2. Mai 2026 · 7 Min. Lesezeit
Was sind meine offenen Ports? So prüfen Sie TCP-Ports auf Ihrer öffentlichen IP
Lernen Sie, was offene, geschlossene und gefilterte Ports bedeuten, welche Ports Sicherheitsrisiken darstellen und wie Sie die offenen Ports Ihrer öffentlichen IP ohne Software prüfen.
Ihre öffentliche IP-Adresse ist für jedes Gerät im Internet sichtbar — und das gilt auch für alle Dienste, die auf ihren Ports lauschen. Zu wissen, welche Ports offen sind, ist der erste Schritt zur Bestimmung der Angriffsfläche Ihres Netzwerks.
Ein Port-Prüfer verbindet sich von einem externen Server aus mit Ihrer IP-Adresse und meldet, ob jeder Port offen (ein Dienst hat die Verbindung akzeptiert), geschlossen (das Betriebssystem hat sie abgelehnt) oder gefiltert (eine Firewall hat das Paket stillschweigend verworfen) ist. Das Tool Was sind meine offenen Ports führt dies automatisch für eine Reihe gängiger Ports sowie für jeden benutzerdefinierten Port durch, den Sie eingeben.
Was ist ein Netzwerkport?
Eine IP-Adresse leitet Pakete an den richtigen Rechner weiter. Eine Portnummer — eine 16-Bit-Ganzzahl von 1 bis 65535 — teilt dem Betriebssystem mit, welches Programm diese Pakete verarbeiten soll.
Wenn ein Programm bind() und listen() für einen Port aufruft, lauscht es (listening): bereit, eingehende Verbindungen zu akzeptieren. Wenn nichts lauscht, antwortet das Betriebssystem auf eingehende TCP-SYN-Pakete mit einem RST (Reset), was „geschlossen“ signalisiert. Wenn eine Firewall das Paket ohne Rückmeldung verwirft, wartet der Absender bis zum Timeout — dies ist ein gefilterter Port.
Offen, geschlossen und gefiltert — die TCP-Handshake-Perspektive
Der Standard-TCP-Handshake sendet drei Pakete:
- SYN — Client bittet um Verbindung
- SYN-ACK — Server stimmt zu (Port ist offen)
- ACK — Client bestätigt
Wenn der Server statt SYN-ACK ein RST-ACK sendet, ist der Port geschlossen. Wenn das SYN-Paket vollständig verschwindet, ist der Port gefiltert.
| Status | Was passiert ist | Bedeutung |
|---|---|---|
| Offen | SYN-ACK empfangen | Ein Dienst lauscht und ist erreichbar |
| Geschlossen | RST-ACK empfangen | Kein Dienst lauscht; Host ist online |
| Gefiltert | Keine Antwort (Timeout) | Firewall / NAT blockiert das Paket |
Die meisten privaten IP-Adressen zeigen fast alle Ports als gefiltert an, da Router für Endkunden standardmäßig NAT anwenden und alle unaufgeforderten eingehenden Verbindungen blockieren.
Warum die Port-Prüfung einen externen Server erfordert
Browser werden in einem isolierten Sicherheitsmodell (Sandbox) ausgeführt. JavaScript kann keine beliebigen TCP-Sockets zu externen Hosts öffnen — dies würde es jeder Website ermöglichen, Ihr Netzwerk zu scannen oder interne Dienste zu prüfen. Die fetch()-API ist auf HTTP/HTTPS beschränkt; direkter TCP-Zugriff steht Webseiten nicht zur Verfügung.
Ein serverseitiger Port-Prüfer umgeht dies, indem er die TCP-Verbindung von einer Infrastruktur aus herstellt, der Sie vertrauen, und dann das Ergebnis zurückgibt. Die Prüfung entspricht der Ausführung von nc -zv <ihre-ip> <port> von einem entfernten Rechner aus:
# Entsprechender Shell-Befehl
nc -zv 203.0.113.42 22
# Connection to 203.0.113.42 22 port [tcp/ssh] succeeded!
Das Ergebnis zeigt Ihnen genau das, was ein Angreifer beim Scannen des Internets sehen würde.
Gängige Ports und ihr Risikoniveau
| Port | Dienst | Risiko bei öffentlicher Freigabe |
|---|---|---|
| 22 | SSH | Mittel — ständige Brute-Force-Angriffe; nutzen Sie Schlüssel-Auth |
| 23 | Telnet | Hoch — überträgt Daten im Klartext |
| 25 | SMTP | Mittel — Relay-Missbrauch bei Fehlkonfiguration |
| 80 | HTTP | Niedrig — für Webserver erwartet |
| 443 | HTTPS | Niedrig — für Webserver erwartet |
| 3306 | MySQL | Kritisch — niemals im öffentlichen Internet freigeben |
| 5432 | PostgreSQL | Kritisch — niemals im öffentlichen Internet freigeben |
| 6379 | Redis | Kritisch — standardmäßig keine Authentifizierung in älteren Versionen |
| 8080 | HTTP Alt | Mittel — oft Entwickler-Tools ohne Authentifizierung |
| 27017 | MongoDB | Kritisch — erhebliche Datenlecks in der Vergangenheit durch öffentliche Freigabe |
Wie NAT und Portweiterleitung interagieren
Die meisten Heim- und Büronutzer befinden sich hinter einer NAT (Network Address Translation). Ihr Router weist jedem Gerät eine private IP zu (192.168.x.x, 10.x.x.x) und präsentiert dem Internet eine einzige öffentliche IP. Eingehende Verbindungen, die die öffentliche IP des Routers erreichen, haben kein Ziel, es sei denn, Sie konfigurieren eine Portweiterleitung (Port Forwarding) — eine NAT-Regel, die einen externen Port auf ein internes Gerät und einen internen Port auf ein internes Gerät abbildet.
Wenn Sie einen Spieleserver betreiben, eine Website selbst hosten oder einen Dienst nutzen, der eingehende Verbindungen benötigt (VoIP, BitTorrent, Remotedesktop), konfigurieren Sie die Portweiterleitung im Administrationsbereich des Routers. Der Port-Prüfer bestätigt, ob die Weiterleitung funktioniert — wenn der Port von außen als offen angezeigt wird, leitet die Weiterleitungsregel den Datenverkehr korrekt an Ihren Rechner weiter.
Ports absichern, die Sie nicht absichtlich öffnen wollten
Wenn der Port-Prüfer einen unerwarteten offenen Port aufzeigt:
- Den lauschenden Dienst identifizieren — unter Linux:
ss -tlnp | grep :<port>odernetstat -tlnp. Unter Windows:netstat -ano | findstr :<port>, und suchen Sie anschließend die PID im Task-Manager. - Den Dienst stoppen, falls er nicht laufen sollte, oder ihn so konfigurieren, dass er nur an
127.0.0.1bindet. - Eine Firewall-Regel hinzufügen —
ufw deny <port>/tcpunter Ubuntu oder eine Windows-Firewall-Regel für eingehende Verbindungen unter Windows. - Die Behebung überprüfen — führen Sie den Port-Prüfer erneut aus; der Port sollte nun von außen als gefiltert angezeigt werden.
Prüfen Sie die Ports Ihrer öffentlichen IP jetzt direkt — keine Software erforderlich — mit dem Tool Was sind meine offenen Ports. Informationen zur gescannten IP-Adresse finden Sie unter Was ist meine IP.