Via Internet ins Heimnetz

Crashkurs: Fernzugriff und Portfreigaben

Bestimmte Anfragen von außen durch die Firewall zu lassen, ist Voraussetzung für den Fernzugriff aus dem Internet. Wir zeigen, wie man diese "Portfreigaben" einrichten kann.

Das eigene Netzwerk und die dort befindlichen Teilnehmer sollen vor unerwünschten Anfragen aus dem Internet gut abgeschottet sein. Diese Aufgabe übernimmt im Heimnetzwerk der Router, der zu diesem Zweck einen Paketfilter bietet, um unerwünschten Netzwerkverkehr von draußen zu blockieren.

Mit NAT (Network Address Translation) sorgt der Router außerdem dafür, dass die Teilnehmer im lokalen Netz nicht direkt erreichbar sind, sondern gesammelt über die IP des Routers online gehen. Im Internet erscheint dank NAT als Absender aller Datenpakete aus dem lokalen Netzwerk immer die dem Router vom Provider zugewiesene IP-Adresse. Eine direkte Kommunikation vom Internet zu einem LAN-PC ist daher nicht möglich, und das ist aus Sicherheitsgründen auch gut so. Der Absender aus dem Internet weiß nicht einmal, dass die Datenpakete nicht vom Router selbst, sondern von einem dahinter befindlichen PC stammen. Und Datenpakete, die der Router keinem Client-Rechner im internen Netzwerk zuweisen kann, verwirft der eingebaute Paketfilter aus Sicherheitsgründen.

Portfreigaben: Durch die Firewall

Sobald Sie im eigenen Netzwerk einen Datenserver verwenden (PC oder NAS), der über das Internet erreichbar sein soll, dann ist die sichere, rigorose Abschottung mit Paketfilter und NAT kontraproduktiv, so etwa, wenn ein FTP-Server von außen Verbindungen annehmen muss oder ein Bittorrent-Client eingehende Verbindungen akzeptieren soll. Damit ein PC und der darauf laufende Server-Dienst im Netzwerk gezielt von außen erreichbar sind, müssen Sie von innen ein wohldefiniertes Loch durch die Firewall bohren. Dies gelingt mit einer Portfreigabe auf dem Router, der dann dafür sorgt, dass die Anfragen an den offenen Port auch intern an das richtige Gerät weitergeleitet werden. Das Ganze ist nicht wirklich kompliziert und kompromittiert auch nicht die Sicherheit Ihres Netzwerks, wenn Sie dabei systematisch vorgehen und keine riesigen Lücken in die Firewall reißen.

Vorbereitung: Den Server konfigurieren

Die Arbeit beginnt auf dem ausgewählten Gerät im eigenen Netzwerk, das den Server-Dienst für Zugriffe aus dem Internet anbieten soll. Wir gehen im Folgenden davon aus, dass es sich um einen Windows-PC handelt. Notieren Sie sich auch gleich die LAN-IP-Adresse des PCs, die Sie später benötigen. Diese finden Sie am schnellsten in der Eingabeaufforderung mit dem Kommando ipconfigheraus. Die Eingabeaufforderung starten Sie mit der Eingabe cmd.exeüber den Ausführen-Dialog, den die Windows-Taste und R auf den Bildschirm bringt. Ihr Server muss diese LAN-IP konstant beziehen, weil die Weiterleitung, wie die nächsten Punkte zeigen werden, an eine feste IP erfolgen müssen.

Darf das Programm seine Dienste anbieten? Ab Windows 7 meldet sich die Firewall von Windows automatisch, wenn eine Anwendung erstmals einen Port öffnen will. Wenn Sie zustimmen, merkt sich die Firewall die Erlaubnis dauerhaft.
Darf das Programm seine Dienste anbieten? Ab Windows 7 meldet sich die Firewall von Windows automatisch, wenn eine Anwendung erstmals einen Port öffnen will. Wenn Sie zustimmen, merkt sich die Firewall die Erlaubnis dauerhaft.

Installieren Sie das Serverprogramm, und lassen Sie zu, dass dieses Programm seine Dienste auf dem genutzten Port durch die Windows-Firewall hindurch anbietet. Diese Erlaubnis müssen Sie manuell erteilen und bei Windows 7 auch selbst festlegen. Mit ihren Voreinstellungen erlaubt die Windows-Firewall nämlich bei auch den freizügigen Netzwerkprofilen „Heimnetzwerk“ und „Arbeitsplatznetzwerk“ nur wenige vordefinierte Ports für die Datei- und Druckerfreigabe. Um hier ganz gezielt mehr zu erlauben, gehen Sie in der Systemsteuerung auf „Windows-Firewall Ein Programm oder Feature durch die Windows-Firewall zulassen“. Dort angekommen können Sie über die Schaltfläche „Einstellungen ändern“ mit „Anderes Programm zulassen“ das Server-Programm auswählen, welches durch die Firewall Datenpakete empfangen darf.

Ab Windows 7 warnt Sie die Firewall übrigens auch selbständig, wenn ein gestartetes Programm durch den Paketfilter hindurch Verbindungen akzeptieren will. Sie können die Erlaubnis dann direkt im Meldungsfenster der Windows-Firewall erteilen, und ein Ausflug in die Systemsteuerung ist dann nur noch zur Kontrolle und Übersicht nötig.

Sonderfall Software-Firewall: Falls auf dem PC weitere Paketfilter installiert sind, etwa das Programm Fritz DSL Protect, Zone Alarm oder ähnliches, müssen Sie auch dort den Durchgang der Datenpakete erlauben. Da viele Software-Firewalls inkompatibel mit Programmen sind, die eine Server-Rolle einnehmen, hilft aber meist nur eine Deinstallation der Firewall. Dies ist kein großer Verlust, da die Programme bei aktivierter Windows-Firewall wenig zur Gesamtsicherheit beitragen.