Aus AliceWiki

Port Forwarding oder auf deutsch Portweiterleitung ist ein Begriff aus der Netzwerktechnik, im Bereich DSL in der Regel bei der Einrichtung einer Firewall. Es bedeutet nichts anderes als das eingehende Pakete nach bestimmten definierten Regeln an einen bestimmten Port weitergeleitet werden.

Bei einer Personal Firewall geschieht das ganz einfach per Knopfdruck, die Software legt dann im Hintergrund für diese Anwendung ein bestimmtes Profil an bzw. übernimmt ein vordefiniertes Profil, Eingriffe sind hier nur notwendig wenn man die Konfiguration der entsprechenden Anwendung geändert hat. In diesem Fall sind die weiteren Möglichkeiten von der jeweiligen Software abhängig da je nach Software nur einige Grundeinstellungen oder sehr weit gegliederte Einstellungen geändert werden können. Als Laie sollte man sich auf die Voreinstellungen verlassen und diese nur ändern wenn man genau weiß was man da macht also eine detailierte Anleitung für genau diese Anwendung und genau die gewünschte Konfiguration vorliegt.

Auch bei einer Hardware Firewall auf einem Router gibt es oft einige wenige voreingestellte Profile, in den meisten Fällen muss hier aber genau definiert werden welcher Port für welche Art der kommunikation freigegeben werden soll.

ACHTUNG: Jeder freigegebene Port öffnet einem Angreifer ein weiteres Tor auf den Rechner, man sollte daher damit sehr vorsichtig umgehen.

Funktion

Wie funktioniert das Nun aber? Nehmen wir die Firewall auf einem Router als Beispiel. Grundeinstellung ist hier ja: alles darf raus, nichts darf rein, es sei den es ist von innen angefordert worden. Einige Anwendungen erfordern es nun aber dass auch von aussen Zugriff auf bestimmte Funktionen möglich ist. Als Beispiel seien da Webserver, Peer-to-Peer-Clients oder auch Online-Spiele genannt.

In diesem Fall muss man für die Firewall eine Regel einstellen dass Datenpakete von aussen die auf dem für diese Anwendung definierten Port an der Firewall ankommen an einen bestimmten Port im internen Netz, also einen bestimmten Rechner, weitergeleitet werden sollen. Dieser Rechner wird dabei über seine IP-Adresse (es muss eine feste IP Adresse vergeben werden) oder die MAC Adresse definiert.

Beispiel

Bei eMule sind als Standard Ports die 4661 und 4662 eingestellt. 4662 ist dabei der Standard Port für den Download von anderen Clients (Rechner die die gleichen Daten herunterladen) und läuft über TCP, 4661 UDP ist die Kommunikation zwischen den Clients (Anfragen was an Quellen vorhanden ist) zuständig. Daneben gibt es noch einen weiteren UDP Port (meist 4665) zur Kommunikation mit den Servern. Unser Rechner hinter der Firewall hat die IP-Adresse 192.168.1.10. Dann muss in der Firewall eine Regel eingestellt werden die Zugriffe von aussen auf diese Ports und mit den entsprechenden Profilen (TCP oder UDP) an die IP-Adresse unseres Rechners weiterleitet. Dies betrifft sowohl Anfragen von aussen was den an Dateien zum Download bereitstehen als auch Datenpakete für noch nicht vollständig heruntergeladene Dateien.

Teilweise kann man dabei auch Einstellungen vornehmen die den Zugriff von aussen auf bestimmte IP-Adressen beschränkt. Bei einem Tool wie eMule macht dies natürlich keinen Sinn, da man ja in der Regel nicht weiß unter welcher IP-Adresse die gewünschten Quellen zu finden sind. Bei einem Webserver könnte man aber auf diese Weise den Zugriff auf einen bestimmten Kreis einschränken.

Diese Einstellung betrifft dann immer nur den Rechner mit der genannten IP-Adresse, nur an diesen können dann über die genannten Ports Daten ungefragt von aussen weitergeleitet werden, sollten noch andere Rechner in unserem LAN vorhanden sein bekommen diese davon nichts mit.