Problem: offener Port 5060 an FritzBox

In diesem Forum dreht sich alles um die bei Vodafone Kabel Deutschland bzw. Vodafone West oder im Rahmen der O2-Tarife über Kabel verwendeten AVM-Produkte, insbesondere der WLAN-Router mit integriertem Kabelmodem, der als FRITZ!Box vertrieben wird. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf AVM-Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
direx
Newbie
Beiträge: 14
Registriert: 01.09.2009, 09:53

Problem: offener Port 5060 an FritzBox

Beitrag von direx »

Hallo,

ich habe die Homebox von Kabel Deutschland mit der Firmware 54.04.76. Die Box benutze ich für Internet und Internettelefonie bei KD.
Bei der Firewall habe ich zwei kleine Probleme: wenn ich von einem externen Server einen Portscan auf meine IP laufen lasse, bekomme ich bei einem ausführlichen Portscan einen offenen Port 5060 (SIP) und einen geschlossenen Port 113 angezeigt:

Code: Alles auswählen

[klada@tor data]$ nmap 91.67.167.xx

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-10-10 20:16 MEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap finished: 1 IP address (0 hosts up) scanned in 2.023 seconds

[klada@tor data]$ nmap 91.67.167.xx -P0

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-10-10 20:50 MEST
Interesting ports on 91-67-167-xx-dynip.superkabel.de (91.67.167.xx):
Not shown: 1678 filtered ports
PORT     STATE  SERVICE
113/tcp  closed auth
5060/tcp open   sip

Nmap finished: 1 IP address (1 host up) scanned in 279.250 seconds
Ist es wirklich nötig, dass der Port 5060 von außen erreichbar sein muss? Intern brauche ich den Port für VoIP, aber warum der nach draußen geht, verstehe ich nicht.
Portfreigaben etc. habe ich keine eingerichtet, UPNP ist auch deaktiviert.

Bekomme ich den Port 5060 (und nach Möglichkeit auch den Port 113) irgendwie auf der FB dicht? Eine Alternative wäre eine Portweiterleitung an meine innere Firewall und dort die Pakete zu droppen, aber es muss doch auch einfacher (und vor allem sauberer) gehen...


Danke und Grüße,
direx
KD Komplettpaket (32 MBit), Homebox (FB 7270) mit Firmware 54.04.80
[ externes Bild ]
Benutzeravatar
Thyrael
Ehrenmitglied
Beiträge: 9750
Registriert: 03.02.2009, 12:46

Re: Problem: offener Port 5060 an FritzBox

Beitrag von Thyrael »

Wenn du die Homebox von KabelD benutzt läuft darüber deine Telefonie und da das VoiP ist ist auch der Port 5060 offen.
RFZ
Fortgeschrittener
Beiträge: 232
Registriert: 19.12.2008, 17:27

Re: Problem: offener Port 5060 an FritzBox

Beitrag von RFZ »

Was ist bitte ein geschlossener Port 113? Soll das heissen, Pakete werden abgelehnt, statt verworfen?
Wenn ja, dann ist das sicher ein DAU Feature der FritzBox. Auf TCP Port 113 läuft IDENT, und es ist sehr sinnvoll, dort Pakete abzulehnen statt zu verwerfen.
Der Grund dafür ist, dass ein Server zu dem du dich verbindest, welcher Ident nutzen möchte, dann sofort weiß, dass du keinen Ident-Server bereit stellst. Würden die Pakete verworfen, wartet der Server unter Umständen einen Timeout ab, bis er weitermacht.

FTP Server sind so ein Fall. Wenn du mal zu einem FTP Server verbindest, kommt es schonmal vor, dass nach dem Connect 30 Sekunden lang nichts passiert, ehe das Directory-Listing herein kommt. Das liegt dann daran, dass der FTP-Server zu deinem Ident-Server verbinden wollte, und den Timeout abwarten musste, weil deine Firewall die Anfrage verschluckt hat, statt sie abzuweisen.

Naja, und 5060 muss hald offen sein, wenn du via VoIP angerufen werden willst, das ist ja bereits geklärt ;)
direx
Newbie
Beiträge: 14
Registriert: 01.09.2009, 09:53

Re: Problem: offener Port 5060 an FritzBox

Beitrag von direx »

RFZ hat geschrieben:Was ist bitte ein geschlossener Port 113? Soll das heissen, Pakete werden abgelehnt, statt verworfen?
Nein, "closed" bedeutet, dass die Pakete abgelehnt werden. Ich habe diesen Port noch nie benötigt, deshalb wollte ich alle Pakete an Port 113 verwerfen. Nur irgendwie bietet die Fritz!Box keine Option dafür an.
Bei meinem vorherigen Internet-Anschluss hatte ich komplett alle Ports dicht und ich konnte damit gut leben. Aber den Port 113 "closed" zu belassen wäre für mich auch kein Problem. Hatte mich halt nur gewundert...
RFZ hat geschrieben: Naja, und 5060 muss hald offen sein, wenn du via VoIP angerufen werden willst, das ist ja bereits geklärt ;)
Gut, wenn dem so ist wäre auch das geklärt. Wenn der Port sowieso offen ist kann ich ja auch hoffentlich mit meinem SIP-Phone von außerhalb über meine Homebox (per DynDNS am Netz) kostenlos Festnetzgespräche führen - eigentlich praktisch.


Danke Euch!


Viele Grüße,
direx
KD Komplettpaket (32 MBit), Homebox (FB 7270) mit Firmware 54.04.80
[ externes Bild ]