Firewall-Regeln verstehen: Die wichtigsten Ports und wofür sie da sind – Ein kleiner Port-Atlas
Back
Stellt euch euren Server wie ein großes Mehrfamilienhaus vor. Die IP-Adresse ist die Adresse des Hauses. Aber wie findet der Paketbote die richtige Wohnung? Genau – über die Ports. Jede Tür (Port) führt zu einem anderen Dienst oder einer anderen Anwendung.
Doch welche Ports sind eigentlich wichtig? Welche müsst ihr für euren Gameserver öffnen? Welche sollten unbedingt geschlossen bleiben, weil sie sonst Einfallstore für Angreifer sind?
Bei NexoraHost öffnen wir heute die "Türchen" und erklären euch die wichtigsten Ports – einen kleinen Port-Atlas für jeden Server-Betreiber. Damit ihr wisst, was ihr in eurer Firewall erlauben dürft und was ihr blockieren solltet.
🚪 Was sind Ports überhaupt?
Ganz einfach: Ein Port ist eine numerische Adresse, die den Datenverkehr zu einer bestimmten Anwendung auf einem Server leitet . Stellt es euch wie eine Tür mit einer Nummer vor:
-
Die IP-Adresse ist die Straßenadresse eures Servers (z.B. 123.123.123.123)
-
Der Port ist die Wohnungstür (z.B. 25565 für Minecraft)
Wenn ein Spieler eurem Server beitreten will, klopft er an der richtigen Tür. Wenn diese Tür offen ist, kommt er rein. Ist sie geschlossen (Firewall blockiert), bleibt er draußen.
Die drei Port-Bereiche:
| Bereich | Bezeichnung | Verwendung |
|---|---|---|
| 0–1023 | Well-Known Ports (System-Ports) | Reserviert für Standarddienste (HTTP, HTTPS, FTP, SSH) |
| 1024–49151 | Registered Ports | Können von Anwendungen registriert werden (Spiele, Datenbanken) |
| 49152–65535 | Dynamic/Private Ports | Temporäre Verbindungen, Ephemeral Ports |
🛡️ Die goldene Regel: Nur so viel wie nötig
Bevor wir in die Details gehen, die wichtigste Regel der Firewall-Konfiguration:
"Blockiere alles – erlaube nur, was wirklich nötig ist."
Das ist das Prinzip der minimalen Rechte . Öffnet nur die Ports, die eure Dienste wirklich brauchen. Jeder offene Port ist ein potentielles Einfallstor für Angreifer .
📋 Der Port-Atlas: Die wichtigsten Ports im Überblick
🌐 Web-Dienste (HTTP/HTTPS)
| Port | Protokoll | Dienst | Wofür? |
|---|---|---|---|
| 80 | TCP | HTTP | Unverschlüsselter Web-Traffic. Wer eine Webseite betreibt, braucht diesen Port offen. |
| 443 | TCP | HTTPS | Verschlüsselter Web-Traffic (SSL/TLS). Absolutes Muss für jede moderne Webseite. |
| 8080 | TCP | HTTP-Alt | Alternativer Port für Webserver, oft für Testumgebungen oder Proxys. |
| 8443 | TCP | HTTPS-Alt | Alternativer Port für verschlüsselten Traffic (z.B. Tomcat, Plesk). |
Wichtig: Wenn ihr eine Webseite betreibt, müssen 80 und 443 von überall erreichbar sein. Sonst kann sie niemand aufrufen!
📧 E-Mail-Dienste
| Port | Protokoll | Dienst | Wofür? |
|---|---|---|---|
| 25 | TCP | SMTP | Versand von E-Mails (Simple Mail Transfer Protocol). Achtung: Viele Provider blockieren diesen Port, um Spam zu verhindern. |
| 465 | TCP | SMTPS | Verschlüsselter E-Mail-Versand (SMTP über SSL). |
| 587 | TCP | SMTP mit TLS | Verschlüsselter E-Mail-Versand (modern, empfohlen). |
| 110 | TCP | POP3 | Abruf von E-Mails (älter, speichert Mails lokal). |
| 995 | TCP | POP3S | Verschlüsselter POP3-Abruf. |
| 143 | TCP | IMAP | Abruf von E-Mails (moderner, Mails bleiben auf dem Server). |
| 993 | TCP | IMAPS | Verschlüsselter IMAP-Abruf. |
Unser Tipp: Wenn ihr einen eigenen Mailserver betreibt, nutzt 587 für SMTP und 993/995 für IMAP/POP3. Port 25 ist oft von Providern gesperrt – das ist gut so, denn er wird gerne für Spam missbraucht .
🔧 Server-Verwaltung
| Port | Protokoll | Dienst | Wofür? |
|---|---|---|---|
| 21 | TCP | FTP | File Transfer Protocol (unverschlüsselt). Veraltet und unsicher! Nutzt lieber SFTP. |
| 22 | TCP | SSH / SFTP | Sichere Shell – das Herzstück der Linux-Server-Verwaltung. Auch für verschlüsselten Dateitransfer (SFTP). |
| 23 | TCP | Telnet | Absolut unsicher! Immer blockieren! Daten werden im Klartext übertragen. |
| 3389 | TCP | RDP | Remote Desktop Protocol – für Windows-Server. Braucht ihr, um euren Windows-Server per grafischer Oberfläche zu verwalten. |
Unser Tipp: Port 22 (SSH) ist essentiell, aber ein beliebtes Angriffsziel. Sichert ihn ab mit:
-
SSH-Schlüsseln statt Passwörtern
-
Änderung des Standard-Ports (optional)
-
Fail2Ban gegen Brute-Force-Angriffe
🗄️ Datenbanken
| Port | Protokoll | Dienst | Wofür? |
|---|---|---|---|
| 3306 | TCP | MySQL / MariaDB | Standard-Port für MySQL-Datenbanken. Sollte nicht öffentlich erreichbar sein! |
| 5432 | TCP | PostgreSQL | Standard-Port für PostgreSQL. Auch hier: Nicht öffentlich freigeben. |
| 27017 | TCP | MongoDB | MongoDB-Datenbank. Achtung: Standardmäßig ohne Authentifizierung – extrem gefährlich offen! |
| 6379 | TCP | Redis | In-Memory-Datenbank, oft ohne Passwort – nicht öffentlich exponieren! |
Goldene Regel: Datenbank-Ports gehören nicht ins Internet. Nur die Anwendung (z.B. eure Webseite) sollte darauf zugreifen dürfen – und zwar lokal (127.0.0.1) oder über ein internes Netzwerk .
🎮 Gameserver (Die wichtigsten für euch!)
| Spiel | Port(s) | Protokoll | Besonderheit |
|---|---|---|---|
| Minecraft (Java) | 25565 | TCP/UDP | Der Klassiker. Manche Server brauchen auch 25565–25570 für mehrere Instanzen. |
| Minecraft (Bedrock) | 19132 | UDP | Für Pocket Edition und Windows 10 Edition. |
| ARK: Survival Evolved | 7777, 7778, 27015 | UDP | 7777 (Spiel), 7778 (RCON), 27015 (Steam Query). Alle drei sollten offen sein. |
| CS2 / CS:GO | 27015 | UDP/TCP | Standard-Port für Source-Spiele. Für Konsolen-Versionen oft 27015–27020. |
| Valheim | 2456–2458 | UDP | Valheim nutzt drei aufeinanderfolgende Ports (2456, 2457, 2458). |
| Satisfactory | 7777 | UDP | Ähnlich wie ARK, nutzt Port 7777 (UDP). |
| Palworld | 8211 | UDP | Standard-Port für Palworld-Server. |
| Rust | 28015 | UDP | Für das Survival-Spiel Rust (auch 28016 für RCON). |
| Factorio | 34197 | UDP | Standard-Port für Factorio. |
| Garry's Mod | 27015 | UDP/TCP | Wie CS:GO, da gleiche Engine. |
| FiveM (GTA V) | 30120 | TCP/UDP | Standard-Port für FiveM-Server. Auch 30110 für Spieler-Connects. |
| Teamspeak 3 | 9987 (UDP), 10011 (TCP), 30033 (TCP) | UDP/TCP | 9987 für Sprachverkehr, 10011 für ServerQuery, 30033 für Dateitransfer. |
Wichtig für Gameserver: Die meisten Spiele nutzen UDP statt TCP, weil es schneller ist. Stellt sicher, dass ihr in eurer Firewall beide Protokolle richtig konfiguriert!
💬 Kommunikation und Voice
| Port | Protokoll | Dienst | Wofür? |
|---|---|---|---|
| 9987 | UDP | Teamspeak 3 | Sprachserver (Voice) – der wichtigste Port für TS3. |
| 10011 | TCP | Teamspeak 3 | ServerQuery (für Server-Infos, Bots). |
| 30033 | TCP | Teamspeak 3 | Dateitransfer und Filebrowser. |
| 64738 | UDP | Mumble | Standard-Port für Mumble-Server. |
| 5222 | TCP | XMPP/Jabber | Für Instant Messaging (z.B. ejabberd). |
| 8089 | TCP | Discord Bots | Oft für Discord-Bot-Webhooks oder interne APIs. |
🌍 Sonstige wichtige Dienste
| Port | Protokoll | Dienst | Wofür? |
|---|---|---|---|
| 53 | UDP/TCP | DNS | Domain Name System. Wenn ihr einen eigenen DNS-Server betreibt, braucht ihr diesen Port. |
| 67/68 | UDP | DHCP | Dynamic Host Configuration Protocol (IP-Vergabe). Nur für interne Netzwerke. |
| 123 | UDP | NTP | Network Time Protocol – Zeitsynchronisation. |
| 161 | UDP | SNMP | Simple Network Management Protocol – für Netzwerk-Monitoring. |
| 443 | UDP | QUIC | Modernes Protokoll für HTTP/3 (läuft oft auf dem gleichen Port wie HTTPS). |
🔒 Welche Ports solltet ihr unbedingt schließen?
Diese Ports sind berüchtigt für Angriffe und sollten immer geschlossen sein, wenn ihr die Dienste nicht explizit benötigt:
| Port | Dienst | Risiko |
|---|---|---|
| 23 | Telnet | Komplett unverschlüsselt – Passwörter im Klartext! |
| 445 | SMB | Einfallstor für Ransomware (EternalBlue, WannaCry). |
| 139 | NetBIOS | Alte Windows-Freigaben, oft unsicher. |
| 1433 | MSSQL | SQL-Server – sollte nicht öffentlich sein. |
| 5900 | VNC | Oft ohne oder mit schwachem Passwort. |
| 22 | SSH | Nicht schließen, aber absichern! (siehe oben) |
🛠️ Firewall-Regeln richtig setzen
Linux (iptables/nftables)
Ein einfaches Beispiel für einen Minecraft-Server mit iptables:
bash
# Standardmäßig alles blockieren iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Bestehende Verbindungen erlauben iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Localhost erlauben iptables -A INPUT -i lo -j ACCEPT # SSH erlauben (von überall, besser: auf bestimmte IPs beschränken!) iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Minecraft erlauben iptables -A INPUT -p tcp --dport 25565 -j ACCEPT iptables -A INPUT -p udp --dport 25565 -j ACCEPT # Schutz vor Portscans iptables -N port-scan iptables -A port-scan -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN iptables -A port-scan -j DROP
Windows Firewall
Für Windows-Server nutzt ihr am besten die grafische Oberfläche:
-
Windows-Firewall mit erweiterter Sicherheit öffnen
-
Eingehende Regeln → Neue Regel → Port
-
Protokoll und Portnummer angeben (z.B. UDP 8211 für Palworld)
-
Verbindung zulassen
-
Profile auswählen (privat/öffentlich/Domain)
-
Namen vergeben und fertig
📝 Port-Checkliste für Server-Betreiber
Bevor ihr euren Server live schaltet, geht diese Liste durch:
-
Nur notwendige Ports geöffnet (Prinzip der minimalen Rechte)
-
Standard-Ports geändert? (optional, aber sicherer für SSH/RDP)
-
Datenbank-Ports nur lokal erreichbar (127.0.0.1)
-
Unsichere Dienste (Telnet, FTP) deaktiviert
-
SSH mit Schlüsseln statt Passwort gesichert
-
Fail2Ban oder ähnliche Schutzmechanismen aktiviert
-
Firewall-Regeln getestet (z.B. mit
nmapvon einem externen Rechner)
🏁 Fazit: Kennt eure Ports, schützt euren Server
Ports sind die Türen zu eurem Server. Manche müssen offen sein, damit eure Freunde und Kunden hereinkommen. Andere sollten fest verschlossen bleiben, weil sie sonst gefährliche Gäste anziehen.
Die wichtigsten Punkte nochmal:
✅ Port 80 (HTTP) und 443 (HTTPS) für Webseiten
✅ Port 22 (SSH) für Linux-Verwaltung (abgesichert!)
✅ Port 3389 (RDP) für Windows-Verwaltung
✅ Gameserver-Ports je nach Spiel (siehe Tabelle)
✅ Datenbank-Ports niemals öffentlich freigeben
✅ Unsichere Ports wie 23 (Telnet) oder 445 (SMB) blockieren
Bei NexoraHost helfen wir euch gerne bei der Konfiguration eurer Firewall. Ob ihr einen Gameserver betreibt oder eine Webseite – wir sorgen dafür, dass nur die richtigen Türen offen stehen.
👉 Jetzt sicheren Server mit optimaler Firewall-Konfiguration starten 👈
PS: Ihr seid unsicher, ob eure Firewall richtig konfiguriert ist?
Dann schreibt uns einfach! Unser Support-Team prüft das gerne für euch und gibt Tipps zur optimalen Absicherung. Bei NexoraHost seid ihr nicht nur Kunde, sondern Teil der Familie – und eure Sicherheit ist auch unsere Sicherheit! 🔒
More blog articles
Du suchst nach einem neuen Server oder Webhosting und wirst von günstigen Lockangeboten überschüttet? Vorsicht – was auf den ersten Blick wie ein Schnäppchen aussieht, kann langfristig zu einer teuren Überraschung werden. Wir zeigen d...
Was ist eigentlich... Webspace? Einfach erklärt (nicht nur für Oma!) Hast du schon mal von Webspace gehört und gedacht: "Was soll das sein?" Keine Sorge, du bist nicht allein. Viele Leute wissen nicht, was das ist - dabei nutzen sie es jeden Tag....
Du hast bereits erste Erfahrungen mit Minecraft Servern gesammelt und möchtest jetzt deinen eigenen, professionellen Server aufsetzen? Egal ob du mit Mods, Plugins oder im klassischen Vanilla-Stil spielen willst – dieser Guide führt dich durch die wichtigsten...