Vilka är de vanligaste Internet-portarna och deras portnummer?


Här är en lista över några av de vanligaste förekommande så kallade portarna som används på Internet och som du som serveradministratör troligtvis kommer att komma i kontakt med.

 

Tips: du vet väl att du kan ta hjälp av vår support? En felaktig inställning för en port kan vara ödesdigert, både säkerhetsproblem och krånglig felsökning kan vara följden av att ställa in portar på fel sätt i tex brandväggsregler.

 

Port 22 används för SSH - Secure Shell Protocol. Denna port är det mycket viktigt att skydda - kontakta vår support innan du gör ändringar och inte är helt säker på att du är 100% säker på hur detta fungerar. Man ska aldrig tillåta obehöriga att kunna nå port 22 på någon server i något sammanhang. Vanligtvis använder man så kallad två-vägs-autenticering för SSH, dvs det räcker inte med att ha rätt kryptonyckel och lösenord utan man måste även mata in ett lösenord i tex en mobilapp för att anslutning ska upprättas. Du behöver (ska) inte använda UDP utan enbart TCP för port 22. Man använder alltid accesslistor i brandväggar för att kraftigt begränsa åtkomst för port 22. Det räcker inte med att begränsa med brandväggsregler utan man måste även ha lokala funktioner som skyddar mot intrångsförsök.

 

Port 25 används enbart för officiella epostservrar ute på Internet och åtkomst till denna port måste begränsas. Man använder även här normalt accesslistor. Många använder inte denna port längre utan skickar trafik på andra sätt. Ta gärna hjälp av vår support eftersom det är stor risk även här att man råkar ställa in fel med allvarliga konsekvenser som följd.

Det räcker inte med enbart brandväggsregler utan man måste även ha lokala funktioner för att skydda mot intrångsförsök.

 

Port 53 används för DNS-frågor. Både mellan DNS-servrar och DNS-resolvrar. DNS-frågor använder både UPD och TCP. Tänk på att det är mycket viktigt att skydda så att ingen obehörig trafik kan nå dig på port 53! Använd accesslistor även här för att begränsa åtkomst. Att tillåta utgående frågor är i regel inte så farligt men inkommande trafik måste alltid begränsas.

Man använder vanligtvis alltid lokala funktioner för att begränsa, skydda och ignorera olika typer av trafik eftersom risken för intrång och olika typer av attacker annars är stor.

 

Port 80 är den standardport som används för HTTP, dvs när man surfar till tex en webbserver. Har du en VPS eller annan Server hos oss som ska fungera som bland annat webbserver så är det viktigt att port 80 är nåbar för dem som ska använda webbservern.

Precis som med alla öppna portar så är det oerhört viktigt att de mjukvaror och funktioner som tar emot trafiken på serversidan är säkrade och kan hantera oönskad trafik och intrångsförsök.

 

Port 110 och port 143 är vanliga att använda när man ska hämta inkommande e-post. Port 110 används för det uråldriga POP3-protokollet som de flesta idag har övergivit. Port 143 däremot är en av många vanliga portar för IMAP. Precis som för all e-posttrafik är det viktigt att reglera, skydda och begränsa trafik. Det räcker inte med brandväggsregler utan man måste även ha lokala funktioner som hanterar intrångsförsök. Enbart TCP.

 

Port 443 är porten som används för HTTPS, dvs TLS- eller SSL-krypterad HTTP-trafik. Används ett certifikat för att skydda en webbserver eller webbaserad tjänst som tex webbmail eller webbaserade tjänster så är det i regel port 443 som trafiken använder. Enbart TCP.

Man använder i regel ungefär samma metoder som för HTTP för att hantera försök och skydda sig. Accesslistor i brandväggarna är en självklarhet.

 

3306 är en port som används av databaser som MySQL. Man ska aldrig tillåta exgtern trafik utan åtkomst måste begränsas till enbart lokal trafik. Enbart TCP. Måste du av någon anledning nå servern på port 3306 för att tex använda verktyg som MySQL Admin över nätet så tunnlar du trafiken - det finns ingen anledning att fatta det oerhört fatala misstaget att tillåta extern trafik till en databas - man gör aldrig så. Säger någon åt dig att öppna denna port externt har de missförstått vad det innebär. Det finns ingen anledning att öppna porten ens med brandväggsregler utan det är alltid enklast, säkrast och bäst att ta för vana att tunnla trafik eller använda en VPN-tjänst för att ansluta direkt lokalt mot servern. SQL och databasfunktioner med lösenordsskyddade tjänster där man kan göra obegränsat antal försök att ansluta är en guldgruva för dem som du inte vill ska administrera din server istället för serveradministratören.

 

 

Port 8080 är en port som ursprungligen använts för proxy-servrar men som idag används flitigt av bland annat Tomcat och liknande mjukvaror som tex kan placeras mellan en Apache och Databas. Normalt tillåter man aldrig trafik ut mot Internet utan enbart lokal trafik. Tänk på att se till att brandväggsreglerna begränsar allt annat än lokal trafik. Enbart TCP behövs.

Du behöver aldrig kuna nå port 8080 externt på en webbserver utan låt Apache eller annan mjukvara vara en "front end" och anslut via detta "lager" mot ditt "data" eller din webapplikation. Fördelen är att du kan lägga på andra typer av regler - både för säkerhet och för att tex skriva om URL:er och liknande i det "första lagret" så att enbart den trafik som verkligen måste nå din "backend" verkligen kommer dit. Även av prestanda skäl är detta mycket klokt.

 

Andra portar?

Jodå, det finns minst 65 000 portar som en vanlig server kan använda externt. Med funktioner som NAT, PAT och andra typer av omskrivningar eller genom att använda front endar som tex vår CDN-tjänst kan man hantera hur trafik skickas, från vem och till vem. Det är klokt att kraftigt begränsa all trafik till din server.

En bra första regel i alla brandväggsinställningar är att man blockerar (Droppar utan att skicka rejects) ALL oönskad trafik och därefter gör undantag och öppnar så lite som möjligt och alltid enbart till accesslistor med en begränsning i vilka som kan komma fram. Möjligen undantaget port 80 och 443 för publika webservrar. Kontakta alltid vår support vid frågor och tänk på att det innebär kostnader både i tid och pengar om er server måste stängas av pga felaktig konfiguration.

 

Har du en Nidavellir-brandvägg ställer du snabbt in reglerna via administrationsgränssnittet, har du ett supportavtal så hjälper vi dig även med inställningarna i brandväggen!

 

Relaterad läsning:

Serverhosting

Senast uppdaterad:
2016-01-07 22:02
Av: :
compartment AB
Ny version:
1.0
Resultat av röstning:0 (0 röster)

Du kan inte kommentera den här frågan

Chuck Norris has counted to infinity. Twice.

bannerbyte.eu