Dieses Tool bittet unseren Server, eine TCP-Verbindung zu der öffentlichen IP-Adresse aufzubauen, die Ihr Browser zum Laden der Seite verwendet hat – und zwar auf dem von Ihnen ausgewählten Port. Dies spiegelt wider, was jeder Host im Internet sieht, wenn er Ihren Router prüft, und nicht, was Localhost-Scans in Ihrem lokalen Netzwerk (LAN) anzeigen. Ich habe diesen Text nach einem realen Erlebnis verfasst: Der Plex-Fernzugriff blieb rot, weil mein pakistanischer ISP mich hinter ein CGNAT gestellt hatte, sodass die Weiterleitung von TCP 32400 auf dem Router meinen NAS nie erreichte, obwohl der Dienst lokal einwandfrei lauschte. Im Folgenden erläutere ich, was die drei Status bedeuten, welche Ports wichtig sind und wie Sie die Weiterleitung ohne Rätselraten überprüfen.
Was dieses Tool tut (und was nicht)
Aus Sicherheitsgründen kann JavaScript im Browser keine beliebigen TCP-Verbindungen zu Ihrer öffentlichen IP-Adresse initiieren. Unsere Route /api/open-ports liest Ihre Adresse aus CF-Connecting-IP (oder X-Forwarded-For) und führt einen dreisekündigen ausgehenden Verbindungsaufbau von unserer Infrastruktur aus. Die Ergebnisse sind open (Handshake abgeschlossen), closed (sofortiges RST: nichts lauscht) oder filtered (Timeout: Firewall oder NAT hat das SYN-Paket verworfen).
Grenzen, die Sie kennen sollten: Nur TCP (keine UDP-Spieleports), ein Port pro Anfrage, nur Ihre aktuelle öffentliche IP (kein Scannen von Drittanbietern) und blinde Flecken, wenn Sie ein VPN verwenden (wir erreichen den VPN-Ausgang, nicht Ihren Heimrouter) oder hinter einem CGNAT stehen (überhaupt keine eingehende Zuordnung möglich). Trennen Sie die VPN-Verbindung vor dem Testen der Weiterleitung zu Hause.
Gängige Ports und IANA-Bereiche
Ports are 16-Bit-Zahlen (1 bis 65535). Der RFC 6335 unterteilt sie in bekannte (0 bis 1023, unter Unix privilegiert), registrierte (1024 bis 49151) und dynamische/ephemere Ports (49152 bis 65535) für kurzlebige clientseitige Verbindungen.
Wenn Sie im Web surfen, wählt Ihr Betriebssystem lokal einen hohen ephemeren Port und kommuniziert mit dem Remote-Port 443. Eingehende Prüfungen wie auf dieser Seite kehren die Richtung um: Das Internet klopft an der Portnummer Ihrer öffentlichen IP-Adresse an.
Standardports für gängige Dienste
| Dienst | Port | Protokoll | Typischer Blockierungsgrund |
|---|---|---|---|
| HTTP | 80 | TCP | Eingehender Filter des ISP; Nutzungsbedingungen für Privatkunden |
| HTTPS | 443 | TCP | Gleich wie oben; auf geschäftlichen Leitungen oft erlaubt |
| SSH | 22 | TCP | Brute-Force-Risiko; einige ISPs blockieren eingehende Verbindungen |
| FTP | 21 | TCP | Veralteter Klartext; NAT-Probleme mit dem passiven Modus |
| SMTP | 25 | TCP | Anti-Spam: Blockiert auf den meisten privaten IP-Adressen |
| MySQL | 3306 | TCP | Sollte niemals öffentlich sein; standardmäßig Firewall-geschützt |
| PostgreSQL | 5432 | TCP | Gleich wie bei den Datenbanken oben |
| RDP | 3389 | TCP | Ständiges Ziel von Scannern; verwenden Sie stattdessen ein VPN |
| Minecraft Java | 25565 | TCP | Benötigt Weiterleitung + Firewall-Regel der Java-Edition |
| Plex | 32400 | TCP | CGNAT verhindert manuelle Weiterleitung; verwenden Sie Relay oder IPv6 |
Warum ein Port geschlossen oder gefiltert erscheint, obwohl Sie ihn geöffnet haben
- ISP-Filterung: Eingehendes SMTP (25) ist bei privaten Anschlüssen fast überall gesperrt. Einige ISPs blockieren auch Port 80 für das Hosting.
- CGNAT: Ihr Router teilt sich eine öffentliche Adresse mit Nachbarn; es gibt keine eindeutige eingehende Zuordnung, es sei denn, Sie zahlen für eine statische IP oder nutzen einen Tunnel-Dienst.
- Anwendungs-Bind-Adresse: Ein Dienst, der nur auf
127.0.0.1lauscht, ist von außen unsichtbar, selbst wenn die Firewall den Port zulässt. - Host-Firewall: Windows Defender,
ufwoderiptableskönnen SYN-Pakete verwerfen, bevor sie den Daemon erreichen. - Doppel-NAT: ISP-Modem plus Ihr eigener Router ohne Bridge-Modus leitet an den falschen Hop weiter.
Portweiterleitung verständlich erklärt
Ihr Router übersetzt zwischen einer öffentlichen IP und vielen privaten LAN-Adressen. Eine Weiterleitungsregel besagt: "Wenn ein SYN auf dem öffentlichen Port 32400 eintrifft, sende es an 192.168.1.50:32400." Dynamisches DNS hilft, wenn sich Ihre öffentliche IP-Adresse jede Nacht ändert. IPv6 mit einer globalen Adresse pro Gerät kann NAT vollständig überflüssig machen. Sie müssen jedoch jeden Host per Firewall schützen, da die Adressen standardmäßig aus dem Internet routingfähig sind.
Testen über die Befehlszeile
Lokale Prüfungen beweisen, dass der Daemon lauscht; externe Prüfungen beweisen den Pfad durch das NAT. Nutzen Sie beide.
# Schneller TCP-Probe (GNU netcat)
nc -zv 192.168.1.50 32400
# Abhörtest auf dem Server
nc -l 8080
# nmap: Scannen Sie nur Netzwerke, die Ihnen gehören oder für die Sie eine schriftliche Genehmigung haben
nmap -Pn -p 22,80,443,32400 IHRE_OEFFENTLICHE_IPDas ältere telnet host port funktioniert auf einigen Systemen noch, ist aber oft nicht installiert. Ersetzen Sie es durch nc oder curl -v telnet://host:port, falls verfügbar.
Sicherheit: Was offene Ports verraten
Offene Ports beantworten Angreifern zwei Fragen: Lauscht dort etwas und welcher Software-Fingerabdruck antwortet beim Verbindungsaufbau. SSH auf dem Standardport 22 auszuführen, ist nicht automatisch unsicher, wenn eine reine Schlüssel-Authentifizierung und fail2ban konfiguriert sind, aber es zieht Hintergrundrauschen an. Das Freigeben von Datenbanken ohne VPN ist niemals akzeptabel. Verschieben Sie Administrations-Panels hinter Tailscale, WireGuard oder zumindest IP-Erlaubnislisten.
Häufig gestellte Fragen
Warum ist Port 25 von meinem ISP gesperrt?
Ausgehender und eingehender SMTP-Verkehr auf privaten Netzwerken ist eingeschränkt, um Botnet-Spam zu verhindern. Nutzen Sie das authentifizierte Relay Ihres Anbieters auf dem Port 587 oder eine transaktionale E-Mail-API, anstatt einen eigenen Mailserver zu Hause auf Port 25 zu betreiben.
Wie öffne ich einen Port auf meinem Router?
Melden Sie sich an der Admin-Oberfläche des Routers an, suchen Sie nach Virtueller Server / Portweiterleitung, ordnen Sie den externen TCP-Port der LAN-IP und dem internen Port Ihres Rechners zu und weisen Sie diesem Rechner eine DHCP-Reservierung zu, damit sich die IP nicht ändert. Überprüfen Sie dies dann von außen mit diesem Tool, nicht nur aus dem LAN.
Ist es gefährlich, offene Ports zu haben?
Absichtliche Dienste (HTTPS auf 443) sind normal. Unerwartete offene Datenbank- oder RDP-Ports sind hochriskant. Gefiltert (filtered) ist der sicherste Standard für Heimanwender. Das bedeutet, dass das Internet Ihren Host nicht erreichen kann, selbst wenn Malware später versucht, dort zu lauschen.
Was ist der Unterschied zwischen TCP- und UDP-Ports?
Es handelt sich um separate Namensräume. TCP bietet zuverlässige Datenströme (HTTP, SSH, RDP). UDP ist datagrammbasiert (DNS, QUIC, viele Spiele). Dieses Tool testet nur TCP. Ein Spiel, das in seinem Client einen offenen UDP-Port anzeigt, steht in keinem Zusammenhang mit diesen Ergebnissen.
Warum sagt dieses Tool, dass mein Port geschlossen ist, obwohl ich ihn geöffnet habe?
Häufige Ursachen: Weiterleitung an die falsche LAN-IP, Dienst an Localhost gebunden, Doppel-NAT, CGNAT ohne öffentliche Adresse, Host-Firewall oder Test bei aktiver VPN-Verbindung (sodass wir den VPN-Server anstelle Ihres Zuhauses scannen). Beheben Sie das Problem Schicht für Schicht: lokales Lauschen, LAN-Verbindung, dann diese externe Prüfung.
Verwandte Tools
Öffentliche Adresse: Was ist meine IP. Netzbetreiber: Was ist mein ISP. Latenzzeit: Was ist meine Latenz.
Quellenangaben
- RFC 6335: Internet Assigned Numbers Authority (IANA) Port-Verfahren
- IANA Dienstnamen- und Portnummern-Registrierung
- RFC 6598: Gemeinsam genutzter Adressraum (CGNAT)