port 113 verwerfen. Nur irgendwie bietet die Fritz!Box keine Option dafür an.
Bei meinem vorherigen Internet-Anschluss hatte ich komplett alle Ports dicht und ich konnte damit gut leben. Aber den Port 113 "closed" zu belassen wäre für mich auch kein Problem. Hatte mich halt nur gewundert...

RFZ hat geschrieben: Naja, und 5060 muss hald offen sein, wenn du via VoIP angerufen werden willst, das ist ja bereits geklärt

Gut, wenn dem so ist wäre auch das geklärt. Wenn der Port sowieso offen ist kann ich ja auch hoffentlich mit meinem SIP-Phone von außerhalb über meine Homebox (per DynDNS am Netz) kostenlos Festnetzgespräche führen - eigentlich praktisch.

Danke Euch!

Viele Grüße,
direx

Inoffizielles Vodafone-Kabel-Forum

Problem: offener Port 5060 an FritzBox

Problem: offener Port 5060 an FritzBox

Re: Problem: offener Port 5060 an FritzBox

Re: Problem: offener Port 5060 an FritzBox

Re: Problem: offener Port 5060 an FritzBox