Offene Protokolle und Ports

Protokoll Nummer
ICMP 1
TCP 6 s. u.
UDP 17 s. u.
GRE 47
ESP 50

Offene bzw. gesperrte Ports ins TUGnet (und ins VCG-Netz)

Offene TCP/UDP-Ports unter 1024 (alle anderen sind gesperrt)

Port Protokoll Dienst
22 TCP ssh, sftp, scp
37 TCP, UDP time
79 TCP finger
80 TCP http
88 UDP Kerberos
110 TCP http(s)
113 TCP auth
119 TCP nntp
143 TCP imap, http(s)
280 TCP http-mgmt
389 TCP, UDP ldap
418 TCP hyperg
427 TCP, UDP slp
Port Protokoll Dienst
443 TCP https
500 UDP IPsec
524 TCP ncp
537 TCP nmsp
548 TCP afp
554 TCP rtsp
563 TCP nntps
636 TCP s-ldap
655 TCP, UDP tinc
750 UDP Kerberos
993 TCP s-imap, http(s)
995 TCP s-pop

Bestimmte Dienste (Ports) sind nur für zentrale Server geöffnet:

  • ftp (20, 21), smtp (25), domain (53), smtps (465), SMTP via StartTLS/Mail Submission (587) und rsync (873).
  • Port 25 ist auch outgoing nur für zentrale Server frei gegeben.
  • Port 53 ist auch outgoing nur für die DNS-Server 8.8.8.8 und 4.2.2.2 (für Notebooks, die ohne DHCP innerhalb und außerhalb des TUGnets eingesetzt werden) geöffnet.

Der Rest der Ports unter 1024 ist gesperrt, bei den o. g. freigegebenen Ports wird aber teilweise überprüft, ob tatsächlich die angegebenen Dienste verwendet werden.

Sollten Institute Ausnahmen benötigen, so sind diese schriftlich zu beantragen.

Gesperrte TCP/UDP-Ports über 1024 (alle anderen sind offen)

Port Protokoll „Dienst“
1433 TCP, UDP SQL-Slammer
1434 TCP, UDP SQL-Slammer
1900 TCP, UDP ssdp
1978 UDP Slapper
2002 UDP mod_ssl
3017 TCP NDPS Event Listener
3127 TCP MyDoom
3389 TCP, UDP MS Terminal Server
3410 TCP OptixPro Trojan
Port Protokoll „Dienst“
4156 UDP Slapper
4444 TCP, UDP Blaster
4899 TCP radmin
5000 TCP, UDP mehrere "Dienste"
6129 TCP DameWare
8998 UDP Sobig.F
910x TCP Drucker
12345 TCP mehrere "Dienste"
31337 UDP Back Orifice

Die anderen Ports über 1024 sind (bezüglich portbezogener Firewall) offen. Die Ports werden aber zusätzlich auch vom IPS überwacht, das auch überprüft, ob bekannte Protokolle auf Nicht-Standard-Ports laufen, was dann unterbunden wird. Falls es notwendig ist, bestimmte Protokolle auf Nicht-Standard-Ports laufen zu lassen, dann sind auch dafür bestimmte Ports zu verwenden, z. B. für http(s) die Ports 2170, 4343, 4430, 8000, 8080, 8081, 8183, 8181 und 8443. Diese Ports können somit nur für (XML-basierte) http-ähnliche Dienste (wie CalDAV) verwendet werden.

Generell gesperrte Domains

Einige Domains (vor allem solche, die Gratis-Webspace anbieten) sind dauerhaft und komplett (alle Ports / Protokolle) gesperrt, weil von dort immer wieder Phishingversuche unternommen werden und die Administratoren dort auf Anfragen nicht reagieren, z. B.:

  • wix.com
  • webs.com

Folgende Domains sind auf Grund der „Freiwilligen Selbstkontrolle der universitären Netze“ gesperrt:

1337x.to, h33t.to, isohunt.to, kinox.am, kinox.me, kinox.nu, kinox.pe, kinox.to, kinox.tv, movie.to, movie.tv, movie2k.cm, movie2k.pe, movie2k.tl, movie2k.tw, movie4k.me, movie4k.to, movie4k.tv, thepiratebay.fm, thepiratebay.gd, thepiratebay.la, thepiratebay.mn, thepiratebay.ms, thepiratebay.mu, thepiratebay.se, thepiratebay.sh, thepiratebay.tw, thepiratebay.vg