Netzwerk

Portnummern-Übersicht

Referenzliste gängiger TCP/UDP-Portnummern und ihrer Verwendung: FTP, SSH, HTTP, HTTPS, MySQL, Redis und mehr. Nützlich zum Konfigurieren von Firewall-Regeln und zur Fehlersuche bei "Connection refused"-Fehlern, mit Live-Suchfilter.

Bekannte Ports 0–1023 Registrierte Ports 1024–49151 Dynamische/private Ports 49152–65535
Portnummern-Tabelle
Port Protokoll TCP/UDP Bereich Verwendung
20 FTP (Data) TCP Bekannte Ports Wird für die FTP-Datenübertragung (aktiver Modus) verwendet. Wird zunehmend durch SFTP und FTPS ersetzt.
21 FTP (Control) TCP Bekannte Ports Wird für die FTP-Steuerverbindung verwendet, über die Befehle und Antworten laufen.
22 SSH TCP Bekannte Ports Wird für verschlüsselte Remote-Anmeldung per SSH sowie Dateiübertragung per SCP/SFTP verwendet.
23 Telnet TCP Bekannte Ports Wird für unverschlüsselte Remote-Anmeldung per Telnet verwendet. Wegen Abhörrisiko wird SSH empfohlen.
25 SMTP TCP Bekannte Ports Wird für die SMTP-Mailweiterleitung zwischen Mailservern verwendet.
53 DNS TCP/UDP Bekannte Ports Wird für die DNS-Namensauflösung verwendet. Normale Anfragen nutzen UDP, Zonentransfers und große Antworten nutzen TCP.
67 DHCP (Server) UDP Bekannte Ports Wird von einem DHCP-Server genutzt, um IP-Adressen an Clients zu vergeben.
68 DHCP (Client) UDP Bekannte Ports Wird von einem DHCP-Client genutzt, um eine IP-Adresse anzufordern.
69 TFTP UDP Bekannte Ports Wird für einfache, nicht authentifizierte Dateiübertragung per TFTP verwendet, häufig für Firmware-Updates von Netzwerkgeräten.
80 HTTP TCP Bekannte Ports Wird für die unverschlüsselte Auslieferung von Webseiten per HTTP verwendet.
110 POP3 TCP Bekannte Ports Wird von Mail-Clients zum Abrufen von E-Mails per POP3 verwendet.
123 NTP UDP Bekannte Ports Wird für die Zeitsynchronisation zwischen Computern per NTP verwendet.
143 IMAP TCP Bekannte Ports Wird zur Verwaltung und Synchronisierung von E-Mails über mehrere Geräte per IMAP verwendet.
161 SNMP UDP Bekannte Ports Wird zur Überwachung und Statusabfrage von Netzwerkgeräten per SNMP verwendet.
162 SNMP Trap UDP Bekannte Ports Wird zum Empfang von SNMP-Traps verwendet, unaufgefordert von Geräten gesendete Benachrichtigungen.
194 IRC TCP Bekannte Ports Wird für Echtzeit-Chat per IRC verwendet.
389 LDAP TCP Bekannte Ports Wird zur Abfrage von Verzeichnisdiensten (Benutzer- und Organisationsdaten) per LDAP verwendet.
443 HTTPS TCP Bekannte Ports Wird für die sichere Auslieferung von Webseiten per HTTPS (HTTP über TLS) verwendet.
445 SMB TCP Bekannte Ports Wird für Windows-Datei- und Druckerfreigabe per SMB verwendet.
465 SMTPS TCP Bekannte Ports Wird für den verschlüsselten Mailversand per SMTPS (SMTP über TLS) verwendet.
587 SMTP Submission TCP Bekannte Ports Standardport, über den Mail-Clients ausgehende E-Mails an einen Mailserver übermitteln.
636 LDAPS TCP Bekannte Ports Wird für verschlüsselte Verzeichnisdienst-Kommunikation per LDAPS (LDAP über TLS) verwendet.
993 IMAPS TCP Bekannte Ports Wird für verschlüsselte E-Mail-Synchronisierung per IMAPS (IMAP über TLS) verwendet.
995 POP3S TCP Bekannte Ports Wird für verschlüsselten E-Mail-Abruf per POP3S (POP3 über TLS) verwendet.
1433 MSSQL TCP Registrierte Ports Wird für Datenbankverbindungen zu Microsoft SQL Server verwendet.
3306 MySQL TCP Registrierte Ports Wird für Datenbankverbindungen zu MySQL/MariaDB verwendet.
3389 RDP TCP Registrierte Ports Wird für Windows-Remotedesktopverbindungen per RDP verwendet.
5432 PostgreSQL TCP Registrierte Ports Wird für Datenbankverbindungen zu PostgreSQL verwendet.
5900 VNC TCP Registrierte Ports Wird für Remotedesktop-Bildschirmfreigabe per VNC verwendet.
6379 Redis TCP Registrierte Ports Wird für Verbindungen zum In-Memory-Datenspeicher Redis verwendet.
8080 HTTP (Alt) TCP Registrierte Ports Gängiger alternativer HTTP-Port, oft genutzt von Proxyservern und Entwicklungs-Webservern.
8443 HTTPS (Alt) TCP Registrierte Ports Gängiger alternativer HTTPS-Port, oft genutzt von Anwendungsservern wie Tomcat.
9200 Elasticsearch TCP Registrierte Ports Wird für Verbindungen zur REST-API von Elasticsearch verwendet.
27017 MongoDB TCP Registrierte Ports Wird für Datenbankverbindungen zu MongoDB verwendet.

Tipps

  • Öffnen Sie beim Schreiben von Firewall-Regeln nur die tatsächlich benötigten Ports und blockieren Sie standardmäßig alles andere — die Sicherheitsgrundlagen haben sich seit Jahrzehnten nicht geändert.
  • Bei "Connection refused" zuerst mit Tools wie netstat -an oder ss -tlnp prüfen, ob der Dienst auf diesem Port tatsächlich lauscht.
  • Bekannte Ports (0–1023) wie 80 und 443 erfordern auf den meisten Betriebssystemen Administratorrechte zum Binden, weshalb nicht privilegierte Anwendungen oft Alternativen wie 8080 verwenden.
  • Derselbe Dienst nutzt für seine unverschlüsselte und verschlüsselte Variante oft unterschiedliche Ports (z. B. 80/HTTP gegenüber 443/HTTPS, 21/FTP gegenüber 990/FTPS) — nicht verwechseln.
  • Die Portnummern in dieser Übersicht lassen sich direkt für Security-Group-Regeln in Cloud-Umgebungen wie AWS, GCP und Azure verwenden.

Häufig gestellte Fragen

Eine IP-Adresse identifiziert das "Gebäude" (den Computer), mit dem Sie kommunizieren, während eine Portnummer den konkreten "Raum" (Anwendung oder Dienst) innerhalb dieses Gebäudes identifiziert. Auf demselben Server kann Port 80 zu einem Webserver und Port 22 zu einem SSH-Server führen — die Portnummer bestimmt, welcher Dienst den Datenverkehr erhält.

TCP ist ein auf Zuverlässigkeit ausgelegtes Protokoll, das die Zustellung bestätigt und verlorene Daten erneut sendet, genutzt etwa beim Laden von Webseiten und Dateiübertragungen. UDP ist ein schlankes Protokoll ohne Bestätigungen, genutzt dort, wo Geschwindigkeit wichtiger ist als garantierte Zustellung, etwa bei DNS-Abfragen, Online-Spielen und Video-Streaming.

Prüfen Sie zunächst, ob der Dienst (Prozess) tatsächlich läuft und auf diesem Port lauscht. Falls ja, prüfen Sie anschließend, ob eine Firewall (iptables, ufw, eine Cloud-Security-Group usw.) den Datenverkehr zu diesem Port blockiert.

Neue Websites sollten grundsätzlich ausschließlich über Port 443 (HTTPS) laufen. Port 80 (HTTP) nur zur Weiterleitung auf 443 zu behalten, gilt als aktuelle Best Practice.

Üblich ist eine Nummer im Bereich 1024–49151 der "registrierten Ports", idealerweise eine, die nicht mit anderen gängigen Diensten kollidiert (z. B. 8080 oder eine Nummer im 3000er-Bereich). Vermeiden Sie die "bekannten Ports" 0–1023, die für etablierte Standarddienste reserviert sind.
ツールくん

Übrigens – Warum Portnummern nur bis 65535 gehen

Portnummern sind auf den Bereich 0–65535 begrenzt, weil das Feld für die Portnummer im TCP/UDP-Header als 16 Bit (2 Byte) definiert ist. Zwei hoch 16 ergibt 65536, sodass ohne Port 0 der nutzbare Bereich von 1 bis 65535 reicht. Dieses Design wurde Anfang der 1980er-Jahre bei der Standardisierung von TCP/IP festgelegt und seither nie geändert.

Die IANA (Internet Assigned Numbers Authority) unterteilt alle Ports in drei Bereiche: Die Ports 0–1023, die "bekannten Ports", sind für weit verbreitete Dienste wie HTTP und SSH reserviert. Die Ports 1024–49151, die "registrierten Ports", können von Unternehmen oder Projekten beantragt und registriert werden. Die Ports 49152–65535 sind "dynamische/private Ports", die Clients frei als temporäre Quellports nutzen.

Selbst bekannte Ports wie 80 (HTTP) und 443 (HTTPS) hatten nicht von Anfang an ihren heutigen Zweck. Port 443 wurde 1994 für HTTPS zugewiesen, als Netscape ihn bei der Entwicklung von SSL (Secure Sockets Layer) bei der IANA beantragte.

Um das Risiko von Port-Scanning-Angriffen zu verringern, ändern manche Produktionsserver den Standard-SSH-Port (22) auf einen anderen Wert, eine Technik, die manchmal "Port Knocking" genannt wird. Das ist jedoch Security through Obscurity und ersetzt nie grundlegende Maßnahmen wie starke Authentifizierung und aktuelle Patches.

→ Alle Wissenstexte ansehen